sistem informasi manajemen - keamanan informasi

       I.            Keamanan Informasi

Perusahaan melakukan investasi besar dalam sumber daya informasinya. Sumber daya ini tersebar di seluruh organisasi, dan tiap manajer bertanggung jawab atas sumber daya yang berada di areanya – membuat mereka aman dari akses yang tidak sah.

            Baru pada periode pergolakan sosial selama Perang Vietnam, perusahaan-perushaan Amerika Serikat mulai melindungi pusat-pusat komputer mereka dari kerusakan dan penghancuran. Belakangan disadari bahwa diperlukan juga perlindungan terhadap bencana alam. Kebakaran di Australia, gempa bumi di California, dan badai di Florida selama awal 1990-an menunjukkan bahwa manajemen harus mengamankan sumber daya informasi dari berbagai macam ancaman.

Perusahaan-perusahaan mencoba menangkal kriminal komputer melalui keamanan sistem, dan meminimumkan kerusakan dari berbagai ancaman melalui perencanaan berjaga-jaga (contingency planning).

Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif kepada perlindungan peranti keras dan data, maka istilah keamanan sistem (system security)  pun digunakan. Kini cakupannya meluas, bukan hanya data di dalam komputer. Istilah keamaanan informasi digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan non komputer, fasilitas, data, dan informasi dan penyalahgunaan pihak-pihak yang tidak berwenang. Keamanan informasi menurut G. J. Simons adalah bagaimana kita dapat mencegah penipuan (cheating) atau palig tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

    II.            Tujuan Keamanan Informasi

Tujuan-tujuan keamanan mengacu pada perlindungan terhadap semua sumber daya informasi perusahaan dari ancaman oleh pihak-pihak yang tidak berwenang. Perusahaan menerapkan suatu program keamanan sistem yang efektif dengan pertama-pertama mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang diperlukan.

Keamanan informasi dimaksudkan untuk mencapai tiga tujuan utama yaitu,

·        Kerahasiaan

Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada pihak yang tidak berwenang.

·        Ketersediaan

Tujuan dari infrastrukutur informasi adalah menyediakan data dan informasi bagi pihak- pihak yang memiliki wewenang untuk menggunakannya.

·        Integritas

Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang dipresentasikannya.

 III.            Manajemen Keamanan Informasi

Manajemen keamanan informasi adalah Aktivitas untuk menjaga agar sumberdaya informasi tetap aman . Manajemen keamanan informasi terdiri atas empat tahap, yaitu:

1.      Mengidentifikasi ancaman yang dapat menyerang sumber informasi perusahaan.

2.      Mendefinisikan resiko yang disebabkan oleh ancaman.

3.      Menentukan kebijakan keamanan informasi.

4.      Mengimplementasikan pengendalian untuk mengatasi resiko resiko tersebut.

  IV.            Ancaman Keamanan

Ancaman kemanan informasi adalah orang, organisasi, mekanisme atau peristiwa yang memiliki potensial untuk membahayakan sumberdaya informasi perusahaan.

ü Ancaman Internal dan Eksternal

Ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahan. Sedangkan ancaman eksternal adalah ancaman di luar perusahaan yang tidak ada hubungannya dengan perusahaan kita, atau biasa kita sebut dengan pesaing dalam usaha.

ü Jenis Ancaman

Virus hanyalah salah satu contoh peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicios software). Malicios dan Malware  terdiri atas program program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan dapat melakukan fungsi fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti.

     V.            Risiko

Risiko keamanan informasi didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi . Risiko-risiko seperti ini terbagi menjadi empat bagian , yaitu :

1.      Pengungkapan informasi yang tidak terotorisasi dan pencurian

2.      Penggunaan yang tidak terotorisasi

3.      Penghancuran yang tidak terotorisasi dan penolakan layanan

4.      Modifikasi yang tidak terotorisasi

  VI.            Persoalan E-Commerce

E-Commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Permasaahan ini bukanlah masalah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh Gartner Group , pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel e-commerce dibandingkan para pedagang yang berurusan dengan pelanggan mereka secara langsung. Untuk mengatasi masalah ini,  perusahaan-perusahaan kertu kredit yang utama telah mengimplementasikan program yang ditujukan secara khusus untuk keamanan kartu kredit e-commerce.

Kartu Kredit “Sekali Pakai”

Pada September 2000, American Express mengumumkan sebuah kartu kredit “sekali pakai”. Kartu ini bekerja dengan cara:  saat pemegang kartu ingin membeli sesuatu secara online , ia akan memperoleh angka acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit tersebut yang kemudian memberi laporan ke perusahaan kartu kredit untuk pembayaran.

VII.            Manajemen Risiko

Manajemen risiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Risiko tersebut dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefinisian risiko terdiri atas empat langkah, yaitu:

1.      Identifikasi aset-aset bisnis yang harus dilindungi dari risiko

2.      Menyadari risikonya

3.      Menentukn tingkatan dampak pada perusahaan jika risiko benar-benar terjadi

4.      Menganalisis kelemahan perusahaan tersebut

VIII.            Kebijakan Keamanan Informasi

Peruasahaan dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang bertahap, berikut terdapat 5 fase insiasi jabatan:

Fase 1 : Iniasi Proyek. Tim yang menyusun kebijakan keamanan yang dibentuk

Fase 2 :Penyusunan Kebijakan. Tim proyek berkonsultasi engan semua pihak yang terpengaruh dengan proyek ini untuk menentukan kebijakan baru

Fase 3 : Konsultasi Dan Persetujuan: tim proyek berkonsultasi dengan manajemen unuk mendapatkan persetujuan serta saran untuk proyek tersebut

Fase 4 : Kesadaran Dan Edukasi: program pelatihan dan kesadaran edukasi kebijakan dilaksanakan dala unit- unit organisasi

Fase 5 : Penyebarluasan Kebijakan. Kebijakan ini dsebarlauaskan ke seluruh unit organisasi dimana kebijakan tersebut bisa diterapkan.

Kebijakan terpisah dikembangkan untuk:

·        Keamanan sistem informasi

·        Pengendalian akses sistem

·        Keamanan personal

·        Keamanan lingkungan dan fisik

·        Keamanan komunikasi data

·        Klasifikasi informasi

·        Perencanaan langsung usaha

·        Akuntbilitas manajemen

  IX.            Pengendalian

Pengendalian (control) mekanisme yang diterapkan baik perusahaan untuk melindungi dan meminimalkan jika terjadi resiko pada perusahaan. Pengendalian dibagi menjadi 3 kategori: pengendalian teknis, fomal dan informal

      PENGENDALIAN TEKNIS

Pengendalian yang dibuat satu menjadi satu didalam sistem dan dibuat oleh para penyusun sistem selama siklus penyusunan sisitem.

      Pengendalian Akses

Dasar keamanan melawan ancaman yang dilakukan oleh orang- orang yang tidak di               otorisasi. Pengendalian akses dilakukan melaui proses tiga tahap :

·        Identifikasi Pengguna

Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, mislanya kata sandi.

·        Otentifikasi Pengguna

Setelah identifikasi awal telah dilakukan, para pengguna memferifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki seperti smart card atau tanda tertentu atau chip identifikasi

·        Otorisasi pengguna

Seteleh pemeriksaan identifikasi atau autentifikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat.

      Sistem Deteksi Gangguan

Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran kemanan sebelum memiliki kesempatan untuk melakukan perusakan, salah satu contohnya adalah piranti lunak proteksi virus (virus protection software)  yang telah terbukti efektif melawan virus yang terkirim melaui email, contohnya yang lain: peralatan prediksi ancaman dari dalam (insider threat prediction tool) yang bertujuan untuk mengidentifikasi calon penggangu sebelum memiliki kesempatan untuk membahayakan.

      Firewall

Sumber daya komputer selalu berada dalam risiko jika terhubung ke jaringan untuk itulah diperlukan suatu pendekatan keamanan yaitu dengan membangun dinding pelindung (firewall) yang berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke perusahaan tersebut dan internet.

Terdapat tiga jenis firewall:

*        Firewall penyaring paket

*        Firewall tingkat sirkuit

*        Firewall tingkat aplikasi

      Pengendalian Kriptografis

Penggunaan kode yang mengunakan proses- proses matematika untuk melindungi data atau informasi dari pengungkapan yang tidak terotorisasi.

      Pengendalian fisik

Pengendalian fisik juga membantu suatu kemanan informasi, misalnya mengunci pintu ruangan kompuer, mengunakan kamera pengintai dan juga alat penjaga kemanan.

   PENGENDALIAN FORMAL

Pengendalian formal mencangkup penentuan cara berperilaku, dokumentasi prosedur dan praktek yang diharapkan dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku.

   PENGENDALIAN INFORMAL

Pengendalian informal mencangkup program- program pelatihan dan edukasi serta program pembangunan manajemen.

     X.            Mencapai Tingkat Pengendalian yang Tepat

Ketiga jenis pengendalian teknis, formal, dan informal mengharuskan biaya, karena merupakan praktik bisnis yang baik jika menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi , maka pengendalian harus ditetapkan pada tingkatan yang sesuai.

  XI.            Dukungan Pemerintah dan Industri

Beberapa organisasi pemerintah dan internasioanal telah menentukan standar-standar yang ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan informasi.  Beberapa standart ini berbentuk tolak ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternatif untuk manajemen resiko.

XII.            Standar Industri

The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna komputer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmarks dan CIS Scoring Tools. CIS Benchmarks membantu para pengguna untuk mengamankan sistem informasi mereka dengan cara menerapkan pengendalian khusus teknologi. CIS Scoring Tools memberikan kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolok ukur, dan menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan sistem.

XIII.            Sertifikasi Profesional

Mulai tahun 1960-an, profesi IT mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.

N  Asosiasi Audit Sistem dan Pengendalian

Program sertifikasi keamanan yang pertama adalah Certified Information System Auditor, yang ditawarkan oleh Information Systems Audit and Control Association (ISACA). Kemudian, ISACA memberikan gelar Certified Information Security Manager. Untuk mendapatkan sertifikasi ini, pendaftar harus mengikuti suatu ujian (yang ditawarkan untuk pertama kali pada Juni 2003), mengikuti kode etika, dan memberikan bukti pengalaman kerja dalam bidang keamanan informasi. Informasi mengenai ISACA dapat ditemukan di www.isaca.org.

N  Konsorsium Sertifikasi Keamanan Sistem Informasi Internasional

The Certification Information System Security Professional (CISSP) ditawarkan oleh International Information System Certification Consortium (ISC). Sertifikasi CISSP member bukti bahwa pemegangnya memiliki keahlian dalam keamanan informasi yang mencakup topic seperti pengendalian akses, kriptografi, arsitektur keamanan, keamanan Internet, dan praktik manajemen keamanan. Sertifikasi ini didasarkan pada kinerja pada ujian berisikan 250 pertanyaan pilihan berganda. Informasi lebih banyak dapat ditemukan di www.isc2.org.

N  Institut SANS

Institut SANS (SysAdmin, Audit, Network, Security) menawarkan sertifikasi melalui Global Information Assurance Certification Program miliknya, yang mencakup mata kuliah seperti Audit Keamanan IT dan Intisari Pengendalian, serta Penulisan dan Pemeriksaan Kebijakan Keamanan. Informasi mengenai SANS dapat didapatkan di www.sans.org.

XIV.            Meletakkan Manajemen Keamanan Informasi Pada Tempatnya

Perusahaan harus mecanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian. Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dan risiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industry. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk menawarkan tingkat keamanan yang diinginkan pada batasan biaya yang telah ditentukan dan disesuaikan dengan pertimbangan lain yang membuat perusahaan dan sistemnya mampu berfungsi secara efektif.

XV.            Manajemen Keberlangsungan Bisnis

Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi disebut dengan manajemen keberlangsungan bisnis (business continuity management – BCM). Pada tahun-tahun awal penggunaan komputer, aktivitas ini disebut perencanaan bencana (disaster planning), namun istilah yang lebih positif, perencanaan kontinjensi (contingency plan), menjadi populer. Elemen penting dalam perencanaan kontinjensi adalah rencana kontinjensi (contingency plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi perusahaan.

Banyak perusahaan telah menemukan bahwa, dibandingkan sekadar mengandalkan suatu rencana kontijensi besar, pendekatan yang terbaik adalah merancang beberapa subrencana yang menjawab beberapa kontinjensi yang spesifik. Subrencana yang umum mencakup rencana darurat, rencana cadangan, dan rencana catatan penting.

Ø  Rencana Darurat

Rencana darurat (emergency plan) menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi, dan sistem pemadaman api.

Ø  Rencana Cadangan

Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak dapat digunakan. Pengaturan ini merupakan bagian dari rencana cadangan (backup plan). Cadangan dapat diperoleh melalui kombinasi redundansi, keberagaman, dan mobilitas.

·        Redundansi. Peranti keras, peranti lunak, dan data diduplikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.

·        Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang sama. Perusahaan besar biasanya membuat pusat komputer yang terpisah untuk wilayah operasi yang berbeda-beda.

·        Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahaan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak dengan jasa pelayanan cadangan hot site dan cold site. Hot site adalah fasilitas komputer lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat. Cold site hanya mencakup fasilitas bangunan, namun tidak mencakup fasilitas komputer. Perusahaan dapat mendapatkan cold site dari pemasok atau membangun fasilitasnya sendiri. Untuk pendekatan yang mana pun, perusahaan tersebut harus menyediakan sumber daya komputernya. Penyedia hot site dan cold site yang terbesar adalah IBM dan SunGard.

Ø  Rencana Catatan Penting

Catatan penting (vital records) perusahaan adalah dokumen kertas, mikroform, dan media penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan) menentukan cara bagaimana catatan penting tersebut harus dilindungi. Selain menjaga catatan tersebut di situs komputer, salinan cadangan harus disimpan di lokasi yang terpencil. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat ditransmisikan secara elektronik.

XVI.            Meletakkan Manajemen Keberlangsungan Bisnis Pada Tempatnya

Manajemen keberlangsungan bisnis merupakan salah satu bidang penggunaan komputer di mana kita dapat melihat perkembangan besar. Pada akhir 1980-an, hanya beberapa perusahaan yang memiliki rencana seperti itu, dan perusahaan jarang mengujinya. Sejak itu, banyak upaya telah dilaksanakan untuk mengembangkan perencanaan kontinjensi, dan banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem Komputer TAMP memasarkan Sistem Pemulihan Bencana (Disaster Recovery Sistem – DRS) yang mencakup sistem manajemen basis data, instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan. Panduan dan garis besar tersedia bagi perusahaan untuk digunakan sebagai titik awal atau tolok ukur. Panduan perencanaan kontinjensi yang dipersiapkan oleh Departemen Sumber Daya Informasi Texas dari diperoleh dari www.dir.state.tx.us/security/continuity/index.htm.