KEAMANAN SISTEM INFORMASI KOMUNIKASI DATA
Kerentanan dan Gangguan terhadap Sistem Informasi
Beberapa hal yang menjadi tantangan manajemen menghadapi berbagai risiko dalam penggunaan sistem informasi yaitu:
1.Bagaimana merancang sistem yang tidak mengakibatkan terjadinya pengendalian yang berlebih (overcontrolling) atau pengendalian yang terlalu lemah (undercontrolling).
2.Bagaimana pemenuhan standar jaminan kualitas (quality assurance) dalam aplikasi sistem informasi.
ANCAMAN TERHADAP SISTEM INFORMASI
1. Ancaman Pasif
•Bencana alam & politik contoh : gempa bumi, banjir, perang, kebakaran
•Kesalahan Manusia contoh : kesalahan memasukkan & penghapusan data
•Kegagalan sistem contoh : gangguan listrik, kegagalan peralatan & fungsi software
2. Ancaman Aktif
•Kecurangan & kejahatan komputer contoh : penyelewengan aktivitas, penyalahgunaan kartu kredit , sabotase, pengaksesan oleh orang yang tidak berhak
•Program aplikasi jahat contoh : virus, worm, trojan dll
6 Metode Penetrasi terhadap sistem berbasis komputer
1. Pemanipulasian masukan
Merupakan metode paling banyak dilakukan, karena tanpa memerlukan ketrampilan teknis yang tinggi.
2. Penggantian program
Biasa dilakukan oleh spesialis informasi.
3. Pengubahan berkas secara langsung
Dilakukan oleh orang yang mempunyai akses langsung terhadap basis data.
4. Pencurian data
Dengan kecanggihan menebak atau menjebol password. Dilakukan orang dalam untuk dijual.
5. Sabotase
Tindakan masuk ke dalam sistem tanpa otorisasi disebut hacking. Berbagai kode jahat yang manjadi ancaman bagi sistem komputer : virus, worm, trojan.
6. Penyalahgunaan dan Pencurian Sumber Daya Komputasi
Bentuk pemanfaatan secara illegal terhadap sumber daya komputasi oleh pegawai dalam rangka menjalankan bisnisnya sendiri.
Pengendalian Sistem Operasi
Prosedur-prosedur pengendalian terhadap sistem operasi adalah sebagai berikut:
a. Pemberian atau pengendalian password.
b. Pengamanan pemberian akses ke pegawai.
c. Pembuatan pernyataan dari pengguna tentang tanggung jawab untuk menggunakan sistem dengan tepat dan jaminan akan menjaga kerahasiaannya.
d. Pembentukan suatu kelompok keamanan (security group) untuk memonitor dan melaporkan pelanggaran.
e. Penetapan kebijakan formal untuk mengatasi para pelanggar.
Pengendalian Sumberdaya Data
Berkaitan dengan penggunaan sumberdaya data, risiko-risiko yang mungkin dapat terjadi di antaranya adalah karena adanya: bencana (kebakaran, banjir, dan sebagainya)
prosedur-prosedur yang harus dipasangkan untuk pengendalian sumberdaya data, antara lain meliputi:
a. Pembuatan backup arsip data.
b. Penyimpanan data di lokasi terpisah untuk arsip backup.
c. Penentuan akses terbatas atas arsip data berdasarkan otorisasi dan penggunaan password.
d. Penggunaan teknologi biometric (seperti suara, jari, atau cetak retina) untuk akses data.
e. Pembuatan backup secara periodik seluruh basisdata.
f. Pembuatan prosedur pemulihan (recovery) untuk memulai suatu sistem dari arsip backup dan register transaksi.
Pengendalian Struktur Organisasi
Prosedur-prosedur pengendalian yang diperlukan adalah sebagai berikut:
a. Pemisahan administrator basisdata dari fungsi lainnya, terutama dari fungsi pengembangan sistem.
b. Pemisahan fungsi pengembangan sistem dari fungsi pengoperasian dan pemeliharaan. Kecurangan dapat terjadi ketika seorang programmer memberikan kode (code) yang dapat memungkinkannya mengakses sistem dan membuat perubahan-perubahan yang kemungkinan besar tidak terdeteksi di kemudian hari.
Pengendalian Pusat Komputer
Prosedur-prosedur pengendaliannya adalah sebagai berikut:
a. Penempatan pusat komputer yang jauh dari area bahaya, seperti daerah banjir dan pabrik pengolahan.
b. Pengamanan akses ke fasilitas-fasilitas komputer;
c. Pembatasan akses kepada pegawai yang tidak berwenang dan pemberian tanda masuk bagi yang berwenang.
d. Pengendalian temperatur dan kelembaban;
e. Penggunaan alarm kebakaran dan sistem pemadaman otomatis;
f. Penggunaan pengatur voltase listrik, pencegah goncangan dll.
g. Pembuatan dan pengujian rencana pemulihan dari bencana (disaster recovery plan) yang mengidentifikasikan langkah-langkah yang harus diambil jika terjadi bencana, seperti site backup, aplikasi-aplikasi yang harus diperbaiki dari backup, prosedur penyimpanan off-site.
Pengendalian Aplikasi
Pengendalian aplikasi berhubungan dengan aplikasi tertentu, suatu subsistem, atau program-program dalam sistem komputer. Pengendalian aplikasi ini digolongkan dalam tiga kategori, yaitu pengendalian masukan, pengendalian pemprosesan, dan pengendalian keluaran.
1. Pengendalian Masukan
Pengendalian masukan berusaha untuk menjamin bahwa transaksi-transaksi yang dimasukkan ke dalam suatu sistem adalah sah, akurat,dan lengkap.
2. Pengendalian Pemprosesan
penggunaan register transaksi untuk mengidentifikasikan setiap transaksi yang diproses dan memisahkan transaksi yang berhasil dari yang tidak berhasil (ke dalam suatu arsip kesalahan). Nomor-nomor transaksi harus secara unik mengidentifikasikan masing-masing transaksi sehingga suatu transaksi dapat dilacak melalui suatu sistem guna menyajikan suatu jejak audit.
3. Pengendalian Keluaran
Pengendalian keluaran melindungi keluaran dari kerugian, korupsi, dan akses yang tidak sah. Pengendalian ini meliputi:
a. Pembatasan akses ke arsip-arsip keluaran (elektronik dan hardcopy). Seperti halnya rekening koran bank, nomor pin, slip gaji, atau laporan nilai.
b. Pembatasan akses penghancuran atau pengendalian sampah dokumen.
c. Penggunaan kotak surat yang terkunci.
d. Persyaratan penerimaan untuk pengambilan dokumen dan pemberian tanda-terima.
e. Penyimpanan dokumen-dokumen sensitif dalam lokasi yang aman.
CYBERLAW
Pengertian :
Hukum yang digunakan untuk dunia Cyber (dunia maya, yang umumnya diasosiasikan dengan internet.
Cyberlaw dibutuhkan karena dasar atau pondasi dari hukum di banyak Negara adalah "ruang dan waktu". Sementara itu, internet dan jaringan komputer telah menembus batas ruang dan waktu
Dalam kaitannya dengan upaya pencegahan tindak pidana, ataupun penanganan tindak pidana, UU ITE akan menjadi dasar hukum dalam proses penegakan hukum terhadap kejahatan-kejahatan dengan sarana elektronik dan komputer.
Computer Crime Category
• Credit Card Fraud
– Pemanfaatan secara tidak sah kartu kredit orang lain
– Masyarakat perlu mendapat perlindungan hukum dan teknologi
• Computer and Data Communication Fraud
– Meliputi spektrum kejahatan yang sangat luas mulai dari kegiatan memasuki jaringan komputer orang lain sampai dengan mengambil data yang ada di jaringan
– Pemanfaatan jaringan kantor untuk kepentingan pribadi
– Pemanfaatan komputer untuk memindahkan dana secara ilegal.
• Unauthorized access to computer files (Cybertrespass)
– Penggunaan komputer orang lain secara tidak sah
– Mengakses record data yang bersifat confidential dengan tujuan mencuri
– Memindahkan dan mengganti data untuk keuntungan pribadi
UU ITE Pencemaran Nama Baik
Pasal 27 ayat (3) UU ITE :
"Setiap orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya informasi elektronik dan/atau dokumen elektronik yang bermuatan penghinaan dan/atau pencemaran nama baik"
Pasal 27 ayat (4) UU ITE :
"Setiap orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya informasi elektronik dan/atau dokumen elektronik yang bermuatan pemerasan dan/atau pengancaman"
Ketentuan Pidana
Seseorang yang terbukti dengan sengaja menyebarluaskan informasi elektronik yang bermuatan pencemaran nama baik seperti yang dimaksudkan dalam Pasal 27 ayat (3) dan (4) UU ITE akan dijerat dengan Pasal 45 Ayat (1) UU ITE, sanksi pidana penjara maksimum 6 tahun dan/atau denda maksimum Rp 1 milyar.
Beberapa hal yang menjadi tantangan manajemen menghadapi berbagai risiko dalam penggunaan sistem informasi yaitu:
1.Bagaimana merancang sistem yang tidak mengakibatkan terjadinya pengendalian yang berlebih (overcontrolling) atau pengendalian yang terlalu lemah (undercontrolling).
2.Bagaimana pemenuhan standar jaminan kualitas (quality assurance) dalam aplikasi sistem informasi.
ANCAMAN TERHADAP SISTEM INFORMASI
1. Ancaman Pasif
•Bencana alam & politik contoh : gempa bumi, banjir, perang, kebakaran
•Kesalahan Manusia contoh : kesalahan memasukkan & penghapusan data
•Kegagalan sistem contoh : gangguan listrik, kegagalan peralatan & fungsi software
2. Ancaman Aktif
•Kecurangan & kejahatan komputer contoh : penyelewengan aktivitas, penyalahgunaan kartu kredit , sabotase, pengaksesan oleh orang yang tidak berhak
•Program aplikasi jahat contoh : virus, worm, trojan dll
6 Metode Penetrasi terhadap sistem berbasis komputer
1. Pemanipulasian masukan
Merupakan metode paling banyak dilakukan, karena tanpa memerlukan ketrampilan teknis yang tinggi.
2. Penggantian program
Biasa dilakukan oleh spesialis informasi.
3. Pengubahan berkas secara langsung
Dilakukan oleh orang yang mempunyai akses langsung terhadap basis data.
4. Pencurian data
Dengan kecanggihan menebak atau menjebol password. Dilakukan orang dalam untuk dijual.
5. Sabotase
Tindakan masuk ke dalam sistem tanpa otorisasi disebut hacking. Berbagai kode jahat yang manjadi ancaman bagi sistem komputer : virus, worm, trojan.
6. Penyalahgunaan dan Pencurian Sumber Daya Komputasi
Bentuk pemanfaatan secara illegal terhadap sumber daya komputasi oleh pegawai dalam rangka menjalankan bisnisnya sendiri.
Pengendalian Sistem Operasi
Prosedur-prosedur pengendalian terhadap sistem operasi adalah sebagai berikut:
a. Pemberian atau pengendalian password.
b. Pengamanan pemberian akses ke pegawai.
c. Pembuatan pernyataan dari pengguna tentang tanggung jawab untuk menggunakan sistem dengan tepat dan jaminan akan menjaga kerahasiaannya.
d. Pembentukan suatu kelompok keamanan (security group) untuk memonitor dan melaporkan pelanggaran.
e. Penetapan kebijakan formal untuk mengatasi para pelanggar.
Pengendalian Sumberdaya Data
Berkaitan dengan penggunaan sumberdaya data, risiko-risiko yang mungkin dapat terjadi di antaranya adalah karena adanya: bencana (kebakaran, banjir, dan sebagainya)
prosedur-prosedur yang harus dipasangkan untuk pengendalian sumberdaya data, antara lain meliputi:
a. Pembuatan backup arsip data.
b. Penyimpanan data di lokasi terpisah untuk arsip backup.
c. Penentuan akses terbatas atas arsip data berdasarkan otorisasi dan penggunaan password.
d. Penggunaan teknologi biometric (seperti suara, jari, atau cetak retina) untuk akses data.
e. Pembuatan backup secara periodik seluruh basisdata.
f. Pembuatan prosedur pemulihan (recovery) untuk memulai suatu sistem dari arsip backup dan register transaksi.
Pengendalian Struktur Organisasi
Prosedur-prosedur pengendalian yang diperlukan adalah sebagai berikut:
a. Pemisahan administrator basisdata dari fungsi lainnya, terutama dari fungsi pengembangan sistem.
b. Pemisahan fungsi pengembangan sistem dari fungsi pengoperasian dan pemeliharaan. Kecurangan dapat terjadi ketika seorang programmer memberikan kode (code) yang dapat memungkinkannya mengakses sistem dan membuat perubahan-perubahan yang kemungkinan besar tidak terdeteksi di kemudian hari.
Pengendalian Pusat Komputer
Prosedur-prosedur pengendaliannya adalah sebagai berikut:
a. Penempatan pusat komputer yang jauh dari area bahaya, seperti daerah banjir dan pabrik pengolahan.
b. Pengamanan akses ke fasilitas-fasilitas komputer;
c. Pembatasan akses kepada pegawai yang tidak berwenang dan pemberian tanda masuk bagi yang berwenang.
d. Pengendalian temperatur dan kelembaban;
e. Penggunaan alarm kebakaran dan sistem pemadaman otomatis;
f. Penggunaan pengatur voltase listrik, pencegah goncangan dll.
g. Pembuatan dan pengujian rencana pemulihan dari bencana (disaster recovery plan) yang mengidentifikasikan langkah-langkah yang harus diambil jika terjadi bencana, seperti site backup, aplikasi-aplikasi yang harus diperbaiki dari backup, prosedur penyimpanan off-site.
Pengendalian Aplikasi
Pengendalian aplikasi berhubungan dengan aplikasi tertentu, suatu subsistem, atau program-program dalam sistem komputer. Pengendalian aplikasi ini digolongkan dalam tiga kategori, yaitu pengendalian masukan, pengendalian pemprosesan, dan pengendalian keluaran.
1. Pengendalian Masukan
Pengendalian masukan berusaha untuk menjamin bahwa transaksi-transaksi yang dimasukkan ke dalam suatu sistem adalah sah, akurat,dan lengkap.
2. Pengendalian Pemprosesan
penggunaan register transaksi untuk mengidentifikasikan setiap transaksi yang diproses dan memisahkan transaksi yang berhasil dari yang tidak berhasil (ke dalam suatu arsip kesalahan). Nomor-nomor transaksi harus secara unik mengidentifikasikan masing-masing transaksi sehingga suatu transaksi dapat dilacak melalui suatu sistem guna menyajikan suatu jejak audit.
3. Pengendalian Keluaran
Pengendalian keluaran melindungi keluaran dari kerugian, korupsi, dan akses yang tidak sah. Pengendalian ini meliputi:
a. Pembatasan akses ke arsip-arsip keluaran (elektronik dan hardcopy). Seperti halnya rekening koran bank, nomor pin, slip gaji, atau laporan nilai.
b. Pembatasan akses penghancuran atau pengendalian sampah dokumen.
c. Penggunaan kotak surat yang terkunci.
d. Persyaratan penerimaan untuk pengambilan dokumen dan pemberian tanda-terima.
e. Penyimpanan dokumen-dokumen sensitif dalam lokasi yang aman.
CYBERLAW
Pengertian :
Hukum yang digunakan untuk dunia Cyber (dunia maya, yang umumnya diasosiasikan dengan internet.
Cyberlaw dibutuhkan karena dasar atau pondasi dari hukum di banyak Negara adalah "ruang dan waktu". Sementara itu, internet dan jaringan komputer telah menembus batas ruang dan waktu
Dalam kaitannya dengan upaya pencegahan tindak pidana, ataupun penanganan tindak pidana, UU ITE akan menjadi dasar hukum dalam proses penegakan hukum terhadap kejahatan-kejahatan dengan sarana elektronik dan komputer.
Computer Crime Category
• Credit Card Fraud
– Pemanfaatan secara tidak sah kartu kredit orang lain
– Masyarakat perlu mendapat perlindungan hukum dan teknologi
• Computer and Data Communication Fraud
– Meliputi spektrum kejahatan yang sangat luas mulai dari kegiatan memasuki jaringan komputer orang lain sampai dengan mengambil data yang ada di jaringan
– Pemanfaatan jaringan kantor untuk kepentingan pribadi
– Pemanfaatan komputer untuk memindahkan dana secara ilegal.
• Unauthorized access to computer files (Cybertrespass)
– Penggunaan komputer orang lain secara tidak sah
– Mengakses record data yang bersifat confidential dengan tujuan mencuri
– Memindahkan dan mengganti data untuk keuntungan pribadi
UU ITE Pencemaran Nama Baik
Pasal 27 ayat (3) UU ITE :
"Setiap orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya informasi elektronik dan/atau dokumen elektronik yang bermuatan penghinaan dan/atau pencemaran nama baik"
Pasal 27 ayat (4) UU ITE :
"Setiap orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya informasi elektronik dan/atau dokumen elektronik yang bermuatan pemerasan dan/atau pengancaman"
Ketentuan Pidana
Seseorang yang terbukti dengan sengaja menyebarluaskan informasi elektronik yang bermuatan pencemaran nama baik seperti yang dimaksudkan dalam Pasal 27 ayat (3) dan (4) UU ITE akan dijerat dengan Pasal 45 Ayat (1) UU ITE, sanksi pidana penjara maksimum 6 tahun dan/atau denda maksimum Rp 1 milyar.
No comments :
Post a Comment