KOMPUTER DAN KEAMANAN SISTEM INFORMASI Diajukan untuk memenuhi salah satu mata kuliah Konsep Sistem Informasi Akuntansi Disusun Oleh : Prilia Annisa A (28214515) Putri Lestari (28214608) Rafie Fauzi (28214741) Rifdah Wijdaan (29214345) Rizky Amalia (29214665) Rizky Ramadhan (29214717) Serly Huzaima (2A214162) Silvia Nindy Y (2A214276) Thio Prima A (2A214732) Windra Patria A (2C214276) FAKULTAS EKONOMI
43
Embed
febri.staff.gunadarma.ac.idfebri.staff.gunadarma.ac.id/Downloads/files/47663/Fix.docx · Web viewMakalah ini masih jauh dari sempurna, oleh karena itu, kritik dan saran yang bersifat
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
KOMPUTER DAN KEAMANAN SISTEM INFORMASI
Diajukan untuk memenuhi salah satu mata kuliah Konsep Sistem Informasi Akuntansi
Disusun Oleh :
Prilia Annisa A (28214515)
Putri Lestari (28214608)
Rafie Fauzi (28214741)
Rifdah Wijdaan (29214345)
Rizky Amalia (29214665)
Rizky Ramadhan (29214717)
Serly Huzaima (2A214162)
Silvia Nindy Y (2A214276)
Thio Prima A (2A214732)
Windra Patria A (2C214276)
FAKULTAS EKONOMI
JURUSAN AKUNTANSI
UNIVERSITAS GUNADARMA
2016
KATA PENGANTAR
Puji syukur kami panjatkan ke hadirat Allah SWT, karena berkat rahmat-Nya kami dapat
menyelesaikan makalah yang berjudul Komputer dan Keamanan Sistem Informasi. Makalah ini
diajukan guna memenuhi tugas mata kuliah Konsep Sistem Informasi Akuntansi.
Kami mengucapkan terima kasih kepada semua pihak yang telah membantu sehingga
makalah ini dapat diselesaikan tepat pada waktunya. Makalah ini masih jauh dari sempurna, oleh
karena itu, kritik dan saran yang bersifat membangun sangat kami harapkan demi sempurnanya
makalah ini.
Semoga makalah ini memberikan informasi bagi masyarakat dan bermanfaat untuk
pengembangan wawasan dan peningkatan ilmu pengetahuan bagi kita semua.
Depok, Maret 2016
Penyusun
DAFTAR ISI
KATA PENGANTAR i
DAFTAR ISI ii
BAB I PENDAHULUAN
1.1 Latar Belakang 1
1.2 Rumusan Masalah 1
1.3 Tujuan Penulisan 1
BAB II PEMBAHASAN
2.1 Keamanan Komputer : Tinjauan Sekilas 2
2.2 Kerentanan Dan Hambatan-Hambatan 5
2.3 Sistem Keamanan Komputer 15
2.4 Manajemen Risiko Bencana 18
BAB III PENUTUP
3.1. Kesimpulan 21
KATA PENUTUP
DAFTAR PUSTAKA
BAB I
PENDAHULUAN
1.1 Latar Belakang
Pada era informasi dan globalisasi menyebabkan lingkungan bisnis mengalami perubahan
yang sangat pesat dengan tingkat persaingan ketat. Oleh karena itu perusahaan dituntut
untuk melakukan kegiatan operasionalnya secara efektif dan efisien umtuk
mempertahankan eksistensinya, sehingga pengetahuan merupakan kekuatan yang sangat
penting untuk membantu manajer dalam pengambilan keputusan. Informasi yang
berkualitas yaitu informasi yang akurat, relevan, dan tepat waktu sehingga keputusan
bisnis yang tepat dapat dibuat dan disesuaikan dengan sistem informasi yang diterapkan
di masing – masing perusahaan. Dengan demikian, pengelolaan sistem informasi
merupakan hal yang sangat penting untuk dilakukan.
1.2 Rumusan Masalah
Dalam penulisan tugas ini, maka penulis perlu membuat berbagai rumusan yang akan
membantu mengungkap berbagai hal yang dapat dinyatakan baik secara langsung maupun
secara tidak langsung. Adapun rumusan masalah yang dimaksudkan tersebut dapat
dinyatakan sebagai berikut:
1. Bagaimana Keamanan Komputer : Tinjauan Sekilas?
2. Bagaimana Kerentanan dan Hambatan – hambatan?
3. Bagaimana Sistem Keamanan Komputer?
4. Bagaimana Manajemen Risiko Bencana?
1.3 Tujuan Penulisan
Berdasarkan rumusan masalah di atas, maka dapat dituliskan beberapa tujuan dari tugas
yang dibuat. Adapun tujuan penulisan yang dimaksudkan sebagai berikut:
1. Dapat mengetahui Keamanan Komputer : Tinjauan Sekilas.
2. Dapat mengetahui Kerentanan dan Hambatan – hambatan.
3. Dapat mengetahui Sistem Keamanan Komputer.
4. Dapat mengetahui Manajemen Risiko Bencana.
BAB II
PEMBAHASAN
2.1 Keamanan Komputer : Tinjauan Sekilas
Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras,
database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan
sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan
dalam database, dan digunakan untuk menghasilkan laporan.
Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu,
pengembangan sistem keamanan juga perlu mengacu pada pendekatan siklus
hidup sistem. Sistem keamanan komputer dikembangkan dengan menerapkan
metode analisis, desain, implementasi, serta operasi, evaluasi, dan pengendalian.
Tujuan setiap tahap siklus hidup ini adalah sebagai berikut :
Fase Siklus Hidup TujuanAnalisis Sistem Analisis kerentanan sistem
dalam arti mengacu yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain Sistem Desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi Sistem Menerapkan ukuran keamanan seperti yang telah didesain.
Operasi, Evaluasi, & Pengendalian Sistem Mengoperasikan sistem dan menaksir efektivitas dan efisiensi.
Membuat perubahan sebagaimana diperlukan sesuai dengan kondisi.
Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan
laporan analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk
mendesain serangkaian ukuran pengendalian risiko yang komprehensif, termasuk
ukuran keamanan untuk mencegah kerugian dan rencana kontingensi untuk
menangani kerugian pada saat kerugian tersebut harus terjadi. Secara kolektif,
keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen
risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan
risiko sistem komputer.
Sistem Keamanan Informasi dalam Organisasi
Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security
officer (CSO). Individu tersebut harus melaporkan langsung pada dewan direksi
demi terciptanya independensi. Tugas utama CSO adalah memberikan laporan
kepada dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini
mencakup setiap fase dari siklus hidup.
Fase Siklus Hidup Laporan kepada Dewan Direksi
Analisis Sistem Sebuah ringkasan terkait dengan semua eksposur kerugian yang relevan.
Desain Sistem Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem keamanan secara lengkap.
Implementasi Sistem, Operasi, Evaluasi, dan Pengendalian Sistem
Mengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.
Menganalisis Kerentanan dan Ancaman
Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem.
Pendekatan kuantitatif untuk manaksir risiko menghitung setiap eksposur kerugian
sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan
terjadinya eksposur tersebut. Sebagai contoh, asumsikan bahwa sebuah kerugian
dapat digambarkan sebagai suatu faktor risiko antara 0 dan 1. Kemudian laporan
analisis ancaman, sebagi contoh ditunjukkan pada Gambar 5.1. Dalam contoh
tersebut, pencurian data merupakan eksposur kerugian terbesar, diikuti dengan
kecurangan dan serangan virus (serangan yang diakibatkan oleh program
komputer yang memang didesain untuk menyabotase file – file penting).
Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa
ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur
kerugian terbesar. Sebagai contoh, pada Gambar 5.1, ancaman yang paling banyak
terjadi adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur
kerugian akibat ancaman tersebut bisa dikatakan paling kecil.
Pencurian data 700.000.000 0.050 35.000.000Kecurangan dan serangan virus
1.200.000.000 0.025 30.000.000
Sabotase 2.500.000.000 0.010 25.000.000Perubahan file 400.000.000 0.050 20.000.000Perubahan program 80.000.000 0.020 1.600.000Pencurian peralatan 15.000.000 0.100 1.500.000Bencana alam 100.000.000 0.008 800.000
Gambar 5.1 Laporan Analisis Ancaman
Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir
eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item
kerugian dan menaksir probabilitas terjadinya eksposur tersebut merupakan hal
yang sulit. Biaya yang relevan untuk satu kerugian adalah turunnya profitabilitas
perusahaan sebagai akibat terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit
diestimasi karena estimasi melibatkan estimasi biaya interupsi bisnis yang sulit
diprediksi atau estimasi biaya penggantian komputer yang hanya dapat diganti
dengan model baru yang sebenarnya tidak sebanding dengan komputer lama. Yang
kedua, mengestimasi kemungkinan terjadinya suatu kerugian melibatkan
peramalan masa yang akan datang, yang sangat sulit khususnya dalam lingkungan
teknologi yang mengalami perubahan sangat cepat. Sebagai contoh, banyak
manajer gagal melihat masalah di masa yang akan datang terkait dengan virus
komputer. Lebih jauh, dalam upaya menaksir probabilitas terjadinya serangan
yang disengaja terhadap suatu sistem, seseorangan harus mengestimasi biaya dan
manfaat serangan semacam ini bagi penyerang. Estimasi ini memerlukan asumsi
mengenai preferensi risiko penyerang. Sebagai contoh, seorang penyerang
mungkin bersedia untuk menerima risiko yang lebih besar dibandingkan dengan
penyerang lain untuk mendapatkan sejumlah dollar yang sama. Penyerang yang
sangat suka risiko mungkin akan bersedia menerima risiko sangat besar untuk
mendapatkan sedikit upah.
Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer
adalah pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar
kerentanan dan ancaman terhadap sistem, kemudian secara subjektif maranking
item-item tersebut berdasarkan kontribusi setiam item tersebut terhadap total
eksposur kerugian perusahaan. Baik pendekatan kualitatif maupun pendekatan
kuantitatif sering digunakan di dalam praktik. Banyak perusahaan
mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai,
analisis eksposur kerugian tersebut harus mencakup area berikut ini :
Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel
Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi menggunakan satu
dari banyak metode, termasuk replacement cost, service denial, kewajiban kepada
pihak ketiga (yang disebabkan oleh ketidakmampuan perusahaan memenuhi suatu
kontrak), dan interupsi bisnis.
2.2 Kerentanan dan Hambatan – hambatan
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan
suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok
ancaman: aktif dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan
sabotase komputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam,
seperti gempa bumi, banjir, kebakaran, dan angin badai. Kegagalan sistem
menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk,
matinya aliran listrik, dan lain sebagainya.
Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan
kerah putih. Masalah kejahatan kerah putih merupakan masalah yang serius.
Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan
lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini
mungkin mengejutkan karena kita jarang membaca kejahatan semacam ini di
dalam media massa. Hal ini terjadi karena di sebagian besar kasus, kecurangan
yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat public
mengetahui kelemahan pengendalian internal perusahaan. Manager enggan
berhadapan dengan sisi negative publisitas yang bisa menimbulkan penghakiman
masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak negara
memiliki undang-undang yang ditujukan pada masalah keaman komputer (lihat
Gambar 5.2). Di Amerika Serikat, berbagai undang-undang, regulasi, dan
publikasi ditunjukan pada masalah kejahatan komputer. Banyak negara bagian
telah mengeluarkan statula kriminal guna menentang kejahatan komputer.
Computer Fraud and Abuse Act Tahun 1986 menyatakan akses tidak legal yang
dilakukan dengan sengaja terhadap data yang disimpan dalam komputer lembaga
keuangan, komputer yang dimiliki atau digunakan oleh pemerintah federal, atau
komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah
kejahatan federal. Pencurian password untuk akses komputer juga dilarang.
Tindakan kriminal ditentukan oleh kerugian perangkat lunak senilai $1,000 atau
lebih; pencurian barang berwujud, jasa, atau uang; atau akses tanpa atau dengan
perubahan terhadap catatan medis. Denda tanpa mencapai $250,000 atau dua kali
lipat nilai data yang dicuri, dan pelaku utama dapat dikenai hukuman penjara satu
sampai dengan lima tahun.
National Commission on Fraudulent Financial Reporting (Treadway Commission)
mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan
manajemen merupakan kecurangan yang dengan sengaja dilakukan oleh
manajemen dengan tujuan untuk menipu investor dan kreditor melalui pelaporan
keuangan yang menyesatkan. Kecurangan semacam ini dilakukan oleh mereka
yang memiliki posisi cukup tinggi di dalam organisasi sehingga memungkinkan
mereka melanggar pengendalian akuntansi. Memang bisa saja manajemen
melakukan kesalahan lain yang memiliki potensi untuk merugikan karyawan atau
investor, namun biasanya istilah kecurangan namajemen mengacu pada
manipulasi laporan keuangan.
Undang-Undang Keamanan Komputer InternasionalCanada Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa
Otoritas legal, menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan penggunaan jasa komputer atau penyadapan sinyal atau fungsi komputer.
Denmark Kode Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan penalti kriminal sampai dua tahun atas akses tidak legal terhadap informasi atau program pengolahan data orang lain.
Firlandia Penal Provision of Personal Registers Act,1987, Pasal 45, Personal Registers Trespass, menetapkan penalti kriminal sampai enam bulan atas penggunaan kode pengguna lain atau sarana kecurangan untuk mengakses data personal yang disimpan dalam pemrosesan data komputer.
Perancis Undang-Undang Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2 sampai 9, menetapkan penalti kriminal sampai tiga tahun atas akses illegal terhadap pemalsuan, modifikasi atau penghapusan data, atau penggunaan data yang diperoleh dari sistem pemrosesan data yang terotomatisasi.
Switserland Kode Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan Data, menetapkan penalti kriminal sampai 10 tahun atas kesengajaan menambah atau
menghapus record data dengan tujuan untuk kepentingan diri sendiri.
Gambar 5.2 Undang-Undang Keamanan Komputer Internasional
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai
perilaku sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai
melakukan sesuatu, yang menghasilkan laporan keuangan yang secara material
menyesatkan. Komisi memelajari 456 kasus siding terhadap auditor. Kecurangan
manajemen ditemukan pada separuh dari total kasus tersebut. Komisi mengamati
bahwa sistem informasi berbasis komputer menggandakan potensi
penyalahgunaan atau rekayasa informasi sehingga meningkatkan risiko
kecurangan dalam peloporan keuangan.
Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap
hardware, file data yang sensitive, atau program yang kritis. Tiga kelompok
individu-personal sistem, pengguna, dan penyusup-memiliki perbedaan
kemampuan untuk mengakses hal-hal tersebut di atas. Personal sistem kerap kali
merupakan ancaman potensial karena mereka diberi berbagai kewenangan akses
terhadap data dan program yang sensitive. Pengguna,di sisi lain, hanya diberi
akses terbatas (sempit), tetapi mereka masih memiliki cara untuk melakukan
kecurangan. Penyusup tidak diberi akses sama sekali, tetapi mereka sering
merupakan orang-orang yang sangat cerdas yang bisa menimbulkan kerugian yang
sangat besar pada perusahaan.
Personal Sistem Komputer
Personal sistem meliputi:
a. Personal Pemeliharaan Sistem menginstal perangkat keras dan
perangkat lunak, memperbaiki perangkat keras, dan membetulkan
kesalahan kecil di dalam perangkat lunak.
b. Programer Sistem sering menulis program untuk memodifikasi
dan memperluas sistem operasi jaringan. Programer aplikasi bisa
saja membuat modifikasi yang tidak diharapkan terhadap program
yang ada saat ini atau menulis program baru guna menjalankan hal-
hal yang tidak semestinya.
c. Operator Jaringan Individu yang mengamati dan memonitor
operasi komputer dan jaringan komunikasi disebut operasi jaringan.
d. Personal Administrasi Sistem Informasi Supervisor sistem
menempati posisi kepercayaan yang sangat tinggi. Orang ini
biasanya memiliki akses ke rahasia keamanan, file, program, dan
lain sebagainya.
e. Karyawan Pengendali Data Mereka yang bertanggung jawab
terhadap penginputan data ke dalam komputer. Posisi ini memberi
peluang bagi karyawan untuk melakukan manipulasi data input.
Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat
dibedakan dengan yang lain karena area fungsional mereka bukan
merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses
ke data yang sensitif yang dapat mereka bocorkan kepada pesaing
perusahaan. Dalam beberapa kasus, pengguna memiliki kendali terhadap
input komputer yang cukup penting, seperti memo kredit, kredit rekening,
dan lain sebagainya.
Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file
tanpa hak yang legal merupakan penyusup. Penyusup yang menyerang
sistem informasi sebagai sebuah kesenangan dan tantangan dikenal dengan
nama hacker. Tipe lain dari penyusup mencakup :
a. Unnoticed Intruder Seorang pelanggan bisa berjalan masuk ke
dalam area yang tidak dijaga dan melihat data yang sensitif di
dalam komputer personal yang sedang tidak ada orangnya. Seorang
hacker bisa saja masuk ke dalam sistem dan merusak website
perusahaan.
b. Wiretapper Sebagian besar dari informasi diproses oleh komputer
perusahaan melewati kabel. Sebagian informasi ditransmisikan
hanya dari satu ruang ke ruang lain. Informasi yang lain mungkin
saja ditransmisikan antarnegara melalui internet. Jaringan ini rentan
terhadap kemungkinan wiretapping (penyadapan). Penyadapan ini
bisa dilakukan, bahkan dengan peralatan yang tidak mahal seperti
sebuah tape recorder dan sepotong kabel yang memungkinkan
terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi
penyadapan.
c. Piggybacker Salah satu jenis penyadapan canggih, dengan metode
ini, penyadap menyadap informasi legal dan menggantinya dengan
informasi yang salah.
d. Impersonating Intruder yakni individu-individu tertentu yang
bertujuan melakukan kecurangan terhadap perusahaan. Salah satu
tipe penyusup menggunakan user ID dan password yang diperoleh
dengan cara yang tidak legal untuk mengakses sumber daya
elektronik perusahaan.
e. Eavesdroppers CRT (cathode-ray tubes) standar yang banyak
digunakan di unit display video menghasilkan interferensi
elektomagnetik pada suatu frekuensi yang dapat ditangkap sengan
seperangkat televisi sederhana.
Ancaman Aktif pada Sistem Informasi
Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan
metode yang biasa digunakan. Metode ini mensyaratkan kemampuan
teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa
memiliki pengetahuan mengenai cara operasi sistem komputer.
Mengubah Program
Metode yang paling jarang digunakan untuk melakukan kejahatan
komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan
keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang
terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian
program yang dapat digunakan untuk mendeteksi adanya perubahan dalam
program.
Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk
memotong proses normal untuk menginputkan data ke dalam program
komputer. Jika hal ini terjadi, hasil yang dituai adalah bencana.
Pencurian Data
Pencurian data merupakan salah satu masalah yang cukup serius dalam
dunia bisnis hari ini. Dalam industri dengan tingkat persaingan yang sangat
tinggi, informasi kuantitatif dan kualitatif terkait dengan salah seorang
pesaing merupakan salah satu informasi yang cukup diburu. Pengadilan
sejak lama telah mengakui bahwa data yang tersimpan dalam komputer
perusahaan merupakan data pribadi yang tidak dapat digunakan tanpa izin
dari perusahaan yang bersangkutan. Lebih jauh, individu-individu dengan
akses terhadap e-mail, dapat dengan mudah menyalin informasi rahasia
dan mengirim informasi tersebut ke luar perusahaan lewat internet. Dengan
menggunakan metode tersebut, penyusup dapat mencuri sejumlah besar
informasi hanya dalam hitungan menit.
Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah
komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu
perusahaan. Karyawan yang tidak puas, khususnya yang telah dipecat,
biasanya merupakan pelaku sabotase utama. Sabotase telah menjadi isu
besar dalam perdagangan web. Pada satu sisi, biaya tahunan yang
dikeluarkan untuk keamanan elektronik lebih dari $6 miliar. Pda sisi lain,
keberhasilan hacker menyerang website semakin meningkat. Bahkan
perusahaan besar dengan sistem yang canggih pun harus menjadi korban.
Hampir setiap hari media keuangan secara terus menerus melaporkan
kasus hacker yang berhasil mengambil alih Website perusahaan.
Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang
karyawan menggunakan sumber daya komputer organisasi untuk
kepentingan pribadi. Luasnya permasalahan tersebut, seperti tipe kejahatan
komputer yang lain, tidak terlalu diketahui. Namun, sangat mungkin
masalah ini terjadi di banyak perusahaan.
Sistem Keamanan Sistem Informasi
Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran
keamanan dan perencanaan kontingensi. Ukuran keamanan fokus pada
pencegahan dan pendeteksian ancaman; rencana kontingensi fokus pada perbaikan
terhadap akibat dampak suatu ancaman. Sebuah doktrin yang dipercaya dalam
keamanan sistem informasi adalah sebagian ancaman tidak dapat dicegah tanpa
pengembangan sutu sistem yang sangat aman. Lebih jauh lagi, tidak ada sistem
keamanan yang sangat berharga tanpa adanya suasana kejujuran dan kesadaran.
Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur
pengendalian internal perusahaan secara keseluruhan. Ini berarti, elemen dasar
pengendalian internal (supervise yang memadai, rotasi pekerjaan, batch kontrol
total, pengecekan validitas, dan lain sebagainya) merupakan aspek penting dalam
sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah
aplikasi prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk
mengatasi masalah-masalah dalam sistem informasi.
Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem
pengendalian. Pembangu-nan lingkungan pengendalian yang bagus tergantung
pada tujuh faktor yaitu :
Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah
menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk
mendukung terwujudnya keamanan. Tidak peduli seberapa canggih suatu
sistem, pasti selalu ada cara untuk mengganggu keamanan sistem. Oleh
karena itu, garis pertahanan yang utama adalah suasanan kesadaran akan
pentingnya keamanan. Menciptakan suasana semacam ini dapat dilakukan
dengan banyak cara.
Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan
pendidikan keamanan adalah agar setiap karyawan memiliki kepedulian
terhadap keamanan. Keamanan harus diperlakukan dengan sangat serius.
Semua pelanggaran harus mengakibatkan adanya rasa bersalah dalam diri
karyawan. Mereka yang memegang tanggung jawab harus memberikan
teladan yang baik.
Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan mudah
dilupakan. Hubungan yang baik harus selalu dibina dengan seluruh
karyawan. Moral yang rendah dapat menyeb abkan tingginya probabilitas
terjadinya kecurangan. Komunikasi yang baik dengan karyawan dapat
mengurangi masalah rendahnya moral.
Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data
semuanya diorganisasi di bawah chief information officer (CIO). Divisi
semacam ini tidak hanya menjalankan fungsi pencatatan akuntansi
tradisional, tetapi juga berbagai fungsi komputasi. Hal ini menimbulkan
banyak masalah dalam upaya membuat dan menjaga pola otoritas dan
wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu garis
wewenang yang jelas untuk menentukan siapa yang bertanggung jawab
mengambil keputusan terkait dengan perangkat lunak akuntansi dan
prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap
sistem keamanan komputer.
Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk
atau menyetujui pemilihan auditor internal. Idealnya, auditor internal
seharusnya memiliki pengalaman yang baik terkait dengan keamanan
komputer dan bertindak sebagai chief computer security officer. Dalam
situasi apa pun, individu-individu tersebut harus melapor secara periodic
kepada komite audit mengenai semua fase sistem keamanan komputer.
Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan
pertanggung jawaban semua sumber daya sistem komputer dan informasi.
Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi
untuk memenuhi kebutuhan yang terus berubah. Chief security officer
harus membangun kebijakan keamanan yang relevan dengan sistem yang
ada saat ini dan relevan dengan perubahan sistem yang terjadi. Semua
modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia,
harus diimplementasikan sesuai dengan kebijakan keamanan yang telah
dibuat.
Kebijakan dan Praktik Personalia
Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib,
dan penge-cekan ganda semua merupakan praktik personalia yang penting.
Peraturan yang terpenting barangkali adalah memisahkan pekerjaan
pengguna komputer dan persona-lia sistem komputer.
Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi
local, federal, dan Negara bagian. Hukum dan regulasi mengatur keamanan
dan privasi berbagai tipe data, termasuk data terkait dengan pelanggan dan
kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah.
Hukum dan regulasi ini juga mengatur pengiriman informasi ke negara
lain.
Keamanan Internet
Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi
perusahaan dengan internet memberi peluang bagi perusahaan untuk menjadi
sasaran setiap hacker yang ada di dunia. Internet menciptakan jendela elektronik
bagi dunia luar yang mengeliminasi semua isolasi fisik sumber daya informasi
perusahaan. Oleh karena itu, semua lapisan pemisahan fisik yang terkait dengan
pendekatan akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya
dapat mengamankan sistem informasi perusahaan. Kerentanan terkait dengan
internet dapat muncul akibat kelemahan-kelemahan berikut ini :
Kerentanan Sistem Operasi
Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya,
setiap kelemahan di dalam keamanan sistem operasi juga menjadi
kelemahan keamanan web server. Untuk alasan inilah administrator
keamanan harus pertama dan terpenting mengamankan sistem operasi.
Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker
selalu menemukan kelemahan baru di dalam sistem operasi. Oleh karena
itu, administrator harus secara konstan memonitor bulletin keamanan yang
dipublikasikan oleh vendor sistem operasi dan oleh jasa advisory pihak
ketiga. Sebagai contoh, Microsoft selalu memperbarui informasi keamanan
untuk Windows melalui webside perusahaan di www.microsoft.com/.
Kerentanan Web Server
Web server serupa dengan sistem operasi, dalam arti, pengelola web server
perlu selalu memonitor buletin terkait dengan informasi dan pembaruan
keamanan perihal konfigurasi web server. Pengawasan informasi terkini
semacam ini penting karena web server dan web browser lebih sering
mengalami pembaruan dibandingkan sistem operasi.
Kerentanan Jaringan Privat
Ketika web server ditempatkan pada suatu komputer host yang terkoneksi
ke berbagai komputer melalui suatu LAN, akan timbul suatu risiko, Hacker
dapat menyerang satu komputer melalui satu komputer yang lain. Jika
pengguna komputer memiliki akses ke komputer yang memiliki host web
server, maka hacker pertama kali akan masuk ke dalam komputer
pengguna. Kemudian, hacker akan menggunakan hak akses penggu-na
yang asli untuk melakukan invasi ke dalam komputer host web server.
Kerentanan Berbagai Program Server
Banyak komputer host suatu web server tidak hanya menjalankan web
server, tetapi juga server-server yang lain, seperti FTP server (untuk