PENGAMANAN DAN PENGENDALIAN SISTEM INFORMASI

MAKALAHUNTUK MEMENUHI TUGAS MATAKULIAH

Sistem Informasi Manajemenyang dibina oleh Bapak Drs. Mohammad Arief., M.Si

Oleh:

Kelompok 6

Jessica Hanna H (120413423988)

Kaldera Wibowo (120413423974)

Kisvangga Enjaquare (120413423986)

Lailatul Jannah (120413403073)

UNIVERSITAS NEGERI MALANGFAKULTAS EKONOMI

JURUSAN MANAJEMENMARET 2014

KATA PENGANTAR

Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, yang telah memberikan berkat rahmat serta hidayah-Nya kepada kita semua, sehingga atas berkat karunia-Nya penulis dapat menyelesaikan makalah ini.

Tidak lupa penulis sampaikan rasa terimakasih kepada semua pihak atas bantuannya dalam menyelesaikan tugas makalah ini. Serta ucapan terimakasih pula kepada pembimbing matakuliah sistem informasi manajemen Bapak Mohammad Arief, yang telah membantu dalam menyelesaikan makalah ini.

Dalam penyusunan makalah ini penulis berharap dapat memberikan manfaat serta wawasan kepada pembaca sekalian serta penulis pada khususnya. Penulis menyadari bahwa dalam penulisan makalah ini terdapat kelebihan dan kekurangannya sehingga penulis mengharap kritik dan saran yang dapat memperbaiki untuk penulisan makalah selanjutnya.

Terima kasih.

Malang, 12 Maret 2014

Penulis

i

DAFTAR ISI

HalamanKATA PENGANTAR............................................................................. i

DAFTAR ISI…………………………………………………………… ii

BAB I PENDAHULUAN1.1 Latar Belakang……………………………………….... 11.2 Rumusan Masalah……………………………………... 21.3 Tujuan Penulisan……………………………………..... 2

BAB II PEMBAHASAN2.1 Pengertian Sistem Informasi ………………................... 32.2 Pengendalian Dalam Sistem Informasi…....................... 42.3 Kontrol-Kontrol Dalam Pengamanan Sistem Informasi.. 10

BAB III PENUTUP3.1 Kesimpulan…………………………………………….. 173.2 Saran…………………………………………………… 17

DAFTAR RUJUKAN……………………………………………….... 18

ii

BAB I

PENDAHULUAN

1.1 Latar Belakang

Pengendalian yang dimaksud merupakan sejauh mana pengendalian

aplikasi mempunyai peran dalam mencegah dan mendeteksi adanya kesalahan-

kesalahan. Di dalam tindakan atau perilaku pada system informasi,sangatlah

dibutuhkan/pentingnya pengendalian keamanan dan control,karena bertujuan

untuk memastikan bahwa CBIS(Computer Based Information System) telah

diimplementasikan seperti yang direncanakan,system sendiri telah beroperasi

seperti yang dikehendaki,dan operasi tetap dalam keadaan aman dari

penyalahgunaan atau gangguan komunikasi. Maka dari itu kita harus

mempunya security dalam system informasi. Tugas control CBIS Kontrol

CBIS mencakup semua fase siklus hidup. Selama siklus hidup, kontrol dapat

dibagi menjadi kontrol-kontrol yang berhubungan dengan pengembangan,

disain dan operasi. Manajer dapat memperoleh kontrol dalam ketiga area

secara langsung melalui ahli lain, seperti auditor.

Sebuah pengendalian dikatakan berhasil ketika kesalahan-kesalahan

dapat diminimalisir. Betapa pentingnya informasi dalam kehidupan manusia,

sehingga informasi yang datang tidak boleh terlambat , tidak boleh bias (berat

sebelah) harus bebas dari kesalahan-kesalahan dan relevan dengan

penggunanya,sehingga informasi tersebut menjadi informasi yang berkualitas

dan berguna bagi pemakainya. Untuk mendapatkan informasi yang berkualitas

perlu dibangun sebuah sistem informasi sebagai media pembangkitnya. Sistem

informasi merupakan cara menghasilkan informasi yang berguna . informasi

yang berguna akan mendukung sebuah keputusan bagi pemakainya.

Pendekatan sistem adalah suatu prosedur langkah demi langkah yang

digunakan dalam memecahkan masalah. Tiap langkah mencakup satu

keputusan atau lebih, dan untuk tiap keputusan diperlukan informasi.

Definisi Keamanan sendiri adalah proteksi perlindungan atas sumber-

sumber fisik dan konseptual dari bahaya alam dan manusia. Keamanan terhadap

1

sumber konseptual meliputi data dan informasi. Keamanan sendiri mempunyai

tujuan-tujuan yang di maksudkan untuk mencapai tujuan utama,yaitu:

1.    Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari orang-

orang yang tidak berhak.

2.     Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi

mereka yang berwenang untuk menggunakannya.

3.    Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari

sistem fisik yang diwakilinya.

Pengendalian Akses dicapai melalui suatu proses 3 langkah, yang mencakup :

1.     Indentifikasi User.

2.     Pembuktian Keaslian User.

3.     Otorisasi User.

1.2 Rumusan Masalah

1. Bagaimana yang dimaksud dengan system informasi?

2. Bagaimana yang dimaksud dengan pengendalian system informasi?

3. Bagaimana kontrol-kontrol yang dapat dilakukan dalam pengamanan

system informasi?

1.3 Tujuan Penulisan

1. Untuk mengetahui yang dimaksud dengan system informasi.

2. Untuk mengetahui yang dimaksud dengan pengendalian system informasi .

3. Untuk mengetahui kontrol-kontrol yang dapat dilakukan dalam

pengamanan system informasi.

2

BAB II

PEMBAHASAN

2.1 Pengertian Sistem Informasi

Pengertian sistem informasi menurut beberapa ahli, adalah sebagai

berikut:

1. Mcleod (2001) Sistem Informasi merupakan sistem yang mempunyai

kemampuan untuk mengumpulkan informasi dari semua sumber dan

menggunakan berbagai media untuk menampilkan informasi.

2. Sutabri (2005: 36) Sistem informasi adalah suatu sistem di dalam suatu

organisasi yang mempertemukan kebutuhan pengolahan transaksi harian yang

mendukung fungsi organisasi yang bersifat manajerial dalam kegiatan strategi

dari suatu organisasi untuk dapat menyediakan kepada pihak luar tertentu

dengan laporan – laporan yang diperlukan.

3. Arbie (2000: 35) Sistem informasi adalah sistem di dalam suatu organisasi

yang mempertemukan kebutuhan pengolahan transaksi harian, membantu dan

mendukung kegiatan operasi, bersifat manajerial dari suatu organisasi dan

membantu mempermudah penyediaan laporan yang diperlukan.

4. Muhyuzir (2001: 8) Sistem informasi adalah data yang dikumpulkan,

dikelompokkan dan diolah sedemikian rupa sehingga menjadi sebuah satu

kesatuan informasi yang saling terkait dan saling mendukung sehingga

menjadi suatu informasi yang berharga bagi yang menerimanya.

5. O’Brien (2005: 5),  Sistem  informasi   adalah   suatu   kombinasi terartur

apapun dari people (orang), hardware (perangkat keras), software (piranti

lunak), computer networks and data communications (jaringan komunikasi),

dan database (basis data) yang mengumpulkan, mengubah dan menyebarkan

informasi di dalam suatu bentuk organisasi.

6. Sidharta (1995: 11), “Sebuah sistem informasi adalah sistem buatan manusia

yang berisi himpunan terintegrasi dari komponen – komponen manual dan

komponen – komponen terkomputerisasi yang bertujuan untuk

mengumpulkan data, memproses data, dan menghasilkan informasi untuk

pemakai”.

3

7. Robert A. Leitch & K. Roscoe Davis dalam Jogiyanto (1999: 11)menyatakan

bahwa “Sistem informasi adalah suatu sistem di dalam suatu organisasi yang

mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi,

bersifat manajerial dan kegiatan strategi dari suatu organisasi dan

menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan.”

8. Davis (1991: 91) menyatakan bahwa “Sistem informasi adalah suatu sistem

yang menerima masukan data dan instruksi, mengolah data tersebut sesuai

dengan instruksi dan mengeluarkan hasilnya.”

Dari paparan tersebut dapat disimpulkan bahwa yang dimaksud dengan

sistem informasi merupakan data yang dikumpulkan, dikelompokkan dan diolah

sedemikian rupa sehingga menjadi sebuah satu kesatuan informasi yang berharga

yang dalam menampilkannya menggunakan berbagai media, informasi tersebut

digunakan dalam kegiatan strategi dari suatu organisasi atau perusahaan untuk

dapat menyediakan kepada pihak luar tertentu dalam bentuk informasi berupa

laporan – laporan yang diperlukan.

2.2 Pengendalian Dalam Sistem Informasi

Arief (2013) menyatakan bahwa Pengendalian sistem informasi terbagi

atas pengendalian umum dan pengendalian aplikasi. Pengendalian umum

diterapkan pada keseluruhan aktivitas dan aplikasi sistem informasi. Pengendalian

umum ini dipasangkan atau melekat di dalam suatu sistem informasi dengan

tujuan untuk mengendalikan rancangan, pengamanan, dan penggunaan program-

program komputer, serta pengamanan atas file data di dalam infrastruktur

teknologi informasi, pengendalian umum dipasangkan di keseluruhan aplikasi

yang terkomputerisasi dan terdiri dari: perangkat keras, perangkat lunak, dan

prosedur manual yang mampu untuk menciptakan lingkungan pengendalian

secara menyeluruh. Pengendalian aplikasi adalah pengendalian yang secara

khusus dipasangkan pada aplikasi tertentu atau suatu subsistem tertentu, misalnya

pengendalian aplikasi yang dipasangkan di aplikasi sistem penggajian, piutang,

atau pemrosesan order untuk pengadaan barang dan jasa. Terdiri dari

pengendalian - pengendalian yang dipasangkan pada areal pengguna atas sistem

tertentu dan dari prosedur-prosedur yang telah diprogram.

4

Pengendalian umum sistem informasi berhubungan dengan risiko-risiko

yang berkaitan di berbagai area kegiatan, seperti: sistem operasi, sumber daya

data, pemeliharaan sistem, pusat komputer, komunikasi data, pertukaran data

elektronik (electronic data interchange - EDI), komputer mikro, dan sebagainya.

empat jenis risiko yang berkaitan dengan sasaran keamanan informasi, yaitu :

a. Penggunaan informasi yang tidak terotorisasi. Risiko ini terjadi ketika orang

yang tidak berhak menggunakan sumber daya informasi perusahaan mampu

melakukan hal tersebut. Contoh kejahatan komputer tipe ini adalah hacker yang

memandang keamanan informasi sebagai suatu tantangan yang harus diatasi.

Hacker dapat memasuki jaringan komputer sebuah perusahaan, mendapat akses

dalam sistem telepon dan melakukan sambungan telepon jarak jauh tanpa

otorisasi.

b. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat

menghancurkan hardware atau software sehingga operasional komputer

perusahaan tidak berfungsi. Dalam hal ini bahkan penjahat komputer tidak harus

berada di lokasi fisik tersebut. Mereka dapat memasuki jaringan komputer

perusahaan dan menggunakan sumber daya perusahaan sehingga operasional

bisnis tidak dapat berfungsi.

c. Pengungkapan dan pencurian informasi yang tidak terotorisasi. Ketika suatu

basis data dan perpustakaan software perusahaan dimasuki oleh orang yang tidak

berhak maka risiko yang terjadi misalnya informasi yang hilang. Perusahaan

pesaing memperoleh informasi penting mengenai kompetisi dari database

perusahaan.

d. Modifikasi yang tidak terotorisasi. Perubahan dapat dilakukan pada data,

informasi dan software perusahaan. Beberapa perubahan dapat berlangsung

tanpa disadari dan berakibat pada para pengguna output mengambil keputusan

yang salah. Contoh lain adalah serangan penyusup dengan cara merubah web

site perusahaan dengan pesan-pesan yang merugikan pemilik web site.

Sistem operasi mengendalikan sistem komputer lainnya dan memberikan

ijin aplikasi-aplikasi untuk menggunakan secara bersamasama sumberdaya dan

peralatan komputer. Karena ketergantungannya, masalah yang timbul dalam

sistem operasi ini dapat menimbulkan masalah-masalah lain pada seluruh

5

pengguna dan aplikasinya. Fungsi-fungsi sistem operasi adalah menerjemahkan

bahasa tingkat tinggi ke bahasa mesin dengan menggunakan pengkompilasi

(compiler) dan penerjemah (interpreter); mengalokasikan sumber daya komputer

ke berbagai aplikasi melalui pembebanan memori dan pemberian akses ke

peralatan dan arsip-arsip (file) data; serta mengelola tugas – tugas penjadualan dan

program yang dijalankan bersamaan. Sehubungan dengan fungsi-fungsi tersebut,

auditor biasanya ditugaskan untuk memastikan bahwa tujuan pengendalian atas

sistemoperasi tercapai dan prosedur-prosedur pengendaliannya ditaati.

Sedangkan Tujuan dan resiko pengendalian sistem operasi menurut Arief

(2013) adalah sebagai berikut:

Tujuan pengendalian system operasi

a. Mencegah akses oleh pengguna atau aplikasi yang dapat

mengakibatkan

penggunaan tak terkendali ataupun merugikan sistem operasi atau arsip

data.

b. Mengendalikan pengguna yang satu dari pengguna lainnya agar

seorang pengguna

tidak dapat menghancurkan atau mengkorupsi program atau data

pengguna lainnya.

c. Mencegah arsip-arsip atau program seorang pengguna dirusak oleh

program lainnya yang digunakan oleh pengguna yang sama.

d. Mencegah sistem operasi dari bencana yang disebabkan oleh kejadian

eksternal, seperti kerusakan pada pembangkit listrik. Juga agar sistem

dapat memulihkannya kembali jika hal ini sampai terjadi.

Risiko-risiko yang mungkin dihadapi oleh sistem operasi dalam penggunaannya,

antara lain adalah :

a. Penyalahgunaan oleh pengguna melalui akses ke sistem operasi,

seperti layaknya

manajer sistem.

b. Penyalahgunaan oleh pengguna yang mendapat keuntungan dari akses

yang tidak sah.

6

c. Perusakan oleh pengguna-pengguna yang secara serius mencoba untuk

merusak

sistem atau fungsi-fungsi.

Prosedur-prosedur pengendalian terhadap sistem operasi yang biasanya dilakukan

adalah sebagai berikut:

a. Pemberian atau pengendalian password.

b. Pengamanan pemberian akses ke pegawai.

c. Pembuatan pernyataan dari pengguna tentang tanggung-jawab mereka

untuk menggunakan sistem dengan tepat dan jaminan akan menjaga

kerahasiaannya.

d. Pembentukan suatu kelompok keamanan (security group) untuk

memonitor dan

e. melaporkan pelanggaran.

Penetapan kebijakan formal untuk mengatasi para pelanggan

Rosyid (2011) menyatakan bahwa “pengendalian dalam sebuah sistem

pada dasarnya berarti menjaga agar sistem beroperasi dalam batas prestasi

tertentu”. Sebuah sistem yang berada dalam kendali akan beroperasi dalam batas

toleransi yang telah ditentukan, dimana keluaran dari sebuah sistem kadang-

kadang tidak sesuai dengan keluaran yang semestinya (standar), hal ini

membutuhkan pengendalian melalui sistem umpan balik untuk mencari gangguan-

gangguan yang menghambat. Agar sistem umpan balik itu dapat berjalan baik

maka sistem harus memiliki standar keterukuran keluaran, sensor yang dapat

menangkap kondisi setiap keluaran, alat yang dapat membandingkan keluaran

yang terjadi dengan keluaran standar, serta alat yang bergerak mengoreksi

masukan. Tentu saja tidak seluruh tanggapan korektif dari sistem umpan balik

harus diterima, hal ini akan tergantung kepada kepentingan organisasi, karena itu

berlaku fungsi penyaringan. Artinya hal-hal yang tidak prinsipil dan tidak terlalu

mengganggu jalannya organisasi tanggapan korektif bisa diabaikan.

Rosyid (2011) juga menyatakan beberapa unsur yang ada dalam

pengendalian, yaitu sebagai berikut:

1. prestasi yang diharap, hal ini besa berupa anggaran prosedur

pengoperasian,atau suatu algoritma keputusan.

7

2. suatu ukuran prestasi aktual.

3. suatu perbandingan antara prestasi yang diharapkan dan nyata.

4. suatu laporan penyimpangan pada sebuah unit pengendalian, misalnya

seorang manajer

5. suatu rangkaian tindakan yang diambil unit pengendalian untuk mengubah

prestasi mendatang kalau saat ini ada keadaan yang kurang

menguntungkan disertai serangkaian aturan keputusan untuk pemilihan

jawaban yang tepat.

Tugas pengendalian dalam Sistem Informasi yang terdiri dari :

a. Proses menjamin bahwa tugas tertentu dilaksanakan secara efektif dan efesien.

b. Berorientasi pada transaksi.

c. Dilakukan berulangkali (amat sistematis).

d. Ada hubungan sebab akibat (lebih ilmiah).

Raymond dan George (2008) menyatakan pengendalian adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi.

a.Pengendalian teknis

Pengendalian teknis adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor internal di dalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain sistem. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.

1.Pengendalian akses.

Dasar untuk keamanan melawan ancaman yang dilakukanoleh orang –orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan. Pengendalian akses dilakukan melalui proses tiga tahap:

8

1. Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.

2. Otentikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka milik, seperti smart card atau tanda tertentu atau chip identifikasi. Autentikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.

3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.

2.Pengendalian Kriptografis.

Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografis, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.

3.Pengendalian Fisik.

Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya di tempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan badai.

b.Pengendalian Formal.

9

Pengendalian formal mencangkup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

c.Pengendalian Informal.

Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut. 

Dukungan Pemerintah dan Industri.

Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolok ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternatif untuk manajemen risiko. Beberapa pihak penentu standar menggunakan istilah baseline (dasar) dan bukannya benchmark (tolok ukur). Organisasi tidak diwajibkan mengikuti standar ini. Namun, standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan. Contohnya: 

1. BS7799 milik Inggris. Standar Inggris menentukan satu set pengendalian dasar. Standar ini pertama kali dipublikasikan oleh British Standards Institue pada tahun 1995, kemudian dipublikasikan oleh International Standards Organization sebagai ISO 17799 pada tahun 2000, dan dibuat tersedia bagi para pengadopsi potensial secara online pada tahun 2003.

2. COBIT. COBIT, dari Information Systems Audit and Control Association & Foundation (ISACAF), berfokus pada proses yang dapat diikuti perusahaan dalam menyusun standar, dengan berfokus pada proses yang dapat diikuti perusahaan dalam menyusun standar, dengan berfokus pada penulisan dan pemeliharaan dokumentasi.

3. GASSP. Generally Accepted System Security Principles (GASSP) adalah produk dari Dewan Riset Nasional Amerika Serikat. Penekanannya adalah pada alasan penentuan kebijakan keamanan.

2.3 Kontrol-Kontrol Dalam Pengamanan Sistem Informasi

10

Raymond dan George (2008) menyatakan pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap: mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan, mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut, menentukan kebijakan keamanan informasi, serta mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

a.Ancaman.

Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu yang dialami jika kita membayangkan beberapa kelompok atau beberapa orang di luar perusahaan tersebut yang melakukan tindakan yang disengaja. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal, dan dapat bersifat tidak sengaja maupun disengaja.

1.Ancaman internal dan eksternal.

Ancaman internal mencangkup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Survei yang dilakukan oleh Computer Security Institute menemukan bahwa 49% responden menghadapi insiden keamanan yang disebabkan oleh tindakan para pengguna yang sah, proporsi kejahatan komputer yang dilakukan oleh karyawan diperkirakan mencapai 81%. Ancaman internal diperkirakan menghasilkan kerusakan secara potensi lebih serius jika dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.

2.Tindakan kecelakaan dan disengaja.

Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang-orang didalam ataupun di luar perusahaan. Sama halnya di mana keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.

b.Risiko.

Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis:

11

1.Pengungkapan informasi yang tidak terotorisasi dan pencurian

Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi atau uang. Sebagai contoh, mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyelundupkan dana perusahaan.

2.Penggunaan yang tidak terotorisasi

Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan komputer tipe ini Contoh kejahatan komputer tipe ini adalah hacker yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi. Hacker, misalnya, dapat memasuki jaringan komputer sebuah perusahaan, mendapatkan akses ke dalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi.

3.Penghancuran yang tidak terotorisasi dan penolakan layanan

Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Dalam hal ini penjahat komputer bahkan tidak harus berada di lokasi fisik tersebut. Mereka dapat memasuki jaringan komputer perusahaan dan menggunakan sumber daya perusahaan (seperti e-mail) hingga tingkatan tertentu sehingga operasional bisnis normal tidak berlangsung.

4.Modifikasi yang tidak terotorisasi

Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah. Salah satu contoh adalah perubahan nilai pada catatan akademis seorang siswa.

c.Kebijakan keamanan informasi

Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen risiko atau kepatuhan terhadap tolok ukur maupun tidak, suatu kebijakan keamanan harus diterapkan untuk mengarahkkan keseluruhan program. Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang bertahap.

12

Riyanarto dan Irsyat (2009) menyatakan keamanan bisa dicapai dengan beberapa cara yang bisa dilakukan secara simultan atau dilakukan dalam kombinasi satu dengan lainnya. Strategi- strategi dari Keamanan Informasi

13

masing- masing memiliki fokus dan dibangun tujuan tertentu sesuai kebutuhan. Contoh dari Keamanan Informasi antara lain :

a) Phsical Security adalah Keamanan Informasi yang memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

b) Personal Security adalah Keamanan Informasi yang berhubungan dengan keamanan personil. Biasanya saling berhubungan dengan ruang lingkup physical security.

c) Operation Security adalah Keamanan Informasi yang membahas bagaimana strategi suatu organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi tanpa gangguan.

d) Communications Security dalah Keamanan Informasi yang bertujuan mengamankan media komunisasi, teknologi komunikasi serta apa yang ada di dalamnya. Serta kemampuan untuk memanfaatkan media dan teknologi komunikasi untuk mencapai tujuan organisasi.

e) Network Security adalah Keamanan Informasi yang memfokuskan pada bagaimana pengamanan peralatan jaringan, data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Metode - metode Keamanan Informasi

1.Password

Cara yang paling umum digunakan untuk mengamankan Informasi adalah dengan mengatur atau membatasi akses ke Informasi tersebut melalui mekanisme “acces control”, dimana implementasi dari mekanisme ini paling banyak dikenal dengan istilah “password”. Di sistem Unix, untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses authentication dengan menuliskan userid dan password, Informasi yang diberikan ini dibandingkan dengan userid dan password yang berada di dalam sistem.

a. Keamanan PasswordAkses ke Informasi menggunakan sistem password sepenuhnya belum menjadikan jaminan aman. Hacker bisa saja mencari file atau berkas tempat penyimpanan password dari user- user yang tersimpan. Untuk itu kita perlu melakukan keamanan-keamanan terhadap data password tersebut.

b. Shadow PasswordSalah satu cara untuk mempersulit mendapatkan berkas yang berisi password (meskipun terenkripsi) adalah dengan menggunakan “shadow password”. Contoh untuk system UNIX Mekanisme ini

14

menggunakan berkas /etc/ shadow untuk menyimpan encrypted password, sementara kolom password diberkas /etc/password yang berisi karakter “X”, berkas /etc/shadow tidak dapat dibaca secara langsung oleh pemakai biasa (bersifat hidden) tetapi bisa diakses oleh user root.

c. Pemilihan PasswordCara lain untuk mempersulit menemukan password kita adalah dengan pemilihan karakter password yang sulit ditebak, karena jika kita menggunakan karakter password yang umum dengan menggunakan program password cracker maka password akan mudah ditebak oleh karena itu pemilihan karakter password sangat penting dan memerlukan perhatian khusus.

2.Enkripsi

Enkripsi adalah proses pengubahan/ konversi/ penyajian suatu Informasi kebentuk lain atau tertentu sehingga tidak dapat dimengerti / tidak dapat dimanfaatkan oleh pihak yang tidak berhak. Enkripsi digunakan untuk melindungi data atau Informasi yang kita miliki agar hanya kita saja atau orang lain yang telah kita tahu kode- kodenya dapat memanfaatkan Informasi kita.

3.Kriptografi

Kriptografi dapat didefinisikan sebagai metode untuk menyamarkan (merahasiakan) isi dari data sehingga data tidak mudah untuk dibaca oleh orang yang tidak berhak untuk membacanya. Dengan adanya Kriptografi, walaupun seseorang pada akhirnya bisa memperoleh data dan melanggar aspek perolehan data, tapi paling tidak data yang sudah diperoleh tersebut tidak dapat lagi dengan mudah untuk dibaca.

a. Kontrol Proses Pengembangan

Selama fase disain dan analisis dari siklus hidup system, Analis System, DBA dan Manajer Jaringan membangun fasilitas kontrol tertentu dalam disain system. Selama fase implementasi, programmer menggabungkan kontrol tersebut ke dalam system. Disain system dikontrol dengan cara menggabungkan kontrol software menjadi lima bagian pokok. Untuk memastikan bahwa CBIS yg diimplementasikan dpt memenuhi kebutuhan pemakai atau berjalan sesuai rencana..

b.  Kontrol Pengoperasian Sistem

Kontrol pengoperasian sistem dimaksudkan untuk mencapai efisiensi dan keamanan. Kontrol yang memberikan kontribusi terhadap tujuan ini dapat diklasifikasikan menjadi 5 area :

15

1. Struktur organisasional.

Staf pelayanan informasi diorganisir menurut bidang spesialisasi. Analisis, Programmer, dan Personel operasi biasanya dipisahkan dan hanya mengembangkan ketrampilan yang diperlukan untuk area pekerjaannya sendiri.

2. Kontrol perpustakaan.

Perpustakaan komputer adalah sama dengan perpustakaan buku, dimana didalamnya ada pustakawan, pengumpulan media, area tempat penyimpanan media dan prosedur untuk menggunakan media tersebut. Yang boleh mengakses perpustakaan media hanyalah pustakawannya.

4. Pemeliharaan Peralatan.

Orang yang tugasnya memperbaiki computer yang disebut Customer Engineer (CE) / Field Engineer (FE) / Teknisi Lapangan menjalankan pemeliharaan yang terjadwal / yang tak terjadwal.

5. Kontrol lingkungan dan keamanan fasilitas.

Untuk menjaga investasi dibutuhkan kondisi lingkungan yang khusus seperti ruang komputer harus bersih keamanan fasilitas yang harus dilakukan dengan penguncian ruang peralatan dan komputer.

Perencanaan disaster:

1.Rencana Keadaan darurat.

Prioritas utamanya adalah keselamatan tenaga kerja perusahaan.

2.Rencana Backup.

Menjelaskan bagaimana perusahaan dapat melanjutkan operasinya dari ketika terjadi bencana sampai ia kembali beroperasi secara normal.

3.Rencana Record.

Penting Rencana ini mengidentifikasi file data penting & menentukan tempat penyimpanan kopi duplikat.

4.Rencana Recovery

Rencana ini mengidentifikasi sumber-sumber peralatan pengganti, fasilitas komunikasi dan pasokan-pasokan.

16

BAB III

PENUTUP

3.1 Kesimpulan

Berdasarkan paparan yang terdapat dalam pembahasan, maka penulis

dapat menyimpulkan isi dari makalah ini adalah sebagai berikut:

1. Sistem informasi merupakan data yang dikumpulkan, dikelompokkan dan

diolah sedemikian rupa sehingga menjadi sebuah satu kesatuan informasi

yang berharga yang dalam menampilkannya menggunakan berbagai

media, informasi tersebut digunakan dalam kegiatan strategi dari suatu

organisasi atau perusahaan untuk dapat menyediakan kepada pihak luar

tertentu dalam bentuk informasi berupa laporan – laporan yang diperlukan.

2. Pengendalian sistem merupakan pengendalian yang secara khusus

dipasangkan pada aplikasi tertentu atau suatu subsistem tertentu. Bertujuan

untuk mencegah akses oleh pengguna atau aplikasi yang dapat

mengakibatkan penggunaan tak terkendali ataupun merugikan sistem

operasi atau arsip data, mengendalikan pengguna yang satu dari pengguna

lainnya agar seorang pengguna tidak dapat menghancurkan atau

mengkorupsi program atau data pengguna lainnya, mencegah arsip-arsip

atau program seorang pengguna dirusak oleh program lainnya yang

digunakan oleh pengguna yang sama, mencegah sistem operasi dari

bencana yang disebabkan oleh kejadian eksternal, seperti kerusakan pada

pembangkit listrik.

3.2 Saran

Sebaiknya para pengguna menggunakan strategi - strategi dari keamanan

informasi untuk mengamankan informasinya yang penting supaya dapat

mencegah akses oleh pengguna atau aplikasi yang dapat mengakibatkan

penggunaan tak terkendali ataupun merugikan sistem operasi atau arsip data,

mencegah arsip-arsip atau program seorang pengguna dirusak oleh program

lainnya yang digunakan oleh pengguna yang sama, dll. Serta diharapkan

17

menggunakan metode - metode keamanan Informasi seperti keamanan password,

dll.

DAFTAR RUJUKAN

Arbie, E. 2000. Pengantar Sistem Informasi Manajemen. Edisi Ketujuh. Jilid 1. Jakarta: Bina Alumni Indonesia

Arief, M. 2013. Pengamanan dan Pengendalian Sistem Informasi. (online). (http://sinformasi.files.wordpress.com/2013/02/bab-11-pengamanan.doc). Diakses tangal 10 Maret 2014.

Davis. G.B. 1991. Kerangka Dasar Sistem Informasi Manajemen Bagian 1. Jakarta: PT. Pustaka Binamas Pressindo.

Jogiyanto, H.M. 1999. Analisis dan Disain Informasi: Pendekatan Terstruktur Teori dan Praktek Aplikasi Bisnis. Yogyakarta: Andi Offset.

Mcleod, R. 2001. Sistem Informasi Manajemen. Jakarta: PT.Prenhallindo.

Mcleod, R. dan Schell, G. P. Sistem Informasi Manajemen. Terjemahan Ali Akbar Yulianto; Afia R. Fitriati. 2008. Jakarta: Penerbit Salemba Empat.

Muhyuzir, T.D. 2001, Analisa Perancangan Sistem Pengolahan Data. Cetakan Kedua. Jakarta: PT.Elex Media Komputindo.

O’Brein, J.A. 2005. Pengantar Sistem Informasi. Jakarta: Salemba 4.

Rosyid, Z.A. 2011. Keamanan dan Kontrol Sistem Informasi.(online). (http://zaidarrosyid.blogspot.com/2011/11/keamanan-dan-kontrol-sistem-informasi.html). Diakses tanggal 10 Maret 2014.

Sarno, R. & Iffano, I. 2009. Sistem Manajemen Keamanan Informasi. Penerbit: ITSPress Surabaya.

Sidharta, L. 1995. Pengantar Sistem Informasi Bisnis. Jakarta: PT.ELEX Media Komputindo.

Sutabri, T. 2005. Sistem Informasi Manajemen. 2005. Yogyakarta: Andi Offset.

18