Download - 10. hapzi ali, sim, keamanan sistem informasi

Modul ke:

Fakultas

Program Studi

SISTEM INFORMASI MANAJEMEN (SIM)

Keamanan Sistem Informasi

Prof. Dr. Ir. H. Hapzi Ali, MM, CMA

10

Management Information System, [email protected]

Keamanan Sistem Informasi

1. Keamanan Informasi

2. Ancaman (threats)

3. Risiko (risks)

4. Ancaman virus

5. Manajemen risiko

6. Kebijakan keamanan informasi

7. Kontrol formal & Informal

8. Menempatkan manajemen keamanan dalam persfektifnya

1 Keamanan Informasi

Sistem Informasi Manajemen


Keamanan Informasi

• Keamanan informasi menggambarkan upaya untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihak yang tidak berhak

• Definisi ini mencakup mesin fotokopi, mesin fax, dan semua jenis media, termasuk dokumen kertas

• Keamanan informasi ditujukan untuk mencapai tiga tujuan utama:

1. Kerahasiaan: melindungi data dan informasi perusahaan dari pengungkapan kepada orang-orang yang tidak sah

2. Ketersediaan: memastikan bahwa data dan informasi perusahaan hanya tersedia bagi mereka yang berwenang untuk menggunakannya

3. Integritas: sistem informasi harus memberikan representasi akurat dari sistem fisik yang mereka wakili


Manajemen Keamanan Informasi

• corporate information systems security officer (CISSO) telah digunakan untuk orang dalam organisasi yang bertanggung jawab untuk sistem keamanan informasi perusahaan.

• Sekarang ada langkah untuk menunjuk corporate information assurance officer (CIAO) yang melapor kepada CEO dan mengelola unit jaminan informasi


KEAMANAN INFORMASI MANAJEMEN (ISM)

• ISM terdiri dari empat langkah:

1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan

2. Mendefinisikan risiko bahwa ancaman bisa memaksakan

3. Menetapkan kebijakan keamanan informasi

4. Menerapkan kontrol yang menangani risiko

Gambar 9.1 mengilustrasikan pendekatan manajemen risiko

• Benchmark juga digunakan untuk memastikan integritas sistem manajemen risiko


Manajemen Keamanan Informasi

2 Ancaman (threats)



ANCAMAN

• Ancaman keamanan informasi berasal dari orang, organisasi, mekanisme, atau peristiwa yang berpotensi dapat membahayakan sumber daya informasi perusahaan

• Ancaman dapat berupa internal atau eksternal, kebetulan atau sengaja

• Gambar 9.2 menunjukkan tujuan keamanan informasi dan bagaimana mereka mengalami empat jenis risiko:

1. Ancaman Internal dan Eksternal

2. Kecelakaan dan disengaja


Ancaman Internal dan Eksternal

3 Risiko (Risks)



RISIKO

• Tindakan yang tidak sah bahwa risiko ini dapat dikategorikan menjadi empat jenis:

1. Pengungkapan tidak sah

2. Pencurian

3. Penolakan pelayanan

4. Modifikasi secara tidak sah dan Denial of Service

4 Ancaman Virus



ANCAMAN-yang paling terkenal "VIRUS"

• Virus adalah program komputer yang dapat mereplikasi sendiri tanpa sepengetahuan pengguna

• Sebuah worm tidak dapat mereplikasi dirinya sendiri dalam sebuah sistem, tetapi dapat mengirimkan salinan dirinya melalui e-mail

• Sebuah Trojan horse tidak dapat mereplikasi atau mendistribusikan sendiri. Distribusi ini dilakukan oleh pengguna yang mendistribusikannya sebagai utilitas yang bila digunakan menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem


PERTIMBANGAN E-COMMERCE

• E-commerce telah memperkenalkan resiko keamanan baru: penipuan kartu kredit. Kedua American Express dan Visa telah menerapkan program khusus ditujukan e-commerce

• American Express telah mengumumkan "sekali pakai" nomor kartu kredit. Angka-angka ini, bukan nomor kartu kredit pelanggan, disediakan untuk pengecer e-commerce, yang menyerahkan ke American Express untuk pembayaran

• Visa telah mengumumkan sepuluh yang berhubungan dengan keamanan praktek yang mereka harapkan pengecer mereka untuk mengikuti ditambah tiga praktik umum bahwa pengecer harus mengikuti (slide berikutnya)


Kewaspadaan Keamanan Visa

• Pengecer harus: 1. Menginstal dan memelihara firewall

2. Jauhkan patch keamanan up to date

3. Mengenkripsi data yang tersimpan dan data yang dikirimkan

4. Gunakan dan memperbarui perangkat lunak antivirus

5. Membatasi akses data bagi mereka dengan kebutuhan untuk mengetahui

6. Menetapkan ID yang unik untuk orang-orang dengan hak akses data

7. Akses data track dengan ID unik

8. Tidak menggunakan default password yang dari vendor

9. Secara teratur menguji sistem keamanan


Kewaspadaan Keamanan Visa

• Visa mengidentifikasi tiga praktik umum yang harus diikuti oleh pengecer untuk mendapatkan keamanan informasi dalam semua aktivitas, 3 hal tersebut adalah 1. Menyaring karyawan yang memiliki akses ke data

2. Tidak meninggalkan data (disket, kertas, dan sebagainya) atau komputer yang tidak aman

3. Menghancurkan data ketika tidak lagi diperlukan

5 Manajemen resiko



MANAJEMEN RISIKO

Empat sub langkah untuk mendefinisikan risiko informasi adalah:

1. Mengidentifikasi aset bisnis yang harus dilindungi dari risiko

2. Kenali risiko

3. Menentukan tingkat dampak pada perusahaan jika risiko terwujud

4. Menganalisis kerentanan perusahaan

Pendekatan sistematis dapat diambil untuk sub langkah 3 dan 4 dengan menentukan dampak dan menganalisis kerentanan


• Tabel 9.1 menggambarkan pilihan.


Laporan Analisis Risiko

• Temuan analisis risiko harus didokumentasikan dalam sebuah laporan yang berisi informasi rinci seperti berikut untuk setiap resiko:

1. Penjelasan risiko

2. Sumber risiko

3. Keparahan dari risiko

4. Kontrol yang sedang diterapkan untuk risiko

5. Pemilik (s) dari risiko

6. Tindakan yang direkomendasikan untuk mengatasi risiko

7. Kerangka waktu yang direkomendasikan untuk mengatasi risiko

8. Apa yang dilakukan untuk mengurangi risiko

6 Kebijakan Keamanan

Informasi



KEBIJAKAN KEAMANAN INFORMASI

• Sebuah kebijakan keamanan dapat diimplementasikan dengan menggunakan berikut lima pendekatan fase (Gambar 9.3.):

1. Tahap 1: Proyek Inisiasi

2. Tahap 2: Pengembangan Kebijakan

3. Tahap 3: Konsultasi dan Persetujuan

4. Tahap 4: Kesadaran dan Pendidikan

5. Tahap 5: Diseminasi Kebijakan


Developmen of Security Policy


Kebijakan terpisah dikembangkan untuk:

• Sistem informasi keamanan

• Sistem kontrol akses

• personil keamanan

• Keamanan fisik dan lingkungan

• keamanan telekomunikasi

• klasifikasi informasi

• Perencanaan kelangsungan bisnis

• akuntabilitas manajemen

Kebijakan ini didistribusikan kepada karyawan, sebaiknya secara tertulis dan dalam program pendidikan dan pelatihan. Dengan kebijakan yang ditetapkan, kontrol dapat diimplementasikan

7 Kontrol



KONTROL

Kontrol adalah mekanisme yang diterapkan untuk melindungi perusahaan dari risiko atau meminimalkan dampak dari risiko pada perusahaan harus mereka terjadi:

1. Kontrol teknis yang dibangun ke dalam sistem oleh pengembang sistem selama siklus hidup pengembangan sistem

2. Kontrol akses merupakan dasar untuk keamanan terhadap ancaman oleh orang yang tidak berhak

3. Sistem deteksi intrusi mencoba untuk mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk menimbulkan kerusakan


Access Control Function


Access Control

1. User identification. Pengguna pertama mengidentifikasi diri mereka dengan memberikan sesuatu yang mereka tahu, seperti password

2. User authentication. Setelah identifikasi awal telah dicapai, pengguna memverifikasi hak mereka untuk mengakses dengan memberikan sesuatu yang mereka miliki, seperti kartu pintar atau token, atau chip identifikasi

3. User authorization . Dengan identifikasi dan otentikasi cek berlalu, seseorang kemudian dapat disahkan tingkat atau derajat penggunaan tertentu. Misalnya, salah satu pengguna mungkin berwenang hanya untuk membaca dari sebuah file, sedangkan yang lain mungkin diberi wewenang untuk melakukan perubahan


Firewalls

• irewall bertindak sebagai filter dan penghalang yang membatasi mengalir di antara jaringan perusahaan dan internet data

• Ada tiga jenis firewall:

• Packet-Filter - router dilengkapi dengan tabel data alamat IP yang mencerminkan kebijakan penyaringan diposisikan antara internet dan jaringan internal, dapat berfungsi sebagai firewall

• Circuit-Level Firewall - terpasang antara internet dan jaringan perusahaan tapi lebih dekat ke media komunikasi

• Aplikasi-Level Firewall - terletak antara router dan komputer yang menjalankan aplikasi tersebut

8 Kontrol Formal & Informal



KONTROL FORMAL

• Kontrol formal meliputi pembentukan:

1. Kode etik

2. Dokumentasi prosedur dan praktik yang diharapkan

3. Pemantauan dan mencegah perilaku yang berbeda dari panduan yang ditetapkan

• Kontrol yang formal dalam manajemen:

1. Mencurahkan waktu untuk menyusunnya

2. Mereka didokumentasikan secara tertulis

3. Mereka diharapkan akan berlaku untuk jangka panjang


INFORMAL CONTROLS

Kontrol informal mencakup kegiatan seperti:

• Menanamkan keyakinan etis perusahaan dalam karyawannya;

• Memastikan pemahaman tentang misi dan tujuan perusahaan;

• Program pendidikan dan pelatihan; dan

• Program pengembangan manajemen

Kontrol ini dimaksudkan untuk memastikan bahwa karyawan perusahaan baik memahami dan mendukung program keamanan


Bantuan Pemerintah dan Industri

• Beberapa pemerintah dan organisasi internasional telah menetapkan standar (slide berikutnya) dimaksudkan untuk menjadi pedoman bagi organisasi yang ingin mencapai keamanan informasi

• Beberapa berupa benchmark, kadang-kadang disebut sebagai baseline



• Standar BS7799 Inggris Britania Raya menetapkan satu set kontrol dasar. Australia dan Selandia Baru telah menerapkan kontrol berdasarkan BS 7799

• BSI IT Baseline Protection Manual Pendekatan dasar juga diikuti oleh Jerman Bundesamt bulu Sicherheit in der Informationstechnik (BSI). Baseline dimaksudkan untuk memberikan keamanan yang wajar ketika persyaratan perlindungan normal dimaksudkan. Baseline juga dapat berfungsi sebagai dasar untuk tingkat perlindungan yang lebih tinggi ketika mereka yang diinginkan



• COBIT COBIT, dari Sistem Informasi Audit dan Kontrol Asosiasi & Foundation (ISACA), berfokus pada proses yang perusahaan dapat mengikuti mengembangkan standar, memberikan perhatian khusus pada penulisan dan memelihara dokumen

• GASSP Umumnya Diterima Prinsip Keamanan Sistem (GASSP) adalah produk dari US National Research Council. Penekanan pada pemikiran untuk membangun kebijakan keamanan



• GMITS Pedoman Pengelolaan IT Security (GMITS) adalah produk dari Organisasi Standar Internasional (ISO) Joint Technical Committee dan menyediakan daftar topik kebijakan keamanan informasi yang harus disertakan dalam standar organisasi

• ISF Standar Praktek yang Baik Informasi Keamanan Forum Standar Praktek yang baik mengambil pendekatan awal, mencurahkan perhatian pada perilaku pengguna yang diharapkan jika program ini adalah untuk menjadi sukses


Ketetapan Pemerintah

Pemerintah di Amerika Serikat dan Inggris telah menetapkan standar dan mengeluarkan undang-undang yang bertujuan mengatasi semakin pentingnya keamanan informasi:

• Standar Keamanan Komputer Pemerintah AS

• Inggris Anti-terorisme, Kejahatan dan Security Act (ATCSA) 2001

• AS Pemerintah Internet Crime Legislasi


STANDAR INDUSTRI

• Pusat Internet Security (CIS) adalah sebuah organisasi non profit yang didedikasikan untuk membantu pengguna komputer untuk membuat sistem mereka lebih aman

• CIS Benchmarks telah dibentuk dan terintegrasi dalam paket perangkat lunak yang menghitung "keamanan" skor pada skala 10-point


SERTIFIKASI PROFESIONAL

Dimulai pada tahun 1960-an profesi TI mulai menawarkan program sertifikasi:

• Sistem Informasi Audit dan Control Association (ISACA)

• Sistem Informasi Keamanan Internasional Sertifikasi Consortium (ISC)

• SANS (sysadmin, Audit, Network, Security) Institute


MENEMPATKAN MANAJEMEN KEAMANAN

INFORMASI DALAM PERSPEKTIF

• Perusahaan harus menempatkan kebijakan manajemen keamanan informasi sebelum meletakkan kontrol di tempat

• Kebijakan tersebut dapat didasarkan pada identifikasi ancaman dan risiko atau pedoman yang diberikan oleh pemerintah dan asosiasi industri

• Perusahaan menerapkan kombinasi kontrol teknis, formal, dan informal diharapkan untuk menawarkan tingkat yang diinginkan keamanan dalam parameter biaya dan sesuai dengan pertimbangan lain yang memungkinkan perusahaan dan sistem untuk berfungsi secara efektif


Business Continuity Management (BCM)

• Elemen kunci dalam BCM adalah rencana kontingensi, secara resmi merinci tindakan yang akan diambil dalam hal ada gangguan, atau ancaman gangguan, dalam setiap bagian dari operasi komputasi perusahaan

• Sebaliknya menggunakan, rencana kontingensi tunggal yang besar, pendekatan yang terbaik perusahaan adalah untuk mengembangkan beberapa sub-rencana yang membahas kontinjensi tertentu. Seperti:

1. Rencana darurat

2. Sebuah rencana cadangan

3. Sebuah catatan rencana penting

9 Menempatkan manajemen

Keberlangsungan Bisnis Dalam Persfektifnya



MENEMPATKAN MANAJEMEN KONTINUITAS

USAHA DALAM PERSPEKTIF

• Banyak upaya telah dilakukan untuk perencanaan kontingensi dan banyak informasi dan bantuan tersedia

• Beberapa perusahaan menggunakan rencana dikemas mereka dapat beradaptasi dengan kebutuhan mereka

• Sistem Komputer memadatkan memasarkan Sistem Disaster Recovery (DRS) yang mencakup sistem manajemen database, petunjuk dan alat-alat yang dapat digunakan dalam menyusun rencana pemulihan

• Ada juga pedoman dan menguraikan bahwa perusahaan dapat menggunakan sebagai titik awal atau tolok ukur untuk mencapai


Kepustakaan

1. McLeoad, Jr., Raymond & Gearge P. Schell. Management Infromation System. (terjemahan), Jakarta : PT. INDEKS, 2007. Edisi 10, 2008

2. Kenneth C. Laudon, Jane P. Laudon, Sistem Informasi Manajemen, Mengelola Perusahaan Global, Jakarta, Salemba Emappt, Edisi 12, 2008

3. HM. Jogiyanto. Analisis & Disain Sistem Infromasi : Pendekatan Terstruktur, Teori dan Praktek Aplikasi Bisnis, Jogyakarta : Penerbit ANDI, 2002

Anjuran :

1. Hapzi Ali & Tonny Wangdra, Sistem Informasi Bisnis “SI-Bis” Dalam Prospektif Keunggulan Kompetitif, Baduose Media, 2010

2. Hapzi Ali & Tonny Wangdra, Techopreneurship, Dalam Perspektif Bisnis Online, Baduose Media, 2010

3. Hapzi Ali, Sistem Informasi Manajemen, Berbasis Teknologi Informasi, Hasta Cipta Mandiri, Jogyakarta, 2009

4. Hapzi Ali, Pengenalan Komputer, Tuntunan Praktis untuk Pemula, Hasta Cipta Mandiri, Jogjakarta, 2008

5. James A. Brain, Introduction to Information System, Perspektif Bisnis dan Managerial (terjemahah), Salemba Empat, 2005

Wassalamu ‘alaikum, wr, wb

46

email : [email protected]

Kepustakaan

1. Ali, Hapzi, & Tonny Wangdra, 2010. Techopreneurship, Dalam Perspektif Bisnis Online, Baduose Media Jakarta

2. Ali, Hapzi, Tonny Wangdra , 2010. Sistem Informasi Bisnis “SI-Bis” Dalam Prospektif Keunggulan Kompetitif, Baduose Media Jakarta.

3. Ali, Hapzi, 2010. Membangun Citra Perbankan Melalui IT & CRM untuk Meningkatkan Loyalitas Nasabah, Hasta Cipta Mandiri Yogyakarta

4. Ali, Hapzi Ali, 2009. Sistem Informasi Manajemen, Berbasis Teknologi Informasi, Hasta Cipta Mandiri Yogyakarta

5. Ali, Hapzi Ali, 2008. Pengenalan Komputer, Tuntunan Praktis untuk Pemula, Hasta Cipta Mandiri Yogyakarta

6. Debby Ratna Daniel, 2005. Wiwik Supratiwi, Sistem Informasi Manajemen, Universitas Terbuka JakartaMcLeoad, Jr., Raymond & Gearge P. Schell. Management Infromation System. (terjemahan), Jakarta : PT. INDEKS, 2007. Edisi 10, 2008

7. Kenneth C. Laudon, Jane P. Laudon, Sistem Informasi Manajemen, Mengelola Perusahaan Global, Jakarta, Salemba Emappt, Edisi 12, 2008