keamanan sistem informasi (sia)
TRANSCRIPT
KEAMANAN SISTEM INFORMASI
By:Mr. Haloho
Mengapa Kemanan sistem informasi penting?
1. Beberapa sumberdaya organisasi (uang dan persediaan) mudah dicuri atau rusak.
2. Data atau informasi bisa diakses oleh orang yang tidak diijinkan yang bisa mengakibatkan kerusakan dan pencurian data.
3. Fasilitas komputer atau bukan komputer bisa rusak karena bencana alam (api, gempa, banjir, sabotase, salah penggunaan,dll)
4. pemakaian komputer yang semakin meluas dalam pemrosesan transaksi.
• Setiap perusahaan harus menetapkan, mengidentifikasi dan mengisolasi kerusakan-kerusakan yang sering terjadi dan mengancam perangkat keras, perangkat lunak atau sumberdaya manusia.
• Setelah mengisolasi risiko, perusahaan harus melakukan penilaian risiko dan menganalisis risiko.
KERENTANAN DAN HAMBATAN
1. Kerentanan adalah kelemahan dalam sistem2. Hambatan adalah eksploitsai potensial dari
kerentanan.• Hambatan Aktif mencakup penggelapan terhadap
komputer dan sabotase terhadap komputer. • Hambatan Pasif mencakup kesalahan-kesalahan
sistem (kelemahan disk, kekurangan tenaga), gangguan alam (gempa bumi, banjir, kebakaran, dan badai)
Ukuran – Ukuran Kemanan Kenapa Ukuran Kemanan?
1. Melindungi fasilitas komputernya dan fasilitas fisik lainnya.
2. Menjaga integritas dan kerahasiaan file data.
3. Menghindari kerusakan serius atau kerugian-kerugian karena bencana
Jenis Ukuran Kemanan :1.keamanan fisik dan 2.keamanan data/informasi.
Lanjutan ukuran-ukuran keamanan
Lanjutan ukuran-ukuran keamanan
Kemanan fisik dikelompokkan atas:
1. Kemanan untuk sumberdaya fisik Non komputer
2. Keamanan untuk fasilitas perangkat keras komputer.
Lanjutan ukuran-ukuran keamanan
Keamanan Sumberdaya fisik nonkomputer meliputi :
1.Kas2.Persediaan 3.Surat-surat berharga sekuritas4.Aktiva tetap perusahaan5.Arsip-arsip dalam lemari arsip.
Lanjutan ukuran-ukuran keamanan
Fungsi kemanan Sumber daya Non Komputer :
1.Melindungi dari akses yang tidak diotorisasi/diijinkan2.Perlindungan terhadap bencana3.Perlindungan terhadap kerusakan atau kemacetan4.Perlindungan dari akses yang tidak terdeteksi5.Perlindungan terhadap kehilangan atau perubahan-perubahan yang tidak seharusnya6.Pemulihan atau rekonstruksi data yang hilang
1. Perlindungan dari akses yang tidak di ototrisasi/diijinkan. Akses ke aktiva fisik non komputer harus dibatasi atau
dijaga dari pihak-pihak yang tidak diijinkan/diotorisasi. Kas harus disimpan dalam kotak terkunci (brankas) dan
hanya boleh diakses oleh orang-orang yang diijinkan. Menetapkan penjaga untuk sediaan yang disimpan
digudang atau aktiva yang ada digedung administrasi atau pabrik.
Membuat pagar untuk wilayah-wilayah tempat penyimpanan aktiva.
Membuat alarm, monitor TV atau lemari arsip yang terkunci.
Lanjutan ukuran-ukuran keamananFungsi kemanan Sumber daya Non Komputer :
2.Perlindungan dari BencanaMelengkapi gudang dengan peralatan-peralatan pencegah api dan menyimpan kas pada tempat yang tahan api
3.Perlindungan dari kerusakan dan kemacetan Melakukan pemeliharaan rutin atas aktiva-aktiva operasi, seperti mesin, mobli dan lain-lain
Lanjutan ukuran-ukuran keamananFungsi kemanan Sumber daya Non Komputer :
Kemanan untuk perangkat keras komputer ?
1. Perlindungan dari akses orang yang tidak diijinkan Pusat fasilitas komputer harus diisolasi, lokasi tidak bisa dipublikasi dan
tidak tampak dari jalan umum. Akses fisik ke fasilitas komputer dibatasi pada orang yang diotorisasi,
misalnya operator komputer, pustakawan, penyelia pemrosesan data atau manajemen sistem informasi.
Penjaga keamanan dan resepsionis ditempatkan pada titik-titik strategis. Memakai alat scanning elektronik Pintu terkunci ke ruangan komputer dan titik pemasukan data yang hanya
bisa dibuka dengan kartu berkode magnetik. Alarm, apabila ada pihak yang tidak diotorisasi masuk.
Kemanan untuk perangkat keras komputer ?
2. Perlindungan dari bencana Fasilitas komputer diatur kelembaban dan suhu ruangannya. Untuk menghindari kerusajkan karena air, maka lantai, dinding dan
atap harus tahan air. Membuat detektor asap atau detektor api Untuk mainframe, maka sebaiknya disediakan generator ataupun UPS
3. Perlindungan dari kerusakan dan kemacetanMembuat rencana backup file
Kemanan untuk data dan informasi1. Perlindungan dari akses orang yang tidak diotorisasi
terhadap data
Isolasi data dan informasi Data dan Informasi rahasia dan penting bagi operasi perusahaan diisolasi
secara fisik untuk melindungi dari akses yang tidak diotorisasi.
Otentifikasi dan otorisasi pengguna. Misalnya dengan membuat daftar pengendalian akses (ACL), membuat
password, Automatic lockout, Callback procedure, keyboard lock.
Peralatan komputer dan terminal dibatasi penggunaannya.
Misalnya: suatu terminal dibatasi hanya bisa memasukkan transaksi tertentu sesuai dengan fungsinya. Bagian gudang hanya bisa memasukkan dan memutakhirkan data sediaan setelah memasukkan password atau username. Peralatan komputer dan terminal juga akan terkunci otomatis bila jam kerja telah selesai.
2.Enskripsi. Untuk mencegah pengganggu (intruder) memasuki
jaringan komunikasi data dan menyadap data, maka data rahasia yang ditransmisikan melalui jaringan dilindungi dengan enkripsi (data dikodekan dan apabila telah sampai kode tersebut dibuka ditempat tujuan).
Terdapat dua jenis enskripsi: private key encryption & Public Key Encryption.
Kemanan untuk data dan informasi
• DestruksiUntuk mencegah pihak yang tidak diijinkan mengakses
data, data rahasia harus segera dihancurkan ketika masa penggunaannya selesai.
Untuk hasil cetakan, segera dihancurkan melalui alat penghancur kertas.
2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi
a. Membuat access log (log akses)Merupakan komponen keamanan sistem pengoperasian, mencatat
seluruh upaya untuk berinteraksi dengan basis data/database. Log ini menampilkan waktu, tanggal dan kode orang yang melakukan akses ke basis data. Log ini menghasilkan jejak audit yang harus diperiksa oleh auditor internal atau administratur keamanan untuk menetapkan ancaman-ancaman yang mungkin terhadap keamanan sistem informasi.
Kemanan untuk data dan informasi
2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi
b. Console log Cocok bagi komputer mainframe yang menggunakan pemrosesan tumpuk.
Console log mencatat semua tindakan yang dilakukan sistem operasi dan operator komputer.Console log mencatat seluruh tindakan yang dilakukan sistem operasi dan operator komputer, seperti permintaan dan tanggapan yang dibuat selama pelaksanaan pemrosesan dan aktivitas lainnya.
2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi
c. Perangkat lunak pengendalian aksesBeberapa perangkat lunak berinteraksi dengan sistem operasi komputer
untuk membatasi dan memantau akses terhadap file dan data.
c. Log perubahan program dan sistem. Log perubahan program dan sistem dapat memantau perubahan
terhadap program, file dan pengendalian. Manajer pengembangan sistem memasukkan kedalam log ini seluruh perubahan dan tambahan yang diijinkan terhadap program. Perubahan dan tambahan yang diijinkan terhadap program harus diperiksa internal auditor untuk memeriksa kesesuaian dengan prosedur perubahan yang disarankan.
3. Perlindungan dari kerugian atau perubahan yang tidak diharapkan terhadap data atau program
a. Log (catatan) perpustakaan, Memperlihatkan pergerakan dari file data, program, dan dokumentasi yang
digunakan dalam pemrosesan atau aktivitas lainnya. b. Log transaksi, Mencatat transaksi individual ketika transaksi itu dimasukkan ke dalam sistem on-line
untuk pemrosesan. Log ini memberikan jejak audit dalam sistem pemrosesan online.Termasuk dalam log ini adalah tempat pemasukan transaksi, waktu dan data yang dimasukkan, nomor identifikasi orang yang memasukkan data, kode transaksi, dan jumlah. Perangkat lunak sistem juga meminta nomor transaksi. Secara teratur daftar log transaksi ini harus dicetak.
c. Tombol perlindunganpada 3 ½ floppy diskd. Label filee. Memori hanya-baca (Read -Only Memory)f. Penguncian (lockout), Merupakan perlindungan khusus yang diperlukan untuk melindungi basis
data/database, karena beragam pengguna dan program biasanya mengakses data secara bergantian dan terus menerus. Penguncian mencegah dua program mengakses data secara bersamaan. Akibatnya, satu program harus ditunda sampai program lain selesai mengakses. Jika kedua program diijinkan untuk memutakhirkan record yang sama, maka satu data dapat dicatat berlebihan dan hilang.
4. Pemulihan dan rekonstruksi data yang hilang
Program pencatatan vital, yaitu program yang dibuat untuk mengidentifikasi dan melindungi catatan komputer dan nonkomputer yang penting untuk operasi perusahaan, seperti catatan pemegang saham, catatan karyawan, catatan pelanggan, catatan pajak dan bursa, atau catatan sediaan.
Prosedur backup dan rekonstruksi. Backup merupakan tindasan (copy) duplikasi dari dokumen, file, kumpulan data, program dan dokumentasi lainnya yang sangat penting bagi perusahaan. Prosedur rekonstruksi terdiri dari penggunaan backup untuk mencipta ulang data atau program yang hilang.
Proses Penipuan (Karakteristik)
• Pencurian sesuatu yang berharga : Uang tunai, persediaan, peralatan, atau data.
• Konversi aset yang dicuri kedalam uang tunai (c/: persediaan yang dicuri dan peralatan yang dijual atau dikonversi menjadi uang tunai)
• Penyembunyian (c/: pengambilan uang tunai hanya memerlukan beberapa detik, sedangkan pengubahan catatan untuk menyembunyikan pencurian tersebut lebih sulit dan menghabiskan banyak waktu.
Mencegah dan Mendeteksi Penipuan
• Membuat iklim yang membuat penipuan lebih jarang terjadi
• Meningkatkan kesulitan untuk melakukan penipuan• Mengurangi Jumlah Kerugian apabila terjadi
penipuan• Meningkatkan kemungkinan terdektesinya penipuan• Menuntut pelaku Penipuan• Meningkatkan Hukuman jika melakuakn penipuan.
Sebab-sebab terjadinya penipuan
• Tekanan adalah motivasi seseorang untuk melakukan penipuan
Keuangan Pekerjaan Lain-lain
Gaya hidup melebihi kemampuan
Gaji yang rendah Tantangan
Tingginya utang pribadi Tidak adanya pengakuan atas kinerja
Tekanan Keluarga/Rekan kerja
Pendapatan :tidak cukup Ketidak puasan atas pekerjaan
Ketidak stabilan emosi
Rendahnya tingkat kredit
Rasa takut akan kehilangan pekerjaan
Kebutuhan akan kekuasaan
Pengeluaran Perawatan Kesehatan
Harga diri atau ambisi yang berlebihan
Investasi yang buruk
Sebab-sebab terjadinya penipuan
• Peluang adalah kondisi atau situasi yang memungkinkan seseorang untuk melakukan dan menutupi suatu tindakan yang tidak jujur. (Kurangnya pengendalian internal, hubungan dekat dengan pemasok, kemanaan secara fisik yang tidak memadai, tidak adanya perhatian terhadap perincian).
• Rasionalisasi/Alasan (pelaku penipuan mempunyai alasan bahwa yang mereka lakukan tersebut merupakan hal yang wajar.