Jumat, 27 November 2015

SISTEM INFORMASI MANAJEMEN BAB 9 KEAMANAN INFORMASI Sistem Informasi Manajemen (Edisi 10) Raymond McLeod, Jr. George P. Schell

SISTEM INFORMASI MANAJEMEN
BAB 9
KEAMANAN INFORMASI
Sistem Informasi Manajemen (Edisi 10)
Raymond McLeod, Jr.
George P. Schell

logo_gunadarma


NAMA          :           ADHIETYA RAMADHAN PUTRA
KELAS         :           2DB04
NPM             :           30114217
MAT.KUL    :           SISTEM INFORMASI MANAJEMEN



UNIVERSITAS GUNADARMA
2015
KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
       Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.
KEAMANAN INFORMASI
       Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terpukul secara eksklusif pada perlindungan perantik keras dab data, maka istilah keamanan sistem (Sistem security) pun di gunakan. Fokus sempit ini kemudian di perluas sehingga mencangkup bukan hanya perantik keras dan data, namun juga peranti lunak, fasilitas komputer, dan personel.
TUJUAN KEAMANAN INFORMASI
       Kerahasian. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.
       Ketersediaan. Tujuannya dari infrastrukstur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
       Integritas. Semua sistem informasi harus memberikan representasi akurat dan atas sistem fisik yang direpresentasikannya.
MANAJEMEN KEAMANAN INFORMASI
       Seperti halnya cakupan keamanan informasi telah meluas demikian juga pandangan akan tanggung jawab manajemen tidak hanya di harapkan untuk menjaga agar sumber daya informasi aman, namun juga di harapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi ( informatian security management – ISM ).






STRATEGI MANAJEMEN KEAMANAN INFORMASI
Flowchart: Connector: Mengidentifikasi ancaman
Flowchart: Connector: Mengidentifikasi risiko
Flowchart: Connector: Mengimplementasikan pengendalian
Flowchart: Alternate Process: Manajemen risiko
 
























                                                                                        

Flowchart: Process: Tolok ukur
Oval: Menentukan kebijakan keamanan informasi
Oval: Mengimplementasikan informasi
Rounded Rectangle: Kepatuhan terhadap tolok ukur
 



















                                                                                                                                                                    





ANCAMAN
·         Ancaman Keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan

JENIS ANCAMAN
       Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain.
       Selain virus ada terdapat pula worm, Trojan horse, adware, dan spyware.
RISIKO
       Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.
PENGUNGKAPAN INFORMASI YANG TEROTORISASI DAN PENCURIAN
       Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memilki akses, hasilnya adalah hilangnya informasi atau atau uang . Sebagai contoh, mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyeludupkan dana perusahaan.
PERSOALAN E-Commerce
       E-comerce (perdagangan elektronik) telah memperkenalkan suatu perusahaan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan perangkat lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para paritel e-commerce di bandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung.
KARTU KREDIT “SEKALI PAKAI”
       Pada september 2000, america ekspres mengumumkan sebuak kartu kredit “sekali pakai” tindakan yang ditunjukan bagi 60 hingga 70 persen konsumen yang mengkhawatirkan pemalsuan kartu kredit dari pengguanaa internet.
PRAKTIK KEAMANAN YANG DIWAJIBKAN OLEH VISA
  1. Memasang dan memelihara firewall.
  2. Memperbaharui keamanan.
  3. Melakukan ekskripsi pada data yang di simpan.
  4. Melakukan ekskripsi pada data yang di kirimkan.
  5. Menggunakan dan memperbarui peranti lunak antivirus
  6. Membatasi akses data kepada orang-orang yang ingin tahu.
  7. Memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data.
  8. Memantau akses data dengan ID unik.
  9. Tidak menggunakan kata sandi default yang disediakan oleh vendor.
  10. Secara teratur menguji sistem keamanan.
MANAJEMEN RISIKO
  1. Menganalisis kelemahan perusahaan tersebut.
  2. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko.
  3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.
  4. Menyadari risikonya.
















Flowchart: Process: Manajemen
Flowchart: Process: Fase 4 Kesadaran dan pendidikan
Flowchart: Process: Unit organisasi
 























PENGENDALIAN
       Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan damak risiko tersebut pada perusahaan jika risiko tersebut terjadi.
PENGENDALIAN TEKNIS
       Pengendalian teknis (technical control) adalah pengendalian yan menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.
PENGENDALIAN AKSES
  1. Identifikasi pengguna. Para pengguna pertama mengidentifikasi mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. 
  2. Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka ketahui. 
  3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk memasuki tingkat/derajat penggunaan tertentu.
FIREWALL
       Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi.
       Fungsi Firewall sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet
PENGENDALIAN KRIPTOGRAFIS
       Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga di transmisikan ke dalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah Kesalahan penggunaan.




PENGENDALIAN FISIK
       Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendaliian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh darikota dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan badai.
PENGENDALIAN FORMAL
       Pengendalian formal mecangkup penemuan cara berprilaku, dokumentasi produsen dan praktik yang di harapkan. Pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya. Dokumentasikan dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.
MELETAKAN PENGENDALIAN TEKNIS PADA TEMPATNYA
       Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan.perusahaan biasanya memilih dari daftar ini dan menetapkan kombinasi yang dianggap menawarkan pengamanan yang paling realistis.
PENGENDALIAN INFORMAL
       Pengendalian informal mencangkup program-program pelatihan dan edukasi serta program pembangunan dan manajemen. Pengendalian ini di tujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT
       Ke tiga jenis pengendalian teknis, formal,dan informal mengharuskan biaya. Karena bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkatan yang sesuai. Dengan demikian, keputusan pengendalian harus ditetapkan pada tingkatan yang sesuai.





CONTOH TINGKAT TARGET KEAMANAN
       BS7799 milik Inggris
       BSI  IT Baseline Protection Manual
       COBIT
       GASSP
       ISF Standard of Good Practice
PERATURAN PEMERINTAH
       Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standar dan menetapkan peraturan yang ditujukan untuk menanggapi masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan komputer.
       Beberapa diantaranya:
1.       Standar Keamanan Komputer Pemerintah Amerika Serikat.
2.       Undang-Undang Antiterorisme, kejahatan, dan keamanan Inggris (ATSCA) 2001.
STANDAR INDUSTRI
       The Center for Internet Security (CIS) adalah organisasi yang didedikasikan untuk membantu para pengguna komputer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk yaitu: CIS Benchmark dan CSI Scoring tools.
SERTIFIKASI PROFESIONAL
       Mulai tahun 1960-an, profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.
q  Asosiasi Audit Sistem dan Pengendalian.
q  Konsorsium Sertifikasi Keamanan Sistem Informasi Internasional.
q  Institut SANS




MELETAKAN MANAJEMEN INFORMASI PADA TEMPATNYA
       Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian. Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dan risiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industri.
MANAJEMEN KEBERLANGSUNGAN BISNIS
       Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi disebut dengan manajemen keberlangsungan Bisnis ( business continuity management-BCM). Pada tahun-tahun awal penggunaan komputer, aktifitas ini disebut perencanaan besar (disaster planning), namun istilah yang lebih positif, perencanaan kontinjensi (contingency plan), menjadi populer.
       Elemen penting dalam perencanaan kontinjensi adalah rencana kontinjensi (contingency plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan,atau ancaman gangguan pada operasi komputasi perusahaan.  
       Subrencana manajemen kelangsungan bisnis yang umum mencakup:
       Rencana darurat: menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi.
       Rencana cadangan: perusahaan mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak dapat digunakan.

       Rencana catatan penting: catatan penting perusahaan adalah dokumen kertas dan media penyimpanan yang penting untukmeneruskan bisnis perusahaan tersebut. 
Diposting oleh di 1 komentar:
Langganan: Komentar (Atom)