Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian Prinsip-prinsip The Five Trust Service untu Keandalan Sistem

Kartika Khairunisa

55518110035

Dosen Pengampu :

Prof. Dr. Ir, Hapzi Ali, MM, CMA

Magister Akuntansi

Universitas Mercu Buana

Jakarta

2018

Konsep dasar keamanan informasi dan Pemahaman Serangan

Menurut G.J.Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan atau paling tidak mendeteksi adayanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

Jadi dapat dikatakan sistem keamanan sistem informasi sebagai prosedur teknis yang digunakan untuk mencegah akses yang tidak sah ke sistem, sehingga melindungi kerahasiaan data suatu perusahaan dan privasi atas informasi ribadii yang dikumpulkan dari pelanggan.

Tujuan keamanan sistem informasi

Menurut Rahmat M. Samik-Ibrahim (2005), pengembangan keamanan sistem informasi mempunyai tujuan sebagai berikut:

1. penjaminan integritas informasi

2. pemastian kesiagaan sistem informasi

3. pengamanan kerahasiaan data

4. pemastian memenuhi peraturan, hukum, dan bakuan yang berlaku.

Serangan terhadap keamanan sistem informasi dapat disebut sebagai cyber crime. Ada beberapa kemungkinan serangan terhadap peranan komputer sebagai penyedia informasi:

1. Interruption yaitu perangkat sistem menjadi rusak atau tidak tersedia. Serangan ini ditujukan kepada ketersediaan dari sistem. Serangan membuat sistem menjadi hang.

2. Interception yaitu pihak yang tidak berwenang berhasil mengases informasi

3. Modification yaitu pihak yang tidak berwenang berhasil mengubah aset informasi dengan penyebaran malware (virus, trojan horse, worm)

4. Fabrication yaitu pihak yang tidak berwenang memasukkan objek palsu (pesan-pesan palsu) ke dalam sistem

2. Tipe-Tipe Pengendalian

a. Atas dasar aspek waktu:

- Pengendalian preventif yaitu pengendalian yang mencegah masalah sebelum timbul. Biasanya digunakan organisasi untuk membatasi akses terhadap sumber informasi.

- Pengendalian detektif yaitu pengendalian yang dilakukan pada saat proses pekerjaan sedans berjalan. Pengendalian ini didesain untuk menemukan masalah pengendalian yang tidak terelakan.

- Pengendalian korektif yaitu pengendalian yang dilakukan setelah pekerjaan selesai. Pengendalian ini mengidentifikasi dan memperbaiki masalah serta memulihkan dari kesalahan yang dihasilkan. 

b. Atas dasar aspek obyek:

Pengendalian administratif yaitu pengendalian yang dilakukan dibidang adimistratif perusahaan. 

Pengendalian operatif yaitu pengendalian yang dilakukan dibidang operasional perusahaan.

c. Atas dasar aspek subyek:

Pengendalian internal yaitu pengendalian yang ditujukan kepada pelaku fungsi-fungsi manajemen dalam perusahaan

Pengendalian eksternal yaitu ditujukannya kepada pelaku diluar fungsi-fungsi manajemen.

Pengendalian Umum dan Pengendalian Aplikasi

Pengendalian umum adalah pengendalian yang didesain untuk memastikan sistem informasi organisasi dapat berjalan dengan stabil dan dapat dikelola dengan baik. Pengendalian umum digolongkan sebagai berikut:

- Pengendalian organisasi dan otorisasi yaitu pengendalian dengan menekankan pemisahan tugas dan jabatan antara pengguna sistem dan administrator sistem.

- Pengendalian operasi adalah pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik.

- Pengendalian perubahan yaitu pengendalian untuk memastikan perubahan-perubahan yang dilakukan terhadap sistem informasi berjalan dengan baik.

- Pengendalian akses fisikal dan logikal yaitu pengendalian akses fisikal yang berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi, sedangkan pengendalian logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem.

Pengendalian aplikasi adalah pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Beberapa bentuk pengendalian dari aplikasi, yaitu:

- pengendalian organisasi dan akses aplikasi yaitu pengendalian organisasi hampir sama dengan pengendalian umum organisasi, tetapi lebih berfokus pada aplikasi yang diterapkan pada perusahaan.

- pengendalian input yaitu pengendalian yang memastikan data-data yang dimasukkan ke dalam sistem telah akurat dan terverifikasi.

- pengendalian proses dibagi menjadi dua, yaitu: (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun permanen, (2) tahapan database, dimana proses yang dilakukan pada berkas master.

- pengendalian output yaitu pengendalian yang dilakukan untuk pengecekan baik secara otomatis maupun manual.

- pengendalian berkas master yaitu pengendalian ini harus terjadi integritas referensial pada data supaya tidak akan ditemukan anomali-anomali, seperti anomali penambahan, anomali penghapusan, anomali pembaruan.

3. Prinsip-prinsip the five trust service untuk keandalan sistem

Trust Service Framework adalah panduan penilaian keandalan sistem informasi yang dikembangkan oleh AICPA (American Institute of Certified Public Accountants) yang mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem, yaitu:

1. Keamanan (security) yaitu akses baik fisik maupun logical terhadap sistem dan data dikendalikan dibatasi hanya kepada pengguna yang sah saja.

2. Kerahasiaan (confidentiality) yaitu informasi organisasi yang sensitif dilindungi dari pengungkapan yang tidak berhak dan terlindungi dari pengungkapan tanpa izin.

3. Privasi (privacy) yaitu informasi personal terkait dengan pelanggan atau rekan bisnis hanya digunakan untuk kepatuhan internal perusahaan dan informasi terkait dengan kerjasama dan persyaratan aturan eksternal dan dilindungi dari pengungkapan tidak sah dan tanpa zin.

4. Integritas pemrosesan (processing integrity) yaitu data yang diproses secara akurat, lengkap dan hanya dengan otoritas yang sah. Informasi tidak boleh diubah tanpa seizin pemilik informasi.

5. Ketersediaan (availability) yaitu sistem dan informasi tersedia untuk memenuhi kewajiban operasional dan contractual. Sistem informasi yang diserang dapat menghambat akses ke informasi.

Pada perusahaan yang saya amati sebut saja PT.X mengimplementasi keamanan sistem informasi di perusahaannya dengan cara:

1. Mengatur akses

Mengatur akses ke informasi dengan cara authentication dan access control dengan menggunakan sebuah password. Di perusahaan ini menggunakan sistem windows untuk menggunakan sebuah sistem, pemakai diharuskan melalui proses authentication dengan menuliskan username dan password. Access control biasanya dilakukan dengan mengelompokkan pemakai dalam group. Pengelompokkan disesuaikan dengan kebutuhan dari penggunaan sistem yang diperlukan.

2. Memasang proteksi

Untuk lebih meningkatkan keamanan sistem informasi, proteksi di perusahaan ditambahkan filter yang umum dan lebih spesifik adalah firewall. Digunakan memfilter email dan informasi yang dibutuhkan.

3. Firewall

Firewall merupakan perangkat yang diletakan antara internet dan jaringan internal informasi yang keluar atau masuk harus melalui firewall ini. Firewall berguna menjaga agar akses dari orang yang tidak berwenang tidak dapat dilakukan.

4. Backup secara rutin

Backup secara rutin dilakukan untuk menghindari hilangnya data jika ada suatu bencana dan error.

5. Penggunaan enskripsi 

Data-data yang dikirim dirubah sedemikian rupa agar tidak mudah disadap. 

6. Pemantauan adanya serangan sistem 

Digunakan untuk mengetahui adanya tamu tak diundang atau adanya serangan. Nama sistemnya intruder detection system yaitu sistem ini dapat memberitahukan administrator melalui email maupun mekanisme lain.

Pengendalian dilakukan untuk menjamin terlaksananya confidentiality, integrity dan avaibility. 

Pengendalian preventif dirancang untuk menekan tingkat kesalahan yang tidak disengaja yang masuk ke dalam sistem. Ini juga dilakukan untuk mencegah masuknya pihak yang tidak berhak masuk baik dari dalam maupun dari luar untuk menggunakan sistem.

Pengendalian korektif dilakukan untuk memulihkan keadaan yang diakibatkan oleh aktivitas yang tidak berwenang  ke keadaan semula sebelum pelanggaran terjadi.

Pengendalian detektif untuk mendeteksi suatu kesalahan pada saat ketika akan terjadi. Audit trail, apabila terjadi sebuah kejahatan melalui sistem, maka proses investigasi dapat dilakukan melalui penelusuran sistem log. Temuan yang didapat dapat digunakan sebagai barang bukti untuk diproses lebih lanjut.

Pengendalian aplikasi digunakan untuk memindai secara terus menerus terhadap sistem operasi dan aplikasi untuk mendeteksi perilaku tidak normal pada sistem informasi.

Separation and rotation of duties yaitu kegiatan yang membedakan suatu tugas dengan pemisahan orang sehingga diharapkan tidak ada yang menguasai sistem secara menyeluruh. Rotasi dilakukan untuk meminimalisir terjadinya KKN dalam kegiatan operasional perusahaan.

Untuk itu perlu diterapkannya sistem keamanan yang memadai pada perusahaan PT X dengan keamanan yang memenuhi standar keamanan yang ada agar sistem dapat dilakukan pengendalian keamanan secara optimal.

Daftar Pustaka:

Murti, Hari. 2006. https://media.neliti.com/media/publications/243318-implementasi-keamanan-pemanfaatan-teknol-5511b199.pdf. ( Diakses 15 Oktober 2018, jam 22.00)

Toharudin, 2018. http://toharudin965.blogspot.com/2018/04/konsep-dasar-keamanan-informasi-dan.html, (14 Oktober 2018, jam 7.40)

Yenifitra, 2013. https://yenifitra32.wordpress.com/2013/04/26/29/, (14 Oktober 2018, jam 7.37)

Yuriaiuary, 2017. http://yuriaiuary.blogspot.com/2017/05/sistem-informasi-dan-pengendalian.html, (14 Oktober, jam 8.29)