RESUME SISTEM INFORMASI MANAJEMEN---KEAMANAN INFORMASI

RESUME SISTEM INFORMASI MANAJEMEN

                                         KEAMANAN INFORMASI

Referensi : Buku Sistem Informasi Manajemen (Raymond McLeod, Jr. dan George P. Schell)

RISTHI SAGITA ANWAR

47213825

3DA01

    SISTEM INFORMASI MANAJEMEN#

Top of Form

KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN & KEAMANAN INFORMASI

Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar.

Dalam arti luas istilah keamanan sistem (system security) digunakan untuk perlindungan peranti keras dan data, peranti lunak, fasilitas komputer, dan personel yang cakupannya untuk semua jenis data - bukan hanya data di dalam komputer. Sedangkan istilah keamanan informasi (informasi security) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan nonkomputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

·         Tujuan Keamanan Informasi

      1.       Kerahasiaan

Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.

       2.       Ketersediaan

Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.

       3.       Integritas

Semua sistem informasi harus memberikan representasi akurat sistem fisik yang direpresentasikannya.

Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap :

      1.   Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi 

            perusahaan.

      2.   Mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut.

      3.   Menentukan kebijakan keamanan informasi.

      4.   Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

ANCAMAN

Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.

·         Ancaman Internal dan Eksternal

Ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang potensi lebih serius jika dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.

JENIS ANCAMAN

Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain. Sebenarnya, virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software). Malicious software, atau malware terdiri atas program-program yang lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem.

Terdapat beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm, Trojan horse, adware, dan spyware. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri didalam sistem, tapi dapat menyebarkan salinannya melalui e-mail. Trojan horse (kuda Tronya) tidak dapat mereplikasikan ataupun mendistribusikan dirinya sendiri; si pengguna menyebarkan sebagai suatu perangkat. Adware memunculkan pesan-pesan iklan yang mengganggu, dan spyware mengumpulkan data dari mesin pengguna.

Baru pada awal 2005, Microsoft memutuskan untuk memasuki perang antispyware. Program antispyware sering kali menyerang cookies, yaitu file teks kecil yang diletakkan perusahaan hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di kalangan beberapa pemasat.

RISIKO

Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.

Empat jenis risiko :

      1.       Pengungkapan informasi yang tidak terotorisasi dan pencurian.

      2.       Penggunaan yang tidak terotorisasi.

      3.       Penghancuran yang tidak terotorisasi dan penolakan layanan.

      4.       Modifikasi yang tidak terotorisasi.

MANAJEMEN RISIKO

Manajemen risiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Pendefinisian risisko terdiri atas empat langkah :

         1.   Identifikasi aset-aset bisnis yang harus dilindungi dari risiko.
   2.   Menyadari risikonya.
   3.   Menentukan tingkatan dampak pada perusahaan jika risiko 

               benar-benar terjadi.
   4.   Menganalisis kelemahan perusahaan tersebut.

Tingkat keparahan dampak dapat diklasifikasikan menjadi :

      1.     Dampak yang parah (severe impact), membuat perusahaan bangkrut atau 

             sangat membatasi kemampuan perusahaan tersebut untuk berfungsi.

      2.    Dampak signifikan (significant impact), menyebabkan kerusakan dan biaya 

            yang signifikan, tetapi perusahaan tersebut akan selamat.

      3.    Dampak minor (minor impact), menyebabkan kerusakan yang mirip dengan 

            yang terjadi dalam operasional sehari-hari.

KEBIJAKAN KEAMANAN INFORMASI

Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang bertahap. Lima fase implementasi kebijakan keamanan, yaitu :

      1.       Inisiasi proyek

      2.       Penyusunan kebijakan

      3.       Konsultasi dan persetujuan

      4.       Kesadaran dan edukasi

      5.       Penyebarluasan kebijakan

Kebijakan terpisah dikembangkan untuk :

      1.       Keamanan sistem informasi

      2.       Pengendalian akses sistem

      3.       Keamanan personel

      4.       Keamanan lingkungan dan fisik

      5.       Keamanan komunikasi data

      6.       Klasifikasi informasi

      7.       Perencanaan kelangsungan usaha

      8.       Akuntabilitas manajemen