SISTEM INFORMASI MANAJEMEN (BAB 9 KEAMANAN INFORMASI)

Jumat, 27 November 2015

KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.

KEAMANAN INFORMASI
Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terpukul secara eksklusif pada perlindungan perantik keras dab data, maka istilah keamanan sistem (Sistem security) pun di gunakan. Fokus sempit ini kemudian di perluas sehingga mencangkup bukan hanya perantik keras dan data, namun juga peranti lunak, fasilitas komputer, dan personel.

Tujuan Keamanan Informasi
       Kerahasian. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.
       Ketersediaan. Tujuannya dari infrastrukstur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
       Integritas. Semua sistem informasi harus memberikan representasi akurat dan atas sistem fisik yang direpresentasikannya.

Manajemen Keamanan Informasi
Seperti halnya cakupan keamanan informasi telah meluas demikian juga pandangan akan tanggung jawab manajemen tidak hanya di harapkan untuk menjaga agar sumber daya informasi aman, namun juga di harapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi ( informatian security management – ISM ).

Jenis Ancaman
Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain.
Selain virus ada terdapat pula worm, Trojan horse, adware, dan spyware.

Risiko
Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.

Pengungkapan Informasi yang Terotorisasi dan Pencurian
Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memilki akses, hasilnya adalah hilangnya informasi atau atau uang . Sebagai contoh, mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyeludupkan dana perusahaan.

Persoalan E-Commerce
E-comerce (perdagangan elektronik) telah memperkenalkan suatu perusahaan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan perangkat lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para paritel e-commerce di bandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung.

Praktik Keamanan yang Diwajibkan oleh Visa
  1. Memasang dan memelihara firewall.
  2. Memperbaharui keamanan.
  3. Melakukan ekskripsi pada data yang di simpan.
  4. Melakukan ekskripsi pada data yang di kirimkan.
  5. Menggunakan dan memperbarui peranti lunak antivirus
  6. Membatasi akses data kepada orang-orang yang ingin tahu.
  7. Memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data.
  8. Memantau akses data dengan ID unik.
  9. Tidak menggunakan kata sandi default yang disediakan oleh vendor.
  10. Secara teratur menguji sistem keamanan.

Manajemen Risiko
  1. Menganalisis kelemahan perusahaan tersebut.
  2. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko.
3.       Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.

Pengendalian
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan damak risiko tersebut pada perusahaan jika risiko tersebut terjadi.

Pengendalian Teknis
Pengendalian teknis (technical control) adalah pengendalian yan menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.

Pengendalian Akses
  1. Identifikasi pengguna. Para pengguna pertama mengidentifikasi mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. 
  2. Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka ketahui. 
  3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk memasuki tingkat/derajat penggunaan tertentu.
Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi.
Fungsi Firewall sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet.

Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga di transmisikan ke dalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah Kesalahan penggunaan.

Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendaliian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh darikota dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan badai.

Pengendalian Formal
Pengendalian formal mecangkup penemuan cara berprilaku, dokumentasi produsen dan praktik yang di harapkan. Pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya. Dokumentasikan dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

MELETAKAN PENGENDALIAN TEKNIS PADA TEMPATNYA
Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan.perusahaan biasanya memilih dari daftar ini dan menetapkan kombinasi yang dianggap menawarkan pengamanan yang paling realistis.
Mencapai Tingkat Pengendalian Yang Tepat
Ke tiga jenis pengendalian teknis, formal,dan informal mengharuskan biaya. Karena bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkatan yang sesuai. Dengan demikian, keputusan pengendalian harus ditetapkan pada tingkatan yang sesuai.

Contoh tingkat target keamanan
  1. BS7799 milik Inggris
  2. BSI  IT Baseline Protection Manual
  3. COBIT
  4. GASSP
  5. ISF Standard of Good Practice

Peraturan Pemerintah
Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standar dan menetapkan peraturan yang ditujukan untuk menanggapi masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan komputer.
Beberapa diantaranya:
·         Standar Keamanan Komputer Pemerintah Amerika Serikat.
·         Undang-Undang Antiterorisme, kejahatan, dan keamanan Inggris (ATSCA) 2001.

Subrencana manajemen kelangsungan bisnis yang umum mencakup:
Ø  Rencana darurat: menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi.
Ø  Rencana cadangan: perusahaan mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak dapat digunakan.
Ø  Rencana catatan penting: catatan penting perusahaan adalah dokumen kertas dan media penyimpanan yang penting untukmeneruskan bisnis perusahaan tersebut.






Sumber : SISTEM INFORMASI MANAJEMEN (Raymond McLeod Jr & George P. Schell) BAB9
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)