KEAMANA SISTEM INFORMASI

   

KEAMANAN SISTEM INFORMASI

1.  Keamanan  Sistem Informasi: Sebuah Tinjauan

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan untuk menghasilkan laporan.    

     A.   Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu, pengem-bangan sistem keamanan juga perlu mengacu pada pendekatan siklus hidup sistem. Sistem kea-manan komputer dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta operasi, evaluasi, dan pengendalian. Tujuan setiap tahap siklus hidup ini adalah sebagai berikut.

Fase Siklus Hidup	Tujuan
Analisis sistem	Analisis kerentanan sistem dalam arti mengacu yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain sistem	Desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi sistem	Menerapkan ukuran keamanan seperti yang telah didesain.
Operasi, evaluasi, dan pengendalian sistem	Mengoperasikan sistem dan menaksir efektivitas dan efisiensi. Membuat perubahan sebagaimana diperlukan sesuai dengan kondisi yang ada

Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian ukuran pengendalian risiko yang komprehensif, termasuk ukuran keamanan untuk mencegah kerugian dan rencana kontingensi untuk menangani kerugian pada saat kerugian tersebut harus terjadi. Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem komputer.

     B.   Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer (CSO). Individu tersebut harus melaporkan langsung pada dewan direksi demi terciptanya independensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.

Fase Siklus Hidup	Laporan kepada Dewan Direksi
Analisis sistem	Sebuah ringkasan terkait dengan semua eksposur kerugian yang relevan.
Desain sistem	Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem keamanan secara lengkap.
Implementasi sistem, operasi, evaluasi, dan pengendalian sistem	Mengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.

     C.   Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem. Pendekatan kuantitatif untuk manaksir risiko menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Sebagai contoh, asumsikan bahwa sebuah kerugian dapat digambarkan sebagai suatu faktor risiko antara 0 dan 1. Kemudian laporan analisis ancaman, sebagi contoh ditunjukkan pada Gambar 5.1. Dalam contoh tersebut, pencurian data merupakan eksposur kerugian terbesar, diikuti dengan kecurangan dan serangan virus (serangan yang diakibatkan oleh program komputer yang memang didesain untuk menyabotase file-file penting).

Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar. Sebagai contoh, pada Gambar 5.1, ancaman yang paling banyak terjadi adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur kerugian akibat ancaman tersebut bisa dikatakan paling kecil.

Laporan Analisis Ancaman
	Kerugian Potensial ($)	Risiko	Eksposur Kerugian ($)
Pencurian data	700.000.000	0.050	35.000.000
Kecurangan dan serangan virus	1.200.000.000	0.025	30.000.000
Sabotase	2.500.000.000	0.010	25.000.000
Perubahan file	400.000.000	0.050	20.000.000
Perubahan program	80.000.000	0.020	1.600.000
Pencurian peralatan	15.000.000	0.100	1.500.000
Bencana alam	100.000.000	0.008	800.000

Gambar 5.1 Laporan Analisis Ancaman

Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Biaya yang relevan untuk satu kerugian adalah turunnya profitabilitas perusahaan sebagai akibat terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit diestimasi karena estimasi melibatkan estimasi biaya interupsi bisnis yang sulit diprediksi atau estimasi biaya penggantian komputer yang hanya dapat diganti dengan model baru yang sebenarnya tidak sebanding dengan komputer lama. Yang kedua, mengestimasi kemungkinan terjadinya suatu kerugian melibatkan peramalan masa yang akan datang, yang sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat. Sebagai contoh, banyak manajer gagal melihat masalah di masa yang akan datang terkait dengan virus komputer. Lebih jauh, dalam upaya menaksir probabilitas terjadinya serangan yang disengaja terhadap suatu sistem, seseorangan harus mengestimasi biaya dan manfaat serangan semacam ini bagi penyerang. Estimasi ini memerlukan asumsi mengenai preferensi risiko penyerang. Sebagai contoh, seorang penyerang mungkin bersedia untuk menerima risiko yang lebih besar dibandingkan dengan penyerang lain untuk mendapatkan sejumlah dollar yang sama. Penyerang yang sangat suka risiko mungkin akan bersedia menerima risiko sangat besar untuk mendapatkan sedikit upah.

Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer adalah pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif maranking item-item tersebut berdasarkan kontribusi setiam item tersebut terhadap total eksposur kerugian perusahaan. Baik pendekatan kualitatif maupun pendekatan kuantitatif sering digunakan di dalam praktik. Banyak perusahaan mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini:

-         Interupsi bisnis

-         Kerugian perangkat lunak

-         Kerugian data

-         Kerugian perangkat keras

-         Kerugian fasilitas

-         Kerugian jasa dan personel

Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi menggunakan satu dari banyak metode, termasuk replacement cost, service denial, kewajiban kepada pihak ketiga (yang disebabkan oleh ketidakmampuan perusahaan memenuhi suatu kontrak), dan interupsi bisnis.

2. Kerentanan dan Ancaman

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman: aktif dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran, dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebagainya.

     A.   Tingkat Keseriusan Kecurangan Sistem Informasi

Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih. Masalah kejahatan kerah putih merupakan masalah yang serius. Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini mungkin mengejutkan karena kita jarang membaca kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di sebagian besar kasus, kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat public mengetahui kelemahan pengendalian internal perusahaan. Manager enggan berhadapan dengan sisi negative publisitas yang bisa menimbulkan penghakiman masyarakat.

Keamanan sistem informasi merupakan masalah internasional. Banyak negara memiliki undang-undang  yang ditujukan pada masalah keaman komputer (lihat Gambar 5.2). Di Amerika Serikat, berbagai undang-undang, regulasi, dan publikasi ditunjukan pada masalah kejahatan komputer. Banyak negara bagian telah mengeluarkan statula kriminal guna menentang kejahatan komputer. Computer Fraud and Abuse Act Tahun 1986 menyatakan akses tidak legal yang dilakukan dengan sengaja terhadap data yang disimpan dalam komputer lembaga keuangan, komputer yang dimiliki atau digunakan oleh pemerintah federal, atau komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah kejahatan federal. Pencurian password untuk akses komputer juga dilarang. Tindakan kriminal ditentukan oleh kerugian perangkat lunak senilai $1,000 atau lebih; pencurian barang berwujud, jasa, atau uang; atau akses tanpa atau dengan perubahan terhadap catatan medis. Denda tanpa mencapai $250,000 atau dua kali lipat nilai data yang dicuri, dan pelaku utama dapat dikenai hukuman penjara satu sampai dengan lima tahun.

National Commission on Fraudulent Financial Reporting (Treadway Commission) mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu investor dan kreditor melalui pelaporan keuangan yang menyesatkan. Kecurangan semacam ini dilakukan oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi sehingga memungkinkan mereka melanggar pengendalian akuntansi. Memang bisa saja manajemen melakukan kesalahan lain yang memiliki potensi untuk merugikan karyawan atau investor, namun biasanya istilah kecurangan namajemen mengacu pada manipulasi laporan keuangan.

Undang-Undang Keamanan Komputer Internasional
Canada	Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa Otoritas legal, menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan penggunaan jasa komputer atau penyadapan sinyal atau fungsi komputer.
Denmark	Kode Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan penalti kriminal sampai dua tahun atas akses tidak legal terhadap informasi atau program pengolahan data orang lain.
Firlandia	Penal Provision of Personal Registers Act,1987, Pasal 45, Personal Registers Trespass, menetapkan penalti kriminal sampai enam bulan atas penggunaan kode pengguna lain atau sarana kecurangan untuk mengakses data personal yang disimpan dalam pemrosesan data komputer.
Perancis	Undang-Undang Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2 sampai 9, menetapkan penalti kriminal sampai tiga tahun atas akses illegal terhadap pemalsuan, modifikasi atau penghapusan data, atau penggunaan data yang diperoleh dari sistem pemrosesan data yang terotomatisasi.
Switserland	Kode Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan Data, menetapkan penalti kriminal sampai 10 tahun atas kesengajaan menambah atau menghapus record data dengan tujuan untuk kepentingan diri sendiri.

Gambar 5.2 Undang-Undang Keamanan Komputer Internasional

Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai perilaku sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai melakukan sesuatu, yang menghasilkan laporan keuangan yang secara material menyesatkan. Komisi memelajari 456 kasus siding terhadap auditor. Kecurangan manajemen ditemukan pada separuh dari total kasus tersebut. Komisi mengamati bahwa sistem informasi berbasis komputer menggandakan potensi penyalahgunaan atau rekayasa informasi sehingga meningkatkan risiko kecurangan dalam peloporan keuangan.

     B.   Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file data yang sensitive, atau program yang kritis. Tiga kelompok individu-personal sistem, pengguna, dan penyusup-memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut di atas. Personal sistem kerap kali merupakan ancaman potensial karena mereka diberi berbagai kewenangan akses terhadap data dan program yang sensitive. Pengguna,di sisi lain, hanya diberi akses terbatas (sempit), tetapi mereka masih memiliki cara untuk melakukan kecurangan. Penyusup tidak diberi akses sama sekali, tetapi mereka sering merupakan orang-orang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar pada perusahaan.

Personal Sistem Komputer

Personal sistem meliputi:

1. Personal Pemeliharaan Sistem Personal pemeliharaan sistem menginstalperangkat keras dan perangkat lunak, memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat lunak.

2.   Programer Programer sistem sering menulis program untuk memodifikasi dan memperluas sistem operasi jaringan. Programer aplikasi bisa saja membuat modifikasi yang tidak diharapkan terhadap program yang ada saat ini atau menulis program baru guna menjalankan hal-hal yang tidak semestinya.

3.   Operator Jaringan Individu yang mengamati dan memonitor operasi komputer dan jaringan komunikasi disebut operasi jaringan.

4.  Personal Administrasi Sistem Informasi Supervisor sistem menempati posisi kepercayaan yang sangat tinggi. Orang ini biasanya memiliki akses ke rahasia keamanan, file, program, dan lain sebagainya.

5. Karyawan Pengendali Data Mereka yang bertanggung jawab terhadap penginputan data ke dalam komputer. Posisi ini memberi peluang bagi karyawan untuk melakukan manipulasi data input.

Pengguna

Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan. Dalam beberapa kasus, pengguna memiliki kendali terhadap input komputer yang cukup penting, seperti memo kredit, kredit rekening, dan lain sebagainya.

Penyusup

Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang legal merupakan penyusup. Penyusup yang menyerang sistem informasi sebagai sebuah kesenangan dan tantangan dikenal dengan  nama hacker.

Tipe lain dari penyusup mencakup:

1.   Unnoticed Intruder Seorang pelanggan bisa berjalan masuk ke dalam area yang tidak dijaga dan melihat data yang sensitif di dalam komputer personal yang sedang tidak ada orangnya. Seorang hacker bisa saja masuk ke dalam sistem dan merusak website perusahaan.

2.  Wiretapper Sebagian besar dari informasi diproses oleh komputer perusahaan melewati kabel. Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Informasi yang lain mungkin saja ditransmisikan antarnegara melalui internet. Jaringan ini rentan terhadap kemungkinan wiretapping (penyadapan). Penyadapan ini bisa dilakukan, bahkan dengan peralatan yang tidak mahal seperti sebuah tape recorder dan sepotong kabel yang memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan.

3.   Piggybacker Salah satu jenis penyadapan canggih, dengan metode ini, penyadap menyadap informasi legal dan menggantinya dengan informasi yang salah.

4. Impersonating Intruder Adalah individu-individu tertentu yang bertujuan melakukan kecurangan terhadap perusahaan. Salah satu tipe penyusup menggunakan user ID dan password yang diperoleh dengan cara yang tidak legal untuk mengakses sumber daya elektronik perusahaan.

5.   Eavesdroppers CRT (cathode-ray tubes) standar yang banyak digunakan di unit display video menghasilkan interferensi elektomagnetik pada suatu frekuensi yang dapat ditangkap sengan seperangkat televisi sederhana.

     C.   Ancaman Aktif pada Sistem Informasi

Manipulasi Input

Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.

Mengubah Program

Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubahan dalam program.

Mengubah File Secara Langsung

Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong proses normal untuk menginputkan data ke dalam program komputer. Jika hal ini terjadi, hasil yang dituai adalah bencana.

Pencurian Data

Pencurian data merupakan salah satu masalah yang cukup serius dalam dunia bisnis hari ini. Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi kuantitatif dan kualitatif terkait dengan salah seorang pesaing merupakan salah satu informasi yang cukup diburu. Pengadilan sejak lama telah mengakui bahwa data yang tersimpan dalam komputer perusahaan merupakan data pribadi yang tidak dapat digunakan tanpa izin dari perusahaan yang bersangkutan. Lebih jauh, individu-individu dengan akses terhadap e-mail, dapat dengan mudah menyalin informasi rahasia dan mengirim informasi tersebut ke luar perusahaan lewat internet. Dengan menggunakan metode tersebut, penyusup dapat mencuri sejumlah besar informasi hanya dalam hitungan menit.

Sabotase

Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan yang tidak puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama. Sabotase telah menjadi isu besar dalam perdagangan web. Pada satu sisi, biaya tahunan yang dikeluarkan untuk keamanan elektronik lebih dari $6 miliar. Pda sisi lain, keberhasilan hacker menyerang website semakin meningkat. Bahkan perusahaan besar dengan sistem yang canggih pun harus menjadi korban. Hampir setiap hari media keuangan secara terus menerus melaporkan kasus hacker yang berhasil mengambil alih Website perusahaan.

Penyalahgunaan atau Pencurian Sumber Daya Informasi

Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer organisasi untuk kepentingan pribadi. Luasnya permasalahan tersebut, seperti tipe kejahatan komputer yang lain, tidak terlalu diketahui. Namun, sangat mungkin masalah ini terjadi di banyak perusahaan.

     D.   Sistem Keamanan Sistem Informasi

Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran keamanan dan perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian ancaman; rencana kontingensi fokus pada perbaikan terhadap akibat dampak suatu ancaman. Sebuah doktrin yang dipercaya dalam keamanan sistem informasi adalah sebagian ancaman tidak dapat dicegah tanpa pengembangan sutu sistem yang sangat aman. Lebih jauh lagi, tidak ada sistem keamanan yang sangat berharga tanpa adanya suasana kejujuran dan kesadaran.

Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur pengendalian internal perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian internal (supervise yang memadai, rotasi pekerjaan, batch kontrol total, pengecekan validitas, dan lain sebagainya) merupakan aspek penting dalam sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi.

     E.   Lingkungan Pengendalian

Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian. Pembangu-nan lingkungan pengendalian yang bagus tergantung pada tujuh  faktor yaitu:

1.     Filosofi Manajemen dan Gaya Operasi

Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Tidak peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk mengganggu keamanan sistem. Oleh karena itu, garis pertahanan yang utama adalah suasanan kesadaran akan pentingnya keamanan. Menciptakan suasana semacam ini dapat dilakukan dengan banyak cara.

Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan pendidikan keamanan adalah agar setiap karyawan memiliki kepedulian terhadap keamanan. Keamanan harus diperlakukan dengan sangat serius. Semua pelanggaran harus mengakibatkan adanya rasa bersalah dalam diri karyawan. Mereka yang memegang tanggung jawab harus memberikan teladan yang baik.

Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan mudah dilupakan. Hubungan yang baik harus selalu dibina dengan seluruh karyawan. Moral yang rendah dapat menyeb abkan tingginya probabilitas terjadinya kecurangan. Komunikasi yang baik dengan karyawan dapat mengurangi masalah rendahnya moral.

2.      Struktur Organisasi

Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi. Hal ini menimbulkan banyak masalah dalam upaya membuat dan menjaga pola otoritas dan wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu garis wewenang yang jelas untuk menentukan siapa yang bertanggung jawab mengambil keputusan terkait dengan perangkat lunak akuntansi dan prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap sistem keamanan komputer.

3.      Dewan Direksi dan Komitenya

Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang baik terkait dengan keamanan komputer dan bertindak sebagai chief computer security officer. Dalam situasi apa pun, individu-individu tersebut harus melapor secara periodic kepada komite audit mengenai semua fase sistem keamanan komputer.

4.      Aktivitas Pengendalian Manajemen

Penting untuk membangun pengendalian terkait dengan penggunaan dan pertanggung jawaban semua sumber daya sistem komputer dan informasi.

5.      Fungsi Audit Internal

Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi kebutuhan yang terus berubah. Chief security officer harus membangun kebijakan keamanan yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang terjadi. Semua modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia, harus diimplementasikan sesuai dengan kebijakan keamanan yang telah dibuat.

6.      Kebijakan dan Praktik Personalia

Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan penge-cekan ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting barangkali adalah memisahkan pekerjaan pengguna komputer dan persona-lia sistem komputer.

7.      Pengaruh Eksternal

Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi local, federal, dan Negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah. Hukum dan regulasi ini juga mengatur pengiriman informasi ke negara lain.

      F.    Keamanan Internet

Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi perusahaan dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hacker yang ada di dunia. Internet menciptakan jendela elektronik bagi dunia luar yang mengeliminasi semua isolasi fisik sumber daya informasi perusahaan. Oleh karena itu, semua lapisan pemisahan fisik yang terkait dengan pendekatan akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya dapat mengamankan sistem informasi perusahaan. Kerentanan terkait dengan internet dapat muncul akibat kelemahan-kelemahan berikut ini:

1.      Kerentanan Sistem Operasi

Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk alasan inilah administrator keamanan harus pertama dan terpenting mengamankan sistem operasi.

Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker selalu menemukan kelemahan baru di dalam sistem operasi. Oleh karena itu, administrator harus secara konstan memonitor bulletin keamanan yang dipublikasikan oleh vendor sistem operasi dan oleh jasa advisory pihak ketiga. Sebagai contoh, Microsoft selalu memperbarui informasi keamanan untuk Windows melalui webside perusahaan di www.microsoft.com/.

2.      Kerentanan Web Server

Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal konfigurasi web server. Pengawasan informasi terkini semacam ini penting karena web server dan web browser lebih sering mengalami pembaruan dibandingkan sistem operasi.

3.      Kerentanan Jaringan Privat

Ketika web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai komputer melalui suatu LAN, akan timbul suatu risiko, Hacker dapat menyerang satu komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki akses ke komputer yang memiliki host web server, maka hacker pertama kali akan masuk ke dalam komputer pengguna. Kemudian, hacker akan menggunakan hak akses penggu-na yang asli untuk melakukan invasi ke dalam komputer host web server.

4.      Kerentanan Berbagai Program Server

Banyak komputer host suatu web server tidak hanya menjalankan web server, tetapi juga server-server yang lain, seperti FTP server (untuk transfer file dari dank e komputer lain), e-mail server, dan remote control server (yang memungkinkan komputer yang lokasinya jauh mengendalikan komputer host). Yang menjadi masalah adalah setiap tambahan server merupakan satu tambahan risiko. Cacat keamanan terkait dengan salah satu server dapat menjadi pintu masuk bagi hacker untuk menyerang semua server yang lain dan samua file di dalam komputer, bahkan komputer-komputer lain yang terhubung ke server dalam LAN.

5.      Prosedur Keamanan Umum

Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang penting. Perangkat lunak keamanan yang terbaik di dunia tidaka akan banyak membantu jika administrator sistem tidak menegakkan kebijakan keamanan.

3. Pengelolaan Risiko Bencana

Bencana bisa saja terjadi. Hancurnya World Trade Center di kota New York merupakan salah satu contoh dari bencana yang tidak diharapkan yang secara serius telah menginterupsi jalannya aktivitas bisnis. Banyak organisasi tergantung pada sistem komputer untuk mendukung operasi bisnisnya sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika pemrosesan sistem komputer tertunda atau terinterupsi, organisasi mesti menanggung kerugian yang cukup signifikan. Pengelolaan risiko bencana merupakan satu hal yang penting untuk memastikan kontinuitas operasi bisnis jika terjadi suatu bencana.

Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.

     A.   Mencegah Terjadinya Bencana

Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:

Bencana alam                                      30 %

Tindakan kejahatan yang terencana    45 %

Kesalahan manusia                             25 %

Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat dikurangi atau dihindari dengan kebijakan keamanan yang baik.

Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik yang memadai untuk menangani kebakaran, banjir, dan intrusi merupakan satu hal yang penting. Sistem semprotan air dapat membahayakan komponen elektronik. Banyak perusahaan menggunakan sistem pemadam api yang berbasis sesuatu selain air, seperti gas, busa, atau bedak.

     B.   Perencanaan Kontingensi Untuk Mengatasi Bencana

Rencana pemuliahan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahan. Idealnya, rencana pemuliahan mesti mendapatkan persetujuan dari dewan direksi sebagai bagian dari perencanaan keamanan komputer secara umum. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya dukungan dari manajemen senior dan penetapan komite perusahaan. Seletah kedua hal tersebut, rencana pemulihan dari bencana harus didokumentasikan dangan hati-hati dan disetujui oleh kedua pihak tersebut. Hasil estimasi menyatakan bahwa biaya awal yang diperlukan guna mengimplementasikan perencana-an pemulihan dari bencana berkisar antara 2 % sampai 10 % dari total anggaran sistem informasi.

Menaksir Kebutuhan Penting Perusahaan

Semua sumber daya penting harus diidentifikasi. Sumber daya yang penting ini mencakup perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan, ruang gudang, catatan yang vital, dan sumber daya manusia.

Daftar Prioritas Pemulihan dari Bencana

Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat prioritas terkait dengan kebutuhan perusahaan yang paling penting. Daftar prioritas mengindikasi aktivitas dan jasa yang memang genting yang perlu segera dibangun kembali dalam hitungan menit atau hitungan jam setelah terjadinya suatu bencana. Disisi lain, perencanaan bisa saja mengindikasikan aktivitas dan jasa lain yang harus dibangun dalam hitungan hari, minggu, atau bulan setelah terjadinya suatu bencana.

Strategi dan Prosedur Pemulihan

Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perenca-naan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilaku-kan.

Pusat Respons Darurat

Pada saat terjadi bencana, semua wewenang pengolahan data dan operasi komputer dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat. Individu-individu ini memimpin jalannya perencanaan pemulihan dari pusat operasi darurat, sebuah tempat yang memang ditetapkan sebelumnya.

Prosedur Eskalasi

Prosedur eskalasi menyatakan kondisi seperti ini apa yang mengharuskan perlunya pengumu-man terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang harus diberi tahu tentang adanya bencana.

Rencana Relokasi Karyawan

Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan karyawan ke lokasi cadangan. Hal ini memerlukan perencanaan ynag hati-hati karena banyak karyawan sulit dipindahkan dalam sementara waktu.

Rencana Penggantian Karyawan

Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya bencana juga perlu dipertimbangkan. Penggantian seorang karyawan dengan kemampuan yang tinggi merupakan satu hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang sangat ekstensif.

Perencanaan Penyelamatan

Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang tepat secara cepat. Sebagai contoh, sebuah bangunan yang kehilangan atap pada saat terjadi topan badai akan menyebabkan bangunan tersebut menghadapi risiko kehujanan. Dalam situasi semacam ini, kerugian dapat diminimalkan jika tindakan penyelamatan segera dilakukan.

Perencanaan Pengujian Sistem dan Pemeliharaan Sistem

Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Oleh karena itu, setiap perencanaan pemulihan dari bencana mesti diuji setiap enam bulan sekali. Perencanaan yang kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar terjadi.

KESIMPULAN

Sistem keamanan sistem informasi merupakan subsistem organisasi yang berperan mengen-dalikan risiko khusus terkait dengan sistem informasi terkomputerisasi. Sistem keamanan dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti analisis sistem, desain sistem, implementasi sistem, serta operasi, evaluasi, dan pengendalian sistem.

Ada dua pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam perencanaan keaman komputer. Dalam pendekatan kuantitatif untuk menaksir risiko, seperti eksposur kerugian dihitung dengan mengalikan biaya kerugian setiap item eksposur dengan probabilitas terjadinya eksposur tersebut. Pendekatan kualitatif guna menaksir risiko mendaftar dan meranking (secara subjektif) tingkat kerentanan dan ancaman sistem, dengan tujuan untuk menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.

Kerentanan adalah suatu kelemahan dan sistem komputer, dan ancaman adalah potensi eksploitasi suatu kerentanan. Berbagai hukum, regulasi, dan publikasi mengarah kepada masalah kejahatan komputer. Keberhasilan serangan terhadap suatu sistem komputer mensyaratkan akses ke perangkat keras, file data yang sensitive, atau program-program yang penting. Setiap orang yang punya akses keperalatan data komputer atau file tanpa otorisasi legal, adalah penyusup. Ada berbagai jenis penyusup, seperti: unnoticed intruder, impersonating intruder, wiretapper, piggybacker, dan eavesdropper. Paling tidak ada enam cara untuk melakukan kejahatan komputer, yaitu manipulasi input, pengubahan program, pengubahan file secara langsung, pencurian data, sabotase, dan penyalagunaan atau pencurian sumber daya komputer.

Sabotase merupakan satu hal yang sangat berbahaya bagi setiap instalasi sistem. Ada banyak cara untuk merusak instalasi. Program komputer dapat digunakan untuk menjalankan sabotase. Masalah yang potensial adalah bom logika, kuda Troya, program virus, dan worm. Pengendalian ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran keamanan dan peren-canaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian ancaman. Perencanaan kontingensi fokus pada perbaikan kerusakan sebagai dampak terjadinya suatu ancaman. Lingkungan pengendalian organisasi merupakan dasar keefektifan seluruh sistem pengendalian.

Cara utama yang dapat ditempuh untuk mencegah terjadinya kecurangan dan sabotase adalah dengan menerapkan pengendalian akses berlapis.

Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kontingensi. Pencegahan bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Rencana tersebut disetujui oleh komite dewan direksi sebagai bagian dari perencanaan keamanan komputer secara umum.

DAFTAR PUSTAKA

George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi, Edisi 9, ANDI                                               Yogyakarta, 2006