Selasa, 06 November 2018

Home » » KEAMANAN INFORMASI

KEAMANAN INFORMASI

Tidak ada komentar:

I.     PENDAHULUAN

Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari para kriminal komputer, dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagi satu cara untuk memerangi terorisme. Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamanan informasi ini terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi dan persiapan-persiapan operasional setelah suatu bencana, yang disebut manajemen keberlangsungan bisnis.
Ancaman dapat bersifat internal dan eksternal, tidak sengaja atau disengaja. Ancaman yang paling ditakuti adalah virus komputer. E-commerce telah menghasilkan risiko tertentu, namun beberapa respons khusus telah dilakukan oleh organisasi sperti American Epress dan Visa.
Sejumlah pemerintah telah menentukan standar dan menetapkan peraturan yang memengaruhi keamanan informasi. Asosiasi-asosiasi industri juga sudah menyediakan berbagai standar dan sertifikasi profesional.
Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk menjaga keamanan karyawan, memungkinkan keberlangsungan operasional dengan cara menyediakan fasilitas komputer cadangan, serta melindungi catatan penting perusahaan.

II.  PEMBAHASAN

A.    Kebutuhan Organisasi Akan Keamnana dan Pengendalian
Banyak organisasi yang semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fiisk agar aman dari ancaman baik dari dalam maupun dari luar, karena disini sistem informasi pertama hanya memiliki sedikit perlindungan keamanan, namun hal ii berubah ketika pada saat Perang Vietnam ketika sejumlah instalasi komputer dirusakan oleh para pemrotes. Isu-isu keamanan amat sulit untuk dipecahkan dan akan mendapatkan perhatian yang lebih tinggi di masa yang akan datang.
B.    Manajemen Keamanan Informasi
Manajemen keamanan informasi terdiri atas empat tahap yaitu dengan cara mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan, mengidentifikasi risiko yang dapat disebabkan oleh ancaman-ancaman tersebut, menentukan kebijakan keamanan informasi, serta mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut. Manajemen risiko ( risk management ) dibuat untuk menggambarkan pendekatan ini di mana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
Tolak ukur keamanan informasi ( information security benchmark ) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi. Perusahaan mengikuti pendekatan ini, yang disebut keputusan terhadap tolak ukur ( bachmark compliance ), dapat diasumsikan bahwa peerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman risiko dan tolak ukur tersebut menawarkan perlindungan yang baik. 



C.    Ancaman
      Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.
1.        Ancaman Internal dan Eksternal
Mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.
2.        Tindakan Kecelakaan dan Disengaja
Tindakan disengaja yang dilakukan dengan tujuan mencelakai. Yang disebabkan oleh orang-orang di dalam ataupun diluar perusahaan. Sistem keamanan juga haus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.
D.    Risiko
          Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a.       Pengungkapan Informasi yang tidak terotoritasis dan pencurian
Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
b.      Penggunaan yang tidak terotorisasi
Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
c.       Penghancuran yang tidak terotorisasi dan penolakan layanan
Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi.
d.      Modifikasi yang terotorisasi
Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.

E.     Persoalan e-commerce



           E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit. Kartu Kredit “Sekali pakai”. Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelannggan tersebut, yang diberikan kepada pedagang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.

Praktik keamanan yang diwajibkan oleh Visa
Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, atau pembatasan penjualan dengan  visa. Peritel harus :
1.      Memasang dan memelihara firewall
2.      Memperbaharui keamanan
3.      Melakukan enkripsi data yang disimpan
4.      Melakukan enkripsi pada data ynag dikirim
5.      Menggunakan dan memperbaharui peranti  lunak anti virus
6.      Membatasi akses data kepada orang-orang yang ingin tahu
7.      Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data
8.      Memantau akses data dengan id unik
9.      Tidak menggunakan kata sandi default yang disediakan oleh vendor
10.  Secara teratur menguji sistem keamanan

Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan dengan e-commerce:
a)      Menyaring karyawan yang memiliki akses terhadap data
b)      Tidak meninggalkan data atau komputer dalam keadaan tidak aman
c)      Menghancurkan data jika tidak dibutuhkan lagi

F.      Manajemen Risiko (Management Risk)
           Manajemen risiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
·         Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
·         Menyadari risikonya
·         Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
·         Menganalisis kelemahan perusahaan tersebut
Tingkat keparahan dampak dapat diklasifikasikan menjadi dampak yang parah {serve impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi, dampak signifikan menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut akan selamat, dampak minor menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari. Baik untuk resiko parah mauapun signifikan, analisis kelemahan harus dilaksanakan.
Setelah analisis resiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini:
1.      Deskripsi risiko
2.      Sumber risiko
3.      Tingginya tingkat risiko
4.      Pengendalian yang diterapkan pada risiko tersebut
5.      (Para) pemilik risiko tersebut
6.      Tindakan yang direkomendasikan untuk mengatasi risiko
7.      Jangka waktu yang direkomendasikan untuk mengatasi risiko
8.      Apa yang telah dilaksanakan untuk mengatasi risiko tersebut

Kebijakan Keamanan Informasi
     Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap, diantaranya:
·  Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan tersebut.
·   Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan terpengaruh.
·      Fase 3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.
·    Fase 4, Kesadaran dan edukasi. Melaksanakan program pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
·      Fase 5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan.

Kebijakan Keamanan yang Terpisah dikembangkan untuk
a)      Keamanan Sistem Informasi
b)      Pengendalian Akses Sistem
c)      Keamanan Personel
d)     Keamanan Lingkungan Fisik
e)      Keamanan Komunikasi data
f)       Klasifikasi Informasi
g)      Perencanaan Kelangsungan Usaha
h)      Akuntabilitas Manajemen
Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.

G.    Pengendalian
       Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu:

Pengendalian Teknis
Pengendalian teknis (technical control)  adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.
 1.      Pengendalian Akses
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
· Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
· Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
·    Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.
Identifkasi dan autentifikasi memanfaatkan profil pengguna (user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (acess control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.

 2.    System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.

 3.      Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive dan system informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan internal dari Internet. Pendekatan ketiga adalah membangun dinding pelindung atau firewall. Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan tersebut dan Internet.
Ada tiga jenis firewall, yaitu:
·     Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan jaringan internal, maka router dapat berlaku sebagai firewall. Router dilengkapi dengan table data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router mengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi
·        Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan tetap berlaku.    
·   Firewall Tingkat Aplikasi. Firewall  ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa  apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. 

                            
4.      Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.


5.      Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.
6.      Meletakkan Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi.

H.    Pengendalian Formal
         Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.

Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
Ø Mencapai Tingakat Pengendalian Yang Tepat
Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. karena bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai.Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan-pertimbangan lain.
Ø Dukungan Pemerintah Dan Industri
Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternative untuk manajemen resiko. Organisasi tidak diwajibkan mengikuti standar ini, namun standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan. Berikut ini adalah beberapa contohnya :
·   BS7799 Milik Inggris
·   BSI IT Baseline Protection Manual
·   COBIT
·   GASSP (Generally Accepted System Security Principles)
·   ISF Standard of Good Practice
Tidak ada satupun dari standar-standar ini yang menawarkan cakupan yang menyeluruh dari masalah ini. Namun, jika disatukan, standar-standar tersebut menjadi dasar yang baik untuk diikuti perusahaan dalam menentukan kebijakan keamanan informasinya sendiri yang mendukung budaya organisasi tersebut.

Ø Peraturan Pemerintah
Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standard an menetapkan standardan menetapkan peraturan yang ditujukan untuk menaggapi masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan computer. Beberapa dioantaranya adalah
·   Standar Keamanan Komputer Pemerintah Amerika Serikat
·   Undang-undang Anti Terorisme, Kejahatan, dan Keamanan Inggris ( ATCSA) 2001
Ø Standar Industri
The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para mengguna computer guna membuat system mereka lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmark dan CIS Scoring Tools.
Ø Sertifikasi Profesional
Mulai tahun 1960-an,profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.
-           Asosiasi Audit Sistem dan Pengendalian
-            Konsersium Sertifikasi Keamanan Sistem Informasi Internasional
-           Institute SANS
Meletakkan Manajemen Keamanan Informasi Pada Tempatnya
            Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian yang didasarkan atas identifikasi ancaman dan risiko ataupun atas panduan yang diberikan oleh pemerintah atau asosiasi industri. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk menawarkan tinngkat keamanan yang diinginkan pada batasan biaya yang ditentukan dan sesuai dengan pertimbangan lain yang membuat perusahaan dan sistemnya mamapu berfungsi secara efektif.

I.    Manajemen Keberlangsungan Bisnis


       Manajemen keberlangsungan bisnis (bussines continuity management – BCM) adalah aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguang sistem informasi. Pada tahun awal penggunaan komputer, aktivitas ini disebut perencanaan bencana (disaster planing), namun istilah yang lebih positif perencanaan kontijensi (contigency plan), menjadi populer. Elemen penting dalam perenccanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen tertulis, formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi perusahaan.
        Banyak perusahaan telah menemukan bahwa, dibanding sekedar mengandalkan, satu rencana kontijensi besar, pendekatan yang terbaik adalah merancang beberapa sub rencana yang menjawab beberapa kontijensi yang spesifik. Sub rencana yang umum mencakup :Rencana darurat (Emergency plan). Rencana darurat menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi dan sistem pemadaman api.Rencana cadangan. Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak digunakan. Cadangan ini dapat diperoleh melalui kombinasi dari :Redudansi. Peranti keras, peranti lunak dan data di duplikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang sama, komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak dengan jasa pelayanan cadangan hot site dan cold site. Hot site adalah fasilitas komputer lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat. Cold site hanya mencakup fasilitas bangunan namun tidak mencakup fasilitas komputer. Rencana catatan penting. Catatan penting (vital records) perusahaan adalah dokumen kertas, microform dan media penyimpanan optimis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan) menentukan cara bagaimna catatan penting tersebut harus dilindungi. Selain menjaga catatan tersebut di situs komputer, cadanan harus disimpan dilokasi. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat ditransmisikan secara elektronik.

Meletakkan Manajemen Keberlangsungan Bisnis Pada Tempatnya
    Manajemen keberlangsungan bisnis merupakan salah satu bidang pengunaan komputer dimana kita dapat melihat perkembangan besar. Banyak upaya telah dilaksanakan untuk mengembangkan perencanaan kontijensi, dan banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarakan sistem pemulihan bencana (disaster recovery system – DRS) yang mencakup sistem manajemen basis dasa, instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan. Panduan dan garis besar tersedia bagi perusahaan untuk digunakan sebagai titik awal atau tolak ukur.



III.             PENUTUP
Kesimpulan
Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM). Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit. Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu : teknis, formal dan informal.

Rekomendasi Manajerial
1.  Perusahaan sebaiknya menerapkan manajemen keamanan informasi untuk mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan, untuk mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut, untuk menentukan kebijakan keamanan informasi dan serta untuk mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
2.    Perusahaan sebaiknya melihat ancaman  yakni yang bersifat internal maupun eksternal, tidak disengaja atau disengaja, karena untuk melihat tantangan dari pesaing perusahaan lain agar dapat menghadapi pesaing.
3.    Perusahaan sebaiknya juga melihat risiko yang dapat menghampiri perusahaan yang tidak di duga-duga, karena sekarang ini banyak pihak lain yang bisa mencuri data dari perusahaan dan menyebar luaskan ke perusahaan lain atau perusahaan pesaing.
4.     Perusahaan sebaiknya menerapkan pengendalian untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko pada perusahaan jika risiko tersebut terjadi.
5. Perusahaan sebaiknya juga menerapkan sistem manajemen keberlangsungan untukmengandalkan satu rencana daan merancang beberapa sub rencana yang menjawab beberapa kontijensi yang spesifik.








Share:

0 komentar:

Posting Komentar

Blogger templates