KEAMANAN SISTEM
INFORMASI
1. Keamanan
Sistem Informasi: Sebuah Tinjauan
Sistem
keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi
berbasis-komputer. Sistem keamanan informasi memiliki elemen utama sistem
informasi, seperti perangkat keras, database, prosedur, dan pelaporan. Sebagai
contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bisa
jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan untuk
menghasilkan laporan.
A.
Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan
sebuah sistem informasi. Oleh karena itu, pengem-bangan sistem keamanan juga
perlu mengacu pada pendekatan siklus hidup sistem. Sistem kea-manan komputer
dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta
operasi, evaluasi, dan pengendalian. Tujuan setiap tahap siklus hidup ini
adalah sebagai berikut.
Fase
Siklus Hidup
|
Tujuan
|
Analisis sistem
|
Analisis kerentanan sistem dalam arti
mengacu yang relevan dan eksposur kerugian yang terkait dengan ancaman
tersebut.
|
Desain sistem
|
Desain ukuran keamanan dan rencana
kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
|
Implementasi sistem
|
Menerapkan ukuran keamanan seperti
yang telah didesain.
|
Operasi, evaluasi, dan pengendalian
sistem
|
Mengoperasikan sistem dan menaksir
efektivitas dan efisiensi.
Membuat perubahan sebagaimana
diperlukan sesuai dengan kondisi yang ada
|
Tujuan
fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan
analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain
serangkaian ukuran pengendalian risiko yang komprehensif, termasuk ukuran
keamanan untuk mencegah kerugian dan rencana kontingensi untuk menangani
kerugian pada saat kerugian tersebut harus terjadi. Secara kolektif, keempat
fase tersebut disebut manajemen risiko
sistem informasi. Manajemen risiko sistem informasi merupakan proses untuk
menaksir dan mengendalikan risiko sistem komputer.
B.
Sistem Keamanan Informasi dalam Organisasi
Agar
sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer (CSO). Individu
tersebut harus melaporkan langsung pada dewan direksi demi terciptanya
independensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi
untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari
siklus hidup.
Fase
Siklus Hidup
|
Laporan
kepada Dewan Direksi
|
Analisis sistem
|
Sebuah ringkasan terkait dengan semua
eksposur kerugian yang relevan.
|
Desain sistem
|
Rencana detail mengenai pengendalian
dan pengelolaan kerugian, termasuk anggaran sistem keamanan secara lengkap.
|
Implementasi sistem, operasi,
evaluasi, dan pengendalian sistem
|
Mengungkapkan secara spesifik kinerja
sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi,
analisis kepatuhan, serta biaya operasi sistem keamanan.
|
C.
Menganalisis Kerentanan dan Ancaman
Ada dua pendekatan dasar untuk
menganalisis kerentanan dan ancaman sistem. Pendekatan kuantitatif untuk manaksir risiko menghitung setiap
eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan
kemungkinan terjadinya eksposur tersebut. Sebagai contoh, asumsikan bahwa
sebuah kerugian dapat digambarkan sebagai suatu faktor risiko antara 0 dan 1.
Kemudian laporan analisis ancaman, sebagi contoh ditunjukkan pada Gambar 5.1.
Dalam contoh tersebut, pencurian data merupakan eksposur kerugian terbesar,
diikuti dengan kecurangan dan serangan virus (serangan yang diakibatkan oleh
program komputer yang memang didesain untuk menyabotase file-file penting).
Manfaat
terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa ancaman
yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar.
Sebagai contoh, pada Gambar 5.1, ancaman yang paling banyak terjadi adalah
pencurian peralatan sistem informasi, tetapi tingkat eksposur kerugian akibat
ancaman tersebut bisa dikatakan paling kecil.
Laporan
Analisis Ancaman
|
|
Kerugian Potensial ($)
|
Risiko
|
Eksposur Kerugian ($)
|
Pencurian data
|
700.000.000
|
0.050
|
35.000.000
|
Kecurangan
dan serangan virus
|
1.200.000.000
|
0.025
|
30.000.000
|
Sabotase
|
2.500.000.000
|
0.010
|
25.000.000
|
Perubahan file
|
400.000.000
|
0.050
|
20.000.000
|
Perubahan program
|
80.000.000
|
0.020
|
1.600.000
|
Pencurian peralatan
|
15.000.000
|
0.100
|
1.500.000
|
Bencana alam
|
100.000.000
|
0.008
|
800.000
|
Gambar 5.1
Laporan Analisis Ancaman
Ada
beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir
eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap
item kerugian dan menaksir probabilitas terjadinya eksposur tersebut merupakan
hal yang sulit. Biaya yang relevan untuk satu kerugian adalah turunnya
profitabilitas perusahaan sebagai akibat terjadinya kerugian tersebut. Tetapi,
biaya tersebut sulit diestimasi karena estimasi melibatkan estimasi biaya
interupsi bisnis yang sulit diprediksi atau estimasi biaya penggantian komputer
yang hanya dapat diganti dengan model baru yang sebenarnya tidak sebanding
dengan komputer lama. Yang kedua, mengestimasi kemungkinan terjadinya suatu
kerugian melibatkan peramalan masa yang akan datang, yang sangat sulit
khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat.
Sebagai contoh, banyak manajer gagal melihat masalah di masa yang akan datang
terkait dengan virus komputer. Lebih jauh, dalam upaya menaksir probabilitas
terjadinya serangan yang disengaja terhadap suatu sistem, seseorangan harus
mengestimasi biaya dan manfaat serangan semacam ini bagi penyerang. Estimasi
ini memerlukan asumsi mengenai preferensi risiko penyerang. Sebagai contoh,
seorang penyerang mungkin bersedia untuk menerima risiko yang lebih besar
dibandingkan dengan penyerang lain untuk mendapatkan sejumlah dollar yang sama.
Penyerang yang sangat suka risiko
mungkin akan bersedia menerima risiko sangat besar untuk mendapatkan sedikit
upah.
Metode
kedua yang dapat digunakan untuk menaksir risiko keamanan komputer adalah pendekatan kualitatif. Pendekatan ini
secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem,
kemudian secara subjektif maranking item-item tersebut berdasarkan kontribusi
setiam item tersebut terhadap total eksposur kerugian perusahaan. Baik
pendekatan kualitatif maupun pendekatan kuantitatif sering digunakan di dalam
praktik. Banyak perusahaan mengombinasikan kedua pendekatan tersebut. Apa pun
metode yang dipakai, analisis eksposur kerugian tersebut harus mencakup area
berikut ini:
-
Interupsi bisnis
-
Kerugian perangkat lunak
-
Kerugian data
-
Kerugian perangkat keras
-
Kerugian fasilitas
-
Kerugian jasa dan personel
Jika pendekatan kuantitatif
digunakan, biaya dapat diestimasi menggunakan satu dari banyak metode, termasuk
replacement cost, service denial,
kewajiban kepada pihak ketiga (yang disebabkan oleh ketidakmampuan perusahaan
memenuhi suatu kontrak), dan interupsi bisnis.
2.
Kerentanan dan Ancaman
Kerentanan
merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu
kerentanan yang ada. Ada dua kelompok ancaman: aktif dan pasif. Ancaman aktif mencakup kecurangan
sistem informasi dan sabotase komputer. Ancaman
pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi,
banjir, kebakaran, dan angin badai. Kegagalan
sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan
harddisk, matinya aliran listrik, dan lain sebagainya.
A.
Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan berbasis komputer
merupakan bagian dari masalah umum kejahatan kerah putih. Masalah kejahatan
kerah putih merupakan masalah yang serius. Statistik menunjukkan bahwa kerugian
perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat
suap, perampokan, dan pencurian. Hal ini mungkin mengejutkan karena kita jarang
membaca kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di
sebagian besar kasus, kecurangan yang terdeteksi jarang diajukan ke meja hijau
karena bisa membuat public mengetahui kelemahan pengendalian internal
perusahaan. Manager enggan berhadapan dengan sisi negative publisitas yang bisa
menimbulkan penghakiman masyarakat.
Keamanan sistem
informasi merupakan masalah internasional. Banyak negara memiliki
undang-undang yang ditujukan pada
masalah keaman komputer (lihat Gambar 5.2). Di Amerika Serikat, berbagai
undang-undang, regulasi, dan publikasi ditunjukan pada masalah kejahatan
komputer. Banyak negara bagian telah mengeluarkan statula kriminal guna
menentang kejahatan komputer. Computer Fraud and Abuse Act Tahun 1986
menyatakan akses tidak legal yang dilakukan dengan sengaja terhadap data yang
disimpan dalam komputer lembaga keuangan, komputer yang dimiliki atau digunakan
oleh pemerintah federal, atau komputer yang beroperasi dalam perdagangan
terbatas merupakan sebuah kejahatan federal. Pencurian password untuk akses
komputer juga dilarang. Tindakan kriminal ditentukan oleh kerugian perangkat
lunak senilai $1,000 atau lebih; pencurian barang berwujud, jasa, atau uang;
atau akses tanpa atau dengan perubahan terhadap catatan medis. Denda tanpa
mencapai $250,000 atau dua kali lipat nilai data yang dicuri, dan pelaku utama
dapat dikenai hukuman penjara satu sampai dengan lima tahun.
National
Commission on Fraudulent Financial Reporting (Treadway Commission) mengaitkan
kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen merupakan
kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk
menipu investor dan kreditor melalui pelaporan keuangan yang menyesatkan.
Kecurangan semacam ini dilakukan oleh mereka yang memiliki posisi cukup tinggi
di dalam organisasi sehingga memungkinkan mereka melanggar pengendalian
akuntansi. Memang bisa saja manajemen melakukan kesalahan lain yang memiliki
potensi untuk merugikan karyawan atau investor, namun biasanya istilah kecurangan namajemen mengacu pada
manipulasi laporan keuangan.
Undang-Undang Keamanan Komputer
Internasional
|
Canada
|
Kode
Kriminal 301.2 (1). Penggunaan Komputer tanpa Otoritas legal, menetapkan pinalti
criminal sampai dengan 10 tahun untuk kecurangan penggunaan jasa komputer
atau penyadapan sinyal atau fungsi komputer.
|
Denmark
|
Kode
Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan penalti
kriminal sampai dua tahun atas akses tidak legal terhadap informasi atau
program pengolahan data orang lain.
|
Firlandia
|
Penal Provision of Personal Registers
Act,1987, Pasal 45, Personal Registers Trespass, menetapkan penalti kriminal
sampai enam bulan atas penggunaan kode pengguna lain atau sarana kecurangan
untuk mengakses data personal yang disimpan dalam pemrosesan data komputer.
|
Perancis
|
Undang-Undang
Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2 sampai 9, menetapkan
penalti kriminal sampai tiga tahun atas akses illegal terhadap pemalsuan,
modifikasi atau penghapusan data, atau penggunaan data yang diperoleh dari
sistem pemrosesan data yang terotomatisasi.
|
Switserland
|
Kode
Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan Data, menetapkan
penalti kriminal sampai 10 tahun atas kesengajaan menambah atau menghapus
record data dengan tujuan untuk kepentingan diri sendiri.
|
Gambar 5.2 Undang-Undang
Keamanan Komputer Internasional
Treadway Commission mendefinisikan
kejahatan pelaporan keuangan sebagai perilaku sengaja atau tidak sengaja, entah
dengan melakukan sesuatu atau lalai melakukan sesuatu, yang menghasilkan
laporan keuangan yang secara material menyesatkan. Komisi memelajari 456 kasus
siding terhadap auditor. Kecurangan manajemen ditemukan pada separuh dari total
kasus tersebut. Komisi mengamati bahwa sistem informasi berbasis komputer
menggandakan potensi penyalahgunaan atau rekayasa informasi sehingga
meningkatkan risiko kecurangan dalam peloporan keuangan.
B.
Individu yang Dapat Menjadi Ancaman bagi Sistem
Informasi
Keberhasilan
serangan terhadap sistem informasi memerlukan akses terhadap hardware, file
data yang sensitive, atau program yang kritis. Tiga kelompok individu-personal
sistem, pengguna, dan penyusup-memiliki perbedaan kemampuan untuk mengakses
hal-hal tersebut di atas. Personal sistem kerap kali merupakan ancaman
potensial karena mereka diberi berbagai kewenangan akses terhadap data dan
program yang sensitive. Pengguna,di sisi lain, hanya diberi akses terbatas
(sempit), tetapi mereka masih memiliki cara untuk melakukan kecurangan.
Penyusup tidak diberi akses sama sekali, tetapi mereka sering merupakan
orang-orang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar
pada perusahaan.
Personal
Sistem Komputer
Personal sistem meliputi:
1. Personal Pemeliharaan Sistem Personal
pemeliharaan sistem menginstalperangkat keras dan perangkat lunak, memperbaiki
perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat lunak.
2. Programer
Programer sistem sering menulis program untuk memodifikasi dan memperluas
sistem operasi jaringan. Programer aplikasi bisa saja membuat modifikasi yang
tidak diharapkan terhadap program yang ada saat ini atau menulis program baru
guna menjalankan hal-hal yang tidak semestinya.
3. Operator Jaringan
Individu yang mengamati dan memonitor operasi komputer dan jaringan komunikasi
disebut operasi jaringan.
4. Personal Administrasi Sistem
Informasi Supervisor sistem menempati posisi kepercayaan yang
sangat tinggi. Orang ini biasanya memiliki akses ke rahasia keamanan, file,
program, dan lain sebagainya.
5. Karyawan Pengendali Data Mereka
yang bertanggung jawab terhadap penginputan data ke dalam komputer. Posisi ini
memberi peluang bagi karyawan untuk melakukan manipulasi data input.
Pengguna
Pengguna
terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang
lain karena area fungsional mereka bukan merupakan bagian dari pengolahan data.
Banyak pengguna memiliki akses ke data yang sensitif yang dapat mereka bocorkan
kepada pesaing perusahaan. Dalam beberapa kasus, pengguna memiliki kendali
terhadap input komputer yang cukup penting, seperti memo kredit, kredit
rekening, dan lain sebagainya.
Penyusup
Setiap orang
yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang
legal merupakan penyusup. Penyusup yang menyerang sistem informasi sebagai
sebuah kesenangan dan tantangan dikenal dengan
nama hacker.
Tipe lain dari
penyusup mencakup:
1. Unnoticed Intruder
Seorang pelanggan bisa berjalan masuk ke dalam area yang tidak dijaga dan
melihat data yang sensitif di dalam komputer personal yang sedang tidak ada
orangnya. Seorang hacker bisa saja masuk ke dalam sistem dan merusak website
perusahaan.
2. Wiretapper
Sebagian besar dari informasi diproses oleh komputer perusahaan melewati kabel.
Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain.
Informasi yang lain mungkin saja ditransmisikan antarnegara melalui internet.
Jaringan ini rentan terhadap kemungkinan wiretapping (penyadapan). Penyadapan
ini bisa dilakukan, bahkan dengan peralatan yang tidak mahal seperti sebuah
tape recorder dan sepotong kabel yang memungkinkan terjadinya penyadapan tanpa
ada indikasi bahwa sedang terjadi penyadapan.
3. Piggybacker Salah
satu jenis penyadapan canggih, dengan metode ini, penyadap menyadap informasi
legal dan menggantinya dengan informasi yang salah.
4. Impersonating Intruder
Adalah individu-individu tertentu yang bertujuan melakukan kecurangan terhadap
perusahaan. Salah satu tipe penyusup menggunakan user ID dan password yang
diperoleh dengan cara yang tidak legal untuk mengakses sumber daya elektronik
perusahaan.
5. Eavesdroppers
CRT (cathode-ray tubes) standar yang banyak digunakan di unit display video
menghasilkan interferensi elektomagnetik pada suatu frekuensi yang dapat
ditangkap sengan seperangkat televisi sederhana.
C.
Ancaman Aktif pada Sistem Informasi
Manipulasi
Input
Dalam banyak kasus kejahatan
komputer, manipulasi input merupakan metode yang biasa digunakan. Metode ini
mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah
input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
Mengubah
Program
Mengubah
program mungkin merupakan metode yang paling jarang digunakan untuk melakukan
kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan
keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.
Selain itu, banyak perusahaan besar memiliki metode pengujian program yang
dapat digunakan untuk mendeteksi adanya perubahan dalam program.
Mengubah
File Secara Langsung
Dalam
beberapa kasus, individu-individu tertentu menemukan cara untuk memotong proses
normal untuk menginputkan data ke dalam program komputer. Jika hal ini terjadi,
hasil yang dituai adalah bencana.
Pencurian
Data
Pencurian
data merupakan salah satu masalah yang cukup serius dalam dunia bisnis hari
ini. Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi
kuantitatif dan kualitatif terkait dengan salah seorang pesaing merupakan salah
satu informasi yang cukup diburu. Pengadilan sejak lama telah mengakui bahwa
data yang tersimpan dalam komputer perusahaan merupakan data pribadi yang tidak
dapat digunakan tanpa izin dari perusahaan yang bersangkutan. Lebih jauh,
individu-individu dengan akses terhadap e-mail, dapat dengan mudah menyalin
informasi rahasia dan mengirim informasi tersebut ke luar perusahaan lewat
internet. Dengan menggunakan metode tersebut, penyusup dapat mencuri sejumlah
besar informasi hanya dalam hitungan menit.
Sabotase
Sabotase
komputer membahayakan sistem informasi. Perusakan sebuah komputer atau
perangkat lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan yang
tidak puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase
utama. Sabotase telah menjadi isu besar dalam perdagangan web. Pada satu sisi,
biaya tahunan yang dikeluarkan untuk keamanan elektronik lebih dari $6 miliar.
Pda sisi lain, keberhasilan hacker menyerang website semakin meningkat. Bahkan
perusahaan besar dengan sistem yang canggih pun harus menjadi korban. Hampir
setiap hari media keuangan secara terus menerus melaporkan kasus hacker yang
berhasil mengambil alih Website perusahaan.
Penyalahgunaan
atau Pencurian Sumber Daya Informasi
Salah
satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi. Luasnya
permasalahan tersebut, seperti tipe kejahatan komputer yang lain, tidak terlalu
diketahui. Namun, sangat mungkin masalah ini terjadi di banyak perusahaan.
D.
Sistem Keamanan Sistem Informasi
Mengendalikan ancaman dapat dicapai
dengan menerapkan ukuran-ukuran keamanan dan perencanaan kontingensi. Ukuran
keamanan fokus pada pencegahan dan pendeteksian ancaman; rencana kontingensi
fokus pada perbaikan terhadap akibat dampak suatu ancaman. Sebuah doktrin yang
dipercaya dalam keamanan sistem informasi adalah sebagian ancaman tidak dapat
dicegah tanpa pengembangan sutu sistem yang sangat aman. Lebih jauh lagi, tidak
ada sistem keamanan yang sangat berharga tanpa adanya suasana kejujuran dan
kesadaran.
Perlu diingat bahwa sistem keamanan
komputer merupakan bagian dari struktur pengendalian internal perusahaan secara
keseluruhan. Ini berarti, elemen dasar pengendalian internal (supervise yang
memadai, rotasi pekerjaan, batch kontrol total, pengecekan validitas, dan lain
sebagainya) merupakan aspek penting dalam sistem keamanan komputer. Keamanan
sistem informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian
internal yang secara khusus digunakan untuk mengatasi masalah-masalah dalam
sistem informasi.
E.
Lingkungan Pengendalian
Lingkungan
pengendalian merupakan dasar keefektifan seluruh sistem pengendalian. Pembangu-nan
lingkungan pengendalian yang bagus tergantung pada tujuh faktor yaitu:
1. Filosofi
Manajemen dan Gaya Operasi
Aktivitas
pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang
tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan.
Tidak peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk
mengganggu keamanan sistem. Oleh karena itu, garis pertahanan yang utama adalah
suasanan kesadaran akan pentingnya keamanan. Menciptakan suasana semacam ini
dapat dilakukan dengan banyak cara.
Semua karyawan harus menerima pendidikan mengenai
keamanan. Tujuan pendidikan keamanan adalah agar setiap karyawan memiliki
kepedulian terhadap keamanan. Keamanan harus diperlakukan dengan sangat serius.
Semua pelanggaran harus mengakibatkan adanya rasa bersalah dalam diri karyawan.
Mereka yang memegang tanggung jawab harus memberikan teladan yang baik.
Peraturan keamanan harus selalu dimonitor. Jika
tidak, sistem akan mudah dilupakan. Hubungan yang baik harus selalu dibina
dengan seluruh karyawan. Moral yang rendah dapat menyeb abkan tingginya
probabilitas terjadinya kecurangan. Komunikasi yang baik dengan karyawan dapat
mengurangi masalah rendahnya moral.
2.
Struktur
Organisasi
Dalam
banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya
diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak
hanya menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai
fungsi komputasi. Hal ini menimbulkan banyak masalah dalam upaya membuat dan
menjaga pola otoritas dan wewenang yang jelas. Satu hal yang penting adalah,
harus dibuat satu garis wewenang yang jelas untuk menentukan siapa yang
bertanggung jawab mengambil keputusan terkait dengan perangkat lunak akuntansi
dan prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap sistem
keamanan komputer.
3.
Dewan
Direksi dan Komitenya
Dewan
direksi harus menunjuk komite audit. Komite audit harus menunjuk atau
menyetujui pemilihan auditor internal. Idealnya, auditor internal seharusnya
memiliki pengalaman yang baik terkait dengan keamanan komputer dan bertindak sebagai
chief computer security officer.
Dalam situasi apa pun, individu-individu tersebut harus melapor secara periodic
kepada komite audit mengenai semua fase sistem keamanan komputer.
4.
Aktivitas
Pengendalian Manajemen
Penting
untuk membangun pengendalian terkait dengan penggunaan dan pertanggung jawaban
semua sumber daya sistem komputer dan informasi.
5.
Fungsi
Audit Internal
Sistem
keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi
kebutuhan yang terus berubah. Chief security officer harus membangun kebijakan
keamanan yang relevan dengan sistem yang ada saat ini dan relevan dengan
perubahan sistem yang terjadi. Semua modifikasi sistem, baik perangkat keras,
perangkat lunak, atau personalia, harus diimplementasikan sesuai dengan kebijakan
keamanan yang telah dibuat.
6.
Kebijakan
dan Praktik Personalia
Pemisahan
tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan penge-cekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang
terpenting barangkali adalah memisahkan pekerjaan pengguna komputer dan persona-lia
sistem komputer.
7. Pengaruh Eksternal
Sistem informasi perusahaan harus
sesuai dengan hokum dan regulasi local, federal, dan Negara bagian. Hukum dan
regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data
terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka,
personalia dan pemerintah. Hukum dan regulasi ini juga mengatur pengiriman
informasi ke negara lain.
F.
Keamanan Internet
Topik
mengenai keamanan internet menuntut perhatian khusus karena koneksi perusahaan
dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap
hacker yang ada di dunia. Internet menciptakan jendela elektronik bagi dunia
luar yang mengeliminasi semua isolasi fisik sumber daya informasi perusahaan.
Oleh karena itu, semua lapisan pemisahan fisik yang terkait dengan pendekatan
akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya dapat
mengamankan sistem informasi perusahaan. Kerentanan terkait dengan internet
dapat muncul akibat kelemahan-kelemahan berikut ini:
1.
Kerentanan
Sistem Operasi
Web
server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap
kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web
server. Untuk alasan inilah administrator keamanan harus pertama dan terpenting
mengamankan sistem operasi.
Masalahnya,
tidak ada sistem operasi yang bebas dari serangan. Hacker selalu menemukan
kelemahan baru di dalam sistem operasi. Oleh karena itu, administrator harus
secara konstan memonitor bulletin keamanan yang dipublikasikan oleh vendor
sistem operasi dan oleh jasa advisory pihak ketiga. Sebagai contoh, Microsoft
selalu memperbarui informasi keamanan untuk Windows melalui webside perusahaan
di www.microsoft.com/.
2.
Kerentanan
Web Server
Web
server serupa dengan sistem operasi, dalam arti, pengelola web server perlu
selalu memonitor buletin terkait dengan informasi dan pembaruan keamanan
perihal konfigurasi web server. Pengawasan informasi terkini semacam ini
penting karena web server dan web browser lebih sering mengalami pembaruan
dibandingkan sistem operasi.
3.
Kerentanan
Jaringan Privat
Ketika
web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai
komputer melalui suatu LAN, akan timbul suatu risiko, Hacker dapat menyerang
satu komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki
akses ke komputer yang memiliki host web server, maka hacker pertama kali akan
masuk ke dalam komputer pengguna. Kemudian, hacker akan menggunakan hak akses
penggu-na yang asli untuk melakukan invasi ke dalam komputer host web server.
4.
Kerentanan
Berbagai Program Server
Banyak komputer host suatu web
server tidak hanya menjalankan web server, tetapi juga server-server yang lain,
seperti FTP server (untuk transfer file dari dank e komputer lain), e-mail
server, dan remote control server (yang memungkinkan komputer yang lokasinya
jauh mengendalikan komputer host). Yang menjadi masalah adalah setiap tambahan
server merupakan satu tambahan risiko. Cacat keamanan terkait dengan salah satu
server dapat menjadi pintu masuk bagi hacker untuk menyerang semua server yang
lain dan samua file di dalam komputer, bahkan komputer-komputer lain yang
terhubung ke server dalam LAN.
5.
Prosedur
Keamanan Umum
Suasana keamanan yang secara
keseluruhan baik merupakan satu hal yang penting. Perangkat lunak keamanan yang
terbaik di dunia tidaka akan banyak membantu jika administrator sistem tidak
menegakkan kebijakan keamanan.
3.
Pengelolaan Risiko Bencana
Bencana bisa saja terjadi. Hancurnya
World Trade Center di kota New York merupakan salah satu contoh dari bencana
yang tidak diharapkan yang secara serius telah menginterupsi jalannya aktivitas
bisnis. Banyak organisasi tergantung pada sistem komputer untuk mendukung
operasi bisnisnya sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika
pemrosesan sistem komputer tertunda atau terinterupsi, organisasi mesti
menanggung kerugian yang cukup signifikan. Pengelolaan risiko bencana merupakan
satu hal yang penting untuk memastikan kontinuitas operasi bisnis jika terjadi
suatu bencana.
Pengelolaan risiko
bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam suatu kasus,
asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak perusahaan
asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya
perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin
terjadi.
A.
Mencegah
Terjadinya Bencana
Mencegah
terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu
bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana
alam
30 %
Tindakan
kejahatan yang terencana 45 %
Kesalahan
manusia 25 %
Implikasi dari data tersebut adalah
persentase terbesar penyebab terjadinya bencana dapat dikurangi atau dihindari
dengan kebijakan keamanan yang baik.
Banyak
bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan
dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik yang memadai
untuk menangani kebakaran, banjir, dan intrusi merupakan satu hal yang penting.
Sistem semprotan air dapat membahayakan komponen elektronik. Banyak perusahaan
menggunakan sistem pemadam api yang berbasis sesuatu selain air, seperti gas,
busa, atau bedak.
B.
Perencanaan Kontingensi Untuk Mengatasi Bencana
Rencana
pemuliahan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahan. Idealnya, rencana pemuliahan mesti mendapatkan persetujuan dari
dewan direksi sebagai bagian dari perencanaan keamanan komputer secara umum.
Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya
dukungan dari manajemen senior dan penetapan komite perusahaan. Seletah kedua
hal tersebut, rencana pemulihan dari bencana harus didokumentasikan dangan
hati-hati dan disetujui oleh kedua pihak tersebut. Hasil estimasi menyatakan
bahwa biaya awal yang diperlukan guna mengimplementasikan perencana-an
pemulihan dari bencana berkisar antara 2 % sampai 10 % dari total anggaran
sistem informasi.
Menaksir
Kebutuhan Penting Perusahaan
Semua
sumber daya penting harus diidentifikasi. Sumber daya yang penting ini mencakup
perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan,
ruang gudang, catatan yang vital, dan sumber daya manusia.
Daftar
Prioritas Pemulihan dari Bencana
Pemulihan
penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun
perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat
prioritas terkait dengan kebutuhan perusahaan yang paling penting. Daftar
prioritas mengindikasi aktivitas dan jasa yang memang genting yang perlu segera
dibangun kembali dalam hitungan menit atau hitungan jam setelah terjadinya
suatu bencana. Disisi lain, perencanaan bisa saja mengindikasikan aktivitas dan
jasa lain yang harus dibangun dalam hitungan hari, minggu, atau bulan setelah
terjadinya suatu bencana.
Strategi
dan Prosedur Pemulihan
Serangkaian
strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perenca-naan
ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada
saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus
dilakukan, siapa yang harus melakukan, bagaimana melakukannya, dan berapa lama
hal-hal tersebut harus dilaku-kan.
Pusat
Respons Darurat
Pada
saat terjadi bencana, semua wewenang pengolahan data dan operasi komputer
dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi
darurat. Individu-individu ini memimpin jalannya perencanaan pemulihan dari
pusat operasi darurat, sebuah tempat yang memang ditetapkan sebelumnya.
Prosedur
Eskalasi
Prosedur
eskalasi menyatakan kondisi seperti ini apa yang mengharuskan perlunya pengumu-man
terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang harus
diberi tahu tentang adanya bencana.
Rencana
Relokasi Karyawan
Perencanaan
kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan karyawan ke
lokasi cadangan. Hal ini memerlukan perencanaan ynag hati-hati karena banyak karyawan
sulit dipindahkan dalam sementara waktu.
Rencana
Penggantian Karyawan
Kemungkinan
perusahaan kehilangan karyawan pada saat terjadinya bencana juga perlu
dipertimbangkan. Penggantian seorang karyawan dengan kemampuan yang tinggi
merupakan satu hal yang tidak mudah. Penggantian karyawan semacam ini
memerlukan pelatihan yang sangat ekstensif.
Perencanaan
Penyelamatan
Dalam
beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan
yang berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil
tindakan yang tepat secara cepat. Sebagai contoh, sebuah bangunan yang
kehilangan atap pada saat terjadi topan badai akan menyebabkan bangunan
tersebut menghadapi risiko kehujanan. Dalam situasi semacam ini, kerugian dapat
diminimalkan jika tindakan penyelamatan segera dilakukan.
Perencanaan
Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan
sering berubah dengan sangat cepat. Oleh karena itu, setiap perencanaan
pemulihan dari bencana mesti diuji setiap enam bulan sekali. Perencanaan yang
kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada saat
bencana benar-benar terjadi.
KESIMPULAN
Sistem keamanan
sistem informasi merupakan subsistem organisasi yang berperan mengen-dalikan
risiko khusus terkait dengan sistem informasi terkomputerisasi. Sistem keamanan
dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti
analisis sistem, desain sistem, implementasi sistem, serta operasi, evaluasi,
dan pengendalian sistem.
Ada dua
pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam
perencanaan keaman komputer. Dalam pendekatan kuantitatif untuk menaksir
risiko, seperti eksposur kerugian dihitung dengan mengalikan biaya kerugian
setiap item eksposur dengan probabilitas terjadinya eksposur tersebut.
Pendekatan kualitatif guna menaksir risiko mendaftar dan meranking (secara
subjektif) tingkat kerentanan dan ancaman sistem, dengan tujuan untuk
menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.
Kerentanan
adalah suatu kelemahan dan sistem komputer, dan ancaman adalah potensi
eksploitasi suatu kerentanan. Berbagai hukum, regulasi, dan publikasi mengarah
kepada masalah kejahatan komputer. Keberhasilan serangan terhadap suatu sistem
komputer mensyaratkan akses ke perangkat keras, file data yang sensitive, atau
program-program yang penting. Setiap orang yang punya akses keperalatan data
komputer atau file tanpa otorisasi legal, adalah penyusup. Ada berbagai jenis
penyusup, seperti: unnoticed intruder, impersonating intruder, wiretapper,
piggybacker, dan eavesdropper. Paling tidak ada enam cara untuk melakukan
kejahatan komputer, yaitu manipulasi input, pengubahan program, pengubahan file
secara langsung, pencurian data, sabotase, dan penyalagunaan atau pencurian
sumber daya komputer.
Sabotase
merupakan satu hal yang sangat berbahaya bagi setiap instalasi sistem. Ada
banyak cara untuk merusak instalasi. Program komputer dapat digunakan untuk menjalankan
sabotase. Masalah yang potensial adalah bom logika, kuda Troya, program virus,
dan worm. Pengendalian ancaman dapat dilakukan dengan mengimplementasikan
ukuran-ukuran keamanan dan peren-canaan kontingensi. Ukuran keamanan fokus pada
pencegahan dan pendeteksian ancaman. Perencanaan kontingensi fokus pada
perbaikan kerusakan sebagai dampak terjadinya suatu ancaman. Lingkungan
pengendalian organisasi merupakan dasar keefektifan seluruh sistem
pengendalian.
Cara utama yang
dapat ditempuh untuk mencegah terjadinya kecurangan dan sabotase adalah dengan
menerapkan pengendalian akses berlapis.
Pengelolaan
risiko bencana mencakup pencegahan dan perencanaan kontingensi. Pencegahan
bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana pemulihan
dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan.
Rencana tersebut disetujui oleh komite dewan direksi sebagai bagian dari
perencanaan keamanan komputer secara umum.
DAFTAR
PUSTAKA
George H. Bodnar dan
William S. Hopwood, Sistem Informasi
Akuntansi, Edisi 9, ANDI Yogyakarta,
2006