Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe
pengendalian Prinsip-prinsip The Five Trust Service untu Keandalan Sistem
Kartika
Khairunisa
55518110035
Dosen
Pengampu :
Prof. Dr.
Ir, Hapzi Ali, MM, CMA
Magister
Akuntansi
Universitas Mercu
Buana
Jakarta
2018
Konsep
dasar keamanan informasi dan Pemahaman Serangan
Menurut
G.J.Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan
atau paling tidak mendeteksi adayanya penipuan di sebuah sistem yang berbasis
informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Jadi
dapat dikatakan sistem keamanan sistem informasi sebagai prosedur teknis yang
digunakan untuk mencegah akses yang tidak sah ke sistem, sehingga melindungi
kerahasiaan data suatu perusahaan dan privasi atas informasi ribadii yang
dikumpulkan dari pelanggan.
Tujuan
keamanan sistem informasi
Menurut
Rahmat M. Samik-Ibrahim (2005), pengembangan keamanan sistem informasi
mempunyai tujuan sebagai berikut:
1.
penjaminan integritas informasi
2.
pemastian kesiagaan sistem informasi
3.
pengamanan kerahasiaan data
4.
pemastian memenuhi peraturan, hukum, dan bakuan yang berlaku.
Serangan
terhadap keamanan sistem informasi dapat disebut sebagai cyber crime. Ada
beberapa kemungkinan serangan terhadap peranan komputer sebagai penyedia
informasi:
1.
Interruption yaitu perangkat sistem menjadi rusak atau tidak tersedia. Serangan
ini ditujukan kepada ketersediaan dari sistem. Serangan membuat sistem menjadi
hang.
2.
Interception yaitu pihak yang tidak berwenang berhasil mengases informasi
3.
Modification yaitu pihak yang tidak berwenang berhasil mengubah aset informasi
dengan penyebaran malware (virus, trojan horse, worm)
4.
Fabrication yaitu pihak yang tidak berwenang memasukkan objek palsu
(pesan-pesan palsu) ke dalam sistem
2.
Tipe-Tipe Pengendalian
a.
Atas dasar aspek waktu:
-
Pengendalian preventif yaitu pengendalian yang mencegah masalah sebelum timbul.
Biasanya digunakan organisasi untuk membatasi akses terhadap sumber informasi.
-
Pengendalian detektif yaitu pengendalian yang dilakukan pada saat proses
pekerjaan sedans berjalan. Pengendalian ini didesain untuk menemukan masalah
pengendalian yang tidak terelakan.
-
Pengendalian korektif yaitu pengendalian yang dilakukan setelah pekerjaan
selesai. Pengendalian ini mengidentifikasi dan memperbaiki masalah serta
memulihkan dari kesalahan yang dihasilkan.
b.
Atas dasar aspek obyek:
Pengendalian
administratif yaitu pengendalian yang dilakukan dibidang adimistratif
perusahaan.
Pengendalian
operatif yaitu pengendalian yang dilakukan dibidang operasional perusahaan.
c.
Atas dasar aspek subyek:
Pengendalian
internal yaitu pengendalian yang ditujukan kepada pelaku fungsi-fungsi
manajemen dalam perusahaan
Pengendalian
eksternal yaitu ditujukannya kepada pelaku diluar fungsi-fungsi manajemen.
Pengendalian
Umum dan Pengendalian Aplikasi
Pengendalian
umum adalah pengendalian yang didesain untuk memastikan sistem informasi
organisasi dapat berjalan dengan stabil dan dapat dikelola dengan baik. Pengendalian
umum digolongkan sebagai berikut:
-
Pengendalian organisasi dan otorisasi yaitu pengendalian dengan menekankan
pemisahan tugas dan jabatan antara pengguna sistem dan administrator sistem.
-
Pengendalian operasi adalah pengendalian untuk memastikan sistem informasi
tersebut dapat beroperasi dengan baik.
-
Pengendalian perubahan yaitu pengendalian untuk memastikan perubahan-perubahan
yang dilakukan terhadap sistem informasi berjalan dengan baik.
-
Pengendalian akses fisikal dan logikal yaitu pengendalian akses fisikal yang
berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem
informasi, sedangkan pengendalian logikal berkaitan dengan pengelolaan akses
terhadap sistem operasi sistem.
Pengendalian
aplikasi adalah pengendalian yang mencegah, mendeteksi, dan mengoreksi
kesalahan transaksi dan penipuan dalam program aplikasi. Beberapa bentuk
pengendalian dari aplikasi, yaitu:
-
pengendalian organisasi dan akses aplikasi yaitu pengendalian organisasi hampir
sama dengan pengendalian umum organisasi, tetapi lebih berfokus pada aplikasi
yang diterapkan pada perusahaan.
-
pengendalian input yaitu pengendalian yang memastikan data-data yang dimasukkan
ke dalam sistem telah akurat dan terverifikasi.
-
pengendalian proses dibagi menjadi dua, yaitu: (1) tahapan transaksi, dimana
proses terjadi pada berkas-berkas transaksi baik yang sementara maupun
permanen, (2) tahapan database, dimana proses yang dilakukan pada berkas
master.
-
pengendalian output yaitu pengendalian yang dilakukan untuk pengecekan baik
secara otomatis maupun manual.
-
pengendalian berkas master yaitu pengendalian ini harus terjadi integritas
referensial pada data supaya tidak akan ditemukan anomali-anomali, seperti
anomali penambahan, anomali penghapusan, anomali pembaruan.
3.
Prinsip-prinsip the five trust service untuk keandalan sistem
Trust
Service Framework adalah panduan penilaian keandalan sistem informasi yang
dikembangkan oleh AICPA (American Institute of Certified Public Accountants)
yang mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem, yaitu:
1.
Keamanan (security) yaitu akses baik fisik maupun logical terhadap sistem dan
data dikendalikan dibatasi hanya kepada pengguna yang sah saja.
2.
Kerahasiaan (confidentiality) yaitu informasi organisasi yang sensitif
dilindungi dari pengungkapan yang tidak berhak dan terlindungi dari
pengungkapan tanpa izin.
3.
Privasi (privacy) yaitu informasi personal terkait dengan pelanggan atau rekan
bisnis hanya digunakan untuk kepatuhan internal perusahaan dan informasi
terkait dengan kerjasama dan persyaratan aturan eksternal dan dilindungi dari
pengungkapan tidak sah dan tanpa zin.
4.
Integritas pemrosesan (processing integrity) yaitu data yang diproses secara
akurat, lengkap dan hanya dengan otoritas yang sah. Informasi tidak boleh
diubah tanpa seizin pemilik informasi.
5.
Ketersediaan (availability) yaitu sistem dan informasi tersedia untuk memenuhi
kewajiban operasional dan contractual. Sistem informasi yang diserang dapat
menghambat akses ke informasi.
Pada
perusahaan yang saya amati sebut saja PT.X mengimplementasi keamanan sistem
informasi di perusahaannya dengan cara:
1.
Mengatur akses
Mengatur
akses ke informasi dengan cara authentication dan access control dengan
menggunakan sebuah password. Di perusahaan ini menggunakan sistem windows untuk
menggunakan sebuah sistem, pemakai diharuskan melalui proses authentication
dengan menuliskan username dan password. Access control biasanya dilakukan
dengan mengelompokkan pemakai dalam group. Pengelompokkan disesuaikan dengan
kebutuhan dari penggunaan sistem yang diperlukan.
2.
Memasang proteksi
Untuk
lebih meningkatkan keamanan sistem informasi, proteksi di perusahaan
ditambahkan filter yang umum dan lebih spesifik adalah firewall. Digunakan
memfilter email dan informasi yang dibutuhkan.
3.
Firewall
Firewall
merupakan perangkat yang diletakan antara internet dan jaringan internal
informasi yang keluar atau masuk harus melalui firewall ini. Firewall berguna
menjaga agar akses dari orang yang tidak berwenang tidak dapat dilakukan.
4.
Backup secara rutin
Backup
secara rutin dilakukan untuk menghindari hilangnya data jika ada suatu bencana
dan error.
5.
Penggunaan enskripsi
Data-data
yang dikirim dirubah sedemikian rupa agar tidak mudah disadap.
6.
Pemantauan adanya serangan sistem
Digunakan
untuk mengetahui adanya tamu tak diundang atau adanya serangan. Nama sistemnya
intruder detection system yaitu sistem ini dapat memberitahukan administrator
melalui email maupun mekanisme lain.
Pengendalian
dilakukan untuk menjamin terlaksananya confidentiality, integrity dan
avaibility.
Pengendalian
preventif dirancang untuk menekan tingkat kesalahan yang tidak disengaja yang
masuk ke dalam sistem. Ini juga dilakukan untuk mencegah masuknya pihak yang
tidak berhak masuk baik dari dalam maupun dari luar untuk menggunakan sistem.
Pengendalian
korektif dilakukan untuk memulihkan keadaan yang diakibatkan oleh aktivitas
yang tidak berwenang ke keadaan semula sebelum pelanggaran terjadi.
Pengendalian
detektif untuk mendeteksi suatu kesalahan pada saat ketika akan terjadi. Audit
trail, apabila terjadi sebuah kejahatan melalui sistem, maka proses investigasi
dapat dilakukan melalui penelusuran sistem log. Temuan yang didapat dapat
digunakan sebagai barang bukti untuk diproses lebih lanjut.
Pengendalian
aplikasi digunakan untuk memindai secara terus menerus terhadap sistem operasi
dan aplikasi untuk mendeteksi perilaku tidak normal pada sistem informasi.
Separation
and rotation of duties yaitu kegiatan yang membedakan suatu tugas dengan
pemisahan orang sehingga diharapkan tidak ada yang menguasai sistem secara
menyeluruh. Rotasi dilakukan untuk meminimalisir terjadinya KKN dalam kegiatan
operasional perusahaan.
Untuk
itu perlu diterapkannya sistem keamanan yang memadai pada perusahaan PT X
dengan keamanan yang memenuhi standar keamanan yang ada agar sistem dapat
dilakukan pengendalian keamanan secara optimal.
Daftar Pustaka:
Murti, Hari. 2006. https://media.neliti.com/media/publications/243318-implementasi-keamanan-pemanfaatan-teknol-5511b199.pdf.
( Diakses 15 Oktober 2018, jam 22.00)
Toharudin, 2018. http://toharudin965.blogspot.com/2018/04/konsep-dasar-keamanan-informasi-dan.html,
(14 Oktober 2018, jam 7.40)
Yenifitra, 2013. https://yenifitra32.wordpress.com/2013/04/26/29/,
(14 Oktober 2018, jam 7.37)
Yuriaiuary, 2017. http://yuriaiuary.blogspot.com/2017/05/sistem-informasi-dan-pengendalian.html,
(14 Oktober, jam 8.29)
Tidak ada komentar:
Posting Komentar