BAB I PENDAHULUAN

A. Latar Belakang Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari pada criminal computer, dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme. Ketika organisasi organisasi ini mengimplementasikan pengendalian keamanan, isu isu utama mengenai keamanan versus ketersediaan secara keamanan versus hak pribadi harus dibatasi. Keamana informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan daya. Manajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi dan persiapan persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity management BCM). Dua pendekatan dapat dilakukan untuk menyusun strategi strategi ISM : manajemen resiko dan kepatuhan tolak ukur. Perhatian akan ancaman dan resiko berhubungan dengan pendekatan managemen risiko. Ancaman dapat bersifat internal atau eksternal, tidak disengaja atau disengaja. Risiko dapat mencakup insiden pengungkapan, penggunaan dan modifikasi yang tidak diotorisasi serta pencurian, penghancuran dan penolakan layanan. Ancaman yang paling ditakuti adalah virus computer. E commerce telah menghasilkan risiko tertentu, namun beberapa respons khusus telah dilakukan oleh organisasi seperti American Epress dan Visa. Ada tiga jenis pengendalian yang tersedia. Pengendalian teknis terdiri atas pembatasan akses, firewall, kriptografi, dan pengendalian fisik. Pengendalian formal bersifat tertulis dan memiliki harapan hidup jangka panjang. Pengendalian informal ditujukan untuk menjaga agar para karyawan perusahaan memahami dan mendukung kebijakan kebijakan keamanan.
1

Banyak cara untuk mengamankan informasi tersebut, yang paling konyol adalah komputer tesebut dikunci dalam sebuah ruangan dan tidak dihubungkan kemana-mana. Ini sama saja dengan memenjarakan informasi tersebut, tidak dapat dipertukarkan dan tidak menjadi pintar untuk mengikuti perkembangan yang ada. Sistem keamanan informasi dibuat aman sedemikian rupa, tetapi tidak menutup kemungkinan keamanan sistem tersebut dijebol oleh para penyusup, karena mahal dan pentingnya informasi tersebut bagi perusahaan yang memilikinya, semakin bernilai sebuah informasi maka akan semakin diburulah informasi tersebut oleh para pedagang informasi di dunia underground.

B. Rumusan Masalah Ada beberapa rumusan masalah yang terdapat dalam materi ini yaitu :
-

Bagaimana

cara

memahami

kebutuhan

organisasi

akan

keamanan

dan

pengendalian.
-

Apakah keamanan informasi berkaitan dengan keamanan semua sumber daya informasi, bukan hanya peranti keras dan daya.

Bagaimana mengetahui tiga tujuan utama keamanan informasi Untuk memahami apa saja risiko keamanan yang utama Untuk mengetahui apa saja ancaman keamanan yang utama Untuk mengetahui cara formal untuk melakukan manajemen risiko.

C. Tujuan Memahami kebutuhan organisasi akan keamanan dan pengendalian. Memahami bahwa keamanan informasi berkaitan dengan keamanan semua sumber daya informasi, bukan hanya peranti keras dan daya.
2

Mengetahui tiga tujuan utama keamanan informasi Memahami apa saja risiko keamanan yang utama Mengetahui apa saja ancaman keamanan yang utama Mengetahui cara formal untuk melakukan manajemen risiko

BAB II KEAMANAN INFORMASI

a. Keamanan Informasi

Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk keamanan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan daya, maka istilah keamanan informasi (Sistem security) pun digunakan. Istilah keamanan informasi (information security) digunakan untuk mendeskripsikan perlindungan baik peralatan computer dan non computer, fasilitas, data, dan informasi dari penyalahgunaan pihak pihak yang tidak berwenang. b. Tujuan keamanan informasi Keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu :
-

Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan orang orang yang tidak berhak

Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya dapat digunakan oleh orang yang berhak menggunakannya.

Integritas: sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan

c. Manajemen keamanan informasi

3

Istilah corporate information systems security officer (CISSO) telah digunakan untuk orang yang berada di organisasi yang bertanggung jawab pada sistem keamanan informasi perusahaan.

Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang melaporkan kepada CEO dan mengatur suatu unit jaminan informasi Manajemen keamanan informasi adalah sub bagian dari manajemen keamanan dengan

fokus utama adalah pengamanan informasi. Sedangkan manajemen keamanan komputer dan keamanan TI lebih menitik-beratkan pada sarana dan prasarana yang digunakan untuk pengamanan informasi. Walaupun begitu setiap sub bagian manejemen keamanan ini saling mempengaruhi. Tugas manajemen keamanan informasi adalah merencanakan keamanan informasi, mengaplikasikannya, memonitor dan melakukan evaluasi. Pengamanan informasi adalah melindungi informasi dari segala kemungkinan ancaman terhadap informasi yang akan berpengaruh terhadap kinerja dan prestasi organisasi dengan cara meminimalisir kerugian yang dapat ditimbulkan serta memaksimalkan keuntungan dari investasi dan peluang organisasi tersebut. Dengan menerapkan keamanan informasi, sebuah organisasi dapat menjaga kerahasiaan, integritas dan ketersediaan informasi secara kontinyu. Integritas informasi disini bermakna bahwa informasi tersebut tetap utuh dan tidak mengalami perubahan oleh pihak lain yang tidak berwenang. Suatu organisasi/instansi perlu mengklasifikasikan informasi yang dihasilkan dan/atau yang diperoleh untuk mendapatkan perlindungan yang sesuai. Klasifikasi informasi ini ditentukan sendiri oleh organisasi tersebut dengan memperhatikan resiko dan keuntungan yang ditimbulkan dari pengolahan informasi tersebut. Umumnya klasifikasi informasi adalah : umum (bebas), terbatas (dinas) dan rahasia (pribadi). Ada 3 tehnik melindungi informasi yaitu : Secara fisik misalnya menyimpan dalam suatu ruangan khusus yang dikunci, dalam lemari besi dll;

 Secara organisasi misalnya menunjuk personil khusus dengan regulasi yang jelas, melakukan pendidikan dan pelatihan masalah keamanan informasi untuk meningkatkan kesadaran karyawan tentang pentingnya pengamanan informasi yang baik, dll; dan Secara logik misalnya dengan menerapkan kriptografi, memasang antivirus dll. Keamanan informasi sudah seharusnya menjadi perhatian jajaran eksekutif dalam organisasi. Sebab pengguna utama informasi berklasifikasi terbatas dan rahasia adalah para eksekutif tersebut, yang mana keputusan-keputusan strategis organisasi tergantung dari informasi yang berada padanya. Manajemen keamanan informasi (ISM) terdiri dari empat langkah yaitu : 1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi perusahaan 2. Mendefinisikan resiko dari ancaman yang dapat memaksakan 3. Penetapan kebijakan keamanan informasi 4. Menerapkan controls yang tertuju pada resiko Gambar 9.1 mengilustrasikan pendekatan manajemen resiko

d. Ancaman Pada dasarnya ancaman datang dari seorang yang mempunyai keinginan memperoleh akses ilegal ke dalam suatu jaringan komputer. Oleh karena itu harus ditentukan siapa saja yang diperbolehkan mempunyai akses legal ke dalam sistem dan ancaman-ancaman yang dapat mereka timbulkan. Ada beberapa tujuan yang ingin dicapai oleh penyusup dan akan sangat berguna bila dapat membedakan mereka pada saat merencanakan sistem keamanan jaringan komputer. Beberapa tujuan para penyusup antara lain:

Pada dasarnya hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer yang dijadikan sasaran. Penyusup yang bertujuan seperti ini sering disebut The Curious.

Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs web atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya. Penyusup yang mempunyai tujuan seperti ini sering disebut dengan The Malicious.

Berusaha untuk menggunakan sumber daya di dalam sistem jaringan komputer untuk memperoleh popularitas. Penyusup jenis ini sering disebut dengan The High-Profile Intruder.

Ingin tahu data apa yang ada di dalam jaringan komputer sasaran untuk selanjutnya dimanfaatkan untuk mendapatkan uang. Penyusup jenis ini sering disebut dengan The Competition. Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau peristiwa

yang dapat berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan. Ancaman dapat berupa internal atau external, disengaja atau tidak disengaja. Gambar 9.2 memperlihatkan tujuan keamanan informasi dan bagaimana keamanan informasi diberlakukan terhadap empat jenis resiko: Ancaman Internal dan External Disengaja dan tidak disengaja

Ancaman Yang Paling Terkenal VIRUS

Sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi dapat memancarkan salinan dengan sendirinya oleh e-mail. Sebuah Trojan horse tidak dapat mereplikasi maupun mendstribusikan dirinya sendiri. Distribusi terpenuhi oleh para pemakai yang mendistribusikannya sebagai utilitas, maka ketika digunakan menghasilkan sesuatu perubahan yang tidak dikehendaki dalam kemampuan sistem.

e. Resiko Resiko adalah suatu kemungkinan di mana penyusup berhasil mengakses komputer di dalam jaringan yang dilindungi. Apakah penyusup dapat membaca, menulis atau mengeksekusi suatu file yang dapat mengakibatkan kerugian terhadap organisasi pemilik jaringan komputer
8

tersebut? Apakah penyusup dapat merusak data yang penting? Seberapa besar hal-hal tersebut dapat mengakibatkan kerugian terhadap pemilik jaringan komputer? Harus diingat pula bahwa siapa saja yang dapat memperoleh hak akses terhadap suatu account, maka dia dapat dengan menyamar sebagai pemilik account. Dengan kata lain, dengan adanya satu account yang tidak aman di dalam suatu jaringan komputer dapat berakibat seluruh jaringan komputer menjadi tidak aman. Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat jenis : 1. Pencurian dan Penyingkapan tidak sah 2. Penggunaan Tidak Sah 3. Pembinasaan dan Pengingkaran Layanan yang tidak sah 4. Modifikasi yang tidak sah f. Pertimbangan E-COMMERCE E-commerce telah memperkenalkan sebuah keamanan resiko yang baru: penipuan kartu kredit. Keduanya American Express dan Visa telah mengimplementasikan program yang mengarahkan secara rinci pada e-commerce. American Express mengumumkan penyediaan" angka-angka kartu kredit. Angka ini, dibandingkan dengan angka kartu kredit pelanggannya, yang ditujukan pada perdagangan eceran menggunakan e-commerce, yang memilih American Express untuk pembayarannya. Visa telah mengumumkan sepuluh praktek terkait dengan keamanan yang mereka harap pengecernya untuk mengikuti lebih dari tiga langkah praktek yang umum dilakukan

BAB III
9

KESIMPULAN

Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk keamanan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan daya, maka istilah keamanan informasi (Sistem security) pun digunakan. Istilah keamanan informasi (information security) digunakan untuk mendeskripsikan perlindungan baik peralatan computer dan non computer, fasilitas, data, dan informasi dari penyalahgunaan pihak pihak yang tidak berwenang. Keamanan informasi ditujukan untuk mencapai tiga tujuan utama, yaitu :
-

Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan orang orang yang tidak berhak Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya dapat digunakan oleh orang yang berhak menggunakannya. Integritas: sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan

Manajemen keamanan informasi adalah sub bagian dari manajemen keamanan dengan fokus utama adalah pengamanan informasi. Sedangkan manajemen keamanan komputer dan keamanan TI lebih menitik-beratkan pada sarana dan prasarana yang digunakan untuk pengamanan informasi. Walaupun begitu setiap sub bagian manejemen keamanan ini saling mempengaruhi. Tugas manajemen keamanan informasi adalah merencanakan keamanan informasi, mengaplikasikannya, memonitor dan melakukan evaluasi. Pengamanan informasi adalah melindungi informasi dari segala kemungkinan ancaman terhadap informasi yang akan berpengaruh terhadap kinerja dan prestasi organisasi dengan cara meminimalisir kerugian yang dapat ditimbulkan serta memaksimalkan keuntungan dari investasi dan peluang organisasi tersebut. Ada 3 tehnik melindungi informasi yaitu :

10

 Secara fisik misalnya menyimpan dalam suatu ruangan khusus yang dikunci, dalam lemari besi dll; Secara organisasi misalnya menunjuk personil khusus dengan regulasi yang jelas, melakukan pendidikan dan pelatihan masalah keamanan informasi untuk meningkatkan kesadaran karyawan tentang pentingnya pengamanan informasi yang baik, dll; dan Secara logik misalnya dengan menerapkan kriptografi, memasang antivirus dll. Ada beberapa tujuan yang ingin dicapai oleh penyusup dan akan sangat berguna bila dapat membedakan mereka pada saat merencanakan sistem keamanan jaringan komputer. Beberapa tujuan para penyusup antara lain:

Pada dasarnya hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer yang dijadikan sasaran. Penyusup yang bertujuan seperti ini sering disebut The Curious. Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs web atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya. Penyusup yang mempunyai tujuan seperti ini sering disebut dengan The Malicious.

Berusaha untuk menggunakan sumber daya di dalam sistem jaringan komputer untuk memperoleh popularitas. Penyusup jenis ini sering disebut dengan The High-Profile Intruder.

Ingin tahu data apa yang ada di dalam jaringan komputer sasaran untuk selanjutnya dimanfaatkan untuk mendapatkan uang. Penyusup jenis ini sering disebut dengan The Competition.

Sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi dapat memancarkan salinan dengan sendirinya oleh e-mail. Sebuah Trojan horse tidak dapat mereplikasi maupun mendstribusikan dirinya sendiri. Distribusi terpenuhi oleh para pemakai yang mendistribusikannya sebagai utilitas, maka ketika digunakan menghasilkan sesuatu perubahan yang tidak dikehendaki dalam kemampuan sistem.

DAFTAR PUSTAKA
11

http://hadiwibowo.wordpress.com/2006/10/03/menejemen-keamanan-informasi/ http://www.google.co.id/url? sa=t&source=web&cd=14&ved=0CC8QFjADOAo&url=http%3A%2F %2Fdharmayanti.staff.gunadarma.ac.id%2FDownloads%2Ffiles %2F14060%2FKeamanan%2BInformasi.ppt&rct=j&q=keamanan %20informasi&ei=W8HqTaEyi7iwA8WcyOEN&usg=AFQjCNFC_sv8dw1ESlb1k9DwzY9PkcwRA&cad=rja

http://www.sysneta.com/manajemen-keamanan-informasi www.google.co.id

12