PEMBAHASAN
4.1 Tujuan Keamanan Sistem informasi
Sistem informasi memiliki peranan besar di semua
perusahaan atau institusi
agar
dapat menghasilkan keuntungan semaksimal mungkin dengan
cara mengiklankan, menjual,
mengadministrasi,V dan mew·ujudkan produk baru. Perusahaan dipaksa untuk menciptakan dan memikirkan inovasi baru agar dapat bersaing dan bertahan hidup
di dalam persaingan
bisnis yang ketat.
Tujuan
dari
pengamanan
sistem
informasi ini adalah untuk meyakinkan integritas, kelanjutan, dan kerahasiaan dari pengolahan data. Keuntungan dengan meminimalkan risiko harus diimbangi dengan biaya yang dikeluarkan untuk
tujuan pengamanan ini. Oleh
karena itu biaya untuk pengaman
terhadap keamanan sistem komputer
harus wajar.
4.1.1 Aset Perusahaan
lnformasi adalah aset organisasi yang sangat berharga dan penting seperti
aset-aset yang lain misalnya
gedung, mesin-mesin, kendaraan, peralatan kantor, SDM dan lain-lain. Sebagai konsekuensi, keamanan sistem informasi merupakan suatu keharusan untuk melindungi aset perusahaan dari berbagai ancaman.
Aset-aset yang dapat dimaksud ke dalam sistem informasi dapat kategorikan sebagai berikut:
1)
Personel
Misalnya sistem analis
2)
Hardware
Misalnya CPU
3)
Software aplikasi
Misalnya sistem
Deptors,
4)
Sistem software
Misalnya operating
sistem
5)
Data
Misalnya master file, backup file, file transaksi
6)
Fasilitas
Misalnya ruang
kantor
7)
Penunjang
Misalnya Tapes, CD, DVD.
4.1.2 Ancaman Terhadap Perusahaan
Ancaman adalah suatu aksi atau kejadian
yang dapat merugikan perusahaan yang mengakibatkan kerugian bisa berupa
uang /biaya, tenaga
upaya, kemungkinan berbisnis(business opportunity), reputasi nama baik, dan paling parah dapat membuat organisasi pailit.
Ancaman ini dapat dikategorikan sebagai berikut :
1) Hardware
failure
Dikarenakan oleh misalnya padamnya ("byar pet") listrik, kortsleting, disk crashes..
2)
Software failure
Dikarenakan oleh kesalahan sistem operasi, kesalahan program update, tidak cukup
dan memadainya uji coba program.
3)
Kegagalan SDM
Kegagalan ini dikarenakan misalnya
sangat
minimnya training bagi personel, personel yang sangat
pasif dan tidak
memiliki inisiatif,
kemasabodoan,tidak loyal,tidak memiliki rasa memiliki (sense of belonging).
4)
Alam
Dikarenakan oleh misalnya cuaca panas atau dingin yang tidak normal,
banjir, gas, proyektil, gempa, letusan gunung.
5) Keuangan
Disebabkan oleh misalnya tuntutan hokum pihak ketiga, pailit,mogok kerja,huru-hara.
6) Eksternal
Sabotase, spionase, huru-hara.
7) Internal
Dapat dalam
bentuk
kecurangan, pencurian, perbuatan jahat(memasukkan
virus, membangun malicious software).
4.1.3 Klasifikasi informasi
Seperti yang telah disebutkan sebelumnya informasi merupakan
asset perusahaan yang harus dilindungi dari
ancaman
penyalahgunaan. lnformasi dalam bentuk
hardcopy
atau softcopy yang
dihasilkan dengan jerih P.ayah perusahaan merupakan investasi yang memakan biaya banyak demi menunjang
dan memajukan perusahaan dapat
diklasnikasikan
sebagai
berikut:
1) Sangat Rahasia (Top Secret)
Apabila informasi ini disebarluaskan maka akan berdampak
sangat parah terhadap keuntungan berkompetisi dan strategi
bisnis
organisasi.
2) Konfidensial (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perorangan,merusak reputasi organisasi.
3) Restricted
lnformasi ini hanya
ditujukan
kepada
orang-orang
tertentu untuk
menopang
bisnis organisasi.
4) Internal Use
lnformasi
ini hanya .boleh digunakan oleh pegawai perusahaan untuk melaksanakan tugasnya.
5) Public
lnformasi ini dapat disebarluaskan kepada umum melalui
jalur yang resmi.
4.2 Kebijakan Keamanan
Sistem informasi
Setiap organisasi akan selalu memilki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan
tidak dapat
bertindak semaunya sendiri dan tidak
berdisiplin dalam melakukan tugasnya. Contoh paling mudah adalah apabila sudah ditentukan
jam kerja dari pukul 08.00 sampai pukul 16.30 dengan waktu istirahat 30 menit, maka waktu ini harus secara disiplin dipegang. Karyawan tidak dapat mengatur
jam kerjanya sendiri. Setiap output tugas merupakan input tugas untuk
karyawan yang lain. Hal ini akan menghambat kelancaran pekerjaan dan sudah
tentu akan
merugikan organisasi. Oleh karena itu, garis pedoman ini dalam bentuk prosedur
harus ditaati oleh semua
pihak.
4.3 Strategi
Keamanan Sistem informasi
Dengan munculnya komputer dan teknologi informasi di lingkungan organisasi, asset perusahaan akan bertambah sehingga diperlukan sebuah pemikiran untuk melindunginya yang merupakan sebuah keharusan
atau kewajiban. lntegritas, kerahasiaan dan ketersediaan
informasi menjadi penting
apabila perusahaan masih tetap ingin berkompetisi di dalam dunia
bisnis.
Avail bility Confiden tiality "Integrity
Prinsip pertama
adalah integritas (integrity) informasi. Apabila
pelanggan datang ke toko untuk
membeli barang, namun tidak menemukannya maka ia akan mendatangi
pramuniaga dan menanyakan tentang barang tersebut. Pramuniaga tersebut akan memeriksa di komputer akan ketersediaan barang
yang diminati dan mendapat informasi bahwa
barang tersebut
masih ada katakan 10 buah. Bersama
dengan pramuniaga pelanggan pergi ke tempat barang
tersebut diletakkan, namun kenyataan barang tersebut tidak dapat ditemukan.
Prinsip kedua
adalah kerahasiaan (confidentiality) informasi. Menurut
ISO
17799, kerahasiaan adalah memastikan informasi hanya dapat diakses
oleh orang yang berwenang atau bagi orang yang memiliki
otoritas.
Untuk menjaga
kerahasiaan, informasi yang bersifat rahasia harus tetap dilindungi.
Apapun
alasannya informasi ini hanya diperuntukan untuk orang-orang tertentu. Bagaimana perasaan
seorang nasabah bank apabila informasi data perbankannya dapat diketahui oleh orang lain atau bagaimana
perasaan seorang karya wan apabila semua rekan kerjanya
mengetahui gaji yang ia terima.
_Prinsip ketiga
adalah ketersediaan (availability) informasi.
ISO 17799 mendefinisika ketersediaan sebagai kepastian tersedianya informasi pada saat yang dibutuhkan oleh orang yang memiliki
wewenang untuk mengetahuinya atau mengakses data. Tampaknya
sangat
gampang namun banyak faktor yang dapat mengganggunya. Beberapa faktor yang dapat dikemukakan misalnya
kerusakan Hardware, users
yang jahat (malicious
users), penyusup dari luar perusahaan yang berusaha menghancurkan data perusahaan, virus dan sebagainya.
4.3.1 Model ISO
17799
Di atas telah
disinggung mengenai
ISO 17799 dan sekarang timbul pertanyaan apa sebetulnya ISO 17799. ISO 17799 adalah
standar keamanan sistem informasi yang telah diakui oleh dunia dan disahkan pada tahun 2000, dimana ia mengalami
revisi
pada tahun 2005.
Keuntungan yang dapat diambil
dari
standarisasi ini antara
lain metodologi yang terstruktur dan
telah diakui oleh dunia in.ternasional proses yang terdefinisi dengan baik, kebijakan dan prosedur dapat disesuaikan dengan kondisi
organisasi dan lain-lain.
ISO 17799 terdiri dari:
1. Business Continuity
Planning.
2. System Control Access.
3. System Development dan maintenance.
4. Physical and Environmental Securit.
5. Compliance
6. Personnel Securit.
7. Security Organization.
8. Computer and Network
Management.
9. Asset Classification and Control.
10. Security Policy.
4.3.2 Dampak Teknologi lnformasi
Dampak dari penggunaan komputer yang merupakan alat bantu di dunia
bisnis dengan meningkatkan efisiensi dalam hal pemberian informasi yang lebih cepat
dan akurat, telah menciptakan
masalah tambahan untuk pemeriksaan dan pengontrolan, yang
sebelumnya belum pernah ada atau terpikirkan,Seperti:
1. Sentralisasi Data.
Sebelum zaman komputer, masing-masing departemen di dalam perusahaan bertanggun
· jawab sendiri atas data masing-masing. lnformasi yang
masih berupa kertas-kertas akan disimpan di dalam lemari
arsip atau lebih parah lagi disimpan di dalam laci masing-masin karyawan yang menanganinya
2. Pengaksesan Data.
Pengaksesan informasi dapat lebih mudah dilakukan
baik dari dalam maupun dari luar organisasi. Dengan adanya kemajuan
tekhnologi, informasi yang awalnya hanya ditujukan untuk perorangan sekarang
sudah dapat diakses oleh kayawan organisasi yang
bersangkutan (tergantung kewenangannya) dengan memanfaatkan terminal-terminal- di dalam jaringan organisasi terkait
3. Pemisahan tugas/segregation of duties.
Pemisahan tugas dan tanggung jawab
yang secara
tradisional tidak dapat diterapkan
dan diimplementasikan lagi, sehingga
pemisahan tugas dan tanggung jawab
merupakan pekerjaan yang tidak mudah.
4. Kekurangan audit trail (bukti
secara fisik).
Pada masa lalu tidak semua
komputer sistem
yang dibekali dengan audit
trail.
Apabila
pada saat itu terjadi kejanggalan maka pelacakannya akan sulit dan membutuhkan
banyak
waktu untuk menemukan kesalahan ini.
5. Tidak tersedianya prosedur
dan dokumentasi yang memadai.
Banyak sistem komputer
yang tidak memiliki prosedur/buku panduan yang seharusnya merupakan bagian yang tidak
terpisahkan dari sistem tersebut.
6. Pengetahuan teknologi yang tinggi.
Metodologi baru untuk pengembangan
sistem
baru
telah
menganggap bahwa semua pemakai mempunyai ketrampilan yang sama. Kalau
dibandingkan dengan
teknologi beberapa tahun yang lalu,pengembang
sistem hanyci dapat dilakukan oleh para program
Namun dengan kemajuan
pengetahuan·dan bahasa komputer yang sekarang tersedia, para pemakai sudah dapat memahami
bahasa tersebut.
7. Teknologi telah mengubah pola berbisnis. ·
Perubahan ini dikarenakan telah tersedianya:
• Internet dan WWW (World Wide Web) .
• Arsitektur distributed Client Server
• Jaringan komunikasi berbasis digital yang menggunakan bandwidth tinggi (kabel, satelit) Tidak jarang lagi semua kegiatan bisnis telah dapat diselesaikan melalui jaringan internet dan di manapun juga.
8. Tingkat
otorisasi.
Secara umum sistem manual memilki
tingkat otorisasi yang kaku yang diterapkan di dalam sistem. Dengan menggunakan komputer,otorisasi
dapat diimplementasikan di dalam system informasi, di mana akan mempermudah pekerjaan dan juga pemonitorannya.
9. Keterlibatan audit.
Beberapa
tahun yang
lalu
teknologi telah
menyingkirkan audit
departemen dari pengembangan sistem baru dan pengontrolan secara kritis terhadap aplikasi yang telah berjalan. Meskipun kecenderungan ini telah mulai
berubah,.
kelalaian yang sudah-sudah untuk melibatkan pihak
auditor telah mengakibatkan kontrol yang lemah di banyak sistem informasi. Sekarang kete.rlibatan auditor merupakan keharusan yang tidak dapat dipungkiri lagi.
Tidak ada komentar:
Posting Komentar