Kamis, 16 Juni 2016
MAKALAH
KEAMANAN DAN PERLINDUNGAN
SISTEM INFORMASI MANAJEMEN
Di Susun Untuk Memenuhi Tugas
Mata Kuliah Sistem Informasi Manajemen
Disusun oleh
:
RATNA SUMINAR (
NPM.072115115 )
LILIS SUKAESIH ( NPM.072115106 )
HENI HIKMAYANI FAUZIA ( NPM.072115103
)
AJAT
ZATNIKA ( NPM.072115094 )
MUHAMAD SULAEMAN (
NPM.072115109 )
PROGRAM
PASCASARJANA UNIVERSITAS PAKUAN
BOGOR
2016
KATA PENGANTAR
Segala puji bagi Tuhan yang telah menolong hamba-Nya menyelesaikan
makalah ini dengan penuh kemudahan. Tanpa pertolonganNya mungkin penyusun
tidak
akan sanggup menyelesaikan dengan baik.
Makalah
ini disusun agar pembaca dapat memperluas pengetahuan tentang keamanan sistem informasi, makalah ini kami sajikan berdasarkan pengamatan dari
berbagai sumber. Makalah ini di susun oleh penyusun dengan berbagai rintangan.
Baik
itu yang datang dari diri penyusun maupun yang datang dari luar. Namun dengan penuh kesabaran dan terutama pertolongan dari Tuhan akhirnya makalah
ini dapat terselesaikan.
Makalah ini memuat
tentang “Keamanan dan
Perlindungan Sistem Informasi Manajemen” yang menjelaskan bagaimana pentingnya suatu kemanan dalam berbagai sistem,
terutama dalam sistem informasi
pendidikan.
Penyusun juga mengucapkan terima kasih kepada semua pihak yang telah
membantu kami dalam menyusun makalah ini sehingga
dapat diselesaikan dengan baik.
Semoga makalah ini dapat memberikan wawasan yang lebih luas kepada
pembaca. Walaupun
makalah
ini
masih banyak
kekurangan. Penyusun
mohon
untuk
saran dan kritiknya. Terima kasih.
Bogor, 10 Juni 2016
Tim Penyusun
DAFTAR ISI
COVER JUDUL
MAKALAH………………………………………. 1
KATA PENGANTAR ............................................................................ 2
DAFTAR ISI ........................................................................................... 3
BAB I PENDAHULUAN……………………………………………… 4
A.
Latar
Belakang Makalah…………………………………………. 4
B.
Rumusan
Masalah………………………………………………… 6
BAB II LANDASAN TEORI………………………………………….. 7
A.
Pengertian
Sistem Informasi Manajemen………………………... 7
BAB III PEMBAHASAN……………………………………………… 9
A.
Kebutuhan
Organisasi Akan Keamanan dan Pengendalian……. 9
B.
Manajemen
Keamanan Informasi………………………………… 10
C.
Kerentanan
dan Penyalahgunaan Sistem…………………………. 11
D.
Ancaman Sistem
Informasi………………………………………… 11
E.
Kejahatan
Komputer dan Terorisme Maya……………………… 13
F.
Keamanan
Sistem Informasi………………………………………. 18
G.
Pengendalian
Sistem Informasi…………………………………… 19
H.
Keamanan
system Internet……………………………………….. 24
I.
Hackers,
Crackers dan Etika…………………………………….. 24
BAB IV PENUTUP……………………………………………………. 29
A.
Kesimpulan………………………………………………………… 29
DAFTAR PUSTAKA………………………………………………….. 31
BAB I
PENDAHULUAN
A. Latar Belakang Masalah
Pada zaman yang semakin modern sistem informasi selalu
berada dalam kerentanan penyalahgunaan oleh pihak lain yang mampu menembus
beberapa tingkatan pengamanan yang ada dalam sebuah sistem. Selalu saja ada
kejahatan yang terjadi dalam penyalahgunaan sistem informasi. Dewasa ini
seiring berkembangnya ilmu pengetahuan khususnya dalam teknologi informasi
menyebabkan banyak cara yang muncul dalam membobol suatu sistem informasi milik
orang lain.
Dalam hal ini dibutuhkan perlindungan dalam suatu sistem
informasi. Laudon menuliskan bahwa pengamanan adalah merujuk kepada kebijakan,
prosedur, dan pengukuran teknik yang digunakan untuk mencegah akses yang tidak
sah, penggantian, pencurian, atau kerusakan fisik pada sistem informasi.
Sedangkan pengendalian terdiri atas semua metode, kebijakan, dan prosedur
organisasi yang menjamin keselamatan aset-aset organisasi, ketepatan, dan
keandalan catatan rekeningnya serta kepatuhan operasional pada standar-standar
manajemen.
Sistem informasi harus memiliki pengamanan dan
pengendalian agar tidak terjadi pencurian dan penyalahgunaan terhadap data dari
suatu sistem informasi yang dapat menyebabkan kerugian bagi seseorang. Dengan
adanya pengamanan dan pengendalian tentu akan meminimalisir terjadinya
penyalahgunaan yang dimiliki oleh seseorang.
Informasi saat ini sudah
menjadi
sebuah
komoditi yang sangat
penting. Bahkan ada yang mengatakan bahwa
kita
sudah
berada di sebuah
“information-based society”. Kemampuan
untuk
mengakses
dan menyediakan informasi
secara cepat
dan
akurat
menjadi
sangat esensial bagi sebuahorganisasi, baik yang berupa
organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual
(pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang
teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya sensitif.
Penggunaan komputer untuk menyimpan informasi yang sifatnya classified baru dilakukan di sekitar tahun 1950-an.
Sangat
pentingnya nilai
sebuah informasi menyebabkan seringkali informasi
diinginkan hanya boleh diakses
oleh
orang-orang tertentu. Jatuhnya informasi ke
tangan pihak lain (misalnya
pihak
lawan
bisnis)
dapat
menimbulkan
kerugian bagi pemilik informasi. Sebagai contoh, banyak
informasi
dalam
sebuah perusahaan yang
hanya diperboleh kan diketahui
oleh
orang-orang tertentu di dalam
perusahaan
tersebut, seperti misalnya informasi
tentang produk
yang sedang dalam development, algoritma-algoritma dan
teknik-teknik yang
digunakan untuk
menghasilkan produk tersebut.
Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang
dapat diterima Jaringan komputer, seperti LAN dan Internet, memungkinkan untuk menyediakan informasi secara cepat.
Ini
salah satu alasan perusahaan atau organisasi mulai berbondong-bondong membuat LAN untuk sistem informasinya
dan menghubungkan LAN tersebut
ke
Internet. Terhubungnya
LAN
atau
komputer ke
Internet
membuka potensi adanya lubang keamanan (security hole) yang
tadinya
bisa ditutupi dengan mekanisme keamanan
secara fisik.
Ini sesuai dengan pendapat bahwa kemudahan
(kenyamanan)
mengakses informasi
berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri. Semakin
tinggi tingkat keamanan, semakin sulit
(tidak nyaman) untuk
mengakses informasi.
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat
mencegah penipuan (cheating)
atau, paling tidak, mendeteksi adanya penipuan di sebuah
sistem yang
berbasis
informasi, dimana informasinya sendiri
tidak
memiliki arti fisik.
B. Rumusan Masalah
1.
Bagaimana Manajemen Sistem Informasi
?
2.
Apa saja ancaman dalam sistem informasi ?
3.
Apa saja kejahatan komputer dan terorisme maya ?
4.
Bagaimana keamanan sistem informasi ?
5.
Bagaimana pengendalian sistem informasi ?
BAB II
LANDASAN
TEORI
A. PENGERTIAN SISTEM INFORMASI MANAJEMEN
1. Danu Wira Pangestu
(2007)
SIM (sistem informasi manajemen) dapat
didefenisikan sebagai kumpulan dari interaksi sistem-sistem informasi yang
bertanggung jawab mengumpulkan dan mengolah data untuk menyediakan informasi
yang berguna untuk semua tingkatan manajemen di dalam kegiatan perencanaan dan
pengendalian.
2. Raymond McLeod Jr
(1995)
Raymond McLeod Jr mendefinisikan
Sistem Informasi Manajemen sebagai suatu sistem berbasis komputer yang
menyediakan informasi bagi beberapa pemakai yang mempunyai kebutuhan yang
serupa. Informasi menjelaskan perusahaan atau salah satu sistem utamanya
mengenai apa yang telah terjadi di masa lalu, apa yang sedang terjadi sekarang
dan apa yang mungkin terjadi di masa depan
3. James. A.F. Stoner
James. A.F. Stoner (dalam
Mu’alimah), system informasi manajemen yaitu metode yang formal yang
menyediakan bagi pihak manajemen sebuah informasi yang tepat waktu, dapat
dipercaya, untuk mendukung proses pengambilan keputusan bagi perencanaan,
pengawasan, dan fungsi oprasi sebuah organisasi yang lebih efektif.
4. Gordon. B. Davis
(1984)
Menurut Davis Sistem Informasi
Manajemen adalah sebuah sistem yang terintegrasi antara manusia dan mesin yang
mampu memberikan informasi sedemikian rupa untuk menunjang jalannya operasi,
jalannya manajemen dan fungsi pengambilan keputusan di dalam sebuah organisasi
5. Encyclopedia of
Management
Sistem informasi manajemen adalah
pendekatan yang direncanakan dan disusun untuk memberikan bantuan piawai yang
memudahkan proses manajerial kepada pejabat pimpinan.
6. Joel.D. Aron (1969)
Aron (dalam Margianti) menyebutkan
bahwa sistem informasi manajemen merupakan sebuah sistem informasi yang
memberikan informasi yang dibutuhkan oleh seorang manajer dalam membuat
keputusan
7. E.S Margianti &
Suryadi H.S
Margianti dan Suryadi mendefinisikan
sistem informasi manajemen sebagai suatu sistem berdasarkan komputer yang
menjadikan sebuah informasi dapat digunakan oleh para manajer untuk kebutuhan
yang sama. Informasi yang terdapat pada sistem informasi manajemen biasanya
berisi tentang segala bentuk kejadian di dalam perusahaan, yang merupakan
kejadian pada masa lalu, saat ini, hingga prediksi.
BAB III
PEMBAHASAN
A. KEBUTUHAN
ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Dalam dunia masa kini, banyak organisasi semakin sadar
akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual
maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Sistem
komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal
ini berubah pada saat perang viaetnam ketika sejumlah instalasi keamanan
komputer dirusak pemrotes. Pengalaman ini menginspirasi kalangan industri untuk
meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau
mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi
dengnan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi
gangguan.
Pendekatan-pendekatan yang dimulai
di kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini
diimplementasikan, dua isu penting harus diatasi yakni keamana versus hak-hak individu
dan keamaan versus ketersediaan.
Keamanan Informasi atau
Information Security adalah proteksi peralatan computer, fasilitas, data, dan
informasi, baik computer maupun non-komputer dari penyalahgunaan oleh
pihak-pihak yang tidak terotorisasi/ tidak berwenang.
B. MANAJEMEN KEAMANAN INFORMASI
(INFORMATION SECURITY
MANAGEMENT)
Merupakan aktivitas untuk menjaga agar sumber daya
informasi tetap aman.Manajemen tidak hanya diharapkan untuk menjaga sumber daya informasi aman, namun juga
diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu
bencana atau jebolnya sistem keamanan.
Tahapannya yaitu:
1. Mengidentifikasi ancaman yang dapat
menyerang sumber daya informasi perusahaan
2. Mendefinisikan
risiko yang dapat disebabkan oleh ancaman-ancaman tersebut.
3. Menentukan
kebijakan keamanan informasi.
4.
Mengimplementasikan pengendalian untuk
mengatasi risiko-risiko tersebut
Strategi dalam ISM:
1.
Manajemen Risiko (Risk Management)
Dibuat Untuk menggambarkan pendekatan dimana tingkat
keamanan sumber daya informasi
perusahaan dibandingkan dengan risiko yang dihadapinya.
2.
Tolak Ukur
Adalah tingkat keamanan yang disarankan dalam keadaan
normal harus memberikan perlindungan yang cukup terhadap gangguan yang tidak
terotorisasi
C. KERENTANAN DAN PENYALAHGUNAAN SISTEM
Ketika sejumlah data penting dalam bentuk elektronik,
maka data tersebut rentan terhadap berbagai jenis ancaman, daripada data yang
tersimpan secara manual. Ancaman-ancaman tersebut bisa saja berasal dari faktor
teknis, organisasi, dan lingkungan yang diperparah oleh akibat keputusan
manajemen yang buruk. Bagi perusahaan atau individu di dalam menyimpan
data-data penting yang menyangkut privasi atau kerahasiaan perusahaan, apalagi
perusahaan yang menggunakan web, sangat rentan terhadap penyalahgunaan, karena
pada dasarnya web mempunyai akses yang sangat luas dan dapat diakses oleh semua
orang, membuat sistem perusahaan dengan mudah mendapat serangan yang pada
umumnya berasal dari pihak luar, seperti hacker.
D. ANCAMAN SISTEM INFORMASI
Ancaman aktif mencakup kecurangan dan kejahatan terhadap
komputer Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan
bencana alam. Tipe – tipe ancaman terhadap keamanan sistem dapat dimodelkan
dengan memandang fungsi sistem komputer sebagai penyedia informasi.
Security
attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat
dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai
penyedia informasi. Menurut W. Stallings ada beberapa kemungkinan serangan (attack).
Berdasarkan fungsi ini, ancaman terhadap sistem komputer
dapat dikategorikan menjadi empat ancaman, yaitu :
1.
Interupsi (interuption)
Sumber daya sistem
komputer dihancurkan atau menjadi tak tersedia atau tak berguna. Interupsi
merupakan ancaman terhadap ketersediaan.
Contoh : penghancuran
bagian perangkat keras, seperti harddisk, pemotongan kabel komunikasi.
2. Intersepsi (interception)
Pihak tak diotorisasi
dapat mengakses sumber daya. Interupsi merupakan ancaman terhadap kerahasiaan.
Pihak tak diotorisasi dapat berupa orang atau program komputer.
Contoh : penyadapan
untuk mengambil data rahasia, mengetahui file tanpa diotorisasi.
3. Modifikasi (modification)
Pihak tak diotorisasi
tidak hanya mengakses tapi juga merusak sumber daya. Modifikasi merupakan
ancaman terhadap integritas.
Contoh : mengubah
nilai-nilai file data, mengubah program sehingga bertindak secara berbeda,
memodifikasi pesan-pesan yang ditransmisikan pada jaringan.
4. Fabrikasi (fabrication)
Pihak tak diotorisasi
menyisipkan/memasukkan objek-objek palsu ke sistem. Fabrikasi merupakan ancaman
terhadap integritas.
Contoh : memasukkan
pesan-pesan palsu ke jaringan, penambahan record ke file.
E. KEJAHATAN KOMPUTER DAN TERORISME MAYA.
Jumlah kejahatan komputer (computer
crime),
terutama yang
berhubungan dengan sistem informasi, akan terus meningkat
dikarenakan beberapa hal, antara lain:
Aplikasi bisnis
yang menggunakan
(berbasis)
teknologi
informasi
dan
jaringan
komputer
semakin
meningkat.
Sebagai contoh
saat ini mulai bermunculan
aplikasi bisnis seperti
on-line
banking,
electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak lainnya. Bahkan aplikasi e-commerce
akan menjadi salah satu aplikasi pemacu di Indonesia (melalui “Telematika Indonesia” *43+ dan Nusantara 21). Demikian pula di
berbagai penjuru dunia aplikasi e-
commerce terlihat mulai
meningkat.
Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang harus ditangani. Hal ini membutuhkan
lebih banyak operator
dan
administrator
yang handal yang
juga kemungkinan harus disebar di seluruh lokasi. Padahal mencari
operator dan
administrator yang handal adalah sangat sulit.
Transisi dari
single vendor ke
multi-vendor sehingga
lebih banyak sistem atau perangkat
yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit
ditangani.
Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat.
Meningkatnya kemampuan pemakai di bidang komputer sehingga
mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya (atau sistem milik orang
lain). Jika dahulu akses ke komputer
sangat sukar, maka sekarang
komputer sudah
merupakan
barang yang mudah
diperoleh dan banyak dipasang di sekolah serta rumah-rumah.
Mudahnya diperoleh software untuk
menyerang komputer dan jaringan komputer.
Banyak tempat di
Internet yang
menyediakan
software yang
langsung dapat diambil
(download) dan langsung
digunakan
untuk menyerang dengan Graphical User Interface (GUI) yang mudah digunakan.Beberapaprogram, seperti SATAN,
bahkanhanya
membutuhkan sebuah web browser
untuk
menjalankannya. Sehingga, seseorang
yang dapat menggunakan
web browser
dapat menjalankan program penyerang (attack).
Kesulitan dari penegak
hukum untuk mengejar kemajuan
dunia komputer dan telekomunikasi yang sangat cepat. Hukum yang berbasis ruang dan waktu
akan mengalami
kesulitan untuk
mengatasi
masalah yang
justru terjadi
pada sebuah sistem
yang tidak memiliki ruang dan waktu.
Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas
terjadinya lubang keamanan (yang
disebabkan kesalahan pemrograman, bugs)
Semakin banyak perusahaan
yang menghubungkan sistem informasinyadengan jaringan komputer yang global seperti Internet.
Hal ini membukaakses
dari seluruh dunia. (Maksud dari akses ini adalah sebagai target dan juga
sebagai penyerang.)
Potensi sistem informasi
yang dapat dijebol dari mana-mana menjadi lebih besar.
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut
David Icove berdasarkan
lubang keamanan, keamanan
dapat
diklasifikasikan
menjadi empat, yaitu:
Keamanan yang
bersifat fisik (physical
security):
termasuk
akses
orang ke gedung, peralatan,
dan media yang digunakan. Beberapa bekas penjahat komputer
(crackers) mengatakan bahwa mereka sering pergi ke tempat
sampah
untuk mencari berkas-berkas yang
mungkin memiliki
informasi
tentang
keamanan. Misalnya
pernah diketemukan
coretan
password
atau manual yang
dibuang tanpa dihancurkan. Wiretapping atau
hal-hal
yang berhubungan
dengan
akses ke kabel atau komputer yang digunakan juga
dapat
dimasukkan ke dalam kelas ini. Denial
of service,
yaitu akibat
yang
ditimbulkan sehingga
servis
tidak dapat diterima oleh pemakai juga dapat dimasukkan ke dalam
kelas
ini. Denial of service dapat dilakukan misalnya dengan mematikan peralatan atau
membanjiri
saluran
komunikasi dengan
pesan-pesan (yang dapat berisi apa saja karena yang diutamakan
adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada
lubang keamanan dari implementasi pro- tokol
TCP/IP
yang
dikenal dengan istilah
Syn Flood
Attack,
dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang).
Keamanan yang
berhubungan dengan orang (personel):
termasuk identifikasi,
dan
profil resiko
dari
ora ng yang mempunyai akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada
sebuah teknik yang dike- nal dengan istilah “social engineering” yang
sering digunakan oleh kriminal
untuk
berpura-pura sebagai
orang yang berhak
mengakses informasi. Misalnya kriminal ini
berpura-pura
sebagai pemakai yang
lupa passwordnya dan minta
agar diganti menjadi kata lain.
Keamanan dari data dan media serta teknik komunikasi (communi-
cations). Yang
termasuk di dalam kelas ini adalah
kelemahan dalam software yang digunakan untuk mengelola data. Seorang
kriminal dapat memasang virus atau trojan horse sehingga dapat
mengumpulkan infor-
masi (seperti password) yang semestinya tidak
berhak diakses.
Keamanan dalam operasi:
termasuk prosedur yang digunakan
untukmengatur
dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack
recovery).
BEBERAPA
JENIS KEJAHATAN YANG SERING DI JUMPAI PADA SIM :
1.
Pencurian Identitas adalah pencurian bagian kuncul dari informasi pribadi
atau kejahatan di mana seorang penipu mendapatkan informasi yang penting,
seperti kartu kredit atau nomor jaminan sosial dengan tujuan mendapatkan
layanan atas nama korban atau untuk mendapatkan data rahasia yang tidak tepat.
Pencurian identitas telah berkembang pesat di internet. File kartu kredit
adalah sasaran utama para hacker situs web. Situs e-commerce adalah sumber
informasi pribadi yang luar biasa karena menyimpan nama, alamat, dan nomor
telepon.
2.
Phising adalah bentuk penipuan melibatkan pembuatan halaman situs palsu
atau pesan elektronik (e-mail) seolah-olah berasal dari pihak yang sah dan
menanyakan data pribadi yang rahasia. Pharming adalah Teknik phising yang
mengarahkan pengguna ke halaman situs web palsu, bahkan saat seseorang
mengetikkan alamat halaman situs yang seharusnya.
3.
Click Fraud (penipuan lewat klik) adalah : mengklik dengan curang iklan
online berbayar untuk mengahasilkan biaya per klik yang tak semestinya. Penipuan
lewat klik terjadi seseorang atau program computer dengan curang mengeklik
sebuah iklan online tanpa maksud mempelajari lebih lanjut tentang pemasangan
iklannya atau melakukan pembelian.
4.
Terorisme maya dan perang maya , semakin besar perhatian difokuskan pada
kerentanan internet arau jaringan lainnya yang dapat dimanfaatkan oleh teroris,
badan intel luar negeri atau kelompok lain untuk menciptakan gangguan dan
bahaya luas. Serangan maya seperti itu sasaranya mungkin berupa perantik lunak
yang menjalankan pembagian listrik, mengendalikan lalu lintas udara atau
jaringan bank-bank aatau institusi keunagan besar.
F. KEAMANAN SISTEM INFORMASI
Keamanan sistem mengacu pada perlindungan terhadap semua
sumberdaya informasi organisasi dari ancaman oleh pihak-pihak yang tidak
berwenang. Institusi/organisasi menerapkan suatu program keamanan sistem yang
efektif dengan mengidentifikasi berbagai kelemahan dan kemudian menerapkan
perlawanan dan perlindungan yang diperlukan. Keamanan sistem dimaksudkan untuk
mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas.
Keamanan sistem
Informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
- Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa
informasi hanya dapat diakses oleh orang yang berwenang dan menjamin
kerahasiaan data yang dikirim, diterima dan disimpan.
- Integrity (integritas) aspek
yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang
(authorized), menjaga keakuratan dan keutuhan informasi serta metode
prosesnya untuk menjamin aspek integrity ini.
- Availability (ketersediaan) aspek
yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user
yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang
berhubungan bilamana diperlukan).
- Mempublikasikan kebijakan control yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
- Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
- Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan pelatihan yang diperlukan.
- Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
- Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
4. Access Control , aspek
ini berhubungan dengan cara pengaturan akses kepada
informasi. Hal ini biasanya berhubungan
dengan klasifikasi
data (public, private, confidential, top secret) &
user
(guest,
admin, top manager, dsb.), mekanisme authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain (seperti kartu, biometrics).
5.
Non-repudiation ,aspek
ini menjaga agar seseorang tidak dapat menyangkal telah
melakukan sebuah transaksi. Sebagai
contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat
menyangkal bahwa dia telah
mengirimkan
email
tersebut. Aspek
ini sangat penting dalam hal electronic commerce.
Penggunaan digital signature, certifiates,
dan teknologi kriptografi secara umum dapat menjaga aspek ini.
Akan tetapi hal ini masih
harus didukung oleh
hukum sehingga
status dari digital signature itu jelas
legal. Hal ini akan dibahas lebih rinci pada bagian tersendiri.
G. PENGENDALIAN SISTEM INFORMASI
Berkaitan dengan sistem informasi, maka diperlukan
tindakan berupa pengendalian terhadap sistem informasi.
Kontrol-kontrol terhadap sistem Informasi antara lain :
1.
Kontrol Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa
seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan
prosedur-prosedur yang jelas.
Kontrol ini mencakup
hal-hal berikut:
2.
Kontrol Pengembangan dan Pengendalian Sistem
Untuk melindungi kontrol ini, peran auditor sangat sistem
informasi sangatlah penting. Auditor system informasi harus dilibatkan dari
masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system
benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi
dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk
ditelusuri.
3.
Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang
diharapkan. Termasuk dalam kontrol ini:
a. Pembatasan akan akses terhadap data
Akses terhadap ruangan yang menjadi pusat data dibatasi
sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki
ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi
dengan CTV untuk merekam siapa saja yang pernah memilikinya.
b. Kontrol terhadap personel pengoperasi
Dokumen yang berisi prosedur-prosedur
harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan.
Pedoman-pedoman ini arus dijalankan dengan tegas. Selain itu, [ara [ersonel yang
bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan
dalam sistem komputer (system log) benar-benar terpelihara.
c. Kontrol terhadap peralatan
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan
tujuan agar kegagalan peralatan dapat diminimumkan.
d. Kontrol terhadap penyimpanan arsip
Kontrol ini untuk memastikan bahwa
setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan
benar dan disimpan dengan tata cara yang sesuai.
e. Pengendalian terhadap virus
Untuk mengurangi terjangkitnya virus,
administrator sistem harus melakukan tiga kontrol berupa preventif, detektif,
dan korektif.
1) Proteksi fisik terhadap
pusat data
Untuk menjaga hal-hal yangtidak diinginkan terhadap pusat
data, factor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara,
bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar.
Peralatan-peralatan yang berhubungan dengan faktor-faktor tersebut perlu
dipantau dengan baik.
Untuk mengantisipasi
segala kegagalan sumber daya listrik, biasa digunakan UPS. Dengan adanya
peralatan ini, masih ada kesempatan beberapa menit sampai satu jam bagi
personil yang bertanggung jawab untuk melakukan tindakan-tindakan seperti
memberikan peringatan pada pemakai untuk segera menghentikan aktivitas yang
berhubungan dengan sistem komputer. Sekiranya sistem memerlukan operasi yang
tidak boleh diputus, misalnya pelayanan dalam rumah sakit, sistem harus
dilengkapi generator listrik tersendiri.
2) Kontrol Perangkat Keras
Untuk mengatisipasi kegagalan sistem komputer, terkadang
organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran
terhadap kegagalan). Sistem ini dapat berjalan sekalipun terdapat gangguan pada
komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami
kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran
komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan
sedikit interupsi.
Sistem fault-tolerant dapat diterapkan pada lima level,
yaitu pada komunikasi jaringan, prosesor, penyimpan eksternal, catu daya, dan
transaksi. Toleransi kegagalan terhadap jaringan dilakukan dengan menduplikasi
jalur komunikasi dan prosesor komunikasi. Redundasi prosesor dilakukan
antaralain dengan teknik watchdog processor, yang akan mengambil alih prosesor
yang bermasalah.
Toleransi terhadap kegagalan pada penyimpan eksternal
antara lain dilakukan melalui disk memoring atau disk shadowing, yang
menggunakan teknik dengan menulis seluruh data ke dua disk secara pararel. Jika
salah satu disk mengalami kegagalan, program aplikasi tetap bisa berjalan
dengan menggunakan disk yang masih bai. Toleransi kegagalan pada catu daya
diatasi melalui UPS. Toleransi kegagalan pada level transaksi ditanganimelalui
mekanisme basis data yang disebut rollback, yang akan mengembalikan ke keadaan
semula yaitu keadaan seperti sebelum transaksi dimulai sekiranya di pertengahan
pemrosesan transaksi terjadi kegagalan.
3) Kontrol Akses
Terhadap Sistem Komputer
Untuk melakukan
pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang
berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password.
Password bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu
password-nya. Setelah pemakai berhasil masuk ke dalam sistem (login), pemakai
akan mendapatkan hak akses sesuai dengan otoritas yang telah ditentukan.
Terkadang, pemakai juga dibatasi oleh waktu. Kontrol akses juga bisa berbentuk
kontrol akses berkas. Sebagai contoh, administrator basis data mengatur agar
pemakai X bisa mengubah data A, tetapi pemakai Y hanya bisa membaca isi berkas
tersebut.
4) Kontrol Terhadap
Sistem Informasi
Ada kemungkinan bahwa
seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut
melalui jaringan (dengan menggunakan teknik sniffer). Untuk mengantisipasi
keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan
dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara
mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain
dikenal dengan istilah kriptografi
H. KEAMANAN SISTEM INTERNET
Untuk
melihat keamanan sistem Internet perlu diketahui cara kerja sistem Internet. Antara
lain,
yang perlu diperhatikan adalah
hubungan antara komputer di
Internet,
dan
protokol
yang digunakan. Internet merupakan jalan
raya yang dapat digunakan oleh
semua orang (public). Untuk mencapai server
tujuan, paket informasi
harus
melalui
beberapa sistem (router, gateway, hosts, atau perangkat-perangkat
komunikasi lainnya) yang kemungkinan besar berada di luar kontrol dari
kita. Setiap titik yang dilalui memiliki potensi untuk
dibobol,
disadap, dipalsukan .
Kelemahan sebuat sistem terletak kepada komponen yang
paling lemah.
Asal
usul Internet kurang memperhatikan masalah keamanan. Ini mungkin dikarenakan unsur kental dari perguruan tinggi dan lembaga penelitian yang
membangun Internet. Sebagai contoh, IP versi 4
yang digunakan di Internet banyak memiliki kelemahan. Hal ini dicoba
diperbaiki dengan
IP Secure dan IP versi 6.
I.
HACKERS,
CRACKERS, DAN ETIKA
Untuk mempelajari
masalah keamanan, ada baiknya
juga mempelajari aspek dari pelaku
yang terlibat dalam masalah keamanan
ini, yaitu
para
hackers and crackers. Buku
ini
tidak
bermaksud untuk
membahas secara
terperinci masalah non-teknis
(misalnya sosial) dari
hackers akan
tetapi sekedar memberikan ulasan singkat.
Hackers vs crackers
Istilah hackers
sendiri
masih belum baku karena bagi sebagian orang
hackers
mempunyai konotasi positif, sedangkan bagi sebagian lain memiliki
konotasi negatif. Bagi kelompok yang pertama (old school), untuk pelaku yang jahat biasanya disebut
crackers.
Batas antara
hacker dan cracker sangat
tipis. Batasan
ini
ditentukan oleh etika. moral, dan
integritas
dari pelaku sendiri. Untuk selanjutnya dalam buku ini kami akan
menggunakan kata hacker sebagai generalisir
dari hacker dan cracker, kecuali bila diindikasikan secara eksplisit.
Untuk sistem yang berdomisili
di Indonesia secara fisik (physical) maupun lojik (logical)
ancaman keamanan dapat datang dari
berbagai pihak. Berdasarkan sumbernya, acaman dapat dikategorikan yang
berasal dari luar negeri dan yang berasal dari
dalam negeri. Acaman yang berasal dari luar negeri contohnya
adalah
hackers Portugal
yang
mengobrak-abrik beberapa web site
milik pemerintah
Indonesia. Berdasarkan motif dari para perusak, ada yang berbasis politik, eknomi, dan ada juga yang hanya ingin mencari ketenaran.
Masalah politik nampaknya sering menjadi alasan untuk
menyerang sebuah
sistem (baik di dalam maupun di luar
negeri). Beberapa contoh dari serangan yang menggunakan alasan politik antara lain:
·
Serangan dari hackers
Portugal yang
mengubah isi
beberapa web site
milik pemerintah
Indonesia dikarenakan hackers tersebut tidak setuju dengan apa
yang
dilakukan
oleh
pemerintah Indonesia di Timor Timur. Selain mengubah isi web site, mereka juga mencoba
merusak
sistem yang ada dengan menghapus seluruh disk
(jika bisa).
·
Serangan
dari
hackers Cina dan Taiwan
terhadap
beberapa web site Indonesia atas kerusuhan di Jakarta (Mei 1998) yang menyebabkan etnis Cina di Indonesia mendapat perlakukan yang tidak adil. Hackers
ini
mengubah beberapa web
site
Indonesia
untuk menyatakan ketidak- sukaan mereka atas
apa yang telah terjadi.
Interpretasi Etika Komputasi
Salah
satu hal yang membedakan antara crackers dan hackers, atau antara Computer Underground dan Computer
Security Industry adalah masalah etika. Keduanya memiliki basis etika yang berbeda atau mungkin memiliki interpretasi
yang berbeda terhadap suatu topik yang berhubungan dengan masalah computing. Kembali,
Paul
Taylor melihat
hal
ini
yang menjadi
basis
pembeda keduanya. Selain
masalah
kelompok,
kelihatannya umur juga membedakan pandangan (interpretasi) terhadap suatu topik. Salah satu contoh, Computer
Security Industry beranggapan
bahwa Computer Underground
masih belum memahami bahwa “computing” tidak
sekedar permainan dan mereka (maksudnya CU) harus melepaskan
diri dari “playpen1”.
Perbedaan pendapat ini dapat muncul di berbagai topik.
Sebagai
contoh, bagaimana pendapat anda tentang
memperkerjakan seorang hacker sebagai kepala keamanan sistem
informasi anda? Ada yang
berpendapat bahwa hal ini sama dengan
memperkerjakan penjarah (gali,
preman) sebagai kepala
keamanan
setempat.
Jika analogi ini disepakati,
maka akibat
negatif yang
ditimbulkan dapat dimengerti. Akan
tetapi
para computer
underground berpendapat
bahwa analogi tersebut
kurang
tepat.
Para
computer underground
berpendapat bahwa
hacking lebih
mengarah
ke kualitas
intelektual
dan
jiwa pionir.
Kalau
dianalogikan,
mungkin
lebih ke arah permainan catur dan
masa
“wild west”
(di Amerika jaman dahulu). Pembahasan
yang
lebih detail tentang hal ini dapat dibaca dalam disertasi dari Paul Taylor.
Perbedaan pendapat juga terjadi dalam masalah “probing”, yaitu mencari
tahu kelemahan sebuah sistem.
Computer
security industry
beranggapan bahwa
probing merupakan kegiatan
yang tidak etis.
Sementara
para computer underground menganggap bahwa
mereka membantu dengan
menunjukkan adanya
kelemahan dalam sebuah sistem
(meskipun sistem tersebut bukan
dalam
pengelolaannya).
Kalau dianalogikan ke dalam kehidupan sehari -hari
(jika
anda
setuju dengan
analoginya),
bagaimana pendapat anda terhadap
seseorang (yang tidak diminta) yang mencoba-coba membuka- buka pintu atau jendela rumah anda
dengan alasan untuk menguji keamanan rumah anda.
Hackers dan crackers Indonesia
Apakah
ada hackers dan crackers Indonesia? Tentunya ada. Kedua “school of thought” (madzhab) hackers ada di Indonesia. Kelompok yang menganut “old school” dimana hacking tidak
dikaitkan dengan kejahatan elektronik umumnya bergabung di berbagai mailing list dan kelompok baik secara
terbuka maupun tertutup. Ada beberapa mailing list dimana para
hackers bergabung, antara lain:
·
Mailing list pau-mikro. Mailing list ini mungkin termasuk
yang
tertua di Indonesia,
dimulai sejak akhir tahun 1980-an oleh yang sedang bersekolah di luar negeri
(dimotori oleh staf PAU Mikroelektronika ITB dimana penulis merupakan salah satu motornya, yang kemudian malah menjadi minoritas
di milis tersebut). Milis ini tadinya berkedudukan di
jurusan
elektro
University of Manitoba, Canada
(sehingga
memiliki
alamat pau- mikro@ee.umanitoba.ca) dan kemudian pindah menjadi
pau- mikro@nusantara.net.
·
Hackerlink
·
Anti-Hackerlink, yang merupakan lawan dari Hackerlink
·
Kecoa Elektronik
yang
memiliki homepage sendiri di
·
Indosniffing
·
dan masih banyak
lainnya yang tidak mau dikenal atau
kelopok yang hanya semusiman (kemudian hilang dan tentuny muncul yang baru lagi).
Selain
tempat
berkumpul
hacker, ada juga
tempat
profesional untuk menjalankan security seperti di:
BAB IV
PENUTUP
A. KESIMPULAN
Keamanan system informasi tidak hanya dilihat hanya dari
timbulnya serangan dari virus, malware, spy ware, dan masalah lain, tetapi
dilihat dari berbagai segi sesuai dengan domain keamanan system itu sendiri.
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol
yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek,
prosedur-prosedur, struktur-struktur organisasi dan piranti lunak. Keamanan
sistem mengacu pada perlindungan terhadap semua sumberdaya informasi organisasi
dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/organisasi
menerapkan suatu program keamanan sistem yang efektif dengan mengidentifikasi
berbagai kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang
diperlukan. Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu;
kerahasiaan, ketersediaan dan integritas.
Bila kita memiliki sebuah hal yang sekiranya penting, maka
hal yang
semestinya dilakukan adalah menjaga
agar hal
penting tersebut terjaga
dari segala macam bentuk
ancaman yang bersifat merusak. Begitu juga dengan sebuah system. sistem yang
baik adalah sistem yang terjaga dari segala bentuk ancaman yang mengakibatkan sistem
tersebut menjadi rusak atau
bisa kita sebut sebagai
sistem yang aman.
Jadi,
keamanan
sistem informasi adalah segala betuk mekanisme yang harus dijalankan
dalam sebuah sistem yang ditujukan akan sistem tersebut
terhindar dari segala ancaman yang
membahayakan yang pada hal ini keamanannya melingkupi
keamanan data atau informasinya
ataupun pelaku sistem
(user). Keamanan sebuah sistem tidak terjadi begitu
saja, tetapi harus dipersiapkan sejak
proses pendesignan sistem tersebut.
Sedangkan Sistem Informasi itu
adalah gabungan
dari berbagai proses
yang
menjalankan suatu pekerjaan (task) dan menghasilkan output
atau
hasil yang
diinginkan. Sistem Informasi digunakan sebagai alat
atau
metode untuk membantu agar segala data atau informasi
dapat diolah
menjadi
sebuah
outputan
yang lebih
informatif dan dapat digunakan sesuai yang diinginkan. Jika kita
berbicara tentang keamanan sistem informasi, selalu kata Password yang
dirujuk adalah pencegahan dari
kemungkinan adanya virus,
hacker, cracker dan lain-lain. Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara
kepada kemungkinan adanya resiko yang muncul atas
sistem tersebut.
DAFTAR PUSTAKA
http://www.datafellows.com/ Menyediakan SSH (secure shell), server dan client, untuk sistem UNIX dan
Windows.
http://pujianto.blog.ugm.ac.id/files/2010/01/Etika-Kejahatan- Komputer-dan-Keamanan-Sistem-Informasi.pdf
Langganan:
Postingan (Atom)