lasminiasih.staff.gunadarma.ac.idlasminiasih.staff.gunadarma.ac.id/Downloads/files/53614/Komput… ·...
Transcript of lasminiasih.staff.gunadarma.ac.idlasminiasih.staff.gunadarma.ac.id/Downloads/files/53614/Komput… ·...
KOMPUTER DAN KEAMANAN SISTEM INFORMASI
Diajukan untuk memenuhi salah satu mata kuliah Konsep Sistem Informasi Akuntansi
Disusun Oleh :
Prilia Annisa A (28214515)
Putri Lestari (28214608)
Rafie Fauzi (28214741)
Rifdah Wijdaan (29214345)
Rizky Amalia (29214665)
Rizky Ramadhan (29214717)
Serly Huzaima (2A214162)
Silvia Nindy Y (2A214276)
Thio Prima A (2A214732)
Windra Patria A (2C214276)
FAKULTAS EKONOMI
JURUSAN AKUNTANSI
UNIVERSITAS GUNADARMA
2016
KATA PENGANTAR
Puji syukur kami panjatkan ke hadirat Allah SWT, karena berkat rahmat-Nya kami dapat
menyelesaikan makalah yang berjudul Komputer dan Keamanan Sistem Informasi. Makalah ini
diajukan guna memenuhi tugas mata kuliah Konsep Sistem Informasi Akuntansi.
Kami mengucapkan terima kasih kepada semua pihak yang telah membantu sehingga
makalah ini dapat diselesaikan tepat pada waktunya. Makalah ini masih jauh dari sempurna, oleh
karena itu, kritik dan saran yang bersifat membangun sangat kami harapkan demi sempurnanya
makalah ini.
Semoga makalah ini memberikan informasi bagi masyarakat dan bermanfaat untuk
pengembangan wawasan dan peningkatan ilmu pengetahuan bagi kita semua.
Depok, Maret 2016
Penyusun
DAFTAR ISI
KATA PENGANTAR i
DAFTAR ISI ii
BAB I PENDAHULUAN
1.1 Latar Belakang 1
1.2 Rumusan Masalah 1
1.3 Tujuan Penulisan 1
BAB II PEMBAHASAN
2.1 Keamanan Komputer : Tinjauan Sekilas 2
2.2 Kerentanan Dan Hambatan-Hambatan 5
2.3 Sistem Keamanan Komputer 15
2.4 Manajemen Risiko Bencana 18
BAB III PENUTUP
3.1. Kesimpulan 21
KATA PENUTUP
DAFTAR PUSTAKA
BAB I
PENDAHULUAN
1.1 Latar Belakang
Pada era informasi dan globalisasi menyebabkan lingkungan bisnis mengalami perubahan
yang sangat pesat dengan tingkat persaingan ketat. Oleh karena itu perusahaan dituntut
untuk melakukan kegiatan operasionalnya secara efektif dan efisien umtuk
mempertahankan eksistensinya, sehingga pengetahuan merupakan kekuatan yang sangat
penting untuk membantu manajer dalam pengambilan keputusan. Informasi yang
berkualitas yaitu informasi yang akurat, relevan, dan tepat waktu sehingga keputusan
bisnis yang tepat dapat dibuat dan disesuaikan dengan sistem informasi yang diterapkan
di masing – masing perusahaan. Dengan demikian, pengelolaan sistem informasi
merupakan hal yang sangat penting untuk dilakukan.
1.2 Rumusan Masalah
Dalam penulisan tugas ini, maka penulis perlu membuat berbagai rumusan yang akan
membantu mengungkap berbagai hal yang dapat dinyatakan baik secara langsung maupun
secara tidak langsung. Adapun rumusan masalah yang dimaksudkan tersebut dapat
dinyatakan sebagai berikut:
1. Bagaimana Keamanan Komputer : Tinjauan Sekilas?
2. Bagaimana Kerentanan dan Hambatan – hambatan?
3. Bagaimana Sistem Keamanan Komputer?
4. Bagaimana Manajemen Risiko Bencana?
1.3 Tujuan Penulisan
Berdasarkan rumusan masalah di atas, maka dapat dituliskan beberapa tujuan dari tugas
yang dibuat. Adapun tujuan penulisan yang dimaksudkan sebagai berikut:
1. Dapat mengetahui Keamanan Komputer : Tinjauan Sekilas.
2. Dapat mengetahui Kerentanan dan Hambatan – hambatan.
3. Dapat mengetahui Sistem Keamanan Komputer.
4. Dapat mengetahui Manajemen Risiko Bencana.
BAB II
PEMBAHASAN
2.1 Keamanan Komputer : Tinjauan Sekilas
Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras,
database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan
sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan
dalam database, dan digunakan untuk menghasilkan laporan.
Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu,
pengembangan sistem keamanan juga perlu mengacu pada pendekatan siklus
hidup sistem. Sistem keamanan komputer dikembangkan dengan menerapkan
metode analisis, desain, implementasi, serta operasi, evaluasi, dan pengendalian.
Tujuan setiap tahap siklus hidup ini adalah sebagai berikut :
Fase Siklus Hidup TujuanAnalisis Sistem Analisis kerentanan sistem
dalam arti mengacu yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain Sistem Desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi Sistem Menerapkan ukuran keamanan seperti yang telah didesain.
Operasi, Evaluasi, & Pengendalian Sistem Mengoperasikan sistem dan menaksir efektivitas dan efisiensi.
Membuat perubahan sebagaimana diperlukan sesuai dengan kondisi.
Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan
laporan analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk
mendesain serangkaian ukuran pengendalian risiko yang komprehensif, termasuk
ukuran keamanan untuk mencegah kerugian dan rencana kontingensi untuk
menangani kerugian pada saat kerugian tersebut harus terjadi. Secara kolektif,
keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen
risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan
risiko sistem komputer.
Sistem Keamanan Informasi dalam Organisasi
Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security
officer (CSO). Individu tersebut harus melaporkan langsung pada dewan direksi
demi terciptanya independensi. Tugas utama CSO adalah memberikan laporan
kepada dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini
mencakup setiap fase dari siklus hidup.
Fase Siklus Hidup Laporan kepada Dewan Direksi
Analisis Sistem Sebuah ringkasan terkait dengan semua eksposur kerugian yang relevan.
Desain Sistem Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem keamanan secara lengkap.
Implementasi Sistem, Operasi, Evaluasi, dan Pengendalian Sistem
Mengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.
Menganalisis Kerentanan dan Ancaman
Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem.
Pendekatan kuantitatif untuk manaksir risiko menghitung setiap eksposur kerugian
sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan
terjadinya eksposur tersebut. Sebagai contoh, asumsikan bahwa sebuah kerugian
dapat digambarkan sebagai suatu faktor risiko antara 0 dan 1. Kemudian laporan
analisis ancaman, sebagi contoh ditunjukkan pada Gambar 5.1. Dalam contoh
tersebut, pencurian data merupakan eksposur kerugian terbesar, diikuti dengan
kecurangan dan serangan virus (serangan yang diakibatkan oleh program
komputer yang memang didesain untuk menyabotase file – file penting).
Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa
ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur
kerugian terbesar. Sebagai contoh, pada Gambar 5.1, ancaman yang paling banyak
terjadi adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur
kerugian akibat ancaman tersebut bisa dikatakan paling kecil.
Laporan Analisis Ancaman
Kerugian Potensial ($) Risiko Eksposur Kerugian ($)
Pencurian data 700.000.000 0.050 35.000.000Kecurangan dan serangan virus
1.200.000.000 0.025 30.000.000
Sabotase 2.500.000.000 0.010 25.000.000Perubahan file 400.000.000 0.050 20.000.000Perubahan program 80.000.000 0.020 1.600.000Pencurian peralatan 15.000.000 0.100 1.500.000Bencana alam 100.000.000 0.008 800.000
Gambar 5.1 Laporan Analisis Ancaman
Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir
eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item
kerugian dan menaksir probabilitas terjadinya eksposur tersebut merupakan hal
yang sulit. Biaya yang relevan untuk satu kerugian adalah turunnya profitabilitas
perusahaan sebagai akibat terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit
diestimasi karena estimasi melibatkan estimasi biaya interupsi bisnis yang sulit
diprediksi atau estimasi biaya penggantian komputer yang hanya dapat diganti
dengan model baru yang sebenarnya tidak sebanding dengan komputer lama. Yang
kedua, mengestimasi kemungkinan terjadinya suatu kerugian melibatkan
peramalan masa yang akan datang, yang sangat sulit khususnya dalam lingkungan
teknologi yang mengalami perubahan sangat cepat. Sebagai contoh, banyak
manajer gagal melihat masalah di masa yang akan datang terkait dengan virus
komputer. Lebih jauh, dalam upaya menaksir probabilitas terjadinya serangan
yang disengaja terhadap suatu sistem, seseorangan harus mengestimasi biaya dan
manfaat serangan semacam ini bagi penyerang. Estimasi ini memerlukan asumsi
mengenai preferensi risiko penyerang. Sebagai contoh, seorang penyerang
mungkin bersedia untuk menerima risiko yang lebih besar dibandingkan dengan
penyerang lain untuk mendapatkan sejumlah dollar yang sama. Penyerang yang
sangat suka risiko mungkin akan bersedia menerima risiko sangat besar untuk
mendapatkan sedikit upah.
Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer
adalah pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar
kerentanan dan ancaman terhadap sistem, kemudian secara subjektif maranking
item-item tersebut berdasarkan kontribusi setiam item tersebut terhadap total
eksposur kerugian perusahaan. Baik pendekatan kualitatif maupun pendekatan
kuantitatif sering digunakan di dalam praktik. Banyak perusahaan
mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai,
analisis eksposur kerugian tersebut harus mencakup area berikut ini :
Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel
Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi menggunakan satu
dari banyak metode, termasuk replacement cost, service denial, kewajiban kepada
pihak ketiga (yang disebabkan oleh ketidakmampuan perusahaan memenuhi suatu
kontrak), dan interupsi bisnis.
2.2 Kerentanan dan Hambatan – hambatan
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan
suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok
ancaman: aktif dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan
sabotase komputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam,
seperti gempa bumi, banjir, kebakaran, dan angin badai. Kegagalan sistem
menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk,
matinya aliran listrik, dan lain sebagainya.
Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan
kerah putih. Masalah kejahatan kerah putih merupakan masalah yang serius.
Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan
lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini
mungkin mengejutkan karena kita jarang membaca kejahatan semacam ini di
dalam media massa. Hal ini terjadi karena di sebagian besar kasus, kecurangan
yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat public
mengetahui kelemahan pengendalian internal perusahaan. Manager enggan
berhadapan dengan sisi negative publisitas yang bisa menimbulkan penghakiman
masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak negara
memiliki undang-undang yang ditujukan pada masalah keaman komputer (lihat
Gambar 5.2). Di Amerika Serikat, berbagai undang-undang, regulasi, dan
publikasi ditunjukan pada masalah kejahatan komputer. Banyak negara bagian
telah mengeluarkan statula kriminal guna menentang kejahatan komputer.
Computer Fraud and Abuse Act Tahun 1986 menyatakan akses tidak legal yang
dilakukan dengan sengaja terhadap data yang disimpan dalam komputer lembaga
keuangan, komputer yang dimiliki atau digunakan oleh pemerintah federal, atau
komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah
kejahatan federal. Pencurian password untuk akses komputer juga dilarang.
Tindakan kriminal ditentukan oleh kerugian perangkat lunak senilai $1,000 atau
lebih; pencurian barang berwujud, jasa, atau uang; atau akses tanpa atau dengan
perubahan terhadap catatan medis. Denda tanpa mencapai $250,000 atau dua kali
lipat nilai data yang dicuri, dan pelaku utama dapat dikenai hukuman penjara satu
sampai dengan lima tahun.
National Commission on Fraudulent Financial Reporting (Treadway Commission)
mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan
manajemen merupakan kecurangan yang dengan sengaja dilakukan oleh
manajemen dengan tujuan untuk menipu investor dan kreditor melalui pelaporan
keuangan yang menyesatkan. Kecurangan semacam ini dilakukan oleh mereka
yang memiliki posisi cukup tinggi di dalam organisasi sehingga memungkinkan
mereka melanggar pengendalian akuntansi. Memang bisa saja manajemen
melakukan kesalahan lain yang memiliki potensi untuk merugikan karyawan atau
investor, namun biasanya istilah kecurangan namajemen mengacu pada
manipulasi laporan keuangan.
Undang-Undang Keamanan Komputer InternasionalCanada Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa
Otoritas legal, menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan penggunaan jasa komputer atau penyadapan sinyal atau fungsi komputer.
Denmark Kode Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan penalti kriminal sampai dua tahun atas akses tidak legal terhadap informasi atau program pengolahan data orang lain.
Firlandia Penal Provision of Personal Registers Act,1987, Pasal 45, Personal Registers Trespass, menetapkan penalti kriminal sampai enam bulan atas penggunaan kode pengguna lain atau sarana kecurangan untuk mengakses data personal yang disimpan dalam pemrosesan data komputer.
Perancis Undang-Undang Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2 sampai 9, menetapkan penalti kriminal sampai tiga tahun atas akses illegal terhadap pemalsuan, modifikasi atau penghapusan data, atau penggunaan data yang diperoleh dari sistem pemrosesan data yang terotomatisasi.
Switserland Kode Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan Data, menetapkan penalti kriminal sampai 10 tahun atas kesengajaan menambah atau
menghapus record data dengan tujuan untuk kepentingan diri sendiri.
Gambar 5.2 Undang-Undang Keamanan Komputer Internasional
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai
perilaku sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai
melakukan sesuatu, yang menghasilkan laporan keuangan yang secara material
menyesatkan. Komisi memelajari 456 kasus siding terhadap auditor. Kecurangan
manajemen ditemukan pada separuh dari total kasus tersebut. Komisi mengamati
bahwa sistem informasi berbasis komputer menggandakan potensi
penyalahgunaan atau rekayasa informasi sehingga meningkatkan risiko
kecurangan dalam peloporan keuangan.
Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap
hardware, file data yang sensitive, atau program yang kritis. Tiga kelompok
individu-personal sistem, pengguna, dan penyusup-memiliki perbedaan
kemampuan untuk mengakses hal-hal tersebut di atas. Personal sistem kerap kali
merupakan ancaman potensial karena mereka diberi berbagai kewenangan akses
terhadap data dan program yang sensitive. Pengguna,di sisi lain, hanya diberi
akses terbatas (sempit), tetapi mereka masih memiliki cara untuk melakukan
kecurangan. Penyusup tidak diberi akses sama sekali, tetapi mereka sering
merupakan orang-orang yang sangat cerdas yang bisa menimbulkan kerugian yang
sangat besar pada perusahaan.
Personal Sistem Komputer
Personal sistem meliputi:
a. Personal Pemeliharaan Sistem menginstal perangkat keras dan
perangkat lunak, memperbaiki perangkat keras, dan membetulkan
kesalahan kecil di dalam perangkat lunak.
b. Programer Sistem sering menulis program untuk memodifikasi
dan memperluas sistem operasi jaringan. Programer aplikasi bisa
saja membuat modifikasi yang tidak diharapkan terhadap program
yang ada saat ini atau menulis program baru guna menjalankan hal-
hal yang tidak semestinya.
c. Operator Jaringan Individu yang mengamati dan memonitor
operasi komputer dan jaringan komunikasi disebut operasi jaringan.
d. Personal Administrasi Sistem Informasi Supervisor sistem
menempati posisi kepercayaan yang sangat tinggi. Orang ini
biasanya memiliki akses ke rahasia keamanan, file, program, dan
lain sebagainya.
e. Karyawan Pengendali Data Mereka yang bertanggung jawab
terhadap penginputan data ke dalam komputer. Posisi ini memberi
peluang bagi karyawan untuk melakukan manipulasi data input.
Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat
dibedakan dengan yang lain karena area fungsional mereka bukan
merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses
ke data yang sensitif yang dapat mereka bocorkan kepada pesaing
perusahaan. Dalam beberapa kasus, pengguna memiliki kendali terhadap
input komputer yang cukup penting, seperti memo kredit, kredit rekening,
dan lain sebagainya.
Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file
tanpa hak yang legal merupakan penyusup. Penyusup yang menyerang
sistem informasi sebagai sebuah kesenangan dan tantangan dikenal dengan
nama hacker. Tipe lain dari penyusup mencakup :
a. Unnoticed Intruder Seorang pelanggan bisa berjalan masuk ke
dalam area yang tidak dijaga dan melihat data yang sensitif di
dalam komputer personal yang sedang tidak ada orangnya. Seorang
hacker bisa saja masuk ke dalam sistem dan merusak website
perusahaan.
b. Wiretapper Sebagian besar dari informasi diproses oleh komputer
perusahaan melewati kabel. Sebagian informasi ditransmisikan
hanya dari satu ruang ke ruang lain. Informasi yang lain mungkin
saja ditransmisikan antarnegara melalui internet. Jaringan ini rentan
terhadap kemungkinan wiretapping (penyadapan). Penyadapan ini
bisa dilakukan, bahkan dengan peralatan yang tidak mahal seperti
sebuah tape recorder dan sepotong kabel yang memungkinkan
terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi
penyadapan.
c. Piggybacker Salah satu jenis penyadapan canggih, dengan metode
ini, penyadap menyadap informasi legal dan menggantinya dengan
informasi yang salah.
d. Impersonating Intruder yakni individu-individu tertentu yang
bertujuan melakukan kecurangan terhadap perusahaan. Salah satu
tipe penyusup menggunakan user ID dan password yang diperoleh
dengan cara yang tidak legal untuk mengakses sumber daya
elektronik perusahaan.
e. Eavesdroppers CRT (cathode-ray tubes) standar yang banyak
digunakan di unit display video menghasilkan interferensi
elektomagnetik pada suatu frekuensi yang dapat ditangkap sengan
seperangkat televisi sederhana.
Ancaman Aktif pada Sistem Informasi
Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan
metode yang biasa digunakan. Metode ini mensyaratkan kemampuan
teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa
memiliki pengetahuan mengenai cara operasi sistem komputer.
Mengubah Program
Metode yang paling jarang digunakan untuk melakukan kejahatan
komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan
keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang
terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian
program yang dapat digunakan untuk mendeteksi adanya perubahan dalam
program.
Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk
memotong proses normal untuk menginputkan data ke dalam program
komputer. Jika hal ini terjadi, hasil yang dituai adalah bencana.
Pencurian Data
Pencurian data merupakan salah satu masalah yang cukup serius dalam
dunia bisnis hari ini. Dalam industri dengan tingkat persaingan yang sangat
tinggi, informasi kuantitatif dan kualitatif terkait dengan salah seorang
pesaing merupakan salah satu informasi yang cukup diburu. Pengadilan
sejak lama telah mengakui bahwa data yang tersimpan dalam komputer
perusahaan merupakan data pribadi yang tidak dapat digunakan tanpa izin
dari perusahaan yang bersangkutan. Lebih jauh, individu-individu dengan
akses terhadap e-mail, dapat dengan mudah menyalin informasi rahasia
dan mengirim informasi tersebut ke luar perusahaan lewat internet. Dengan
menggunakan metode tersebut, penyusup dapat mencuri sejumlah besar
informasi hanya dalam hitungan menit.
Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah
komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu
perusahaan. Karyawan yang tidak puas, khususnya yang telah dipecat,
biasanya merupakan pelaku sabotase utama. Sabotase telah menjadi isu
besar dalam perdagangan web. Pada satu sisi, biaya tahunan yang
dikeluarkan untuk keamanan elektronik lebih dari $6 miliar. Pda sisi lain,
keberhasilan hacker menyerang website semakin meningkat. Bahkan
perusahaan besar dengan sistem yang canggih pun harus menjadi korban.
Hampir setiap hari media keuangan secara terus menerus melaporkan
kasus hacker yang berhasil mengambil alih Website perusahaan.
Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang
karyawan menggunakan sumber daya komputer organisasi untuk
kepentingan pribadi. Luasnya permasalahan tersebut, seperti tipe kejahatan
komputer yang lain, tidak terlalu diketahui. Namun, sangat mungkin
masalah ini terjadi di banyak perusahaan.
Sistem Keamanan Sistem Informasi
Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran
keamanan dan perencanaan kontingensi. Ukuran keamanan fokus pada
pencegahan dan pendeteksian ancaman; rencana kontingensi fokus pada perbaikan
terhadap akibat dampak suatu ancaman. Sebuah doktrin yang dipercaya dalam
keamanan sistem informasi adalah sebagian ancaman tidak dapat dicegah tanpa
pengembangan sutu sistem yang sangat aman. Lebih jauh lagi, tidak ada sistem
keamanan yang sangat berharga tanpa adanya suasana kejujuran dan kesadaran.
Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur
pengendalian internal perusahaan secara keseluruhan. Ini berarti, elemen dasar
pengendalian internal (supervise yang memadai, rotasi pekerjaan, batch kontrol
total, pengecekan validitas, dan lain sebagainya) merupakan aspek penting dalam
sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah
aplikasi prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk
mengatasi masalah-masalah dalam sistem informasi.
Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem
pengendalian. Pembangu-nan lingkungan pengendalian yang bagus tergantung
pada tujuh faktor yaitu :
Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah
menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk
mendukung terwujudnya keamanan. Tidak peduli seberapa canggih suatu
sistem, pasti selalu ada cara untuk mengganggu keamanan sistem. Oleh
karena itu, garis pertahanan yang utama adalah suasanan kesadaran akan
pentingnya keamanan. Menciptakan suasana semacam ini dapat dilakukan
dengan banyak cara.
Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan
pendidikan keamanan adalah agar setiap karyawan memiliki kepedulian
terhadap keamanan. Keamanan harus diperlakukan dengan sangat serius.
Semua pelanggaran harus mengakibatkan adanya rasa bersalah dalam diri
karyawan. Mereka yang memegang tanggung jawab harus memberikan
teladan yang baik.
Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan mudah
dilupakan. Hubungan yang baik harus selalu dibina dengan seluruh
karyawan. Moral yang rendah dapat menyeb abkan tingginya probabilitas
terjadinya kecurangan. Komunikasi yang baik dengan karyawan dapat
mengurangi masalah rendahnya moral.
Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data
semuanya diorganisasi di bawah chief information officer (CIO). Divisi
semacam ini tidak hanya menjalankan fungsi pencatatan akuntansi
tradisional, tetapi juga berbagai fungsi komputasi. Hal ini menimbulkan
banyak masalah dalam upaya membuat dan menjaga pola otoritas dan
wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu garis
wewenang yang jelas untuk menentukan siapa yang bertanggung jawab
mengambil keputusan terkait dengan perangkat lunak akuntansi dan
prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap
sistem keamanan komputer.
Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk
atau menyetujui pemilihan auditor internal. Idealnya, auditor internal
seharusnya memiliki pengalaman yang baik terkait dengan keamanan
komputer dan bertindak sebagai chief computer security officer. Dalam
situasi apa pun, individu-individu tersebut harus melapor secara periodic
kepada komite audit mengenai semua fase sistem keamanan komputer.
Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan
pertanggung jawaban semua sumber daya sistem komputer dan informasi.
Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi
untuk memenuhi kebutuhan yang terus berubah. Chief security officer
harus membangun kebijakan keamanan yang relevan dengan sistem yang
ada saat ini dan relevan dengan perubahan sistem yang terjadi. Semua
modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia,
harus diimplementasikan sesuai dengan kebijakan keamanan yang telah
dibuat.
Kebijakan dan Praktik Personalia
Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib,
dan penge-cekan ganda semua merupakan praktik personalia yang penting.
Peraturan yang terpenting barangkali adalah memisahkan pekerjaan
pengguna komputer dan persona-lia sistem komputer.
Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi
local, federal, dan Negara bagian. Hukum dan regulasi mengatur keamanan
dan privasi berbagai tipe data, termasuk data terkait dengan pelanggan dan
kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah.
Hukum dan regulasi ini juga mengatur pengiriman informasi ke negara
lain.
Keamanan Internet
Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi
perusahaan dengan internet memberi peluang bagi perusahaan untuk menjadi
sasaran setiap hacker yang ada di dunia. Internet menciptakan jendela elektronik
bagi dunia luar yang mengeliminasi semua isolasi fisik sumber daya informasi
perusahaan. Oleh karena itu, semua lapisan pemisahan fisik yang terkait dengan
pendekatan akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya
dapat mengamankan sistem informasi perusahaan. Kerentanan terkait dengan
internet dapat muncul akibat kelemahan-kelemahan berikut ini :
Kerentanan Sistem Operasi
Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya,
setiap kelemahan di dalam keamanan sistem operasi juga menjadi
kelemahan keamanan web server. Untuk alasan inilah administrator
keamanan harus pertama dan terpenting mengamankan sistem operasi.
Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker
selalu menemukan kelemahan baru di dalam sistem operasi. Oleh karena
itu, administrator harus secara konstan memonitor bulletin keamanan yang
dipublikasikan oleh vendor sistem operasi dan oleh jasa advisory pihak
ketiga. Sebagai contoh, Microsoft selalu memperbarui informasi keamanan
untuk Windows melalui webside perusahaan di www.microsoft.com/.
Kerentanan Web Server
Web server serupa dengan sistem operasi, dalam arti, pengelola web server
perlu selalu memonitor buletin terkait dengan informasi dan pembaruan
keamanan perihal konfigurasi web server. Pengawasan informasi terkini
semacam ini penting karena web server dan web browser lebih sering
mengalami pembaruan dibandingkan sistem operasi.
Kerentanan Jaringan Privat
Ketika web server ditempatkan pada suatu komputer host yang terkoneksi
ke berbagai komputer melalui suatu LAN, akan timbul suatu risiko, Hacker
dapat menyerang satu komputer melalui satu komputer yang lain. Jika
pengguna komputer memiliki akses ke komputer yang memiliki host web
server, maka hacker pertama kali akan masuk ke dalam komputer
pengguna. Kemudian, hacker akan menggunakan hak akses penggu-na
yang asli untuk melakukan invasi ke dalam komputer host web server.
Kerentanan Berbagai Program Server
Banyak komputer host suatu web server tidak hanya menjalankan web
server, tetapi juga server-server yang lain, seperti FTP server (untuk
transfer file dari dank e komputer lain), e-mail server, dan remote control
server (yang memungkinkan komputer yang lokasinya jauh mengendalikan
komputer host). Yang menjadi masalah adalah setiap tambahan server
merupakan satu tambahan risiko. Cacat keamanan terkait dengan salah satu
server dapat menjadi pintu masuk bagi hacker untuk menyerang semua
server yang lain dan samua file di dalam komputer, bahkan komputer-
komputer lain yang terhubung ke server dalam LAN.
Prosedur Keamanan Umum
Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang
penting. Perangkat lunak keamanan yang terbaik di dunia tidaka akan
banyak membantu jika administrator sistem tidak menegakkan kebijakan
keamanan.
2.3 Sistem Keamanan Komputer
o Sistem adalah suatu sekumpulan elemen atau unsur yang saling berkaitan dan
memiliki tujuan yang sama.
o Keamanan adalah suatu kondisi yang terbebas dari resiko.
o Komputer adalah suatu perangkat yang terdiri dari software dan hardware serta
dikendalikan oleh brainware (manusia). Dan jika ketiga kata ini dirangkai maka
akan memiliki arti suatu sistem yang mengkondisikan komputer terhindar dari
berbagai resiko.
Jadi sistem keamanan komputer adalah suatu cabang teknologi yang dikenal dengan
nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan
komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian atau
korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan
keamanan. Beberapa hal yang menjadikan kejahatan komputer terus terjadi dan
cenderung meningkat adalah sebagai berikut :
Meningkatnya pengguna komputer dan internet
Banyaknya software yang pada awalnya digunakan untuk melakukan audit
sebuah system dengan cara mencari kelemahan dan celah yang mungkin
disalahgunakan untuk melakukan scanning system orang lain.
Banyaknya software-software untuk melakukan penyusupan yang tersedia di
Internet dan bisa di download secara gratis.
Meningkatnya kemampuan pengguna komputer dan internet
Desentralisasi server sehingga lebih banyak system yang harus ditangani,
sementara SDM terbatas.
Kurangnya hukum yang mengatur kejahatan komputer.
Semakin banyaknya perusahaan yang menghubungkan jaringan LAN mereka
ke Internet.
Meningkatnya aplikasi bisnis yang menggunakan internet.
Banyaknya software yang mempunyai kelemahan (bugs).
Ada beberapa hal yang bisa menjawab diperlukannya pengamanan sistem komputer,
antara lain :
Menghindari resiko penyusupan, harus dipastikan bahwa system tidak ada
penyusup yang bisa membaca, menulis dan menjalankan program-program
yang bisa mengganggu atau menghancurkan system.
Mengurangi resiko ancaman, hal ini biasa berlaku di institusi dan perusahaan
swasta. Ada beberapa macam penyusup yang bisa menyerang system yang
dimiliki, antara lain :
a. Ingin Tahu, jenis penyusup ini pada dasarnya tertarik menemukan
jenis system yang digunakan.
b. Perusak, jenis penyusup ini ingin merusak system yang digunakan atau
mengubah tampilan layar yang dibuat.
c. Menyusup untuk popularitas, penyusup ini menggunakan system
untuk mencapai popularitas dia sendiri, semakin tinggi system
keamanan yang kita buat, semakin membuatnya penasaran. Jika dia
berhasil masuk ke sistem kita maka ini menjadi sarana baginya untuk
mempromosikan diri.
d. Pesaing, penyusup ini lebih tertarik pada data yang ada dalam system
yang kita miliki, karena dia menganggap kita memiliki sesuatu yang
dapat menguntungkannya secara finansial atau malah merugikannya
(penyusup).
Melindungi system dari kerentanan, kerentanan akan menjadikan system
berpotensi untuk memberikan akses yang tidak diizinkan bagi orang lain yang
tidak berhak.
Melindungi system dari gangguan alam seperti petir dan lain-lainnya.
Subsistem Sistem Informasi Akuntansi
Subsistem sistem informasi akuntansi terdiri dari 5 sistem, yaitu :
a. Sistem Pengeluaran (Expenditure System)
Segala peristiwa yang berhubungan dengan usaha mendapatkan sumber-
sumber ekonomis yang diperlukan oleh perusahaan, baik berupa barang
ataupun jasa, baik pemasok dari luar maupun dari karyawan didalam
perusahaan.
b. Sistem Pendapatan (Revenue System)
Berhubungan dengan penjualan barang atau jasa yang dihasilkan oleh
perusahaan kepada konsumen dan mendapatkan pembayaran dari mereka.
c. Sistem Produksi (Production Systeme)
Berhubungan dengan pengumpulan, penggunaan dan pengubahan bentuk
suatu sumber ekonomi.
d. Sistem Manajemen Sumber Daya (Resources Management System)
Meliputi peristiwa-peristiwa yang berkaitan dengan manajemen dan
pengendalian sumber daya seperti investasi dan aktiva tetap (fasilitas).
e. Sistem Buku Besar dan Laporan Keuangan (General Ledger And Financial
Accounting)
Manfaat Sistem Informasi Akuntansi
Menyediakan informasi yang akurat dan tepat waktu sehingga dapat
melakukan aktivitas utama pada value chain secara efektif dan efisien.
Meningkatkan kualitas dan mengurangi biaya produk dan jasa yang
dihasilkan
Meningkatkan efisiensi
Meningkatkan kemampuan dalam pengambilan keputusan
Meningkatkan sharing knowledge
Menambah efisiensi kerja pada bagian keuangan
2.4 Manajemen Risiko Bencana
Bencana bisa saja terjadi. Hancurnya World Trade Center di kota New York merupakan
salah satu contoh dari bencana yang tidak diharapkan yang secara serius telah
menginterupsi jalannya aktivitas bisnis. Banyak organisasi tergantung pada sistem
komputer untuk mendukung operasi bisnisnya sehari-hari. Konsekuensi dari
ketergantungan ini adalah, jika pemrosesan sistem komputer tertunda atau terinterupsi,
organisasi mesti menanggung kerugian yang cukup signifikan. Pengelolaan risiko
bencana merupakan satu hal yang penting untuk memastikan kontinuitas operasi bisnis
jika terjadi suatu bencana.
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi.
Dalam suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi
banyak perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar,
khususnya perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang
mungkin terjadi.
Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat
suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana alam 30 %
Tindakan kejahatan yang terencana 45 %
Kesalahan manusia 25 %
Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya
bencana dapat dikurangi atau dihindari dengan kebijakan keamanan yang baik.
Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan
kebijakan dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik
yang memadai untuk menangani kebakaran, banjir, dan intrusi merupakan satu hal
yang penting. Sistem semprotan air dapat membahayakan komponen elektronik.
Banyak perusahaan menggunakan sistem pemadam api yang berbasis sesuatu
selain air, seperti gas, busa, atau bedak.
Perencanaan Kontingensi Untuk Mengatasi Bencana
Rencana pemuliahan dari bencana harus diimplementasikan pada level tertinggi di
dalam perusahan. Idealnya, rencana pemuliahan mesti mendapatkan persetujuan
dari dewan direksi sebagai bagian dari perencanaan keamanan komputer secara
umum. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah
adanya dukungan dari manajemen senior dan penetapan komite perusahaan.
Seletah kedua hal tersebut, rencana pemulihan dari bencana harus
didokumentasikan dangan hati-hati dan disetujui oleh kedua pihak tersebut. Hasil
estimasi menyatakan bahwa biaya awal yang diperlukan guna
mengimplementasikan perencana-an pemulihan dari bencana berkisar antara 2 %
sampai 10 % dari total anggaran sistem informasi.
Menaksir Kebutuhan Penting Perusahaan
Semua sumber daya penting harus diidentifikasi. Sumber daya yang
penting ini mencakup perangkat keras, perangkat lunak, peralatan listrik,
peralatan pemeliharaan, ruang gudang, catatan yang vital, dan sumber daya
manusia.
Daftar Prioritas Pemulihan dari Bencana
Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama,
bahkan sekalipun perusahaan memiliki perencanaan yang baik. Oleh
karena itu, harus dibuat prioritas terkait dengan kebutuhan perusahaan
yang paling penting. Daftar prioritas mengindikasi aktivitas dan jasa yang
memang genting yang perlu segera dibangun kembali dalam hitungan
menit atau hitungan jam setelah terjadinya suatu bencana. Disisi lain,
perencanaan bisa saja mengindikasikan aktivitas dan jasa lain yang harus
dibangun dalam hitungan hari, minggu, atau bulan setelah terjadinya suatu
bencana.
Strategi dan Prosedur Pemulihan
Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang
penting. Perenca-naan ini mesti mencakup hal-hal yang cukup detail
sedemikian rupa sehingga, pada saat bencana benar-benar terjadi,
perusahaan segera tahu apa yang harus dilakukan, siapa yang harus
melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut
harus dilaku-kan.
Pusat Respons Darurat
Pada saat terjadi bencana, semua wewenang pengolahan data dan operasi
komputer dialihkan kepada tim respons darurat, yang dipimpin oleh
direktur operasi darurat. Individu-individu ini memimpin jalannya
perencanaan pemulihan dari pusat operasi darurat, sebuah tempat yang
memang ditetapkan sebelumnya.
Prosedur Eskalasi
Prosedur eskalasi menyatakan kondisi seperti ini apa yang mengharuskan
perlunya pengumu-man terjadinya bencana, siapa yang harus
mengumumkan, dan siapa orang yang harus diberi tahu tentang adanya
bencana.
Rencana Relokasi Karyawan
Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya
memindahkan karyawan ke lokasi cadangan. Hal ini memerlukan
perencanaan ynag hati-hati karena banyak karyawan sulit dipindahkan
dalam sementara waktu.
Rencana Penggantian Karyawan
Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya
bencana juga perlu dipertimbangkan. Penggantian seorang karyawan
dengan kemampuan yang tinggi merupakan satu hal yang tidak mudah.
Penggantian karyawan semacam ini memerlukan pelatihan yang sangat
ekstensif.
Perencanaan Penyelamatan
Dalam beberapa bencana, perusahaan masih dapat menyelamatkan
peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika
perusahaan dapat mengambil tindakan yang tepat secara cepat. Sebagai
contoh, sebuah bangunan yang kehilangan atap pada saat terjadi topan
badai akan menyebabkan bangunan tersebut menghadapi risiko kehujanan.
Dalam situasi semacam ini, kerugian dapat diminimalkan jika tindakan
penyelamatan segera dilakukan.
Perencanaan Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat.
Oleh karena itu, setiap perencanaan pemulihan dari bencana mesti diuji
setiap enam bulan sekali. Perencanaan yang kadaluwarsa atau tidak teruji
barangkali tidak dapat dijalankan pada saat bencana benar-benar terjadi.
BAB III
PENUTUP
3.1 KesimpulanSistem keamanan sistem informasi merupakan subsistem organisasi yang berperan mengen-
dalikan risiko khusus terkait dengan sistem informasi terkomputerisasi. Sistem keamanan
dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti analisis sistem,
desain sistem, implementasi sistem, serta operasi, evaluasi, dan pengendalian sistem.
Ada dua pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam
perencanaan keaman komputer. Dalam pendekatan kuantitatif untuk menaksir risiko, seperti
eksposur kerugian dihitung dengan mengalikan biaya kerugian setiap item eksposur dengan
probabilitas terjadinya eksposur tersebut. Pendekatan kualitatif guna menaksir risiko mendaftar
dan meranking (secara subjektif) tingkat kerentanan dan ancaman sistem, dengan tujuan untuk
menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.
Kerentanan adalah suatu kelemahan dan sistem komputer, dan ancaman adalah potensi eksploitasi
suatu kerentanan. Berbagai hukum, regulasi, dan publikasi mengarah kepada masalah kejahatan
komputer. Keberhasilan serangan terhadap suatu sistem komputer mensyaratkan akses ke
perangkat keras, file data yang sensitive, atau program-program yang penting. Setiap orang yang
punya akses keperalatan data komputer atau file tanpa otorisasi legal, adalah penyusup. Ada
berbagai jenis penyusup, seperti: unnoticed intruder, impersonating intruder, wiretapper,
piggybacker, dan eavesdropper. Paling tidak ada enam cara untuk melakukan kejahatan komputer,
yaitu manipulasi input, pengubahan program, pengubahan file secara langsung, pencurian data,
sabotase, dan penyalagunaan atau pencurian sumber daya komputer.
Sabotase merupakan satu hal yang sangat berbahaya bagi setiap instalasi sistem. Ada banyak cara
untuk merusak instalasi. Program komputer dapat digunakan untuk menjalankan sabotase.
Masalah yang potensial adalah bom logika, kuda Troya, program virus, dan worm. Pengendalian
ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran keamanan dan peren-
canaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian ancaman.
Perencanaan kontingensi fokus pada perbaikan kerusakan sebagai dampak terjadinya suatu
ancaman. Lingkungan pengendalian organisasi merupakan dasar keefektifan seluruh sistem
pengendalian.
Cara utama yang dapat ditempuh untuk mencegah terjadinya kecurangan dan sabotase adalah
dengan menerapkan pengendalian akses berlapis.
Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kontingensi. Pencegahan
bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana pemulihan dari
bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Rencana tersebut
disetujui oleh komite dewan direksi sebagai bagian dari perencanaan keamanan komputer secara
umum.
KATA PENUTUP
Demikianlah makalah yang kami buat ini. Kami mohon maaf apabila terdapat kesalahan ejaan
dalam penulisan kata dan kalimat yang kurang jelas, kurang dimengerti, dan lugas. Dan kami
juga sangat mengharapkan saran dan kritik dari para pembaca demi kesempurnaan makalah ini.
Semoga makalah ini bermanfaat dan menambah pengetahuan para pembaca.
DAFTAR PUSTAKA
http://kamaria-akis.blogspot.co.id/2013/11/komputer-dan-keamanan-sistem-informasi.html
H. Bodnar George dan William S. Hopwood. 2007. Sistem Informasi Akuntansi. . Andi