10. hapzi ali, sim, keamanan sistem informasi

Modul ke:

Fakultas

Program Studi

SISTEM INFORMASI MANAJEMEN (SIM)

Keamanan Sistem Informasi

Prof. Dr. Ir. H. Hapzi Ali, MM, CMA

10

Management Information System, [email protected]

Keamanan Sistem Informasi

1. Keamanan Informasi

2. Ancaman (threats)

3. Risiko (risks)

4. Ancaman virus

5. Manajemen risiko

6. Kebijakan keamanan informasi

7. Kontrol formal & Informal

8. Menempatkan manajemen keamanan dalam persfektifnya

1 Keamanan Informasi

Sistem Informasi Manajemen


Keamanan Informasi

Keamanan informasi menggambarkan upaya untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihak yang tidak berhak

Definisi ini mencakup mesin fotokopi, mesin fax, dan semua jenis media, termasuk dokumen kertas

Keamanan informasi ditujukan untuk mencapai tiga tujuan utama:

1. Kerahasiaan: melindungi data dan informasi perusahaan dari pengungkapan kepada orang-orang yang tidak sah

2. Ketersediaan: memastikan bahwa data dan informasi perusahaan hanya tersedia bagi mereka yang berwenang untuk menggunakannya

3. Integritas: sistem informasi harus memberikan representasi akurat dari sistem fisik yang mereka wakili


Manajemen Keamanan Informasi

corporate information systems security officer (CISSO) telah digunakan untuk orang dalam organisasi yang bertanggung jawab untuk sistem keamanan informasi perusahaan.

Sekarang ada langkah untuk menunjuk corporate information assurance officer (CIAO) yang melapor kepada CEO dan mengelola unit jaminan informasi


KEAMANAN INFORMASI MANAJEMEN (ISM)

ISM terdiri dari empat langkah:

1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan

2. Mendefinisikan risiko bahwa ancaman bisa memaksakan

3. Menetapkan kebijakan keamanan informasi

4. Menerapkan kontrol yang menangani risiko

Gambar 9.1 mengilustrasikan pendekatan manajemen risiko

Benchmark juga digunakan untuk memastikan integritas sistem manajemen risiko


Manajemen Keamanan Informasi

2 Ancaman (threats)



ANCAMAN

Ancaman keamanan informasi berasal dari orang, organisasi, mekanisme, atau peristiwa yang berpotensi dapat membahayakan sumber daya informasi perusahaan

Ancaman dapat berupa internal atau eksternal, kebetulan atau sengaja

Gambar 9.2 menunjukkan tujuan keamanan informasi dan bagaimana mereka mengalami empat jenis risiko:

1. Ancaman Internal dan Eksternal

2. Kecelakaan dan disengaja

Management Information System, [email protected]ana.ac.id

Ancaman Internal dan Eksternal

3 Risiko (Risks)



RISIKO

Tindakan yang tidak sah bahwa risiko ini dapat dikategorikan menjadi empat jenis:

1. Pengungkapan tidak sah

2. Pencurian

3. Penolakan pelayanan

4. Modifikasi secara tidak sah dan Denial of Service

4 Ancaman Virus



ANCAMAN-yang paling terkenal "VIRUS"

Virus adalah program komputer yang dapat mereplikasi sendiri tanpa sepengetahuan pengguna

Sebuah worm tidak dapat mereplikasi dirinya sendiri dalam sebuah sistem, tetapi dapat mengirimkan salinan dirinya melalui e-mail

Sebuah Trojan horse tidak dapat mereplikasi atau mendistribusikan sendiri. Distribusi ini dilakukan oleh pengguna yang mendistribusikannya sebagai utilitas yang bila digunakan menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem


PERTIMBANGAN E-COMMERCE

E-commerce telah memperkenalkan resiko keamanan baru: penipuan kartu kredit. Kedua American Express dan Visa telah menerapkan program khusus ditujukan e-commerce

American Express telah mengumumkan "sekali pakai" nomor kartu kredit. Angka-angka ini, bukan nomor kartu kredit pelanggan, disediakan untuk pengecer e-commerce, yang menyerahkan ke American Express untuk pembayaran

Visa telah mengumumkan sepuluh yang berhubungan dengan keamanan praktek yang mereka harapkan pengecer mereka untuk mengikuti ditambah tiga praktik umum bahwa pengecer harus mengikuti (slide berikutnya)


Kewaspadaan Keamanan Visa

Pengecer harus: 1. Menginstal dan memelihara firewall

2. Jauhkan patch keamanan up to date

3. Mengenkripsi data yang tersimpan dan data yang dikirimkan

4. Gunakan dan memperbarui perangkat lunak antivirus

5. Membatasi akses data bagi mereka dengan kebutuhan untuk mengetahui

6. Menetapkan ID yang unik untuk orang-orang dengan hak akses data

7. Akses data track dengan ID unik

8. Tidak menggunakan default password yang dari vendor

9. Secara teratur menguji sistem keamanan


Kewaspadaan Keamanan Visa

Visa mengidentifikasi tiga praktik umum yang harus diikuti oleh pengecer untuk mendapatkan keamanan informasi dalam semua aktivitas, 3 hal tersebut adalah 1. Menyaring karyawan yang memiliki akses ke data

2. Tidak meninggalkan data (disket, kertas, dan sebagainya) atau komputer yang tidak aman

3. Menghancurkan data ketika tidak lagi diperlukan

5 Manajemen resiko



MANAJEMEN RISIKO

Empat sub langkah untuk mendefinisikan risiko informasi adalah:

1. Mengidentifikasi aset bisnis yang harus dilindungi dari risiko

2. Kenali risiko

3. Menentukan tingkat dampak pada perusahaan jika risiko terwujud

4. Menganalisis kerentanan perusahaan

Pendekatan sistematis dapat diambil untuk sub langkah 3 dan 4 dengan menentukan dampak dan menganalisis kerentanan


Tabel 9.1 menggambarkan pilihan.


Laporan Analisis Risiko

Temuan analisis risiko harus didokumentasikan dalam sebuah laporan yang berisi informasi rinci seperti berikut untuk setiap resiko:

1. Penjelasan risiko

2. Sumber risiko

3. Keparahan dari risiko

4. Kontrol yang sedang diterapkan untuk risiko

5. Pemilik (s) dari risiko

6. Tindakan yang direkomendasikan untuk mengatasi risiko

7. Kerangka waktu yang direkomendasikan untuk mengatasi risiko

8. Apa yang dilakukan untuk mengurangi risiko

6 Kebijakan Keamanan

Informasi



KEBIJAKAN KEAMANAN INFORMASI

Sebuah kebijakan keamanan dapat diimplementasikan dengan menggunakan berikut lima pendekatan fase (Gambar 9.3.):

1. Tahap 1: Proyek Inisiasi

2. Tahap 2: Pengembangan Kebijakan

3. Tahap 3: Konsultasi dan Persetujuan

4. Tahap 4: Kesadaran dan Pendidikan

5. Tahap 5: Diseminasi Kebijakan


Developmen of Security Policy


Kebijakan terpisah dikembangkan untuk:

Sistem informasi keamanan

Sistem kontrol akses

personil keamanan

Keamanan fisik dan lingkungan

keamanan telekomunikasi

klasifikasi informasi

Perencanaan kelangsungan bisnis

akuntabilitas manajemen

Kebijakan ini didistribusikan kepada karyawan, sebaiknya secara tertulis dan dalam program pendidikan dan pelatihan. Dengan kebijakan yang ditetapkan, kontrol dapat diimplementasikan

7 Kontrol



KONTROL

Kontrol adalah mekanisme yang diterapkan untuk melindungi perusahaan dari risiko atau meminimalkan dampak dari risiko pada perusahaan harus mereka terjadi:

1. Kontrol teknis yang dibangun ke dalam sistem oleh pengembang sistem selama siklus hidup pengembangan sistem

2. Kontrol akses merupakan dasar untuk keamanan terhadap ancaman oleh orang yang tidak berhak

3. Sistem deteksi intrusi mencoba untuk mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk menimbulkan kerusakan


Access Control Function


Access Control

1. User identification. Pengguna pertama mengidentifikasi diri mereka dengan memberikan sesuatu yang mereka tahu, seperti password

2. User authentication. Setelah identifikasi awal telah dicapai, pengguna memverifikasi hak mereka untuk mengakses dengan memberikan sesuatu yang mereka miliki, seperti kartu pintar atau token, atau chip identifikasi

3. User authorization . Dengan identifikasi dan otentikasi cek berlalu, seseorang kemudian dapat disahkan tingkat atau derajat penggunaan tertentu. Misalnya, salah satu pengguna mungkin berwenang hanya untuk membaca dari sebuah file, sedangkan yang lain mungkin diberi wewenang untuk melakukan perubahan


Firewalls

irewall bertindak sebagai filter dan penghalang yang membatasi mengalir di antara jaringan perusahaan dan internet data

Ada tiga jenis firewall:

Packet-Filter - router dilengkapi dengan tabel data alamat IP yang mencerminkan kebijakan penyaringan diposisikan antara internet dan jaringan internal, dapat berfungsi sebagai firewall

Circuit-Level Firewall - terpasang antara internet dan jaringan perusahaan tapi lebih dekat ke media komunikasi

Aplikasi-Level Firewall - terletak antara router dan komputer yang menjalankan aplikasi tersebut

8 Kontrol Formal & Informal



KONTROL FORMAL

Kontrol formal meliputi pembentukan:

1. Kode etik

2. Dokumentasi prosedur dan praktik yang diharapkan

3. Pemantauan dan mencegah perilaku yang berbeda dari panduan yang ditetapkan

Kontrol yang formal dalam manajemen:

1. Mencurahkan waktu untuk menyusunnya

2. Mereka didokumentasikan secara tertulis

3. Mereka diharapkan akan berlaku untuk jangka panjang


INFORMAL CONTROLS

Kontrol informal mencakup kegiatan seperti:

Menanamkan keyakinan etis perusahaan dalam karyawannya;

Memastikan pemahaman tentang misi dan tujuan perusahaan;

Program pendidikan dan pelatihan; dan

Program pengembangan manajemen

Kontrol ini dimaksudkan untuk memastikan bahwa karyawan perusahaan baik memahami dan mendukung program keamanan


Bantuan Pemerintah dan Industri

Beberapa pemerintah dan organisasi internasional telah menetapkan standar (slide berikutnya) dimaksudkan untuk menjadi pedoman bagi organisasi yang ingin mencapai keamanan informasi

Beberapa berupa benchmark, kadang-kadang disebut sebagai baseline



Standar BS7799 Inggris Britania Raya menetapkan satu set kontrol dasar. Australia dan Selandia Baru telah menerapkan kontrol berdasarkan BS 7799

BSI IT Baseline Protection Manual Pendekatan dasar juga diikuti oleh Jerman Bundesamt bulu Sicherheit in der Informationstechnik (BSI). Baseline dimaksudkan untuk memberikan keamanan yang wajar ketika persyaratan perlindungan normal dimaksudkan. Baseline juga dapat berfungsi sebagai dasar untuk tingkat perlindungan yang lebih tinggi ketika mereka yang diinginkan



COBIT COBIT, dari Sistem Informasi Audit dan Kontrol Asosiasi & Foundation (ISACA), berfokus pada proses yang perusahaan dapat mengikuti mengembangkan standar, memberikan perhatian khusus pada penulisan dan memelihara dokumen

GASSP Umumnya Diterima Prinsip Keamanan Sistem (GASSP) adalah produk dari US National Research Council. Penekanan pada pemikiran untuk membangun kebijakan keamanan



GMITS Pedoman Pengelolaan IT Security (GMITS) adalah produk dari Organisasi Standar Internasional (ISO) Joint Technical Committee dan menyediakan daftar topik kebijakan keamanan informasi yang harus disertakan dalam standar organisasi

ISF Standar Praktek yang Baik Informasi Keamanan Forum Standar Praktek yang baik mengambil pendekatan awal, mencurahkan perhatian pada perilaku pengguna yang diharapkan jika program ini adalah untuk menjadi sukses


Ketetapan Pemerintah

Pemerintah di Amerika Serikat dan Inggris telah menetapkan standar dan mengeluarkan undang-undang yang bertujuan mengatasi semakin pentingnya keamanan informasi:

Standar Keamanan Komputer Pemerintah AS

Inggris Anti-terorisme, Kejahatan dan Security Act (ATCSA) 2001

AS Pemerintah Internet Crime Legislasi


STANDAR INDUSTRI

Pusat Internet Security (CIS) adalah sebuah organisasi non profit yang didedikasikan untuk membantu pengguna komputer untuk membuat sistem mereka lebih aman

CIS Benchmarks telah dibentuk dan terintegrasi dalam paket perangkat lunak yang menghitung "keamanan" skor pada skala 10-point


SERTIFIKASI PROFESIONAL

Dimulai pada tahun 1960-an profesi TI mulai menawarkan program sertifikasi:

Sistem Informasi Audit dan Control Association (ISACA)

Sistem Informasi Keamanan Internasional Sertifikasi Consortium (ISC)

SANS (sysadmin, Audit, Network, Security) Institute


MENEMPATKAN MANAJEMEN KEAMANAN

INFORMASI DALAM PERSPEKTIF

Perusahaan harus menempatkan kebijakan manajemen keamanan informasi sebelum meletakkan kontrol di tempat

Kebijakan tersebut dapat didasarkan pada identifikasi ancaman dan risiko atau pedoman yang diberikan oleh pemerintah dan asosiasi industri

Perusahaan menerapkan kombinasi kontrol teknis, formal, dan informal diharapkan untuk menawarkan tingkat yang diinginkan keamanan dalam parameter biaya dan sesuai dengan pertimbangan lain yang memungkinkan perusahaan dan sistem untuk berfungsi secara efektif


Business Continuity Management (BCM)

Elemen kunci dalam BCM adalah rencana kontingensi, secara resmi merinci tindakan yang akan diambil dalam hal ada gangguan, atau ancaman gangguan, dalam setiap bagian dari operasi komputasi perusahaan

Sebaliknya menggunakan, rencana kontingensi tunggal yang besar, pendekatan yang terbaik perusahaan adalah untuk mengembangkan beberapa sub-rencana yang membahas kontinjensi tertentu. Seperti:

1. Rencana darurat

2. Sebuah rencana cadangan

3. Sebuah catatan rencana penting

9 Menempatkan manajemen

Keberlangsungan Bisnis Dalam Persfektifnya



MENEMPATKAN MANAJEMEN KONTINUITAS

USAHA DALAM PERSPEKTIF

Banyak upaya telah dilakukan untuk perencanaan kontingensi dan banyak informasi dan bantuan tersedia

Beberapa perusahaan menggunakan rencana dikemas mereka dapat beradaptasi dengan kebutuhan mereka

Sistem Komputer memadatkan memasarkan Sistem Disaster Recovery (DRS) yang mencakup sistem manajemen database, petunjuk dan alat-alat yang dapat digunakan dalam menyusun rencana pemulihan

Ada juga pedoman dan menguraikan bahwa perusahaan dapat menggunakan sebagai titik awal atau tolok ukur untuk mencapai


Kepustakaan

1. McLeoad, Jr., Raymond & Gearge P. Schell. Management Infromation System. (terjemahan), Jakarta : PT. INDEKS, 2007. Edisi 10, 2008

2. Kenneth C. Laudon, Jane P. Laudon, Sistem Informasi Manajemen, Mengelola Perusahaan Global, Jakarta, Salemba Emappt, Edisi 12, 2008

3. HM. Jogiyanto. Analisis & Disain Sistem Infromasi : Pendekatan Terstruktur, Teori dan Praktek Aplikasi Bisnis, Jogyakarta : Penerbit ANDI, 2002

Anjuran :

1. Hapzi Ali & Tonny Wangdra, Sistem Informasi Bisnis SI-Bis Dalam Prospektif Keunggulan Kompetitif, Baduose Media, 2010

2. Hapzi Ali & Tonny Wangdra, Techopreneurship, Dalam Perspektif Bisnis Online, Baduose Media, 2010

3. Hapzi Ali, Sistem Informasi Manajemen, Berbasis Teknologi Informasi, Hasta Cipta Mandiri, Jogyakarta, 2009

4. Hapzi Ali, Pengenalan Komputer, Tuntunan Praktis untuk Pemula, Hasta Cipta Mandiri, Jogjakarta, 2008

5. James A. Brain, Introduction to Information System, Perspektif Bisnis dan Managerial (terjemahah), Salemba Empat, 2005

Wassalamu alaikum, wr, wb

46

email : [email protected]

Kepustakaan

1. Ali, Hapzi, & Tonny Wangdra, 2010. Techopreneurship, Dalam Perspektif Bisnis Online, Baduose Media Jakarta

2. Ali, Hapzi, Tonny Wangdra , 2010. Sistem Informasi Bisnis SI-Bis Dalam Prospektif Keunggulan Kompetitif, Baduose Media Jakarta.

3. Ali, Hapzi, 2010. Membangun Citra Perbankan Melalui IT & CRM untuk Meningkatkan Loyalitas Nasabah, Hasta Cipta Mandiri Yogyakarta

4. Ali, Hapzi Ali, 2009. Sistem Informasi Manajemen, Berbasis Teknologi Informasi, Hasta Cipta Mandiri Yogyakarta

5. Ali, Hapzi Ali, 2008. Pengenalan Komputer, Tuntunan Praktis untuk Pemula, Hasta Cipta Mandiri Yogyakarta

6. Debby Ratna Daniel, 2005. Wiwik Supratiwi, Sistem Informasi Manajemen, Universitas Terbuka JakartaMcLeoad, Jr., Raymond & Gearge P. Schell. Management Infromation System. (terjemahan), Jakarta : PT. INDEKS, 2007. Edisi 10, 2008

7. Kenneth C. Laudon, Jane P. Laudon, Sistem Informasi Manajemen, Mengelola Perusahaan Global, Jakarta, Salemba Emappt, Edisi 12, 2008

10. hapzi ali, sim, keamanan sistem informasi

Marketing

Transcript of 10. hapzi ali, sim, keamanan sistem informasi

BE & GG, purwono sutoyo, hapzi ali, tugas UTS, etika bisnis, nilai etika dalam bisnis kewirausahaan berbasis syariah, Universitas Mercu Buana, 2017, PDF

14. SIM, Yasmin Al-Hakim, Hapzi Ali, Pengenalan E-Learning, Universitas Mercu Buana, 2017

11. hapzi ali, sim, implikasi etis dari ti

BE&GG, Stanlay Hitipeuw, Hapzi Ali, Etika Bisnis PT AIA Financial, Universitas Mercu Buana, 2017

Si pi, yohanes agung nugroho, hapzi ali, sistem informasi, organisasi dan strategi, universitas mercu buana, 2017

SI-PI, Dwi Rintani, Hapzi Ali, Sistem Informasi Organisasi dan Strategi, Universitas Mercu Buana, 2017.PDF

1. hapzi ali, sistem informasi berbasis komputer (computer base is), cbis, ut

4. hapzi ali, sistem informasi eksekutif (executive information system), eis, ut

SI-PI,Ranti Pusriana,Hapzi Ali,Sistem Pengendalian Internal,Universitas Mercubuana, 2017

5. hapzi ali, sistem pendukung keputusan (decision support system), dss ut

SIM, Yasmin Al-Hakim, Hapzi Ali, Sistem Manajemen Database, Universitas Mercu Buana, 2017

13 si pi, jemmy esrom serang, hapzi ali, siklus proses bisnis pendukung, universitas mercu buana, 2017

Makalah Sim Ali Baru UKM

Be&gg, unang toto handiman, hapzi ali, decision making employer responsibility and employer right penerapan di indonesia, universitas mercubuana, 2017

Begg, unang toto handiman, hapzi ali, decision making employer responsibility and employer right penerapan di indonesia, universitas mercubuana, 2017 b

SI-PI,Ranti Pusriana,Hapzi Ali,Siklus proses bisnis pendukung,Universitas Mercubuana, 2017

13. SIM, Yasmin Al-Hakim, Hapzi Ali, Telekomunikasi, Internet, dan Teknologi Nirkabel, Universitas Mercu Buana, 2017

Be & gg, zikri nurmansyah, prof. dr. ir. hapzi ali, mm, cma, business ethic bosowa corporation, universitas mercu buana, 2017

S-PI, Adi Nurpermana, Hapzi Ali, E-Busness Global, Universitas Mercu Buana, 2017

13 SI-PI, Yohana Premavari, Hapzi Ali, Siklus Proses Bisnis Pendukung, Universitas Mercu Buana, 2017.PDF