GUNADARMA

GUNADARMA

Senin, 09 November 2015

Bab 9 SISTEM INFORMASI MANAJEMEN 1






Nama : Yogaz Alizhar
Kelas : 1DB02
NPM : 3C114413

SISTEM INFORMASI MANAJEMEN
BAB 9
Keamanan Informasi

Pendahuluan
     Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industry telah lama menyadari kebutuhan untuk menjaga keamanan dari para criminal computer, dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme. Ketika organisasi organisasi ini mengimplementasikan pengendalian keamanan isu isu utama mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.
     Keamanan informasi ditujukan untuk mendapat kan kerahasiaan ketersediaan, serta intergritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security – ism) dan  persiapan persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity management – BCM).
     Ada tiga jenis pengendalian yang tersedia. Pengendalian teknis terdiri atas pembatasan akses, firewall, cryptography, dan pengendalian fisik. Pengendalian formal bersifat tertulis dan memiliki harapan hidup jangka panjang. Pengendalian informal di tujukan untuk menjaga agar para karyawan perusahaan memahami dan mendukung kebijakan kebijakan keamanan.

KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
     Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar. Sistem computer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instalasi computer dirusak oleh para pemrotes. Pengalaman ini menginspirasi kalangan industri.
     Pemerintah federal amerika serikat sekarang menerapkan pencegahan dan pengadilan yang serupa, melalui otoritas patriot Act (undang undang patriot) dan office of homeland security (dinas keamanan dalam negri). Pendekatan pendekatan yang dimulai oleh kalangan industry dicontoh dan diperluas.

KEAMANAN INFORMASI
      Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka istilah kemanan sistem (system security) pun digunakan. Focus sempit ini kemudian diperluas sehingga mencakup bukan hanya peranti keras dan data, namun juga peranti lunak, fasilitas computer, dan personel. Kini, cakupannya telah meluas hingga mencakup semua jenis data – bukan hanya data didalam computer. Istilah kemanan informasi (information security) digunakan untuk mendeskripsikan perlindungan baik peralatan computer dan non computer, fasilitas, data, dan informasi dari penyalah gunaan pihak pihak yang tidak berwenang. Definisi yang luas ini mencakup peralatan seperti mesin fotocopy dan mesin fax serta semua jenis media, termasuk dokumen kertas.

Tujuan Keamanan Informasi
     Keamanan informasi ditujukan untuk mencapai tiga tujuan utama : kerahasiaan, ketersediaan, dan integritas.
-          Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang orang yang tidak berwenang.
-          Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak pihak yang memiliki wewenang untuk menggunakannya.
-          Integritas. Semua sistem informasi harus memberikan referentasi akurat atas sistem fisik yang direpresentasikannya.
 
Manajemen Keamanan Informasi
     Seperti halnya cakupan keamanan informasi telah meluas, demikian juga pandangan akan tanggung jawab manajemen. Manajemen tidak hanya diharapkan untuk menjaga agar sumber daya informasi aman, namun juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebol nya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen kemanan informasi (information security management – ISM), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen berlangsungan bisnis (business continuity management – BCM).
     CIO adalah orang yang tepat untuk memikul tanggung jawab atas keamanan informasi, namun kebanyakan organisasi mulai menunjuk orang orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini.

MANAJEMEN KEAMANAN INFORMASI
     Pada bentuknya yang paling dasar, manajemen kemanan informasi terdiri atas empat tahap : mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan; mendefinisikan resiko yang dapat disebabkan oleh ancaman ancaman tersebut; menentukan kebijakan keamanan informasi; serta mengimplementasikan pengendalian untuk mengatasi resiko resiko tersebut.
     Terdapat pilihan lain untuk merumuskan kebijakan kemanan informasi suatu perusahaan. Pilihan ini telah menjadi popular pada beberapa tahun belakangan ini dengan munculnya standar atau tolak ukur keamanan informasi. Tolak ukur (benchmark) adalah tingkat kinerja yang disarankan.

ANCAMAN
     Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahagiakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu yang alami jika kita membayangkan beberapa kelompok atau beberapa orang diluar perusahaan tersebut yang melakukan tindakan yang disengaja. Pada kenyataanya, ancaman dapat bersifat internal serta eksternal, dan dapat bersifat tidak disengaja maupun disengaja.

Ancaman Internal dan Eksternal
     Ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Survey yang dilakukan oleh computer security institute menemukan bahwa 49% koresponden menghadapi insiden keamanan yang disebabkan oleh tindakan para pengguna yang sah; proporsi kejahatan computer yang dilakukan oleh karyawan diperkirakan mencapai 81%.

Tindakan Kecelakaan dan Disengaja
     Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang orang didalam ataupun diluar perusahaan. Sama halnya dimana keamanan informasi harus ditujukan untuk mencegah ancaman yang disengaja, sistem keamanan harus mengeliminasi atau mengurangi kemungkinan terjadi nya kerusakan yang disebabkan terjadinya kecelakaan.

JENIS ANCAMAN
     Semua orang pernah mendengar mengenai virus computer. Sebenarnya, virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software) malicious software, atau malware terdiri atas program program lengkap atau segmen segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi fungsi tersebut dapat menghapus file atau menyebabkan sistem  tersebut berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm, Trojan horse, adware, dan spyware.
     Virus adalah program computer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program program dan boot sector lain. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri didalam sistem, tapi dapat menyebarkan salinan nya melalui email. Trojan horse (kuda troya) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri; si pengguna menyebarkannya sebagai suatu perangkat. Pada saat perangkat tersebut digunakan, perangkat itu menghasilkan perubahan perubahan yang tidak diinginkan dalam fungsionalitas sistem tersebut. Adware memunculkan pesan pesan iklan yang mengganggu, dan spyware mengumpulkan data dari mesin pengguna. Dari beragam jenis malware ini, adware dan spyware merupakan yang terkini. Baru pada awal 2005, setelah menyadari besarnya masalah masalah ini, Microsoft memutuskan untuk memasuki perang anti spyware. Situs Web MSN Korea selatan diserang pada juni 2005, dan serangan ini tidak ditemukan slama berhari hari.

RISIKO
     Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko risiko seperti ini dibagi menjadi 4 jenis : pengungkapan informasi yang tidak terotorisasi dan pencurian, penggangguan yang tidak terotorisasi, penghancuran yang tidak terotorisasi dan penolakan layanan, serta modifikasi yang tidak terotorisasi.

Pengungkapan Informasi yang Tidak Terotorisasi dan Pencurian
     Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang orang yang seharusnya tidak berhak memiliki akses, hasilnya adalah hilang nya informasi atau uang. Sebagai contoh, mata mata industry dapat memperoleh informasi mengenai kompetisi yang berharga, dan criminal computer dapat menyelundupkan dana perusahaan.

Penggunaan yang Tidak Terotorisasi
     Penggunaan yang tidak terotorisasi terjadi ketika orang orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan computer tipe ini adalah hacker yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi. Hacker misalnya, dapat memasuki jaringan computer sebuah perusahaan, mendapatkan akses kedalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi.

Penghancuran yang Tidak Terotorisasi dan Penolakan Layanan
     Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional computer perusahaan tersebut tidak berfungsi. Dalam hal ini penjahat computer bahkan tidak harus berada di lokasi fisik tersebut.

Modifikasi yang Tidak Terotorisasi
     Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.

PERSOALAN E-COMMERCE
     e-Commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari permalsuan kartu kredit.

MANAJEMEN RISIKO
     Sebelumnya, manajemen resiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan resiko atau mengurangi dampaknya. Pendefinisian resiko terdiri atas empat langkah :
1.      Identifikasi asset asset bisnis yang harus dilindungi dari resiko.
2.      Menyadari resikonya.
3.      Menentukan tingkatan dampak pada perusahaan jika resiko benar benar terjadi.
4.      Menganalisis kelemahan perusahaan tersebut.

     Tingkat keparahan dampak dapat di klasifikasikan menjadi dampak yang parah (severe impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi; dampak signifikan (significant impact), menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut akan selamat; atau dampak minor (minor impact), menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari hari. Baik untuk resiko parah maupun signifikan, analisis kelemahan harus dilaksanakan. Ketika analisis tersebut mengindikasikan kelemahan tingkat tinggi (terdapat kelemahan substansial di dalam sistem), maka pengendalian harus diimplementasikan untuk mengeliminasi atau mengurangi kelemahan tersebut.

KEBIJAKAN KEAMANAN INFORMASI
     Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen resiko atau kepatuhan terhadap tolak ukur maupun tidak, suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruh program perusahaan dapat menerapkan kebijakan keamanan nya dengan mengikuti pendekatan yang bertahap.

PENGENDALIAN
     Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk memiminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi 3 kategori : teknis, formal, dan informal.

PENGENDALIAN TEKNIS
     Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu didalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor internal didalam team proyek merupakan satu cara yang amat baik untuk menjaga agar mengendalian semacam ini menjadi bagian dari desain sistem. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.

PENGENDALIAN FORMAL
     Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunya, mendokumentasikanya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

PENGENDALIAN INFORMAL
     Pengendalian informal mencakup program program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT
     Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. Karena bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus di tetapkan pada tingkatan yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan pertimbangan lain.

STANDAR INDUSTRI
     The center for internet security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna computer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk – CIS benchmarks dan CIS Scoring Tools. CIS Benchmark membantu para pengguna untuk mengamankan sistem informasi mereka dengan cara menerapkan pengendalian khusus teknologi. CIS scoring tools member kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolak ukur, dan menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk  mengamankan sistem.

MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA
     Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian. Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dan resiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industry

MANAJEMEN KEBERLANGSUNGAN BISNIS
     Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi disebut dengan manajemen keberlangsungan bisnis (business continuity management – BCM). Pada tahun tahun awal pengunaan computer, aktivitas ini disebut perencanaan bencana (disaster planning), namun istilah yang lebih positif, perencanaan kontinjensi (contingency plan), menjadi popular. Elemen penting dalam perencanaan kontinjensi adalah rencana kontijensi (contingency plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi perusahaan.


Tidak ada komentar:

Posting Komentar