Vous êtes sur la page 1sur 5

1.

1 MELINDUNGI KEAMANAN SISTEM INFORMASI

Keamanan sistem adalah sebuah sistem yang digunakan untuk mengamankan sebuah komputer
dari gangguan dan segala ancaman yang membahayakan yang pada hal ini keamanannya melingkupi
keamanan data atau informasinya ataupun pelaku sistem (user). Baik terhindar dari ancaman dari luar,
virus. Spyware, tangan-tangan jahil pengguna lainnya dll. Sistem komputer memiliki data-data dan
informasi yang berharga, melindungi data-data ini dari pihak-pihak yang tidak berhak merupakan hal
penting bagi sistem operasi. Inilah yang disebut keamanan (security). Sebuah sistem operasi memiliki
beberapa aspek tentang keamanan yang berhubungan dengan hilangnya data-data. Sistem komputer
dan data-data didalamnya terancam dari aspek ancaman (threats), aspek penyusup (intruders), dan
aspek musibah.

1.1.1 MANFAAT KEAMANAN SISEM INFORMASI


Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku, sumberdaya manusia,
maupun barang jadi sudah saatnya menggunakan sistem komputerisasi yang terintegrasi agar lebih
effisien dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi dalam suatu perusahaan
bertujuan untuk mencapai tiga manfaat utama: kerahasiaan, ketersediaaan, dan integrasi.
1. Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh orang-
orang yang tidak memiliki otoritas. Sistem informasi eksekutif, sumber daya manusia, dan sistem
pengolahan transaksi, adalah sistem-sistem yang terutama harus mendapat perhatian dalam keamanan
informasi.
2. Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas
untuk menggunakannya.
3. Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat
mengenai sistem fisik yang mereka wakili

1.2 KERENTANAN DAN PELANGGARAN SISTEM

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu
potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman: aktif dan pasif.
Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer. Ancaman pasif
mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran, dan angin
badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan
harddisk, matinya aliran listrik, dan lain sebagainya.
Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih. Masalah
kejahatan kerah putih merupakan masalah yang serius. Statistik menunjukkan bahwa kerugian
perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan, dan
pencurian. Hal ini mungkin mengejutkan karena kita jarang membaca kejahatan semacam ini di dalam
media massa. Hal ini terjadi karena di sebagian besar kasus, kecurangan yang terdeteksi jarang diajukan
ke meja hijau karena bisa membuat publik mengetahui kelemahan pengendalian internal perusahaan.
Manajer enggan berhadapan dengan sisi negatif publisitas yang bisa menimbulkan penghakiman
masyarakat.

1
Keamanan sistem informasi merupakan masalah internasional. Banyak negara memiliki undang-undang
yang ditujukan pada masalah keamanan komputer Di Amerika Serikat, berbagai undang-undang,
regulasi, dan publikasi ditujukan pada masalah kejahatan komputer. Computer Fraud and Abuse Act
tahun 1986 menyatakan akses tidak legal yang dilakukan dengan sengaja terhadap data yang disimpan
dalam komputer lembaga keuangan, komputer yang dimiliki atau digunakan oleh pemerintah federal,
atau komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah kejahatan federal.
Pencurian password untuk akses komputer juga dilarang.
National Commission on Fraudulent Financial Reporting (Treadway Commission) mengaitkan kecurangan
manajemen dengan kejahatan komputer. Kecurangan manajemen merupakan kecurangan yang dengan
sengaja dilakukan oleh manajemen dengan tujuan untuk menipu investor dan kreditor melalui pelaporan
keuangan yang menyesatkan. Kecurangan semacam ini dilakukan oleh mereka yang memiliki posisi
cukup tinggi di dalam organisasi sehingga memungkinkan mereka melanggar pengendalian akuntansi.
Memang bisa saja manajemen melakukan kesalahan lainyang memilikipotensi untuk merugikan
karyawan atau investor, namun biasanya istilahkecurangan manajemenmengacu pada manipulasi
laporan keuangan.

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file data yang
sensitif, atau program yang kritis. Ada tiga kelompok yang memiliki perbedaan kemampuan untuk
mengakses hal-hal tersebut di atas, yaitu:

1. Personel sistem komputer


Personel sistem meliputi personel pemeliharaan komputer, programer, operator, personel administrasi
sistem informasi, dan karyawan pengendali data.
2. Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain karena
area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna memiliki
akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan.
3. Penyusup
Penyusup yang menyerang sistem informasi sebagai sebuah Icesenangan dan tantangan dikenal dengan
nama hacker.Tipelain dari penyusup mencakup unnoticed intruder, wiretapper, piggybacker,
impersonating intruder, dan eavesdropper

Ada beberapa metode ancaman pada sistem informasi yang sering digunakan oleh ketiga kelompok
tersebut di atas, yaitu:
1. Manipulasi input
Dalam banyak kasus kejahatan komputer, manipulasi input mempakan metode yangbiasa digunakan.
Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input
tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
2. Mengubah program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan
kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian
pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan

2
besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubahan
dalam program

3. Mengubah file secara langsung


Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong (bypass) proses
normal untuk menginputkan data ke dalam program komputer. Jika hal ini terjadi, hasil yang dituai
adalah bencana

4. Pencurian data
Pencurian data penting merupakan salah satu masalah yang cukup serius dalam dunia bisnis hari ini.
Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi kuantitatif dan kualitatif terkait
dengan salah seorang pesaing merupakan salah satu informasi yang cukup diburu.
5. Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak
dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan yang tidak puas, knususny yang telah
dipecat, biasanya merupakan pelaku sabotase utama.

1.3 NILAI BISNIS PADA KEAMANAN DAN CONTROL

Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis
komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama
yaitu:
1. Kerahasiaan
Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti utama
dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak berhak
mengakses.Privacy lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek privacy misalnya
usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy
adalah dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari teknik-
teknik matematika yang berhubungan dengan aspek keamanan informasi seperti keabsahan, integritas
data, serta autentikasi data.
2. Ketersediaan
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi benar-benar asli, atau
orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Masalah
pertama untuk membuktikan keaslian dokumen dapat dilakukan dengan
teknologi watermarking dan digital signature.Watermarking juga dapat digunakan untuk menjaga
intelektual property, yaitu dengan menandatangani dokumen atau hasil karya pembuat. Masalah kedua
biasanya berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang yang
dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa memang dia adalah
pengguna yang sah atau yang berhak menggunakannya.
3. Integritas
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus,
trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu
menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan.

3
1.4 TEKNOLOGI YANG DIGUNAKAN UNTUK MELINDUNGI KEAMANAN INFORMASI

Ada banyak cara mengamankan data atau informasi pada sebauh sistem. Pada umumnya
pengamanan data dapat dikategorikan menjadi dua jenis, yaitu :penecegahan (presentif) dan
pengobatan (recovery)
1. Pengendalian akses :Pengendalian akses dapat dicapai dengan tiga langkah, yaitu:
a. Identifikasi pemakai (user identification) : Mula-mula pemakai mengidentifikasikan dirinya sendiri
dengan menyediakan sesuatu yang diketahuinya, seperti kata sandi atau password. Identifikasi tersebut
dapat mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon
b. Pembuktian keaslian pemakai (user authentication) :Setelah melewati identifikasi pertama,
pemakai dapat membuktikan hak akses dengan menyediakan sesuatu yang ia punya, seperti kartu id
(smart card, token dan identification chip), tanda tangan, suara atau pola ucapan
c. Otorisasi pemakai (user authorization) :Setelah melewati pemeriksaan identifikasi dan pembuktian
keaslian,maka orang tersebut dapat diberi hak
wewenang untuk mengakses dan melakukan perubahan dari suatu file atau data.
2. Memantau adanya serangan pada sistem
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya penyusup yang masuk
kedalam sistem (intruder) atau adanya serangan (attack) dari hacker. sistem ini biasa disebut “intruder
detection system” (IDS). Sistem ini dapat memberitahu admin melalui e-mail atau melalui mekanisme
lain. Terdapat berbagai cara untuk memantau adanya penyusup. Ada yang bersifat aktif dan pasif. IDS
cara
yang pasif misalnya dengan melakukan pemantauan pada logfile.
Berbagai macam software IDS antara lain, yaitu:
a. Autobuse yaitu mendeteksi port scanning dengan melakukan pemantauan pada logfile
b. Port blocker yaitu memblok port tertentu terhadap serangan. Biasanya untuk melakukan port blok
memerlukan software tertentu, seperti NinX atau sejenisnya
c. Courtney dan portsentry yaitu mendeteksi port scanning dengan melakukan pemantauan paket data
yang sedang lewat
d. Snort yaitu mendeteksi pola pada paket data yang lewat dan mengirimkan instruksi siaga jika pola
tersebut terdeteksi. Pola disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai
dengan kebutuhan

3. Penggunaan enkripsi
Salah satau mekanisme untuk meningkatkan keamanan sistem yaitu dengan menggunakan teknologi
enkripsi data. Data-data yang dikirimkan diubah sedemikian rupa sehingga tidak mudah diketahui oleh
orang lain yang tidak berhak. Ada tiga kategori enkripsi yaitu:
a. Enkripsi rahasia
Terdapat sebuah kunci yang dapat digunakan untuk meng-enkripsi dan men-dekripsi data-data
b. Enkripsi public
Terdapat dua kunci yang digunakan, satu kunci digunakan untuk melakukan enkripsi dan kunci
yang lain digunakan untuk melakukan proses dekripsi.
c. Fungsi one-way

4
Suatu fungsi dimana informasi di enkripsi untuk menciptakan “signature” dari data asli yang dapat
digunakan untuk keperluan autentifikasi. Enkripsi dibentuk berdasarkan algoritma yang dapat mengacak
data kedalam bentuk yang tidak bisa
dibaca atau rahasia, sedangkan dekripsi dibentuk berdasarkan algoritma yang sama untuk
mengembalikan data yang teracak menjadi bentuk asli atau dapat dibaca.

Metode Enkripsi. Ada beberapa metode enkripsi yaitu:


a. DES (Data Encryption Standard)
DES merupakan nama dari sebuah algoritma untuk mengenkripsi data yang dikeluarkan oleh Federal
Information Processing Stadard (FIPS) Amerika Serikat. DES memiliki blok kunci 64-bit, tetapi yang
digunakan dalam proses eksekusi adalah 54 bit. Algoritma enkripsi ini termasuk algoritma yang tidak
mudah untuk diterobos
b. 3DES (Triple DES)
Triple DES dikembangkan untuk mengatasi kelemahan ukuran kunci yang digunakan pada proses
enkripsideskripsi DES sehingga teknik kriptografi ini lebih tahan terhadap exhaustive key search yang
dilakukan oleh kriptoanalis. Penggunaan triple DES dengan suatu kunci tidak akan menghasilkan
pemetaan yang sama seperti
yang dihasilkan oleh DES dengan kunci tertentu. Hal itu disebabkan oleh sifat DES yang tidak tertutup
(not closed). Sedangkan dari hasil implementasi dengan menggunakan modus Electronic Code Book
(ECB) menunjukkan bahwa walaupun memiliki kompleksitas atau notasi O yang sama (O(n)), proses
enkripsi-deskripsi pada DES lebih cepat dibandingkan dengan triple DES
c. Kerberos
Kerberos adalah suatu sistem keamanan berdasarkan enkripsi yang menyediakan pembuktuan keaslian
(mutual authentication) bersama-sama antara komponen client dan komponen server dalam lingkungan
computing terdistribusi. Kerberos juga menyediakan hak-hak layanan yang dapat digunakan untuk
mengontrol client mana yang berwenang mengakses suatu server
d. Melakukan backup secara rutin
Dengan adanya backup data yang dilakukan secara rutin merupakan sebuah hal yang esensial, sehingga
apabila ada penyusup yang mencuri, menghapus, bahkan melakukan modifikasi seluruh isi berkas
penting dapat diatasi dengan cepat.