Bab 7 (Pertemuan 8)
-
Upload
anggietha-silviani -
Category
Documents
-
view
28 -
download
0
Transcript of Bab 7 (Pertemuan 8)
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 1
Keamanan Sistem Informasi
Bab 7
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 2
Tinjauan Sekilas
Sistim keamanan informasi adalah subsistem organisasi yang mengendalikan resiko-resiko khusus yang berhubungan dengan sistim informasi berbasis-komputer
Sistim keamanan komputer mempunyai unsur-unsur dasar setiap sistem informasi, seperti perangkat keras, database, prosedur-prosedur, dan laporan-laporan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 3
Hasil Sasaran Belajar
1 Mampu menguraikan pendekatan umum untuk menganalisis kerawanan dan ancaman-ancaman di dalam sistim informasi.
2 Mampu mengidentifikasi ancaman-ancaman pasif dan aktif sistim informasi .
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 4
Hasil Sasaran Belajar
3 Mampu mengidentifikasi aspek kunci sistim keamanan informasi .
4 Mampu membahas kontingensi perencanaan dan praktek pengelolaan risiko bencana lainnya.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 5
Sasaran Belajar 1
Mampu menguraikan pendekatan umum untuk menganalisis kerawanan dan ancaman-ancaman di dalam sistim
informasi
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 6
Daur hidup Sistim Sekuritas Informasi
Sistem keamanan komputer dikembangkan dengan menerapkan metoda-metoda yang telah mapan yang terdiri dari : analisis sistem; desain; implementasi; dan operasi, evaluasi, serta kendali.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 7
Siklus Hidup Sistem Keamanan Informasi
Fase Siklus Hidup SasaranAnalisis Sistem Analisis kerentanan sistem
informasi terutama yang berhubungan dengan hambatandan kerugian yang mungkin timbul.
Perancangan Sistem Perancangan pengukurankeamanan dan rencana kontigensi untuk mengatasi kerugian.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 8
Siklus Hidup Sistem Keamanan Informasi
Fase Siklus Hidup Sasaran
Implementasi Sistem Implementasi ukuran keamanan seperti rancangan
Operasi, evaluasi, Operasi sistem dandan pengendalian penilaian efektifitas dansistem efisiensinya.
Perubahan sesuai dengan kondisi yang dibutuhkan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 9
Sistim Keamanan Informasi di dalam Organisasi
Sistim keamanan informasi harus diatur oleh seorang kepala petugas keamanan (Chief Security Officer).
Untuk menjaga independensinya, CSO harus bertanggungjawab secara langsung kepada dewan direktur.
Laporan-laporan CSO harus meliputi semua tahap siklus daur hidup.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 10
Analisa Kerentanan dan Ancaman
Ada dua pendekatan dasar yang dipakai untuk meneliti kerentanan dan ancaman-ancaman sistem informasi:
1. Pendekatan kwantitatif untuk penaksiran risiko
2. Pendekatan kwalitatif
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 11
Analisa Kerentanan dan Ancaman
Di dalam pendekatan kwantitatif untuk penaksiran risiko, setiap kemungkinan kerugian dihitung sesuai hasil biaya kerugian perorangan dikalikan dengan kemungkinan munculnya.
Terdapat beberapa kesulitan di dalam menerapkan pendekatan kwantitatif untuk menaksir kerugian.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 12
Analisa Kerentanan dan Ancaman
1. Kesulitan mengidentifikasi biaya relevan per kerugian dan kemungkinan-kemungkinan yang terkait.
2. Kesulitan menaksir kemungkinan dari suatu kegagalan yang memerlukan peramalan masa depan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 13
Analisa Kerentanan dan Ancaman
Pendekatan kwalitatif untuk penaksiran risiko dilakukan dengan mengurutkan kerentanan dan ancaman sistim, dan menyusun secara subyektif menurut sumbangan mereka terhadap kemungkinan total kerugian perusahaan.
Terlepas metoda yang digunakan, setiap analisa harus mencakup kemungkinan kerugian untuk masalah berikut ini:
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 14
Analisa Kerentanan dan Ancaman
1. gangguan bisnis
2. kehilangan perangkat lunak
3. kehilangan data
4. kehilangan perangkat keras
5. kehilangan fasilitas-fasilitas
6. kehilangan layanan dan pegawai.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 15
Sasaran Belajar 2
Identifikasi ancaman-ancaman pasif dan
aktif sistim informasi .
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 16
Kerentanan dan Ancaman
Apa yang dimaksud dengan kerentanan? Kerentanan adalah suatu kelemahan di
suatu sistem.
Apa yang dimaksud dengan ancaman? Ancaman adalah suatu eksploitasi potensial
kerentanan sistem.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 17
Kerentanan dan Ancaman
Dua kategori ancaman sistem:
1. Ancaman-ancaman aktif
2. Ancaman-ancaman pasif
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 18
Kerentanan dan Ancaman
Contoh ancaman aktif adalah penipuan komputer dan sabotase komputer.
Contoh ancaman pasif adalah sistim bermasalah, seperti karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 19
Individu yang Menimbulkan Ancaman Sistem Informasi
Suatu serangan yang sukses di satu sistem informasi memerlukan akses ke perangkat keras, file data sensitip, atau program kritis.
Tiga kategori individu yang bisa menimbulkan serangan ke sistem informasi:
1. Karyawan sistim informasi
2. Para pemakai
3. Pengganggu
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 20
Individu yang Menimbulkan Ancaman Sistem Informasi
Karyawan sistim informasi meliputi: 1. Karyawan pemeliharaan komputer
2. Programmer
3. Operator komputer dan jaringan
4. Karyawan administrasi sistim informasi
5. Karyawan pengendalian data
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 21
Individu yang Menimbulkan Ancaman Sistem Informasi
Para pemakai terdiri dari kelompok orang yang beragam dan satu sama lain dapat dibedakan berdasarkan kegiatan fungsional mereka tanpa memandang pengolahan data.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 22
Individu yang Menimbulkan Ancaman Sistem Informasi
Pengganggu adalah setiap orang yang mengakses peralatan, data elektronik, atau memfile tanpa otorisasi yang tepat.
Siapakah hacker? Hacker adalah seorang pengganggu yang
menyerang suatu sistim untuk iseng dan tantangan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 23
Individu yang Menimbulkan Ancaman Sistem Informasi
Jenis-jenis lain dari pengganggu-pengganggu? • unnoticed intruders• wiretappers • piggybackers • impersonating intruders• eavesdroppers
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 24
Ancaman-ancaman Aktif Sistim Informasi
Metoda-metoda yang biasa dipakai untuk melakukan penipuan sistim informasi : • manipulasi masukan • gangguan program • gangguan file secara langsung • pencurian data• sabotase • penggelapan atau pencurian sumber daya informasi
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 25
Ancaman-ancaman Aktif Sistim Informasi
Dalam banyak kasus penipuan komputer, manipulasi masukan adalah metoda yang paling banyak digunakan.
Metoda ini memerlukan paling sedikit kecakapan teknis .
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 26
Ancaman-ancaman Aktif Sistim Informasi
Gangguan program barangkali metoda yang paling sedikit digunakan untuk melakukan penipuan komputer.
Metoda ini memerlukan ketrampilan-ketrampilan programming yang hanya dikuasai hanya oleh beberapa orang.
Apa yang dimaksud trapdoor?
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 27
Ancaman-ancaman Aktif Sistim Informasi
Trapdoor adalah suatu bagian program komputer yang mengizinkan (membiarkan) seseorang untuk mengakses program dengan melewati pengamanan normal program tersebut.
Gangguan file secara langsung terjadi ketika seseorang menemukan jalan untuk membypass proses normal untuk pemasukan data ke program komputer.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 28
Ancaman-ancaman Aktif Sistim Informasi
Pencurian data adalah masalah yang serius di dalam bisnis sekarang ini.
Di dalam industri yang sangat kompetitif, informasi kwalitatif dan kwantitatif tentang pesaing nya terus menerus dicari.
Sabotase komputer adalah suatu bahaya yang sangat serius bagi semua sistem informasi.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 29
Ancaman-ancaman Aktif Sistim Informasi
Karyawan yang tidak puas, bisa menjadi para pelaku sabotase sistem komputer.
Beberapa metoda dari sabotase: • Logic bomb• Trojan horse• virus program virus
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 30
Ancaman-ancaman Aktif Sistim Informasi
Apa yang dimaksud Worm? Worm adalah suatu jenis dari virus komputer yang
menyebar dengan sendirinya di atas suatu jaringan komputer.
Salah satu jenis penggelapan sumber daya komputer adalah ketika penggunaan sumber daya komputer-komputer perusahaan digunakan karyawan untuk urusan bisnis mereka sendiri.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 31
Sasaran Belajar 3
Identifikasi aspek kunci dari suatu sistim keamanan informasi.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 32
Sistim Keamanan Informasi
Pengendalian ancaman-ancaman dapat tercapai dengan menerapkan pengukuran keamanan dan rencana darurat.
Pengukuran keamanan berfokus pada pencegahan dan pendeteksian ancaman-ancaman.
Rencana kontingensi berfokus pada perbaikan dampak dari ancaman-ancaman.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 33
Lingkungan Kendali
Lingkungan Pengendalian adalah dasar efektivitas keseluruhan sistem pengendalian.
Lingkungan pengendalian bergantung pada faktor-faktor berikut:
1 Filosofi dan Gaya Operasi Manajemen• Pertama dan aktivitas yang paling penting di
dalam keamanan sistem adalah menciptakan moril yang tinggi.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 34
Lingkungan Pengendalian
• Semua karyawan perlu menerima pendidikan di mengenai masalah keamanan.
• Aturan keamanan harus dimonitor.
2 Struktur Organisasi• Dalam banyak organisasi, akuntansi, komputasi, dan
pengolahan semuanya diorganisir di bawah chief information officer (CIO).
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 35
Lingkungan Pengendalian
• Di dalam lini organisasi harus ditentukan siapa yang bertanggung jawab atas pembuatan keputusan yang secara langsung bersinggungan kepada perangkat lunak akuntansi dan prosedur akuntansi.
3 Dewan Komisaris dan Komite-komitenya• Dewan Komisaris harus menugaskan suatu
komite audit .
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 36
Lingkungan Pengendalian
• Komite ini harus menugaskan atau menyetujui janji temu dari suatu pemeriksa intern.
4 Metoda-metoda Penugasan Otoritas dan Tanggung jawab• Tanggung-jawab semua posisi harus
didokumentasikan secara hati-hati dengan menggunakan bagan struktur organisasi, manual-manual kebijakan, dan diskripsi tugas .
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 37
Lingkungan Pengendalian
5 Aktivitas Pengendalian Manajemen• Pengendalian harus dibentuk terutama yang
bersinggungan kepada penggunaan dan tanggung-jawab semua sumber daya yang berkenaan dengan komputer dan sistem informasi.
• Harus ditetapkan anggaran-anggaran:• pengadaan peralatan dan perangkat lunak,
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 38
Lingkungan Pengendalian
• biaya operasi, dan
• pemakaian.
• Di dalam ketiga kategori tersebut, biaya yang sebenarnya harus dibandingkan dengan jumlah yang dianggarkan.
• Perbedaan yang signifikan harus diselidiki .
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 39
Lingkungan Pengendalian
6 Fungsi Internal Audit• Sistim keamanan komputer harus terus menerus
teraudit dan dimodifikasi untuk memenuhi kebutuhan perubahan.
• Semua modifikasi sistim itu harus diterapkan sesuai kebijakan-kebijakan keamanan yang telah ditentukan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 40
Lingkungan Pengendalian
7 Kebijakan dan Praktek-praktek Kepegawaian• Pemisahan tugas, pengawasan yang cukup,
rotasi pekerjaan, liburan-liburan yang dipaksakan, dan cek sekali lagi semuanya.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 41
Lingkungan Pengendalian
Pengaruh dari Luar Sistem informasi perusahaan harus sesuai
dan memenuhi semua hukum dan peraturan-peraturan pemerintah dan negara.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 42
Pengendalian Ancaman-ancaman Aktif
Cara utama untuk mencegah penggelapan dan sabotase adalah menerapkan jenjang memadai pada pengendalian akses.
Tiga jenjang pengendalian akses: 1. Site-access controls
2. System-access controls
3. File-access controls
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 43
Pengendalian Ancaman-ancaman Aktif
1 Site-Access Controls Tujuan pengendalian akses fisik adalah
untuk memisahkan secara fisik, individu yang tidak memiliki otorisasi dari sumberdaya komputer yang ada.
Pemisahan fisik ini harus diterapkan pada perangkat keras, area masukan, keluaran dan librari data, dan kabel kabel komunikasi
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 44
Pengendalian Ancaman-ancaman Aktif
Seluruh pemakai diharuskan menggunakan kartu identitas keamanan.
Tempat pengolahan data harus berada dalam gedung tertutup yang dikelilingi pagar.
Suatu sistim masukan sangat tegas harus digunakan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 45
Pengendalian Ancaman-ancaman Aktif
TV Monitor
Telephone
Locked Door(entrance)
Locked Door(opened frominside vault)
Intercomto vault
LOBBY
Locked Door
ServiceWindow
DataArchives
INNER VAULT
ScannerMagnetDetector
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 46
Pengendalian Ancaman-ancaman Aktif
2 System-Access Controls• Pengendalian akses sistem adalah pengendalian
yang berbentuk perangkat lunak, yang dirancang untuk mencegah pemanfaatan sistem oleh orang yang tidak berhak.
• Pengendali ini membuktikan keaslian pemakai dengan ID pemakai, kata sandi, alamat protokol internet, dan alat-alat perangkat keras.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 47
Pengendalian Ancaman-ancaman Aktif
3 File-Access Controls Pengendalian akses file mencegah akses
yang tidak sah ke file data dan file-file program.
Pengendalian akses file paling pokok adalah penetapan petunjuk otorisasi dan prosedur-prosedur untuk mengakses dan mengubah file-file.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 48
Pengendalian Ancaman-ancaman Pasif
Ancaman-ancaman pasif termasuk permasalahan kegagalan tenaga dan perangkat keras.
Pengendalian untuk ancaman pasif dapat bersifat preventif atau korektif.
Pengendalian Preventive • Sistem Toleransi Kesalahan menggunakan
pemonitoran dan pencadangan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 49
Pengendalian Ancaman-ancaman Pasif
• Jika salah satu bagian sistem gagal, bagian cadangan akan segera mengambil alih dan sistem akan melanjutkan operasi dengan sedikit atau tanpa interupsi.
2 Corrective Controls• File backup digunakan untuk memperbaiki
kesalahan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 50
Pengendalian Ancaman-ancaman Pasif
Tiga tipe backup:1 Full backups2 Incremental backups3 Differential backups
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 51
Sasaran Belajar 4
Diskusikan perencanaan kontingensi dan
praktek manajemen resiko bencana lain.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 52
Manajemen Resiko Bencana
Manajemen resiko bencana sangat penting untuk memastikan kesinambungan operasi dalam hal terjadi suatu bencana.
Manajemen resiko bencana berhubungan dengan pencegahan dan perencanaan kontingensi.
Pencegahan bencana merupakan langkah awal dalam managemen resiko bencana.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 53
Manajemen Resiko Bencana
Hasil penelitian menunjukkan frekwensi bencana dari berbagai sebab:• Bencana alam 30% • Tindakan yang disengaja 45% • Kesalahan manusia 25%
Data ini menunjukkan bahwa prosentase besar dari bencana-bencana itu dapat dikurangi atau dihindarkan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 54
Manajemen Resiko Bencana
Rencana pemulihan bencana harus diterapkan di tingkatan yang paling tinggi di perusahaan.
Langkah pertama untuk mengembangkan rencana pemulihan bencana harus memperoleh dukungan dari manager senior dan menyiapkan suatu komite perencanaan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 55
Manajemen Resiko Bencana
Perancangan rencana pemulihan bencana meliputi tiga komponen utama:
1. Menilai kebutuhan-kebutuhan penting perusahaan.
2. Membuat daftar prioritas daftar pemulihan.
3. Menetetapkan strategi dan prosedur pemulihan.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 56
Manajemen Resiko Bencana
Rancangan strategi pemulihan perlu mempertimbangkan hal-hal:• pusat respons darurat • prosedur-prosedur ekskalasi dan perubahan
pelaksanaan pemrosesan • rencana relokasi dan penggantian pegawai • rencana penyediaan cadangan, dan rencana
pengujian dan pemeliharaan sistim.
2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 57
Terima Kasih