Saturday, January 4, 2014

Keamanan Sistem Informasi

1.       Tujuan Keamanan Sistem informasi
Sistem  informasi  memiliki   peranan  besar  di  semua  perusahaan  atau  institusi  agar dapat menghasilkan keuntungan semaksimal mungkin  dengan cara mengiklankan, menjual, mengadministrasi, dan   mew·ujudkan produk  baru. Perusahaan dipaksa untuk  menciptakan dan memikirkan  inovasi baru agar dapat bersaing dan bertahan hidup  di dalam persaingan bisnis yang ketat.
Dengan meningkatnya  transaksi dan tersedianya bermacam-macam  teknik  pemrosesan menggunakan   komputer   yang  memungkinkan  untuk   berinteraksi   dengan  sistem   lain, perusahaan menjadi sangat tergantung dengan komputerisasi. Di sisi lain dengan pesat lajunya teknologi,  muncul  risiko ancaman baru yang berkaitan  dengan komputerisasi.  Pentinganya pengamanan yang efektif mulai diperhatikan ol.eh semua pihak. Semua pihak dapat memaha mi bahwa keamanan sistem informasi yang cukup andal sangat diperlukan. Perusahaan memiliki sederetan  tujuan  dengan diadakannya  sistem informasi  yang berbasis komputer  di dalam perusahaan. Oleh karna itu, perusahaan menuntut  agar diciptakan sistem keamanan terhadap hardware  maupun softwarenya.
Tujuan  dari  pengamanan  sistem  informasi   ini  adalah  untuk   meyakinkan  integritas, kelanjutan, dan kerahasiaan dari pengolahan data. Keuntungan dengan meminimalkan risiko harus diimbangi dengan biaya yang dikeluarkan untuk tujuan pengamanan ini. Oleh karena itu biaya untuk pengaman terhadap keamanan sistem komputer  harus wajar.
Perusahaan harus  dapat  mengurangi  risiko  dan  memelihara  keamanan  sistem komputerisasi pada suatu tingkatan atau level yang dapat diterima.  Reputasi organisasi akan dinilai masyarakat apabila dapat diyakini oleh :
1)     lntegritas (Integrity)  informasi
2)     Kerahasiaan (Confisentiality) informasi
3)     Ketersediaan (Availability)  informasi
      Aset Perusahaan 
   lnformasi adalah aset organisasi yang sangat berharga dan penting seperti aset-aset yang lain misalnya gedung, mesin-mesin, kendaraan, peralatan kantor, SDM dan lain-lain. Sebagai konsekuensi, keamanan sistem informasi merupakan suatu keharusan untuk melindungi aset perusahaan dari berbagai ancaman. Aset-aset yang dapat dimaksud ke dalam sistem informasi dapat kategorikan sebagai berikut: 
  • Personel
Misalnya sistem analis, programer, operator, database administrator, spesialis jaringan, spesialis PAB 
  • Hardware
Misalnya CPU, Printers, Terminal/monitor,routers, switch
  • Software aplikasi
Misalnya sistem Deptors, Creditors, penggajian,GL, ERP
  • Sistem software
Misalnya operating sistem, compilers, utilities, database sistem.
  • Data
Misalnya master file, backup file, file transaksi
  •  Fasilitas
Misalnya mebel, ruang kantor,fi/ing cabinet
  •  Penunjang
Misalnya Tapes, CD, DVD, disk pack, kertas, tinta printer atau pita.

Ancaman Terhadap Perusahaan 
Ancamah adalah suatu aksi atau kejadian yang dapat merugikan perusahaan yang mengakibatkan kerugian bias berupa  uang /biaya, tenaga upaya, kemungkinan berbisnis (business opportunity), reputasi nama baik, dan paling parah dapat membuat organisasi pailit. Ancaman ini dapat dikategorikan sebagai berikut :
  •  Hardware failure
Dikarenakan oleh misalnya padamnya ("byar pet") listrik, kortsleting, disk crashes..
  • Software failure
Dikarenakan oleh kesalahan sistem operasi, kesalahan program update, tidak cukup dan memadainya uji coba program.
  • Kegagalan SDM
Kegagalan ini dikarenakan misalnya sangat minimnya training bagi personel, personel yang sangat pasif dan tidak memiliki inisiatif, kemasabodoan,tidak loyal,tidak memiliki rasa memiliki (sense of belonging).
  • Alam
Dikarenakan oleh misalnya cuaca panas atau dingin yang tidak normal, banjir, gas, proyektil, gempa, letusan gunung.
  • Keuangan
Disebabkan oleh misalnya tuntutan hokum pihak ketiga, pailit,mogok kerja,huru-hara.
  • Eksternal
Sabotase, spionase, huru-hara.
  • Internal
Dapat  dalam  bentuk  kecurangan, pencurian,  perbuatan  jahat  (memasukkan  virus, membangun  malicious software).
Klasifikasi  tnformasi
Seperti yang telah disebutkan sebelumnya informasi  merupakan  asset perusahaan yang harus  dilindungi dari  ancaman  penyalahgunaan.   lnformasi  dalam  bentuk  hardcopy  atau softcopy yang dihasilkan dengan jerih P.ayah perusahaan merupakan  investasi yang memakan biaya banyak demi  menunjang  dan memajukan  perusahaan  dapat  diklasnikasikan  sebagai berikut:
a)        Sangat Rahasia (Top Secret)
Apabila informasi ini disebarluaskan maka akan berdampak sangat parah terhadap keuntungan  berkompetisi dan  strategi  bisnis  organisasi. Contoh  informasi  jenis  Top Secret : rencana operasi bisnis, strategi marketing, rincian  atau ramuan  bahan untuk menghasilkan material atau bahan baku tertentu, strategi bisnis.
b)        Konfidensial  (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perorangan,merusak reputasi organisasi. Contoh informasi jenis Confidential : konsolidasi penerimaan, biaya, keuntungan beserta informasi lain yang dihasilkan unit kerja keuangan organisasi,strategi marketing,  teknologi,  rencana  produksi,  gaji karyawan,  informasi  pribadi  karyawan, promosi atau pemberhentian karyawan.
c)        Restricted
lnformasi  ini  hanya  ditujukan  kepada  orang-orang  tertentu untuk  menopang  bisnis organisasi. Contoh informasi Restricted: informasi mengenai bisnis organisasi,peraturan organisasi, strategi marketing  yang akan diimplementasikan, strategi harga penjualan, strategi promosi.
d)       Internal Use
lnformasi  ini hanya .boleh  digunakan  oleh  pegawai perusahaan  untuk  melaksanakan tugasnya. Contoh informasi Internal Use : prosedur, buku panduan, pengumuman atau memo mengenai organisasi.
e)        Public
lnformasi ini dapat disebarluaskan kepada umum melalui jalur yang resmi. Contoh informasi Publik : lnformasi di web, Internal  korespondensi yang tidak perlu  melalui pengontrolan atau screening, dan public corporate announcements.

      2.      Kebijakan Keamanan Sistem informasi 
            Setiap organisasi akan selalu memilki  pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan tidak  dapat bertindak  semaunya sendiri dan tidak berdisiplin dalam melakukan tugasnya. Contoh paling mudah adalah apabila sudah ditentukan  jam kerja dari pukul 08.00 sampai pukul 16.30 dengan waktu istirahat 30 menit, maka waktu ini harus secara disiplin dipegang. Karyawan tidak dapat mengatur jam kerjanya sendiri. Setiap output tugas merupakan input tugas untuk karyawan yang lain. Hal ini akan menghambat kelancaran pekerjaan dan sudah tentu  akan merugikan  organisasi. Oleh karena itu, garis pedoman  ini dalam bentuk prosedur harus ditaati oleh semua pihak. 
             Prosedur organisasi biasanya disusun oleh pimpinan  organisasi beserta pimpinan  bagian personalia yang kadangkala melibatkan  juga senior manajer yang lain. Kebijakan keamanan sistem informasibiasanya disusun oleh pimpinan operasional beserta pimpinan ICT(Information Communication Technology) dengan pengarahan dari pimpinan organisasi. Rangkaian konsep secara garis-besar dan dasar dari prosedur keamanan sistem informasi adalah sebagai berikut:
  •  Keamanan Sistem informasi Merupakan  Urusan dan Tanggung Jawab Semua Karyawan
Karyawan  diwajibkan   mengerti   tentang   keamanan  sistem  informasi.   Mereka   harus mengetahui  dan  dapat  membayangkan  dampak  apabila  peraturan  keamanan  sistem informasi diabaikan. Semua Manajer bertanggungjawab untuk mengkomunikasika·n kepada semua bawahannya mengenai pengamanan yang dilakukan di perusahaan dan meyakinkan bahwa mereka mengetahui dan memahami semua peraturan yang diterapkan di perusahaan dan bagiannya. Di lain pihak, setiap pegawai bertanggung  jawab  dan harus mematuhi peraturan keamanan sistem informasi yang diterapkan dan dianut oleh perusahaan.Contohnya : Password berfungsi  untuk  menjaga kerahasiaan sistem informasi. Password semestinya hanya diketahui pihak yang berhubungan langsung dan tersembunyi. Jika password-nya dituliskan dan ditempel di atas keyboard atau di monitor maka kemungkinan besar akan ada orangyangtak berkepentingan langsung pun bisa melihatpasswordtersebut.  Password tersebut menjadi tak berguna dan sistem informasi itu menjadi tidak rahasia.
  • Penetapan Pemilik Sistem informasi
 Alangkah berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem atau subsiste yang bertanggung jawab atas keamanan sistem dan data yang dipakainya. Ia berhak untu mengajukan permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dala sistem yang menyangkut bagiannya. Personel ini merupakan contact person dengan bagia ICT (Information  and Communication Technology). Contohnya : pemilik dapat menentukan siapa saja yang dapat mengakses ke sistem informasi tertentu  dan  sejauh  mana  wewenang/otoritas yang  dapat  diberikan   kepada  yang berkepentingan. Permohonan pengaksesan ini harus dapat dijustifikasikan oleh pemoho dan manajer terkait.
  •  Langkah Kemanan harus sesuai dengan peraturan dan undang-undang
 Tergantung dari bidang yang ditekuni perusahaan harus mematuhi  undang-undang yang telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta. Contohnya: bank yang menggunakan komputer  harus mematuhi peraturan yang dikeluarkan oleh Bank Sentral, misalnya untuk pengiriman uang.
  • Antisipasi terhadap kesalahan
Dengan meningkatnya proses transaksi secara online  & real time  dan terkoneksi sistem jaringan  internasional,  transaksi akan terlaksana hanya dalam hitungan  beberapa  detik dengan tidak pertemuan  manusia secara langsung. Apabila transaksi semacam ini terja di kesalahan tidak dapat langsung diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya.  Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi serta meyakinkan untuk proses audit. Tindakan pencegahan tambahan harus diimplementasikan agar dapat mendeteksi dan melaporkan  kesalahan yang terjadi  sehingga segala bentuk kejanggalan dapat dikoreksi secepat mungkin. Contohnya : transaksi semi'lcam ini biasanya terjadi pada perbankan misalnya pemindahan dana melalui ATM (Automatic  Teller Machine/Anjungan Tunai Mandiri).  Apabila dibandingkan dengan misalnya pemesanan barang yang tidak langsung dapat dikirim,  kesalahan pemesanan masih dapat dikoreksi   misalnya melaluin telpon yang akan ditindaklanjuti dengan konfirmasi secara tertulis.
  • Pengaksesan kendala sistem harus berdasarkan kebutuhan fungsi.
User harus dapat  meyakinkan kebutuhannya  untu  mengakses ke sistem sesuai dengan prinsip 11Need to Know". Pemilk sistem harus bertanggung jawab atas pemberian akses ini. Contohnya: untuk pemrosesan sistem penggajian, personel bagian terkait tidak diperbolehkan untuk mengakses data hasil penjualan dari setiap personel bagian pemasaran. Atau tidak semua personel bagian personalia diperbolehkan untuk memiliki akses ke data penggajian karyawan.
  •  Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di sistem komputer  .
Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi  kepentingan  bisnis  perusahaan.  Data  perusahaan  hanya  diperbolehkan   dipakai untuk  bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap data tersebut. Contohnya :data atau informasi mengenai penjualan tidak diperkenankan untuk disebarluaskan kepada yang tidak berkepentingan.
  • Pekerjaan yang dilakukan oleh pihak ketiga
Apabila pihak ketiga melakukan pekerjaan yang tidak  dapat ditangani oleh perusahaan, maka perusahaan harus dilindungi  oleh keamanan atas informasi perusahaan. Di dalam kontrak harus didefinisikan agar pihak ketiga mematuhi  peraturan  dan keamanan sistem informasi perusahaan. Manajemen  harus bertanggung jawab agar pihak ketiga mematuhi dan mengikuti peraturan keamanan yang telah dirumuskan. Contohnya : apabila pengembangan sistem informasi dilakukan oleh pihak ketiga/software house, sudah tentu pada uji coba akhir harus memakai data yang sesungguhnya. Data ini tidak diperbolehkan  oleh pihak ketiga di-copy dan disebarluaskan atau output  baik yang berbentuk hardcopy maupun softcopy dipakai sebagai contoh untuk perusahaan lain apalagi untuk pesaing
  • Pemisahaan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi.
Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar diadakan   pemisahan   secara  fungsional   antara   pengembang   sistem,   pengoperasian sistem harian dan pemakai akhir. Untu mencapai tujuan  ini, pihak ICT terutama  bagian pengembangan sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan sistem. Tugas ini agar diberikan kepada bagian tersendiri  yang disebut Sistem Administrator  yang secara orgaisasi struktur tidak di bawah ICT.
  •  lmplementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan (Change Request).
Perubahan terhadap sistem informasi harus melalui prosedur yang berlaku untuk pengembangan  dan implementasi  sistem baru. Setiap· permintaan  perubahan  program harus disertai alasan yang kuat ser.ta  keuntungan  yang ia akan dapatkan dan pemohon harus dapat meyakini manajer terkait  dan pemilik  sistem mengenai perubahan  ini. Oleh karena itu, sangat penting apabil semua pihak yang terkait harus menandatangani "change request" sebelum kegiatan ini dimulai. Harus pula diingat bahwa perubahan program akan memakan biaya dan waktu juga.
Contoh : tidak dibenarkan apabila pemakai secara individu  meminta  perubahan terhadap sistem dengan tidak sepengetahuan dari pemilik  sistem. Dalam prakteknya hal ini sangat sering terjadi. semua perubahan harus melalui prosedur change request, sehingga ICT memiliki dokumentasipan bukti yang lengkap untuk menghindari permasalahan di kemudian hari. Pihak ICT harus dapat dengan tegas menolak  permintaan  user apabila permintaan tidak disertai dengan change request.
  •  Sistem yang akan dikembangkan harus sesuai dengan standar metode  pengembangan sistem yang diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemrograman  yang telah ditetapkan. Tidk dibenarkan apabila programmer membuatnya dengan bermacam-macam bahasa pemrograman; Begitu pula dengan sistem database yang digunakan, harus memiliki keseragaman. Patut dipertimbangkan semua resiko keamanan bersama penanggulangannya di dalam sistem. Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keandalan keamanan di dalam aplikasi tersebut. Apabila akan menyeleksi paket sistem aplikasi aspek sistem keamanannya merupakan bagian yang sangat penting dan menentukan.
  • Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identitasnya (User-/D)
Semua pemakai harus berhati-hati menyimpan password User-10-nya. Semua aktivitas yang dilakukan dengan 10 ini akan terekam di dalam audit-trail. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhdap perusahaan.
Kesalahan beserta bukti  ini dapat mengakibatkan  peringatan  atau pemutusan  hubungan kerja terhadap pemilik User-ID ini. Oleh karena itu, simpan password sebaik mungkin dan jangan misalnya menempelkan  di tempat  di mana semua orang yang t;idak berwenang dapat membacanya. Apabila pemakai merasa bahwa ada orang yang tidak berwenang telah mengetahui password-nya, langkah terbaik adalah langsung mengganti password-nya.
3.       Strategi Keamanan Sistem informasi
Dengan munculnya  komputer  dan teknologi  informasi  di lingkungan  organisasi, asset perusahaan  akan bertambah  sehingga diperlukan  sebuah pemikiran  untuk  melindunginya yang merupakan sebuah keharusan atau kewajiban. lntegritas, kerahasiaan dan ketersediaan informasi menjadi penting apabila perusahaan masih tetap ingin berkompetisi di dalam dunia bisnis.
Prinsip pertama adalah integritas (integrity) informasi. Apabila pelanggan datang ke toko untuk membeli  barang, namun tidak menemukannya  maka ia akan mendatangi pramuniaga dan menanyakan tentang barang tersebut. Pramuniaga tersebut akan memeriksa di komputer akan ketersediaan  barang yang diminati  dan mendapat  informasi  bahwa  barang tersebut masih ada katakan 10 buah. Bersama dengan pramuniaga pelanggan pergi ke tempat  barang tersebut diletakkan, namun kenyataan barang tersebut tidak dapat ditemukan. Dengan contoh ini maka pelanggan dapat menilai bagaimana integritas informasi data toko tersebut meskipun memakai komputer. Apabila kejadian ini sering terjadi, maka kepercayaan pelanggan akan berkurang terhadap toko tersebut.
Prinsip  kedua  adalah   kerahasiaan  (confidentiality)  informasi.   Menurut  ISO  17799, kerahasiaan adalah memastikan informasi hanya dapat diakses oleh orang yang berwenang atau bagi orang yang memiliki  otoritas.  Untuk menjaga kerahasiaan, informasi yang bersifat rahasia harus tetap  dilindungi.  Apapun  alasannya informasi  ini hanya diperuntukan untuk orang-orang tertentu.  Bagaimana perasaan seorang nasabah bank apabila informasi data perbankannya dapat diketahui oleh orang lain atau bagaimana perasaan seorang karya wan apabila semua rekan kerjanya mengetahui gaji y(!ng ia terima.
_Prinsip  ketiga adalah ketersediaan (availability) informasi.  ISO 17799 mendefinisika ketersediaan sebagai kepastian tersedianya informasi pada saat yang dibutuhkan oleh orang yang memiliki  wewenang untuk  mengetahuinya atau mengakses data. Tampaknya sangat gampang namun banyak faktor yang dapat mengganggunya. Beberapa faktor yang dapat dikemukakan misalnya kerusakan Hardware, users yang jahat (malicious users), penyusup dari luar perusahaan yang berusaha menghancurkan data perusahaan, virus dan sebagainya.
3.1.    Model ISO 17799
Di atas telah  disinggung mengenai ISO 17799 dan sekarang timbul  pertanyaan apa sebetulnya ISO 17799. ISO 17799 adalah standar keamanan sistem informasi yang telah diakui oleh dunia dan disahkan pada tahun 2000, dimana ia mengalami revisi pada tahun 2005 (ISO/IEC 17799 2005 yang juga disebut ISO/IEC 27002 2005).
Keuntungan yang dapat diambil dari standarisasi ini antara lain metodologi yang terstruktur dan telah diakui oleh dunia in.ternasional, proses yang terdefinisi dengan baik, kebijakan dan prosedur dapat disesuaikan dengan kondisi organisasi dan lain-lain.ISO 17799 terdiri dari:
1.         Business Continuity  Planning.
Business Continuity Planning merupakan langkah yang dilakukan pada saat terjadi ganggatau bencana (disaster) sehingga tidak mengganggu atau menginterupsi aktivitas dan proses bisnis.
2.         System Control Access.
System Control Access, y itu :
    Akses kontrol terhadap informasi
    Mencegah agar individu ya.ng tidak berwenang dapat mengakses ke sistem informasi
    Menjamin proteksi jaringan
    Mencegah pengaksesan oleh yang tidak berwenang
    Mendeteksi aktifitas yang tidak memiliki wewenang
    Menjamin keamanan sistem informasi  yang dapat diakses melalui fasilitas mobile dan telenetworking.
3.       System Development dan maintenance.
System Development dan maintenance akan membahas cara :
    Untuk menjamin agar keamanan dan kontrol diimplementasikan di dalam sistem opera­oprasional.
    Untuk  menghindar  agar data user tidak  hilang, disalah gunakan, atau  dimodifikasi di dalam sistem aplikasi.
    Melindungi informasi atas integritasnya, kerahasiaannya, dan ketersediaanriya.
    Menjamin agar aktivitas proyek IT beserta dukungannya dilakukan/dilaksanakan  sesuai dengan yang telah di tetapkan.
    Memelihaa keamanan software  dan sistem aplikasi beserta datanya.
4.      Physical and Environmental Securit.
Physical and Environmental Security akan membahas :
     Pencegahan pengaksesan, perusakan oleh orang yang tak berwenang  di tempat  bisnis dan informasi perusahaan
     Pencegahan terhadap  hilangnya atau aksi yang akan membahayakan aset perusahaan sehingga menggangu aktivitas bisnis
     Mencegah  agar tidak  ada pencurian  informasi  atau membahayakan  fasilitas pemrosesan informasi
5.       Compliance
Tujuan  Compliance  adalah  agar  tidak  ada  pelanggaran  hukum  kriminalitas   atau  sipil, undang-undang, kontrak, dan lain-lain yang berkaitan dengan hukum. Selain itu, menjaga agar sistem memenuhi  persyaratan dan standar keamanan perusahaan.
6.       Personnel Securit.
Tujuan Personnel Security  adalah  mengurangi  risiko  kesalahan orang, kecurangan, atau penyalahgunaan   fasilitas.   Memastikan   agar  users  menyadari   kemungkinan   ancaman yang akan terjadi  terhadap  keamanan sistem informasi  serta membekali  mereka dengan peraturan keamanan sistem informasi dalam melaksanakan tugas mereka
7.       Security Organization.
Tujuan Security Organization  adalah membahas bagaimana mengelola  keamanan sistem keamanan di dalam organisasi sendiri, menjaga agar sistem tidak dapat diakses oleh pihak ketiga. Selain itu, pembahasan mengenai bagaimana mengurus keamanan informasi jikalau pemroses pengolahan data diberikan kepada pihak ketiga.
8.       Computer and Network  Management.
Tujuan Computer and Network Management adalah :
       Memastikan agar fasilitas pengoperasian informasi dapat berjalan Iancar dan benar
       Memperkecil kemungkinan untuk kegagalan sistem(failure)
       Melindungi integritas software dan informasi
       Memastikan akan ketersediaan fasilitas komunikasi
       Melindungi jaringan dan infrastruktur pendukungnya
       Menjamin agar tidak ada informasi yang hilang, disalahgunakan, dan dimodifikasi pada saat pertukaran informasi antar organisasi.
9.       Asset Classification and Control.
Tujuan Asset Cl ossification and Control adalah untuk  membahas· proteksi yang tepat bagi  aset perusahaan dan memastikan agar aset informasi memiliki tingkat keamanan yang tepat dan baik.
10.   Security Policy.
Tujuan  Security  Policy  adalah  memberikan   arahan  dan  bantuan  kepada  manajemen mengenai keamanan sistem informasi.
3.2.      Dampak Teknologi lnformasi
Dampak dari penggunaan  komputer  yang merupakan  alat bantu  di dunia  bisnis dengan meningkatkan  efisiensi dalam hal pemberian  informasi  yang lebih  cepat dan akurat, telah menciptakan  masalah tambahan  untuk  pemeriksaan  dan pengontrolan,  yang sebelumnya belum pernah ada atau terpikirkan.

1.         Sentralisasi Data.
 Sebelum zaman komputer, masing-masing departemen  di dalam perusahaan bertanggun · jawab sendiri atas data masing-masing. lnformasi  yang masih berupa  kertas-kertas akan disimpan di dalam lemari arsip atau lebih parah lagi disimpan di dalam laci masing-masin karyawan yang menanganinya.
Saat  ini data tersebutyangtelah berupa dokumen digital disimpan di komputerdepartemen/ pusat komputer. Namun ada juga departemen yang telah memiliki sistem sendiri dan menyimpan  datanya di dalam sistem komputer  departemen  terkait. Apabila pada saat itu setiap departemen memiliki sistem yang berdiri sendiri,maka akan sulit untuk mengintegrasi data mereka ke dalam satu sistem terpadu. Selanjutnya akan terjadi redundansi data.

2.         Pengaksesan Data.
 Pengaksesan informasi dapat lebih mudah dilakukan baik dari dalam maupun dari luar organisasi. Dengan adanya kemajuan tekhnologi, informasi yang awalnya hanya ditujukan untuk perorangan sekarang sudah dapat diakses oleh kayawan organisasi yang bersangkutan (tergantung  kewenangannya) dengan memanfaatkan  terminal-terminal- di dalam jaringan organisasi terkait.  Dengan adanya jaringan  nirkabel/wireless  pengguna dapat mengakses data dimana mereka berada, apakah itu dari kendaraan yang ia tumpangi atau dari pusat perbelanjaan/mall. Oleh karena itu, pengontrol  akses terhadap  informasi  perusahaan seorang merupakan satu pekerjaan sendiri dan sangat rumit.

3.      Pemisahan tugas/segregation of duties.
 Pemisahan tu_gas  dan  tanggung  jawab  yang secara tradisional  tidak  dapat  diterapkan dan diimplementasikan lagi, sehingga pemisahan tugas dan tanggung jawab merupakan pekerjaan yang tidak mudah.

4.         Kekurangan audit trail (bukti secara fisik).
 Pada masa lalu tidak  semua komputer  sistem yang dibekali  dengan audit  trail.  Apabila pada saat itu terjadi kejanggalan maka pelacakannya akan sulit dan membutuhkan  banyak waktu untuk menemukan kesalahan ini. Namun, rata-rata sekarang mereka sudah dibekali dengan fasilitas informasi yang dibutuhkan  oleh audit sehingga auditor  dapat mendeteksi kejanggalan transaksi.

5.         Tidak tersedianya prosedur dan dokumentasi yang memadai.
 Banyak sistem komputer  yang tidak  memiliki  prosedur/buku panduan  yang seharusnya merupakan bagian yang tidak terpisahkan dari sistem tersebut. Dengan tidak adanya buku panduan, hal ini akan menjadi faktor kelemahan terhadap pengoperasian dan tindak lanjut terhadap aplikasi-aplikasi.
Harus diakui bahwa pembuatan  dokumentasi merupakan  pekerjaan yang membosankan untuk para pembuat  sistem,namun suka atau tidak suka mereka harus dipaksakan untuk membuat   dokumentasi  yang  memadai   dan  tidak  asal  jadi.  Para programmer   harus sadar bahwa  tanpa  dokumentasi  para penerusnya  akan sulit  untuk  meng-upgrade  dan menindaklanjuti program yang telah ada. Harus juga disadari bahwa pemakai tidak aka­ diam saja dan puas dengan sistem yang telah jadi,karena mereka sudah tentu akan memil gagasan baru dan meminta untuk mengimplementasikannya.

6.         Pengetahuan teknologi yang tinggi.
 Metodologi baru  untuk  pengembangan  sistem  baru  telah  menganggap bahwa semua pemakai  mempunyai   ketrampilan   yang  sama.  Kalau dibandingkan   dengan teknologi beberapa tahun yang lalu,pengembang sistem hanyci dapat dilakukan oleh para program Namun dengan kemajuan pengetahuan·dan bahasa komputer yang sekarang tersedia, para pemakai sudah dapat memahami bahasa tersebut. Tidak jarang ditemukan pemakai dapat ­ membuat  program  sendiri dengan cara belajar  sendiri  dengan bantuan buku panduan manual.Namun kualitas program dibuat tidak sebanding dengan hasil buatan programmer yang telah memiliki ketrampilan khusus, karena pembuatan program tidak terstruktur dan tidak menerapkan metodologi tertentu.

7.       Teknologi telah mengubah pola berbisnis. ·
Perubahan ini dikarenakan telah tersedianya:
       Internet  dan WWW (World Wide Web) .
       Arsitektur distributed Client Server
       Jaringan komunikasi berbasis digital yang menggunakan bandwidth tinggi (kabel, satelit) Tidak jarang lagi semua kegiatan bisnis telah dapat diselesaikan melalui jaringan internet dan di manapun juga.

8.         Tingkat otorisasi.
 Secara umum sistem manual memilki tingkat otorisasi yang kaku yang diterapkan di dalam sistem. Dengan menggunakan komputer,otorisasi dapat diimplementasikan di dalam system informasi, di mana akan mempermudah pekerjaan dan juga pemonitorannya. Otorisasi ini memiliki kaitan juga dengan segregation of duties yang telah disebutka'n sebelumnya.
9.         Keterlibatan audit.

 Beberapa  tahun   yang   lalu   teknologi   telah   menyingkirkan   audit   departemen dari  pengembangan sistem baru dan pengontrolan  secara kritis  terhadap  aplikasi yang telah berjalan.  Meskipun  kecenderungan ini telah mulai berubah,. kelalaian yang sudah-sudah untuk melibatkan pihak auditor telah mengakibatkan kontrol yang lemah di banyak sistem informasi. Sekarang kete.rlibatan auditor merupakan keharusan yang tidak dapat dipungkiri lagi.


Dari media cetak kita telah banyak membaca tentang hacking, virus dan kecurangan yang menggugah kewaspadaan pihak manajemen  untuk  meningkatkan  kebutuhan keamanan sistem informasi. Oleh karena itu, masalah yang akan dihadapi antara lain :
       Seberapa jauh keamanan harus diterapkan.
       Berapa biaya yang harus dikeluarkan.
       Apakah dampak yang akan timbul  dengan menerapkan  ekstra keamanan dalam hal efisiensi dan fleksibiitas dari sistem komputer.
Pertanyaan ini dapat dijawab  secara menyeluruh  dengan mempertimbangkan pengaruh dan resiko dimana bisnis perusahaan yang digeluti untuk menerapkan sistem komputerisasi. Setelah membicarakan hal-hal yang terkait  dengan teknologi komputer yang disebutkan sebelumnya, strategi keamanan sistem informasi dibutuhkan karena :
a)        Tidak dapat dipungkiri  lagi bahwa informasi yang dihasilkan oleh komputer merupakan hal yang penting untuk menyukseskan bisnis.
b)        Teknologi baru  telah  mengubah  pola lingungan bisnis, termasuk  ancaman dan serangan dari ll.iar lingkungan.
c)        Keamanan sistem informasi merupakan kunci keberhasilan untk menggunakan alat bantu baik dalam bentuk Hardware maupun software dalam berbisnis baru dan pemrosesannya.
d)       Keamanan sistem informasi bukanlah sekedar masalah pengendalian dari sisi teknologi dengan menggunakan   baik Hardware maupun software, namun penerapan kebijakan dan standar yang memadai akan menentukan arah keamanan sistem informasi.
e)        Bisnis secara elektronik membutuhkan kepercayaan bisnis.
f)         Bisnis perusahaan sangat tergantung dengan ICT.
                        g)        Banyak faktor yang membutuhkan pendekatan secara terintegrasi
Posted by at 0 comments
Labels:
Subscribe to: Posts (Atom)