KEAMANAN INFORMASI
Nama
Kelompok :
1. Puri Risma (51415046)
2. Sari Widya (51415055)
3. Septian Lianto (51415056)
PENDAHULUAN
Semua
organisasi harus mampu untuk menjaga sumber daya informasinya agar aman.
Kegiatan untuk menjaga sumber daya informasi sudah ada sejak dahulu. Sekarang
ini pemerintah telah meningkatkan tingkat keamanan untuk mengurangi terorisma.
Keamanan informasi tersebut ditujukan untuk memperoleh kerahasiaan,
ketersediaan dan integritas terhadap semua sumber daya informasi perusahaan
yang tidak hanya peranti keras dan data. Manajemen keamanan informasi dalam
perusahaan terdiri dari perlindungan harian dan persiapan-persiapan operasional
setelah terjadi bencana.
Terdapat
dua pendekatan dalam menyusun strategi-strategi ISM yaitu : manajemen risiko
dan kepatuhan tolak ukur. Ancaman yang terjadi dapat bersifat internal maupun
eksternal, tidak disengaja atau disengaja. Ancaman yang paling ditakuti yaitu
ancaman dari virus komputer E-commerce yang telah menghasilkan risiko tertentu.
Terdapat tiga jenis pengendalian yaitu pengendalian teknis, pengendalian
informal, pengendalian formal.
Beberapa
pihak pemerintah telah menetapkan standart dan juga peraturan yang mempengaruhi
keamanan informasi. Sub rencana dari manajemen keberlangsungan bisnis yaitu :
menjaga keamanan karyawan, memungkinkan keberlangsungan operasional dengan
menyediakan fasilitas komputrer cadangan, melindungi catatan penting
perusahaan.
PEMBAHASAN
KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Dewasa
ini banyak organisasi yang semakin sadar akan pentingnya menjaga semua sumber
daya mereka, baik sumber daya yang bersifat virtual maupun fisik agar terhindar
dari ancaman baik dari luar maupun dari dalam. Sistem komputer sekarang telah
banyak memiliki perlindungan berbeda pada zaman dahulu. Adanya kekurangan
keamanan pada sistem terdahulu telah menginspirasi kalangan industri untuk
menghilangkan kemungkinan kerusakan serta menyediakan organisasi dengan
kemampuan melanjutkan kegiatan operasional setelah terjadi gangguan.
MANAJEMEN KEAMANAN INFORMASI
Manajemen keamanan informasi terdiri atas empat tahap
yaitu :
1.
Mengidentifikasi
ancaman yang bisa menyerang sumber daya informasi perusahaan
2.
Mendefinisikan
risiko yang disebabkan oleh ancaman-ancaman
3.
Menentukan
kebijakan keamanan informasi
4.
Mengimplementasikan
pengendalian untuk mengatasi risiko-risiko yang timbul
Tolok ukur keamanan informasi (Information Security
Branchmark) yaitu tingkat keamanan yang dianjurkan dalam keadaan normal harus
menawarkan perlindungan yang cukup pada gangguan yang tidak terotorisasi.
ANCAMAN
Orang, organisasi, mekanisme, atau peristiwa yang
memiliki potensi untuk membahayakan sumber daya informasi perusahaan disebut
ancaman keamanan informasi (informastion security threat).
Ancaman keamanan informasi adalah sesuatu hal yang alami,
beberapa orang atau kelompok diluar perusahaan melakukan tindakan yang
disengaja. Ancaman dapat bersifat internal dan eksternal dan juga ancaman dapat
bersifat sengaja maupun tidak disengaja.
1.
Ancaman internal
Ancaman internal dan eksternal
Ancaman internal dan eksternal tidak hanya mencakup
karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan
juga mitra bisnis perusahaan. ancaman internal menghasilkan kerusakan dengan
potensi yang lebih serius jika dibandingkan ancaman eksternal karena
pengetahuan dari ancaman internal yang lebih mendalam terhadap sistem tersebut.
2.
Tindakan kecelakaan
dan disengaja
Yindakan ancaman tidak semuanya merupakan tindakan
disengaja yang dilakukan untuk tujuan mencelakai. Ada beberapa tindakan
kecelakaan yang disebabkan oleh orang-orang yang ada di dalam maupun diluar
perusahaan. keamanan informasai harus ditujukan untuk mencegah ancaman yang
disengaja dan sistem keamanan harus mampu mengeliminasi kemungkinan terjadinya
kerusakan.
RISIKO
Risiko
keamanan informasi didefinisikan sebagai potensi output yang tidak diharapkan dengan pelanggan keamanan
informasi oleh ancaman keamanan informasi.
·
Pengungkapan informasi
yang tidak terotorisasi dan pencurian
Suatu basis data
dan perpustakaan piranti lunak tersedia bagi orang-orang yang seharusnya tidak
berhak memilki akses, hasilnya adalah hilangnya informasi atau uang.
·
Penggunaan yang tidak
terotorisasi
Disini pengguna
terjadi ketika orang-orang biasanya tidak berhak menggunakan sumber daya
perusahaan mampu menggunakan hal tersebut.
·
Penghancuran yang tidak
terotorisasi dan penolakan layanan
Seseorang dapat
merusak maupun menghancurkan piranti keras / piranti lunak, sehingga
menyebabkan operasional komputer perusahaan tidak berfungsi.
·
Modifikasi yang tidak
terotorisasi
Perusahaan dapat
dilakukan pada data, informasi, dan piranti lunak perusahaan.
v Persoalan
E-Commerce
perdagangan
elektronik telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah perlindungan data, informasi, dan peranti lunak, tetapi perlindungan
dari pemalsuan kartu kredit. Untuk mengatasi masalah ini, perusahaan-perusahaan
kartu kredit yang utama telah mengimplementasikan program yang ditujukan secara
khusus untuk keamanan kartu kredit e-commerce.
1. Kartu kredit “sekali pakai”
Kartu kredit sekali pakai ini bekerja dengan cara saat
pemegang kartu ingin membeli sesuatu secara online, maka akan memperoleh
angka yang acak dari situs web perusahaan kartu kredit tersebut
2. Praktik keamanan yang diwajibkan oleh visa
Visa mempraktekkan 10 metode terkait keamanan yang
diharapkan oleh perusahaan ini serta mewajibkan peritel atau toko reseller
mereka untuk menggunakan ke sepuluh praktek keamanan tersebut. Reseller yang
memilih untuk tidak mengikuti praktek ini akan dikenakan denda, kehilangan
keanggotaan Visa atau pembatasan penjualan dengan Visa. 10 program keamanan
tersebut adalah :
a)
Memasang dan
memelihara firewall
b)
Memperbarui
keamanan
c)
Melakukan
enkripsi pada data yang disimpan
d)
Melakukan
enkripsi pada data yang dikirimkan
e)
Menggunakan dan
memperbarui peranti lunak antivirus
f)
Membatasi akses
data kepada orang-orang yang ingin tahu
g)
Memberikan ID
unik kepada setiap orang yang memiliki kemudahan mengakses data
h)
Memantau akses
data dengan ID unik
i)
Tidak menggunakan
kata sandi default yang disediakan oleh vendor
j)
Secara teratur
menguji sistem keamanan
v
Manajemen Resiko
Merupakan satu dari dua strategi untuk mencapai
keamanan informasi. Resiko dapat dikeldengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya. Pendefinisian resiko terdiri
atas empat langkah yaitu :
1. Identifikasi aset-aset bisnis yang harus dilindungi
dari resiko.
2. Menyadari risikonya.
3. Menentukan tingkatan dampak pada perusahaan jika
resiko benar-benar terjadi.
4. Menganalisis kelemahan perusahaan tersebut.
v
Pengendalian
Teknis
Pengendalian teknis adalah pengendalian yang menjadi
satu didalam system dan dibuat oleh para penyusun system selama masa siklus
penyusunan system. Melibatkan seorang auditor internal didalam tim proyek merupakan
satu cara yag amat baik untuk menjaga agar pengendalian semacam ini menjadi
bagian dari desain system.
1. Pengendalian akses
Pengendalian akses dilakukan melalui proses tiga tahap
yaitu :
a). Identifikasi Pengguna
Para pengguna pertama mengidentifikasi diri mereka
dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi.
Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau
titik masuk jaringan.
b). Otentikasi pengguna
Setelah identifikasi awal telah dilakukan, para
pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka
miliki, seperti smart cart atau tanda tertentu atau chip ientifikasi.
c). Otorisasi pengguna
Setelah pemeriksaan identifikasi dan autentikasi
dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat
atau derajat penggunaan tertentu.
Setelah para pengguna memenuhi syarat tiga fungsi
pengendalian akses, mereka dapat menggunakan sumber daya informasi yang
terdapat didalam batasan file pengendalian akses.
d). Sistem Deteksi Gangguan
Sistem deteksi gangguan adalah system yang diciptakan
untuk mendeteksi adanya gangguan atau virus. Salah satu contohnya adalah
peranti lunak proteksi virus (virus protection software) yang telah
terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak
tersebut mengidentifikasi pesan yang membawa virus yang akan menyerang si
pengguna.
2. Firewall
Firewall berfungsi sebagai penyaring dan penghalang
yang membatasi aliran data ke dan dari perusahaan tersebut dan internet. Ada
tiga jenis farewell yaitu :
a) Firewall penyaring paket
Router adalah alat jaringan yang mengarahkan aliran
lalu lintas jaringan. Jika router diposisikan antara internet dan jaringan
internal, router tersebut dapat berlaku sebagai firewall. Router itu dilengkapi
dengan tabel data alamat-alamat IP yang menggambarkan kebijakan penyerangan.
b) Firewall tingkat sirkuit
Salah satu peningkatan keamanan dari router adalah
firewall tingkat sirkuit yang terpasang antara internet dan jaringan perusahaan
tapi lebih dekat dengan medium komunikasi daripada router. Pendekatan ini
memungkinkan tingkat otentikasi dan penyaringan yang tinggi, lebih tinggi
daripada router.
c) Firewall tingkat aplikasi
Firewall ini berlokasi antara router dan computer yang
menjalankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan
dapat dilakukan. Setelah permintaan diotentikasi sebagai permintaan yang
berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer yang
diotorisasi (penyaringan paket), aplikasi tersebut dapat meminta informasi
otentikasi yang lebih jauh menanyakan kata sandi, mengkonfirmasi identitas,
atau bahkan memeriksa apakah permintaan tersebut berlangsung selama jam kerja
biasa.
3. Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan
dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi
yait penggunaan kode yang menggunakan proses matematika.
4. Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak
terotosisasi adalah dengan mengunci ruangan computer, kunci yang digunakan
haruslah dengan menggunakan metode kunci canggih yang hanya dibuka dengan sidik
jari, cetakan suara, kamera pengintai dan alat penjaga keamanan.
5. Pengendalian Formal
Pengendalian
formal mencakup penentuan cara berperilaku dokumentasi prosedur dan praktik
yang diharapkan, pengawasan serta pencegahan perilaku yang berbeda dan panduan
yang berlaku.
6. Pengendalian
Informal
Pengendalian
Informal mencakup program pelatihan dan edukasi serta program pembangunan
manajemen. Pengendalian ini ditunjukkan untuk menjaga agar karyawan perusahaan
memahami serta mendukung program keamanan tersebut.
v Manajemen
Keberlangsungan Bisnis
Aktivitas
yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen keberlangsungan bisnis (Business
cintunity Management-BCM). Elemen penting dalam perencanaan kontinjensi
adalah rencana kontinjensi (contingency plan) yang merupakan dokumen
tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi
perusahaan.
KESIMPULAN
Dalam dunia komunikasi data global dan perkembangan
teknologi informasi yang selalu berubah serta cepatnya perkembangan software.
Keamanan merupakan suatu isu yang sangat penting, baik itu keamanan fisik,
keamanan data maupun keamanan aplikasi.
Perlu kita sadari bahwa untuk mencapai suatu
keamanan itu adalah suatu hal yang sangat mustahil, seperti halnya yang ada
pada dunia nyata sekarang ini. Tidak ada satu daerah yang betul-betul aman
kondisinya, alaupun petugas keamanan sudah ditempatkan di tempat tersebut,
begitu juga keamanan sistem komputer. Namun yang bisa kita lakukan adalah untuk
mengurangi gangguan keamanan. Lalu kita bisa mengetahui gambaran – gambaran
sistem keamanan komputer dan dapat
meminimalisir terjadinya gangguan pada sistem yang kita miliki serta
sebagai referensi kita untuk masa yang akan datang yang semakin maju dan
semakin berkembang.
REKOMENDASI MANAJERIAL
-
Perusahaan harus lebih meningkatkan keamanan sistem informasi untuk
menjaga seluruh sumber daya informasi yang dimiliki perusahaan.
-
Perusahaan hendaknya mencari keamanan sistem informasi yang tidak
menghambat ketersediaan informasi bagi pihak-pihak yang memiliki otorisasi
untuk mendapatkannya.
-
Pemerintah hendaknya mencari keamanan sistem yang tidak melanggar hak
pribadi perorangan.
-
Perusahaan hendaknya menjalankan program manajemen keamanan informasi
setiap hari dan manajemen keberlangsungan bisnis agar operasional terus
berjalan setelah bencana atau pelanggaran keamanan terjadi.
-
Di dalam suatu perusahaan pengendalian harus diimplementasikan untuk
dampak yang parah dan sebaiknya diimplementasikan untuk dampak yang signifikan.
-
Perusahaan hendaknya menerapkan penegndalian fisik untuk mengamankan
fasilitas komputer dengan cara membatasi atau mengahalangi akses yang tidak
diotorisasi.
Perusahaan hendaknya mengeluarkan standar atau memberikan bantuan dalam
menentukan apa saja yang harus dimasukkan k
Tidak ada komentar:
Posting Komentar