Audit Teknologi Informasi

Pendahuluan

                Di era modern ini, Teknologi informasi semakin berkembang pesat dan hampir seluruh penduduk dunia tidak asing lagi untuk menggunakannya. Dengan kecanggihan yang dimiliki oleh teknologi informasi, kita semua menjadi sangat membutuhkannya untuk memebantu aktivitas kita. Ditambah pula dengan adanya internet, kita semakin mudah untuk saling bertukar informasi dan berkomunikasi. Selain kita, Perusahaan-perusahaan juga telah memanfaatkan teknologi informasi ini dan bahkan sudah sangat bergantung dengan teknologi tersebut agar kegiatan perusahaan tersebut dapat berjalan dengan lancer dan efisien.

Di samping itu, Internet juga memiliki dampak negatif atau ancaman-ancaman yang dapat timbul akibat kesalahan kita atau akibat orang lain. Banyak perusahaan-perusahaan yang mengalami kerugian yang besar akibat kerusakan teknologi sistem informasinya akibat kemasukkan virus tanpa diketahui atau juga akibat kehilangan atau kebocoran data-data penting perusahaannya akibat dicuri oleh cracker yang masuk kedalam sistem melalui internet. Untuk menjaga keamanan teknologi sistem informasi dari gangguan dari internet yaitu dengan melakukan IT Audit. IT Audit merupakan salah satu strategi penanganan yang diterapkan agar keamanan teknologi sistem informasi terjamin dari prespektif atau aspek bisnis. Aspek bisnis yang dimaksudkan disini yaitu kita harus melakukan pemeliharaan teknologi sistem informasi agar teknologi sistem informasi kita aman dari serangan. 

Tinjauan Pustaka

Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000)(dari http://www.ebizzasia.com). 

Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing)(dari http://nindyauntari.blogspot.com).

Dari http://vimber-firs.blogspot.com, Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :

1.          Kerugian akibat kehilangan data.

2.          Kesalahan dalam pengambilan keputusan.

3.          Resiko kebocoran data.

4.          Penyalahgunaan komputer.

5.          Kerugian akibat kesalahan proses perhitungan.

Dari http://unyilunyil12.blogspot.com, berikut adalah metodologi yang digunakan dalam audit Teknologi Informasi:

1.       Fase 1 : Merencanakan Audit

2.       Fase 2 : Mengidentifikasikan resiko dan kendali

3.       Fase 3 : Mengevaluasi kendali dan mengumpulkan bukti-bukti

4.       Fase 4 : Mendokumentasikan temuan-temuan dan mendiskusikan dengan auditee

5.       Fase 5 : Laporan akhir dan mempresentasikan hasil-hasil

Pembahasan

                Audit TI merupakan strategi yang digunakan untuk meningkatkan keamanan teknologi sistem informasi yang kita digunakan agar data-data atau asset-asset yang kita miliki dapat aman dan terlindungi. Dengan kita melakukan audit ini, maka kita juga melindungi keamanan data kita, kerahasiaan data kita, dan keutuhan data kita.dana tidak hanya sebatas data, Audit TI membantu kita apakah sistem kita berjalan dengan semestinya atau tidak. Audit TI ini harus dilakukan secara keseluruhan terhadap perusahaan kita agar tujuan dari perusahaan kita yang ingin dicapai dapat berjalan sesuai dengan Teknologi sistem informasi yang kita gunakan.

                Audit ini dilakukan dengan mengamati dam memelihara keseluruhan teknologi komputer dan sistem informasi yang digunakan dalam sebuah perusahaan. Pertama-tama, kita memulai dengan membuat rencana audit, seperti menentukan tujuan dilakukannya audit, menentukan pihak-pihak yang akan dilibatkan, dan lain-lain. Lalu mengidentifikasi resiko-resiko atau masalah-masalah yang masih dialami perusahaan tersebut dan cara penanggulangan yang dilakukan untuk mengatasi masalah tersebut. Setelah itu, kita melakukan evaluasi terhadap cara penanggulangan masalah tersebut, apakah sesuai atau tidak. Dan kita juga mengumpulkan bukti-bukti yang kita perlukan untuk melakukan auditing. Setelah itu, kita melakukan diskusi dengan tim auditin mengenai temuan-temuan kita dan memberikan solusi-solusi yang berguna. Setelah itu, Hasil auditing tersebut dipublikasikan kepada pemilik perusahaan agar dilakukan tindakan yang diperlukan oleh perusahaan tersebut.

Kesimpulan

                Audit TI ini sangat membantu kita dalam mengatasi berbagai masalah yang berhubungan sistem informasi kita agar data penting kita tetap aman dan sistem kita berjalan dengan semestinya. Oleh karena itu , kita perlu melakukan audit TI secara berkala terhadap teknologi sistem informasi kita agar keamanan data dan sistemnya dapat terjamin secara terus menerus dari semakin bertambahnya jumlah ancaman setiap harinya. Dengan pentingnya audit TI ini, Perusahaan haruslah menyediakan pihak yang bertugas dan bertanggung jawab dalam bidang teknologi informasi dan melakukan audit TI ini secara berkalanya.

Daftar Pustaka

·         http://vimber-firs.blogspot.com/2013/01/it-audit-dan-tools-it-audit-postest_131.html

·         http://toraerdo.blogspot.com/2012/06/it-audit-merupakan-bentuk-pengawasan.html

·         http://unyilunyil12.blogspot.com/2012/06/it-audit.html

·         http://www.ebizzasia.com/0217-2004/focus,0217,04.htm

·         http://nindyauntari.blogspot.com/2011/03/it-audit-dan-forensic-beserta-contoh.html

Ancaman Keamanan Internet

                Ketika kita ingin menjaga keamanan komputer kita yang terhubung dengan internet, kita selalu dan pasti memasang atau menginstal software anti-virus, anti-spyware, dan lain-lain serta melakukan update anti-virus atau sistem. Tetapi tidak hanya sebatas itu, kita juga harus memperhatikan juga tingkah laku orang-orang yang menggunakan komputer tersebut, apakah cara penggunaannya sudah benar atau tidak. Dan juga harus melakukan pengamanan terhadapa data-data yang ada dalam sistem kita untuk mencegah kejadian yang tidak terduga terjadi.

Contohnya mesin ATM yang dipasang oleh pihak bank. Dalam pembuatan mesin ATM, pabrik sudah membuat agar mesin ATM tersebut aman dari gangguan secara fisik dan sistem yang digunakan sudah dilakukan uji coba sedemikian rupa agar mesin tersebut aman dari gangguan yang tidak diinginkan. Setelah memiliki mesin ATMnya, pihak bank juga harus memperhatikan tempat atau lingkungan sekitar dimana mesin ATM tersebut diletakkan supaya aman. Lalu untuk lebih meningkatkan keamanannya, pihak bank juga menugaskan seorang satpam untuk melakukan penjagaan, memasang kamera CCTV dan melakukan perawatan mesin ATM dalan jangka waktu tertentu agar keamanannya yang lebih terjamin dan tidak menimbulkan kerugian dari pihak bank pemilik mesin ATM tersebut. Dari contoh tersebut, aspek keamanan internet dapat kita begikan kedalam 3 aspek, yaitu :

1.       Aspek Teknis

Aspek teknis berkaitan dengan aspek keamanan dari segi teknologi yang digunakan, meliputi penggunaan peralatan, pemasangan peralatannya, penggunaan sistem aplikasi dan lain-lain. Dengan semakin berkembangnya teknologi internet, maka semakin bertambah banyaknya bentuk-bentuk ancaman dari segi teknis yang bermunculan dan diikuti juga pertumbuhan bentuk-bentuk atau cara-cara untuk mengatasi permasalahan tersebut. Berikut adalah beberapa contoh ancaman tersebut, antara lain :

·         Program atau perintah(code) yang bersifat jahat

Program atau perintah ini sengaja dibuat untuk merusak sistem kita, menghilangkan data-data kita dan lain-lain. Program atau perintah ini biasa dinamakan Malicious Code. Malicious code memiliki berbagai macam bentuk dan kerugian yang dapat ditimbulkan, antara lain :

1.       Virus, merupakan program yang dapat  menginfeksi komputer dan tidak dapat mencopy dirinya sendiri,  tetapi melekat pada program induknya dan aktif jika progam tersebut dieksekusi. Virus ini dapat merusak sistem operasi kita, merusak file-file kita, dan bahkan menghilangkannya tanpa diketahui.

2.       Worm, merupakan program yang dapat menyebar dan menginfeksi komputer lain secara sendirinya. Worm berbeda dengan virus. Worm hanya menyerang di memori saja sedangkan virus menyerang pada targetnya yang telah ditentukan oleh pembuatnya.

3.       Trojan, merupakan program yang tidak dapat meyebar atau mencopy dirinya sendiri. Trojan ini biasanya ikut dengan sebuah program, seolah-olah dia merupakan bagian dari program tersebut. Ketika program tersebut dicopy makan Trojan juga ikut dan jika user menjalankan sistem tersebut maka Trojan mulai aktif dan biasanya menghapus file-file 

·         Program yang memiliki eror

Biasanya para programmer membuat sebuah program yang belum terjamin keamanannya tetapi telah mempublikasikannya kepada pengguna untuk digunakan. Lalu setelah banyak yang ditemukan eror oleh penggunanya baru dilakukan perbaikan lanjutan. Program-program yang tidak sempurna tersebut meungkin memiliki banyak sekali eror-eror dan kelemahan-kelemahannya sehingga menyebabkan adanya lubang-lubang kerawanan yang dapat dimanfaatkan orang lain untuk masuk ke dalam komputer kita dan melakukan kejahatan yang merugikan kita.   

·         Iklan-iklan yang masuk tanpa kita minta

Iklan-iklan ini dapat masuk ke dalam komputer kita karena data-data kita telah terbaca oleh pemilik iklan. Hal itu disebabkan karena kita sudah pernah mengklik iklannnya sehingga pemilik iklan tersebut terus-menerus mengirimkan iklan tersebut tanpa kita minta yang menyebabkan komputer kita menjadi lambat bekerja.

·         Program mata-mata

Program mata-mata ini dapat masuk ke dalam komputer kita bisa diakibatkan oleh penyusup yang memasangnya atau karena kita tidak sengaja memasukkannya kedalam komputer kita. Program ini merekan segala aktivitas kita dengan menggunakan komputer, misalnya merekam aapa yang kita ketikan atau mencopy file kita tanpa kita ketahui. Lalu dalam jangka waktu tertentu megirimkan data tersebut ke pemiliknya.

·         Pencurian data-data pribadi

Pencurian data pribadi ini dilakukan dengan cara melakukan penipuan. Contoh yang pernah terjadi yaitu internet banking milik Bank BCA. Situs milik bank tersebut bernama http://www.klikbca.com/ tetapi biasa akibat kesalahan nasabah menuliskannya kilkbca.com, clickbca.com dan lain-lain sehingga membuat kesempatan untuk melakukan penipuan. Penipuan tersebut terjadi dengan membuat kembaran situs yang sangat mirip dan menggunakan link yang sering ditulis salah. Lalu ketika nasabah ingin melakukan login maka user dan pass yang terekam oleh pemilik situs palsu tersebut.

·         Banyaknya waktu untuk berbuat jahat

Akibat banyaknya pengangguran yang terjadi akhir-akhir ini menyababkan banyaknya para penganggur untuk mencoba-coba mencari uang denga mecoba melakukan kejahatan di internet. Dan juga cara-caranya kita dapat belajar sendiri dari internet. Dan jika berhasil, maka penganggur menjadi ketagihan dan terus mengembangkan keahliannya.

Dalam mengatasi segala ancaman tersebut, kita dapat melakukannya dengan memasang anti-virus, memasang anti-spyware, melakukan enkripsi data-data penting, memasang firewall, dan lain-lain.

2.       Aspek Bisnis

Aspek bisnis berkaitan dengan aspek keamanan dari pelaksanaan dan pemeliharan, meliputi melakukan pegamanan data-data penting, membuat rencana penanggulangan, menentukan kebijakan penggunaan sistem dan lain-lain. Berikut adalah beberapa hal yang menyangkut pelaksanaan dan pemeliharaan sistem komputer, antara lain :

·         Majanemen resiko

Kita membuat dan mengidentifikasi akibat-akibat yang dapat ditimbulkan jika keamanan sistem kita berhasil dirusak  oleh orang lain. Dan juga kita juga menyusun cara penanggulangannya dan rencana cadangan jika keamanan sistem kita berhasil dirusak oleh orang lain.   

·         Cost benefit analysis

Kita membandingkan biaya harus kita keluarkan  untuk mengamankan sistem dan data-data kita dengan besar kerugian yang dapat kita peroleh jika pengamanan tidak dilakukan.

·         Manajemen pelaksanaan keamanan

Kita harus mengatur dan menyusun pihak-pihak yang harus melaksanakan dan bertanggung jawab terhadap pemeliharaan keamanan sistem. Manejemen yang disusun harus sistematis mulai dari ketua sampai bawahan-bawahannya. Biasanya di setiap perusahaan telah memiliki pelaksanaanya, seperti manajer IT. Manajer IT ini lah yang bertanggung jawab melakukan pemeliharaan terhadap sistem perusahaan tersebut 

·         Manajemen pengamanan data

Kita mengatur dan menyusun rencana untuk melakukan pengamanan data-data digital secara berkala agar data-data tersebut selalu tersedia dan dapat digunakan jika kita butuhkan. Cara yang dapat kita lakukan dengan membuat salinan data, membuat back up data dan lain-lain. 

·         Kebijakan keamanan

Kita berusaha membuat dan menentukan peraturan, kebijakan, dan standar keamanan bagi sistem kita agar tidak terjadi hal-hal yang diinginkan. Misalnya, peraturan untuk setiap orang yang membawa ingin mencolokan flash disk ke dalam komputer perusahaan harus discan terlebih dahulu dan lain-lain.

3.       Aspek Sosial

Aspek sosial berkaitan dengan aspek keamanan dari kelakuan dari pengguna sistem dan lingkungan sekitar. Perkembangan teknologi saat ini sangat memudahkan manusia dalam beraktivitas dan juga membuat manusia semakin malas dan hanya bergantung pada teknologi. Dari berkembangnya internet sebagai dunia kedua, maka semakin banyak terbentuk komunitas-komunitas yang beragam, baik yang bersifat positif maupun yang bersifat negatif. Sehingga menimbulkan kebiasaan-kebiasaan manusia yang beragam yang mungkin berdampak juga pada sistem komputer perusahaan tempat orang tersebut bekerja. Oleh karena itu, perusahaan tersebut haruslah berusaha untuk mencegak dampak negatif dari kebiasaan pengguna sistem agar tidak merugikan sistem komputernya. Berikut ada beberapa pilihan tindakan yang dapat dilakukan, yaitu :

·         Reward vs Punisment

Kita bisa memilih antara menggunakan penghargaaan atau dengan menggunakan hokum. Melalui penghargaan, kita bisa memberikan penghargaan kepada para pegawai yang bekerja dan dengan baik atau kepada pihak yang membantu agar keamanan sistem terjamin. Melalui hukuman, kita memberikan hukuman bagi yang melanggar peraturan yang telah ditetapkan. Namun, pemberian hukuman mungkin tidak terlalu efektif karena kejadian yang tidak diiingikan telah terjadi baru diberikan hukuman.

·         Pressure vs Education

Kita bisa memilih antara pemberian tekanan melalui banyak peraturan atau dengan pemberian pendidikan mengenai kerugian yang timbul akibat penggunaan yang salah atau keliru. Melalui pendidikan, kita bisa mengajarkan dampak-dampak yang terjadi akibat kebiasaan atau kelakuan yang keliru. Melalui tekanan, kita bisa membuat lebih banyak peraturan yang mengikat dalam perusahaan tersebut. Namun, pembuata peraturan membuat karyawan menjadi terbelenggu sehingga lebih mudah melanggar daripada penggunaan edikasi yang lebih membangun kepribadian dan pemahaman karyawan.

Sumber :

·         E-book Meneropong Isu Keamanan Internet oleh Richardus Eko Indrajit

·         http://hendri.staff.uns.ac.id/2009/03/hati-hati-malicious-code/

·         https://docs.google.com/viewer?a=v&q=cache:SZpPKA1dF58J:jurnal.atmaluhur.ac.id/wp-content/uploads/2012/03/MANAJEMEN-KEAMANAN-SYSTEM-INFORMASI.pdf+&hl=id&pid=bl&srcid=ADGEEShjWnGISbPEi4zaTv8Sj9QJ4wAInGbGNNfHn-SWavLYocWQ6HfV52SoAKxbhYk2wQmbZZJ8GdNKCzPx2IMKV0PQHx8WGuHEWFdRExp1nOCLL6WljjZ9tf68DLq5gsT2FYs3Q930&sig=AHIEtbTt4M0eZbF2OcyPlWYqNxYX_tJv2Q

Ancaman Keamanan Komputer

Dalam kehidupan sehari-hari kita, kita tidak pernah terlepas dari kekuatiran akan ancaman yang mungkin dapat muncul yang dapat menganggu aktivitas kita. Ancaman tersebut mungkin dapat disebabkan akan perbuatan kita atau karena perbuatan orang lain.Sebelum kita mendapat ancaman dari orang lain, kita seharusnya memikirkan terlebih dahulu ancaman yang dapat muncul akibat perbuatan kita. Contoh salah satu  ancaman yang dapat kita timbulkan yaitu akibat rumah yang kita bangun tersebut sangat besar dan mewah maka kemungkinan rumah kita menjadi incaran bagi para perampok yang ingin mencuri rumah kita.    

Ancaman keamanan komputer dapat kita gambarkan seperti ancaman dalam kehidupan sehari-hari.Misalnya sebuah sistem informasi perbankan yang memiliki banyak data-data penting dan rahasia kita banyangkan seperti rumah yang mewah tersebut sehinggabanyak para cracker atau penyusup atau perampok yang ingin berusaha masuk ke dalam sistem tersebut.

                Pada era globalisasi ini, Internet semakin lama semakin berkembang. Awalnya internet hanya dikembangkan untuk digunakan untuk kegiatan di bidang militer saja oleh Departemen Pertahanan Amerika Serikat. Namun sekarang, Internet sudah digunakan oleh siapa pun dan dengan tujuan apapun, misalnya di bidang penjualan(contohnya toko online), di bidang komunikasi (contohnya jejaring sosial) dan lain-lain. Selain itu, kita juga sudah sangat bergantung dengan internet dalam mencari informasi-informasi yang kita butuhkan. Karena kemudahannya yangdiberikan itu, kita tidak bisa lepas dari internet. Dibalik kemudahannya itu, internet memiliki ancaman keamanan yang sangat besar bagi keamanan komputer kita. Akibat banyaknya sistem atau aplikasi komputer yang berhubungan langsung dengan internet untuk berbagai kepentingan. Akibat banyaknya orang yang sangat bergantung dengan internet, maka nilai dari internet semakin lama semakin meningkat. Dan dapat kita katakan sebagai sebuah rumah yang didalamnya terdapat harta yang berharga, karena dalam internet terdapat semua informasi-informasi penting yang tersimpan dalam sistem atau mengalir dari satu sistem ke sistemlain. Beberapa alasan yang membuat nilai dari internet semakin meningkat,antara lain :

• Semakin meningkatnya jumlah pengguna internetsetiap harinya.
• Semakin besarnya nilai transaksi yang terjadidalam internet
• Semakin seringnya interaksi yang terjadi antara komputer dengan internet
• Semakin bertambah banyak komunitas yang terjalin melalui internet
•  Semakin banyaknya tujuan penggunaan internet

Menurut Eko Indrajitdalam buku Meneropong Isu Keamanan Internet, Ada 3 aspek yang perlu diperhatikan agar sistem komputer kita dapat aman dari ancaman-ancaman yang dapat timbul akibat internet, yaitu :

1.      Aspek teknis

Secara teknis, kita perlu memandang pengamanan interne tdari berbagai peristiwa-peristiwa yang semakin banyak timbul dalam penggunaan sistem internet seperti meningkatnya jumlah dan jenis spam, spyware, malicious code, phishing, identity theft, dan lain-lain. Sehingga untuk pegamanannya,kita dapat lakukan yaitu memasang anti-virus/ anti-spyware/ anti-spam/firewall untuk mencegah virus, spam, spyware masuk, melakukan enkripsi data-data yang kita miliki agar tidak dibaca orang lain dan lain-lain. 

2.      Aspek bisnis

Secara bisnis, kita perlu memandang pengamanan internet dari bebagai konteks bisnis (proses pertukaran data-data yang ada). Pertama dari sisi manajemen resiko, misalnya sebuah perusahaan yang sangat bergantung pada sistemnya yang terhubung ke internet. Kemudian setelah dilakukan analisa resiko, sistem tersebut memiliki banyak ancaman keamanan yang sangat beresiko. Kemudian lanjut ke sisi kedua, kita melakukan analisa cost benefit untuk membandingkan seberapa besar kerugian yang dapat ditimbulkan dengan biaya untuk mnegatasi masalah tersebut.Jika kerugian lebih besar dari biaya penanggulangan, maka kita lakukan penanggulanga tersebut. Dalam perbaikan tersebut, kita juga harus memenuhi standar keamanan internet yang ditetapkan oleh pemerintah nasional ataupun internasional. Ada juga cara yang digunakan dengan melakukan manajemen pengamanan data-data yang penting dalam sistem kita dan juga menetapkan standar pengoperasian sistem kita agar sistem tersebut dapat digunakan dengan baik dan tidak disalah gunakan.       

3.      Aspek sosial

Secara sosial, kita perlu memandang pengamanan internet dari karakteristik manusianya. Orang-orang sekarang ini lebih banyakmemperhatikan keuntungan-keuntungan internet daripada bahayanya sehingga diperlukan tindakan atau cara agar mereka bisa juga lebih memperhatikan bahaya yang mungkin timbul akibat kelalaian mereka sendiri. Salah satu contoh penangganan yang dapat dilakukan dengan membuat peraturan-peraturan yang harus ditaati oleh pengguna sistem.

                                             

Ancaman keamanan sistem dapat kita lihat dari sisi user itu sendiri dan sisi sistem komputer yang digunakan. Agar keamanan sistem yang kita gunakan dapat terjamin dari sisi sistem komputer yang digunakan, ada empat jenis lubang kerawanan sistem yang biasanya diserang oleh penyerang dalam dunia maya, yaitu :

1.       Kerawanan pada sistem operasi

Kerawanan ini dapat timbul pada sistem operasi komputer yang digunakan karena sistem operasi dibangun dengan banyak modul-modul dan sub-sub modul yang dibuat agar pengguna dapat menginstalasi sistemnya sesuai dengan kebutuhan akan keamanan yang diinginkan. Namun banyak pengguna hanya menginstalasi pada mode standar akibat ketidak-tahuaan  pengguna dalam menginstalasi yang menyebabkan terjadinya kerawanan. Selain itu juga, akibat terlalu banyaknya modul-modul atau sub-sub modul yang dibuat membuat sang pengembang sangat sulit untuk melakukan uji keamanan pada setiap modul atau sub modul tersebut.

2.       Kerawanan pada kualitas aplikasi

Kerawanan ini dapat timbul karena kecerobohan pembuatan program yang diinginkan. Kecerobohan tersebut dapat muncul pada saat pembuatan program yang secara terburu-buru akibat dikejar deadline. Biasanya juga programmer tidak mementingkan aspek keamanan pada saat membuat sistem. keamanannya baru dipikirkan dan dibuat dibelakangan. Dan juga akibat keterbatasan programmer dalam hal-keamanan sistem.

3.       Kerawanan pada modul program

Kerawanan ini dapat timbul karena penggunaan modul-modul program yang telah jadi namun belun terjamin keamanannya. Sebelum programmer membangun sebuah program, mereka mecari modul-modul program yang sudah ada dan cocok digunakan untuk sistem baru yang akan dibangun. Dengan cara inilah yang memudahkan para programmer dalam membangun sebuah program baru. Namun cenderung para programmer hanya percaya kepada modul tersebut tanpa dilakukan uji keamanan terlebih dahulu.

4.       Kerawanan pada pengaturan sistem

Kerawanan ini dapat timbul karena ketidaktahuan kita dalam melakukan instalasi dan pengaturan yang benar pada sistem. Karena keterbatasan pengetahuan yang kita miliki, maka kita biasanya hanya mensetting sistem atau aplikasi dalam mode standar saja atau bahkan memhilangkan atau menonaktifkan settingan- settingan yang sagat penting sehingga membuka jalan masuk ke sistem kita tanpa kita ketahui.   

Sumber :

•      E-book Meneropong Isu Keamanan Internet oleh Richardus Eko Indrajit
•      E-book Empat Domain Kerawanan Sistem  oleh Richardus Eko Indrajit

Keamanan Sistem Informasi

Defenisi Keamanan Sistem Informasi

       Keamanan sistem informasi merupakan salah satu apek yang sangat penting yang harus diperhatikan dalam membangun sebuah sistem agar data-data yang rahasia dan penting tersebut tidak dapat diakses oleh para pengguna yang tidak memiliki izin agar perusahaan yang menggunakan sistem tersebut tidak mengalami masalah kerugian.

       Dikutip dari web site http://keamananinformasi.wordpress.com¹ bahwa “Menurut Sarno dan Iffano keamanan informasi adalah suatu upaya untuk mengamankan aset informasi terhadap ancaman yang mungkin  timbul. Sehingga keamanan informasi secara tidak langsung dapat menjamin kontinuitas bisnis, mengurangi resiko-resiko yang terjadi, mengoptimalkan pengembalian investasi (return on investment. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing-kan maka semakin besar pula resiko terjadi kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan (Sarno dan iffano : 2009).

       Menurut ISO/IEC 17799:2005 tentang information security management system bahwa keamanan informasi adalah upaya perlindungan dari berbagai macam ancaman untuk memastikan keberlanjutan bisnis, meminimalisir resiko bisnis, dan meningkatkan investasi dan peluang bisnis”

Aspek-Aspek Keamanan Sistem Informasi

       Awalnya ketika kita mendengar keamanan sistem, kita selalu berpikir mengenai cara untuk melindungi sistem dari ancaman virus, spyware, malware, dan lain-lain dengan memasang software anti-virus, anti-spyware, dan lain-lain. Akan tetapi, keamanan suatu sistem informasi dapat dikatakan bagus jika  data yang dimiliki oleh sistem tersebut tersedia, benar dan valid, serta dapat kita peroleh atau diakses. Ketika  ada virus yang telah masuk ke dalam sistem kita dan virus itu tidak merusak data-data kita atau menghapusnya. Dan juga kita masih dapat mengambil atau mengakses data tersebut, maka itu tidak menjadi masalah bagi kita. Akan tetapi, jika virus tersebut merusak atau menghilangkan atau mencegah kita untuk mengakses atau mengambil data-data kita, maka itulah yang kita sebut ancaman yang merugikan kita.

       Dalam membangun sebuah sistem informasi, kita harus memperhatikan aspek-aspek keamanan sistem informasi kita agar sistem yang kita kembangkan tersebut tidak merugikan kepentingan para pengguna sistem kita akibat dari kebocoran data rahasia dan penting perusahaannya. Aspek-aspek keamanan terdiri dari tiga aspek, yaitu :

1.       Availability (Ketersediaan)

Aspek ini berhubungan dengan ketersedianya data-data yang tersimpan pada sistem kita jika kita ingin mengakses,  mengambil, atau melihat data-data tersebut. Aspek ini dapat tidak terpenuhi jika ada ancaman dari luar sistem yang dapat merusak atau menghilangkan data-data yang ada pada sistem kita seperti virus, spyware, dan lain-lain. Namun, apakah bencana alam dapat menyebabkan aspek ini tidak terpenuhi  jika karena bencana alam, seperti gempa bumi, yang dapat menyebabkan kita kehilangan data-data penting kita karena hardware penyimpanan datanya rusak ???

2.       Confidential (Kerahasiaan)

Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan pada sistem kita yang tidak boleh diakses atau digunakan oleh orang-orang yang tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pegguna (internal)  yang memiliki izin tetapi menyalah gunakan izin tersebut lalu pengguna tersebut menyebar luaskan data-data kita yang bersifat rahasia tersebut kepada orang lain atau pesaing kita yang membuat kita merasa dirugikan atau juga pengguna tersebut menggunakan secara pribadi rahasia tersebut untuk menyaingi perusahaan kita. Atau juga, pengguna yang tidak memiliki izin yang berusaha masuk kedalam sistem kita untuk mengakses data-data kita yang bersifat rahasia untuk disebar luaskan atau digunakan secara pribadi.

3.       Integrity (Integritas)

Aspek ini berhubungan konsistensi atau integritas data-data yang tersimpan pada sistem kita yang tidak boleh diubah oleh pengguna yang tidak memiliki izin. Aspek ini dapat tidak terpenuhi jika terjadi perubahan data oleh orang-orang yang tidak berhak untuk melakukan perubahan data. Misalnya seorang penyusup dunia maya ingin berusaha memperoleh keuntungan dengan menyusup ke sebuah sistem perbankan dan merubah data tabungannya, seperti menambah nilai nominal tabungannya, sehingga ia mendapat keuntungan yang besar.

Selain dari ketiga aspek diatas, Garfinkel, yang dikutip dari DIKTAT KULIAH KEAMANAN KOMPUTER²  dari doc.google.com, menambahkan tiga aspek , yaitu :

1.       Authentication (Keaslian)

Aspek ini berhubungan dengan metode untuk menyatakan informasi yang diperoleh betul-betul asli atau orang yang mengakses atau memberikan informasi adalah benar-benar orang yang dimaksud. Untuk membuktikan keaslian data-data atau informasi yang diperoleh, kita menambahkan sebuah tool, seperti tool untuk mencocokan tanda tangan yang biasa di gunakan dalam sistem perbankan. Atau untuk membuktikan bahwa pengguna yang sedang mennggunakan sistem memiliki hak akses, Kita dapat memasang password pada sistem kita dan memberikan password kepada pihak yang berhak agar dapat mengakses sistem kita.

2.       Access Control (Pengaturan Akses)

Aspek ini berhubungan dengan cara pengaturan akses pada informasi. Akses ini juga berhubungan aspek authentication dan privacy/ confidential. Pengaturan hak akses ini dapat dilakukan dengan pemberian password untuk setiap akun atau metode-metode lain. Misalnya informasi yang dapat diakses oleh admin lebih banyak dibandingkan dengan informasi yang dapat diakses oleh pengguna biasa.

3.       Non- Repudiation

Aspek ini berhubungan dengan cara yang digunakan untuk menjaga agar tidak dapat menyangkal telah melakukan sebuah transaksi. Aspek ini memberi dukungan bagi electronic  commerce.

Klasifikasi Keamanan Komputer

Keamanan komputer dapat kita klasifikasikan menjadi tiga, yaitu :

1.       Secrecy

Dilihat dari segi kerahasiaan data, keamanan sistem komputer harus bisa menjamin keaslian data-data yang tersimpan dalam sistem informasi dan menjaga agar data-data tersebut tidak boleh sampai bocor ke pihak-pihak yang tidak berwenang atau ke para pesaing-pesaing kita yang akan membuat kita menjadi kerugian.

2.       Integrity

Dilihat dari segi integritas data, keamanan sistem komputer harus bisa mencegah dari perubahan data-data yang tersimpan dalam sistem informasi kita yang dilakukan oleh-oleh orang-orang luar yang tidak berhak atau yang dilakukan oleh pihak internal yang berhak namun tidak sah.

  

3.       Necessity

Dilihat dari segi kebutuhan data, keamanan sistem komputer dari bisa mencegah dari keterlambatan dalam pemrosesan data atau kegagalan dalam pelayanan yang biasa disebabkan oleh ancaman, seperti virus, yang dapat memperlambat atau  bahkan merusak kinerja sistem komputer kita.

Sumber :

1. http://keamananinformasi.wordpress.com/2012/09/04/definis-keamanan-informasi/ 
2. https://docs.google.com/viewer?a=v&q=cache:sv3mUX8sWlkJ:blog.binadarma.ac.id/widyanto/wp-content/uploads/04-Keamanan-Komputer.pdf+klasifikasi+keamanan+komputer&hl=id&pid=bl&srcid=ADGEESg--YL-qNAuipsr9y4ui6SjC6p3DJ02wbHXo_iIcPrw-dXEdseXmh8fI9nXg2HcL2HQKROEEpfwMG12dL6Z045LwcA0ejRu3L7LbSBynXCVjTaNiV97Su9L6AZARVrbQqfxRzhr&sig=AHIEtbT6M3c14_bhKuxozr8HmRe_XvXAYg