KEAMANAN SISTEM INFORMASI

KEAMANAN SISTEM INFORMASI: SEBUAH TINJAUAN

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas
mengendalikan risiko yang terkait dengan sistem informasi berbasis komputer. Sistem keamanan
informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur,
dan pelaporan.

Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Sistem keamanan computer
dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta operasi evaluasi,
dan pengendalian.

Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen
risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem
komputer.

Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer
(CSO). Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan
persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.

Menganalisis Kerentanan dan Ancaman

Terdapat dua pendekatan dalam menganalisis kerentanan dan ancaman, yaitu:

1. Pendekatan Kuantitatif.
Pendekatan ini dipergunakan untuk menaksir risiko, menghitung setiap eksposur kerugian
sebagai hasil kali iaya kerugian setiap item eksposur dengan kemungkinan terjadinya
eksposur tersebut. Manfaat terbesar dari analisis ini adalah dapat menunjukkan ancaman
yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar.
Kelemahan pendekatan kuantitatif:
a. Sulitnya mengidentifikasi biaya yang relvan untuk setiap item kerugian dan menaksir
probabilitas terjadinya eksposur tersebut.
b. Sulit mengestimasikan kemungkinan terjadinya suatu kerugian di masa datang secara
tepat, terlebih dalam lingkungan teknologi yang mengalami perubahan sangat cepat
2. Pendekatan Kualitatif
Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem,
kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap
item tersebut terhadap total eksposur kerugian perusahaan.

KERENTANAN DAN ANCAMAN

1
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu
potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman, yaitu aktif
dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer.
Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir,
kebakaran, dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan
sistem, seperti kegagalan harddisk, matinya aliran listrik, dan sebagainya.

Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file, data
yang sensitif, atau program yang kritis. Tiga kelompok individu yang dapat mengancam sistem
informasi, yaitu personel sistem komputer, pengguna, dan penyusup.
1. Personel Sistem Komputer
a. Personel Pemeliharaan Sistem
Personel pemeliharaan sistem biasanya memiliki kemampuan untuk berselancar
dalam sistem dan mengubah file data dan file program dengan cara yang tidak
legal. Beberapa personel pemeliharaan bisa saja berada dalam posisi yang
memungkinkan ia melakukan modifikasi yang tidak diharapkan terhadap
keamanan dalam sistem operasi
b. Programmer
Programmer sistem sering menulis program dan memodifikasi dan memperluas
sistem operasi jaringan. Programmer aplikasi bisa saja membuat modifikasi yang
tidak diharapkan terhadap program yang ada saat ini atau menulis program baru
guna menjalankan hal-hal yang tidak semestinya.
c. Operator Jaringan
Operator diberi tingkat keamanan yang cukup tinggi sehingga memungkinkan
operator secara diam-diam mengawasi semua jaringan komunikasi dan juga
mengakses semua file di dalam sistem.
d. Personel Administrasi Sistem Informasi
Personel administrasi sistem informasi memiliki akses ke rahasia keamanan, file,
program, dan lain sebagainya. Administrasi account memiliki kemampuan untuk
menciptakan account fiktif atau untuk member password pada account yang sudah
ada.
e. Karyawan Pengendali Data
Mereka yang bertanggung jawab terhadap penginputan data ke dalam komputer.
Posisi ini memberi peluang bagi karyawan untuk melakukan manipulasi data
input.
2. Pengguna
Pengguna terkadang memiliki akses ke data yang sensitif yang dapat mereka bocorkan
kepada pesaing perusahaan.
3. Penyusup
a. Unnoticed Intruder
Seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan
melihat data yang sensitif di dalam computer personal yang sedang tidak ada
orangnya.
b. Wiretapper (penyadapan)

2
 Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Informasi
yang lain mungkin saja ditransmisikan antarnegara melalui internet. Jaringan
internet inilah yang rentan terhadap kemungkinan wiretapping.
c. Piggybacker
Dengan metode ini, penyadap menyadap informasi legal dan menggantinya
dengan informasi yang salah.
d. Impersonating Intruder
Impersonating intruder adalah individu-individu tertentu yang bertujuan
melakukan kecurangan terhadap perusahaan. ada yang menggunakan user ID dan
password yang didapat dengan cara tidak legal, ada yang menebak password
seseorang, dan ada yang menyusup langsung ke dalam perusahaan.
e. Eavesdroppers
Penyusup ini menyadap dengan cara memanfaatkan interferensi elektomagnetik
pada satu frekuensi yang dapat ditangkap dengan seperangkat televisi sederhana.
Setiap orang dengan peralatan ini dapat memonitor informasi yang sensitif selama
informasi tersebut tampil di CRT (cathode-ray tubes) perusahaan.

Ancaman Aktif pada Sistem Informasi

Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi:

1. Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan
kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa
memiliki pengetahuan mengenai cara operasi sistem komputer.
2. Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena
dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang
terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang
dapat digunakan untuk mendeteksi adanya perubahan dalam program.
3. Mengubah file secara langsung
Dalam nenerapa kasus, individu-individu tertentu menemukan cara untuk memotong
(bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal
itu terjadi, hasil yang dituai adalah bencana.
4. Pencurian data
Sejumlah informasi ditransmisikan antarperusahaan melalui internet. Informasi ini rentan
terhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga
kemungkinan untuk mencuri disket atau CD dengan cara menyembunyikan disket atau
CD ke dalam kantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke
dalam kotak sampah.
5. Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan
membingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan
kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap
harddisk atau media lain.
6. Penyalahgunaan atau pencurian sumber daya informasi
3
 Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.

SISTEM KEAMANAN SISTEM INFORMASI

Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran keamanan dan

perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian ancaman,
sedangkan rencana kontingensi fokus pada perbaikan terhadap akibat dampak suatu ancaman.
Sebuah doktrin yang dipercaya dalam keamanan sistem informasi adalah sebagian ancaman tidak
dapat dicegah tanpa pengembangan suatu sistem yang sangat aman. Lebih jauh lagi, tidak ada
sistem keamanan yang sangat berharga tanpa adanya suasana kejujuran dan kesadaran.
Keamanan sistem informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal
yang secara khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi.

Pengendalian Ancaman Aktif

Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase adalah
dengan menerapkan tahap-tahap pengendalian akses. Pertimbangan utama yang penting adalah
membatasi akses illegal ke data dan peralatan yang sensitif. Filosofi di balik pendekatan berlapis
untuk pengendalian akses melibatkan pembangunan banyak tahap pengendalian yang
memisahkan calon penyusup dari sasaran potensial mereka. Tiga tahap yang dapat digunakan,
yaitu:
a. Pengendalian Akses Lokasi
Tujuan pengendalian akses lokasi adalah untuk memisahkan secara fisik individu yang
tidak berwenang dari sumber daya computer. Pemisahan secara fisik harus diterapkan
khususnya untuk menjaga perangkat keras, area penginputan data, area output data,
perpustakaan data, dan jaringan komunikasi.
b. Pengendalian Akses Sistem
Pengendalian akses sistem merupakan suatu pengendalian dalam bentuk perangkat lunak
yang didesain untuk mencegah penggunaan sistem oleh pengguna yang illegal. Tujuan
pengendalian akses sistem adalah untuk mengecek keabsahan pengguna dengan
menggunakan sarana seperti ID pengguna, password, alamat Internet protocol (IP), dan
perangkat keras.
c. Pengendalian Akses File
Pengendalian akses file mencegah akses illegal ke data dan file program. Pengendalian
akses file yang paling fundamental adalah pembuatan petunjuk dan prosedur legal untuk
mengakses dan mengubah file.

Pengendalian Ancaman Pasif

Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik.
Pengendalian terhadap ancaman semacam ini dapat berupa pengendalian preventif maupun
korektif.
a. Sistem Toleransi Kesalahan

4
 Sebagian besar metode yang digunakan untuk menangani kegagalan komponen sistem
adalah pengawasan dan redundancy. Jika salah satu sistem gagal, bagian yang redundant
akan segera mengambil alih dan sistem dapat terus beroperasi tanpa interupsi. Sistem
semacam ini disebut sistem toleransi kesalahan. Toleransi kesalahan dapat diterapkan
pada lima level: pada jaringan komunikasi, pada prosesor CPU, pada DASD, pada
jaringan listrik, dan pada transaksi individual.
b. Memperbaiki Kesalahan: Backup File
1) Backup Penuh, yaitu membuat back up semua file yang ada dalam satu disk. Dalam
banyak sistem, setiap file memuat sebuah archive bit yang diset ke angka 0 selama
proses backup. Sistem operasi akan secara otomatis mengeset bit ini menjadi 1 pada
saat sebuah file mengalami perubahan.
2) Backup Inkremental, yaitu melakukan back up semua file dengan nilai archive bit 1,
kapan saja file tersebut mengalami perubahan. Kemudian, setiap archive bit akan
kembali diset menjadi 0 selama proses back up.
3) Backup Diferensial, pada dasarnya sama dengan backup incremental. Hanya saja,
archive bit tidak diset menjadi 0 selama proses backup.

PENGELOLAAN RISIKO BENCANA

Pengelolaan risiko bencana merupakan satu hal yang penting untuk memastikan kontinuitas
operasi bisni jika terjadi suatu bencana. Pengelolaan risiko bencana memerhatikan pencagahan
dan perencanaan kontingensi.

Mencegah Terjadinya Bencana

Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan dan
perencanaan keamanan yang baik. Risiko bencana alam harus menjadi pertimbangan pada saat
membangun lokasi gedung. Konsentrasi peralatan computer dan data harus ditempatkan di
bagian gedung yang paling rendah eksposurnya terhadap badai, gempa bumi, banjir, kebakaran,
dan tindakan sabotase.

Perencanaan Kontingensi untuk Mengatasi Bencana

Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya
dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal tersebut,
rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dan disetujui oleh
kedua pihak tersebut. Desain perencanaan mencakup komponen berikut:
a. Evaluasi terhadap kebutuhan perusahaan
b. Daftar prioritas pemulihan dari bencana
c. Strategi dan prosedur pemulihan
d. Pusat respons darurat
e. Prosedur eskalasi
f. Menentukan pemrosesan komputer alternatif
g. Rencana relokasi karyawan
5
h. Rencana penggantian karyawan
i. Perencanaan penyelamatan
j. Perencanaan pengujian sistem dan pemeliharaan sistem