KEAMANAN INFORMASI

Keamanan Informasi menggambarkan usaha untuk melindungi komputer dan non- peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak bertanggung jawab. Definisi ini meliputi pengutip, fax mesin, dan semua jenis media, termasuk dokumen kertas.

Di gunakan untuk mendeskripsikan perlindungan baik peralatan komputer maupun non komputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-lpihak yang tidak berwenang.

Tujuan Keamanan Informasi

Istilah corporate information systems security officer (CISSO) telah digunakan untuk orang yang berada di organisasi yang bertanggung jawab pada sistem keamanan informasi perusahaan. Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang melaporkan kepada CEO dan mengatur suatu unit jaminan informasi.

MANAJEMEN KEAMANAN INFORMASI (ISM)

ISM terdiri dari empat langkah:

1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi perusahaan

2. Mendefinisikan resiko dari ancaman yang dapat memaksakan

3. Penetapan kebijakan keamanan informasi

4. Menerapkan controls yang tertuju pada resiko

Ø Kerahasiaan, perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang. Contohnya: piutang dagang, pembelian, dan utang dagang.

Ø Ketersediaan, adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Contohnya: sistem informasi sumber daya manusia dan sistem informasi eksekutif

Ø Integritas, semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang di representasikannya.

Ø Keamanan informasi, aktifitas untuk menjaga agar sumber daya informasi tetap aman. Sedangkan, aktifitas untuk menjaga agar perusahaan dan sumber daya inflormasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis.

Manajemen Keamanan Informasi

1) Manajemen Informasi terdiri dari 4 tahap:

Ø Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan.

Ø Mendefinisikan resiko yang dapat di sebabkan oleh ancaman-ancaman tersebut.

Ø Menentukan kebijakan keamanan dan informasi.

Ø Mengimplementasikan pengendalian untuk mengatasi resiko-resiko tersebut.

2) Manajemen Risiko (Risk Management), dibuat untuk menggambarkan pendekatan ini dimanan tingkat keamanan sumber daya informasi perusahaan di bandingkan dengan risiko yang dihadapinya.

3) Tolak Ukur Keaman Informasi, adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.

Ancaman (Information Security Threat)

1) Ancaman keamanan informasi, Adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumberdaya informasi perusahaan.

2) Ancaman Internal dan Eksternal, ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Sedangkan, ancaman eksternal adalah ancaman yang di luar perusahaan yang tidak ada hubungannya dengan internal seperti perusahaan lain yang sama produk dengan perusahaan kita atau bisa juga disebut pesaing dalam usaha.

Jenis Ancaman

Virus, hanyalah salah satu contoh jenis peranti lunak yang menyandanng nama peranti lunak yang berbahaya (malicios software). Malicios dan malware, terdiri atas program program lengkap atau segmensegmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak di harapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti.

ANCAMAN PALING TERKENAL “VIRUS”

1. sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna.

2. sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi dapat memancarkan salinan dengan sendirinya oleh e-mail.

3. sebuah Trojan horse tidak dapat mereplikasi maupun mendstribusikan dirinya sendiri. Distribusi terpenuhi oleh para pemakai yang mendistribusikannya sebagai utilitas, maka ketika digunakan menghasilkan sesuatu perubahan yang tidak dikehendaki dalam kemampuan sistem

TINDAKAN PENCEGAHAN VISA

Pengecer Harus:

1. Instalasi dan pelihara firewall

2. Menjaga sistem keamanan selalu “up to date”

3. Enkripsi penyimpanan data dan sebarkan data

4. Gunakan dan perbaharui software antivirus

5. Membatasi akses data bagi mereka yang memang perlu mengetahui

6. Menugaskan ID unik untuk orang yang memiliki akses data khusus

7. Menelusuri akses data dengan ID unik

8. Tidak menggunakan password default dari vendor

9. Secara teratur menguji keamanan sistem

Pengecer perlu:

1. Memantau pegawai yang memiliki akses data

2. Tidak meninggalkan data (disket, kertas, dll) atau komputer dalam keadaan tidak aman

3. Hapus data jika sudah tidak digunakan

Risiko

Risiko keamanan informasi di definisikan sebagai potensi output yang tidak di harapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Risiko-risiko seperti ini di bagi menjadi 4 jenis, yaitu:

Ø pengungkapan informasi yang tidak terotoritas dan pencurian.

Ø penggunaan yang tidak terotorisasi.

Ø penghancuran yang tidak terotorisasi dan penolakan pelayanan.

Ø modifikasi yang tidak terotorisasi

Ø Pencurian dan Penyingkapan tidak sah

Ø Penggunaan Tidak Sah

Ø Pembinasaan dan Pengingkaran Layanan yang tidak sah

Ø Modifikasi yang tidak sah

Persoalan E-Commerce

E-commerce (perdagangan elektronik) telah memperkenalkan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang di lakukan oleh gartner group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel.

E-Commerce di bandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung. Untuk mengatasi masalah ini, perusahaanperusahaan kartu kredit yang utama telah mengimplementasikan program yang di tujukan secara khusus untuk keamanan kartu kredit e-commerce.

Kartu Kredit “Sekali Pakai”

Pada september 2000, American Express mengumumkan sebuah kartu kredit “sekali

pakai”. Kartu ini bekerja dengan cara: Saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelanggan tersebut, yang di berikan kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.

Manajemen Risiko

1) Manajemen risiko di identifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi.

2) Pendefinisian risiko terdiri atas empat langkah, yaitu:

Ø identifikasi aset-aset bisnis yang harus di lindungi dari risiko.

Ø menyadari risikonya.

Ø menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.

Ø menganalisis kelemahan perusahaan tersebut.

3) Kebijakan keamanan informasi, suatu kebijakan keamanan harus di terapkan untuk mengarahkan keseluruhan program. Disini perusahaan menerapkan kebijakan keamanan dengan mengikuti pendekatan lima fase implementasi kebijakan keamanan, yaitu:

Ø Fase -1 inisiasi proyek

Ø Fase -2 penyusunan kebijakan

Ø Fase -3 konsultasi dan persetujuan

Ø Fase -4 kesadaran dan edukasi

Ø Fase -5 penyebarluasan kebijakan

4) Kebijakan terpisah dikembangkan untuk:

Ø Keamanan sistem informasi

Ø Pengendalian akses sistem

Ø Keamanan personel

Ø Keamanan lingkungan dan fisik

Ø Keamanan komunikasi data

Ø Klasifikasi informasi

Ø Perencanaan kelangsungan usaha

Ø Akuntabilitas manajemen

Pengendalian

Pengendalian (control) adalah mekanisme yang di terapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi. Pengendalian di bagi menjadi tiga (3) kategori, yaitu:

Ø Teknis, adalah pengendalian yang menjadi satu didalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.

Ø Formal, mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku.

Ø Informal, mencakup program-program pelatihan dan edukasi serta pembangunan manajemen.