KEAMANAN INFORMASI
Makalah
Disusun Guna Memenuhi
Tugas
Mata Kuliah: Sistem
Informasi Manajemen
Dosen Pembimbing: Ratna
Yulia SE., MM.
Disusun oleh :
Umul Hasanah 212181
Achmad
Zaidun 212182
Yosy Ratna Sari 212183
Rizal Fanani 212184
SEKOLAH
TINGGI AGAMA ISLAM NEGERI KUDUS
JURUSAN
SYARIAH / EKONOMI ISLAM
TAHUN
2013
BAB I
PENDAHULUAN
A. Latar Belakang
Masalah
Keamanan informasi ditujukan untuk mendapatkan
kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan
bukan hanya peranti keras dan data. Manajemen keamananinformasi terdiri atas
perlindungan harian, yang disebut manajemen keamanan informasi (information
security managemen) dan persiapan-persiapan operasional setelah suatu
bencana, yang disebut dengan manajemen keberlangsungan bisnis (business
continuity managemen).
Dua pendekatan dapat dilakukan untuk menysun
strategi-strategi ISM: manajemen resiko dan tolok ukur. Perhatian akan ancaman
dan risiko berhbungan dengan manajemen resiko.ancaman dapat bersifat internal
atau eksternal, tidak disengaja atau disengaja. Risiko dapat mencakup insiden
pengungkapan, penggunaan, dan modifikasi yang tidak diotorisasi serta
pencurian, penghancuran, dan penolakan layanan. Ancaman yang paling ditakuti
adalah virus computer. Ada tiga jenis pengendalian yang tersedia yaitu:
pengendalian teknis,
pengendalian formal, dan pengendalian informal.
Manajemen keberlangsungan bisnis terdiri atas
seperangkat subrencana untuk menjaga keamanan karyawan, memungkinkan
keberlangsungan operasional dengan cara menyediakan fasilitas mengembangkan
rencana kontinjensi baru tidak harus dari awal; beberapa model berbasis peranti
lunak tersedia, seperti halnya garis besar dan panduan dari pemerintah.
B. Rumusan Masalah
1. Apa yang dimaksud dengan keamanan informasi ?
2. Apa saja tujuan keamanan informasi ?
3. Bagaimana
ancaman dan risiko keamanan informasi ?
4. Bagaimana
pengendalian terhadap ancaman dan risiko keamanan informasi?
BAB II
PEMBAHASAN
A. Keamanan
Informasi
Keamanan informasi (information security)
digunakan untuk mendeskripsikan perlindungan baik peralatan computer dan non
komputer dan non kompter, fasilitas, data, dan informasi dari penyalahgunaan
pihak-pihak yang tidak berwenang.
Saat pemerintah dan kalangan industri
menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian
nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka
istilah keamanan sistem (system security) pun digunakan. Fokus sempit
ini kemudian diperluas sehingga mencakup bukan hanya peranti keras dan data,
namun juga peranti lunak, fasilitas computer, dan personel.
B. Tujuan Keamanan
Informasi
Keamanan informasi ditujukan untuk mencapai
tiga tujuan utama yaitu:
1. Kerahasiaan
Perusahaan berusaha untuk melindungi data
informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.
2. Ketersediaan
Tujuan infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak
yang memiliki wewenang untuk menggunakannya.
3. Integritas
Semua sistem informasi harus memberikan
representasi akurat atas sistem fisik yang dipresentasikan.[1]
C. Manajemen
Keamanan Informasi
Manajemen tidak hanya diharapkan untuk menjaga
sumber daya informasi aman, namn jga diharapkan untuk menjaga persahaan
tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktifitas untuk menjaga agar perusahaan dan
sumber daya informasi tetap aman disebut Manajemen keamanan informasi.
CIO adalah orang yang tepat untuk memikul
tanggung jawab atas keamanan informasi, namun kebanyakan organisasi mulai
menunjuk orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas
ini. Direktur keamanan sistem informasi perusahaan digunakan untuk individu di
dalam organisasi, biasanya anggota dari unit sistem informasi, yang bertanggung
jawab atas keamanan sistem informasi perusahaan tersebut. Namun saat ini
perubahan sedang dibuat untuk mencapai tingkat informasi yang lebih tinggi lagi
di dalam perusahaan dengan cara menunjuk seorang Direktur Assurance informasi
perusahaan (CIAO). Seorang CIAO harus mendapatkan serangkaian sertifikat
keamanan dan memiliki pengalaman minimum 10 tahun dalam mengelola suatu
fasilitas keamanan informasi.
Pada bentuknya yang paling dasar, manajemen
keamanan informasi terdiri atas empat tahap yaitu:
1. Mengidentifikasi ancaman yang dapat menyerang
sumber daya informasi perusahaan
2. Mengidentifikasi risiko yang dapat disebabkan
oleh ancaman-ancaman tersebut
3. Menentukan kebijakan keamanan informasi
4. Mengimplementasikan pengendalian untuk
mengatasi risiko-risiko tersebut.[2]
D. Strategi dalam ISM
1. Manajemen Risiko (Risk Management)
Dibuat untuk
menggambarkan pendekatan dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang
dihadapinya.[3]
Manajemen Risiko merupakan satu dari dua
strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan cara
mengendalikan atau menghilangkan risiko atau mengurangi dampaknya.[4]
Tingkat keparahan dampak dapat
diklasifikasikan menjadi:
a.
dampak yang parah (severe impact) yang membuat perusahaan
bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
b.
dampak signifikan (significant impact) yang menyebabkan
kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut tetap selamat
c.
dampak minor (minor impact) yang menyebabkan kerusakan
yang mirip dengan yang terjadi dalam operasional sehari-hari.
2.
Tolok Ukur
Tolok ukur Adalah tingkat keamanan yang
disarankan dalam keadaan normal harus memberikan perlindungan yang cukup
terhadap gangguan yang tidak terotorisasi.[5]
E. Ancaman
Ancaman keamanan sistem informasi adalah
orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan.
1. Ancaman Internal
Ancaman internal bukan hanya mencakup karyawan
perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra
bisnis perusahaan tersebut.
2. Ancaman Eksternal
Misalnya perusahaan lain yang memiliki produk yang sama
dengan produk perusahaan kita atau disebut juga pesaing usaha.[6]
Jenis- Jenis Ancaman
Malicious software, atau malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu system dan melakukan
fungsi-fungsi yang tidak diharapkan oleh pemilik system. fungsi-fungsi tersebut
dapat menghapus file atau sistem itu berhenti. Terdapat beberapa piranti lunak
yang berbahaya yaitu: Virus, worm, Trojan horse, adware, spyware.[7]
F. Risiko Keamanan Informasi (Information Security Risk)
Didefinisikan sebagai potensi output yang
tidak Diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi.
Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
Interuption: ancaman terhadap availability,
yaitu data dan informasi yang berada dalam system computer yang dirusak dan
dibuang sehingga menjadi tidak ada atau menjadi tidak berguna.
Interception: merupakan ancaman terhadap
secrey, yaitu orang yang tidak berhak mendapatkan akses informasi dari dalam
system computer.
Modification: merupakan ancaman terhadap
integritas, yaitu orang yang tidak berhak, tidak hanya berhasil mendapatkan
akses, melainkan juga dapat melakukan pengubahan terhadap informasi.
Fabrication: adanya orang yang tidak
berwenang, meniru atau memalsukan suatu objek ke dalam sistem.[8]
G. Macam-macam Pengendalian
1.
Pengendalian Teknis
Adalah pengendalian
yang menjadi satu di dalam system dan dibuat oleh para penyususn system selama
masa siklus penyusunan system. Dilakukan
melalui tiga tahap:
a. Identifikasi
Pengguna.
Memberikan informasi yang mereka ketahui
seperti kata sandi dan nomor telepon.nomor
telepon.
b. Otentikasi Pengguna.
Pengguna
memverivikasi hak akses dengan cara memberikan sesuatu yang mereka miliki,
seperti chip identifikasi atau tanda tertentu.
c. Otorisasi Pengguna.
Pengguna dapat
mendapatkan wewenang untuk memasuki tingkat penggunaan tertentu.
Setelah pengguna
memenuhi tiga tahap tersebut, mereka dapat menggunakan sumber daya informasi
yang terdapat di dalam batasan file akses.
Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah
mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk
melakukan perusakan.
Firewall
Suatu Filter yang membatasi aliran data antara
titik-titik pada suatu jaringan-biasanya antara jaringan internal perusahaan
dan Internet.
Berfungsi sebagai:
a. Penyaring aliran
data
b. Penghalang yang
membatasi aliran data ke dan dari perusahaan tersebut dan internet.
2.
Pengendalian Kriptografis
Merupakan penggunaan
kode yang menggunakan proses-proses matematika. Meningkatkan keamanan data dengan cara menyamarkan data
dalam bentuk yang tidak dapat dibaca. Berfungsi
untuk melindungi data dan informasi yang tersimpan dan ditransmisikan, dari
pengungkapan yang tidak terotorisasi.
Kriptografi terbagi menjadi:
a.
Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama
dengan kunci dekripsi.
b.
Kriptografi Asimetris
Dalam kriptografi kunci enkripsi
tidak sama dengan kunci dekripsi.
Contoh:
Enkripsià kunci public
Dekripsià Kunci Privat
c.
Kriptografi Hybrid
d.
Menggabungkan antara kriptografi simetris dan Asimetris,
sehingga mendapatkan kelebihan dari dua metode tersebut.
Contoh: SET (Secure Electronic
Transactions) pada E-Commerce
3.
Pengendalian Fisik
Peringatan yang
pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer.Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih,
yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera
pengintai dan alat penjaga keamanan.
4.
Pengendalian Formal
Pengendalian formal mencakup penentuan cara
berperilaku,dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan
serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian
ini bersifat formal karena manajemen menghabiskan banyak waktu untuk
menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk
berlaku dalam jangka panjang.
5.
Pengendalian Informal
Pengendalian informal mencakup program-program
pelatihan dan edukasi serta program pembangunan manajemen.Pengendalian ini
ditunjukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung
program keamanan tersebut.[9]
H. Pentingnya Keamanan sistem
Sistem Informasi diperlukan karena:
1. Teknologi Komunikasi Modern yang membawa
beragam dinamika dari dunia nyata ke dunia virtual
2. Kurangnya Keterampilan Pengamanan yang
dimiliki oleh Pemakai
3. Untuk menjaga objek kepemilikan dari informasi
yang memiliki nilai ekonomis.
I. Dukungan
Pemerintah Dan Industri
Beberapa organisasi pemerintah dan
internasional telah menentukan standar-standar yang ditunjukan untuk menjadi
panduan bagi organisasi yang ingin mendapatkan keamanan informasi.Beberapa
standar ini berbentuk tolak ukur, yang telah diidentifikasisebelumnya sebagai
penyedia strategi alternative untuk manajemen resiko. Beberapa pihak penentu
standar menggunakan istilah baseline(dasar) dan bukannya benchmark (tolak
ukur). Organisasi tidak diwajibkan mengikuti standar ini.Namun, standar ini
ditunjukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat
target keamanan.
J. Manajemen Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis (business
continuity management-BCM) adalah aktivitas yang ditujukan untuk menentukan
operasional setelah terjadi gangguan sistem informasi.
Subrencana yang umum mencakup:
1. Rencana darurat (emergency plan): terdiri dari cara-cara yang akan menjaga
keamanan karyawan jika bencana terjadi. Co: Alarm bencana, prosedur evakuasi
2. Rencana cadangan : menyediakan fasilitas computer cadangan yang
bisa dipergunakan apabila fasilitas computer yang biasa hancur atau rusak
hingga tidak bisa digunakan.
3. Rencana catatan penting (vital records plan) :
merupakan dokumen kertas, microform, dan media penyimpanan optis dan magnetis
yang penting untuk meneruskan bisnis perusahaan.
K. Kebijakan Keamanan Informasi
Suatu kebijakan keamanan harus diterapkan
untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan keamanan dengan
pendekatan yang bertahap, diantaranya:
Fase 1:
Inisiasi Proyek. Membentuk sebuah tim untuk
mengawas proyek kebijakan keamanan tersebut.
Fase 2:
Penyusunan Kebijakan. Berkonsultasi dengan
semua pihak yang berminat dan terpengaruh.
Fase 3:
Konsultasi dan persetujuan.Berkonsultasi
dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan
kebijakan.
Fase 4:
Kesadaran dan edukasi.Melaksanakan program
pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
Fase 5:
Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke
seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan.[10]
Contoh Kasus:
Ancaman Terbesar Untuk Perusahaan:Pemerasan
Dalam Dunia Maya.
Pelaku
menjelajahi perumahan-perumahan di Virginia dan Maryland dengan mobil Pontiac
tuanya dengan Antena
terpasang di dasbor. Saat melakukan hal itu, ia menyalakan koneksi nirkabel ke
yahoo! Dan America Online untuk mengambil akun dan kata sandi. Ia adalah
golongan penjahat computer yang baru mengintai dunia maya (cyberstalker),
yang melakukan pemerasan dunia maya (cyberextortion).
Ia
juga seorang pengusaha yang memiliki bisnis paten, dan ia menggunakan komputer
untuk menuntut $17 juta dari Micro paten, perusahaan paten dan merek dagang.
Sebelumnya ia telah melamar kerja ke MicroPatent dan ditolak. Kemudian ia
mengirimkan lebih dari selusin e-mail ancaman ke Daniel I. Videtto, presiden microPatent.
Pengintai dunia maya ini mengklaimbahwa ia memiliki ribuan dokumen rahasia
MicroPatent, data pelanggan yang rahasia, kata sandi computer, dan
alamat-alamat e-amail, dan ia mengancam jika Videtto tidak menghiraukan
permintaanya, Informasi ini akan “berakhir di kontak-kontak e-mail diseluruh
dunia”. Tidak seperti banyak perusahaan yang mengambil jalan keluar yang mudah
dengan cara menyerah kepada permintaan pemeras, MicroPatent memutuskan untuk
melawan balik. Perusahaan tersebut menyewa penyelidik swasta dan seorang bekas
profiler psikologi untuk CIA. Tugas dari profiler ini adalahuntuk menemukan
profil psikologi dari pemeras ini. Akhirnya, kerja keras ini membuahkan hasil.
Pada bulan Maret 2004, pihak yang berwenang menangkap pengintai dunia maya saat
ia duduk di mobilnya saat ia menulis e-mail yang ia kirimkan kepada Videtto.
Pada akhir tahun yang sama penjahat dunia maya ia mengaku bersalah atas tuntutan tindakan
pemerasan dan dihukum selama 5 tahun penjara.
BAB III
PENUTUP
Kesimpulan
Dapat disimpulkan bahwa Keamanan informasi (information security) digunakan
untuk mendeskripsikan perlindungan baik peralatan computer dan non komputer dan
non kompter, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak
yang tidak berwenang. Keamanan informasi ditujukan untuk mencapai tiga tujuan
utama yaitu: kerahasiaan, ketersediaan, dan integritas.
Sedangkan Ancaman keamanan sistem informasi adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya
informasi perusahaan. Ancaman itu terdiri dari ancaman internal dan eksternal.
Resiko keamanan informasi dapat Didefinisikan sebagai potensi output yang tidak
Diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi.
Semua risiko mewakili tindakan yang tidak terotorisasi. Untuk mengendalikan Ancaman
serta risiko keamanan informasi itu dapat dilakukan dengan berbagai
pengendalian yaitu: pengendalian teknis, kriptografis, fisik, formal dan
informal.
DAftar Pustaka
Raymond Mcleod,
Jr., George P. Schell, 2009, Sistem
Informasi Manajemen, Jakarta: Salemba Empat.
Dhillon Gurprett, Steve Moores. “Computer Crimes: Theorizing About the
Enemy Within,” Computer & Security 20 (8) ( 1 Desember 2001)
[1] Raymond Mcleod, Jr., George P. Schell, 2009, Sistem Informasi Manajemen, Jakarta: Salemba
Empat, hal., 270-271
[2] Ibid.,hal., 271-272
[4] Raymond Mcleod, Jr., George P. Schell, Op., Cit., hal., 277
[6] Dhillon Gurprett, Steve Moores. “Computer Crimes: Theorizing About
the Enemy Within,” Computer & Security 20 (8) ( 1 Desember 2001), hal
715-723
[7] Raymond McLeod, Jr., George P. Schell, Op., Cit., hal.,
272-274
[9] Raymond McLeod, Jr., George P. Schell, Op., Cit., hal.,
280-284
