Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

KULIAH 7.

Diterbitkan olehWidya Yuwono Telah diubah "6 tahun yang lalu

Presentasi serupa

Presentasi berjudul: "KULIAH 7."— Transcript presentasi:

1 KULIAH 7

2 KEAMANAN SISTEM INFORMASI
Tujuan Pembelajaran: Menguraikan pendekatan-pendekatan umum untuk menganalisis kerentanan dan hambatan dalam sistem informasi. Mengidentifikasi hambatan aktif dan pasif dalam sistem informasi Mengidentifikasi aspek-aspek kunci sistem keamanan informasi Membahas perencanaan kontinjensi dan praktek pengelolaan risiko bencana lainnya.

3 TINJAUAN KEAMANAN SISTEM INFORMASI
Sistem Keamanan Informasi (SKI) merupakan subsistem yang mengendalikan risiko-risiko khusus yang berkaitan dengan sistem informasi berbasis komputer. SKI memiliki elemen dasar sistem informasi: hardware, database, prosedur dan laporan. SIKLUS HIDUP SISTEM KEAMANAN INFORMASI SKI dikembangkan dengan cara mengaplikasikan metode-metode yang ditetapkan: analisis sistem; desain sistem; implementasi; pengoperasian, evaluasi dan pengendalian.

4 Tujuan setiap tahap siklus hidup adalah sebagai berikut:
Analisis system Perancangan system Implementasi system Pengoperasian system Analisis kerentanan system dalam konteks hambatan yang relevan dan eksposur kerugian yang muncul. Rancang ukuran keamanan dan kontijensi rencana untuk mengendalikan eksposur kerugian yang telah diidentifikasi Implementasikan ukuran keamanan yang telah dirancang Mengoperasikan system dan menilai keefektifan dan evaluasi dan pengendalian

5 SISTEM KEAMANAN INFORMASI DALAM ORGANISASI
Jika SKI ingin efektif, harus dikendalikan oleh Chief Security Officer (CSO), yang bertanggung jawab kepada dewan komisaris untuk menjaga independensinya. Tugas utama CSO adalah memberi laporan kepada dewan komisaris untuk mendapat persetujuan.

6 Laporan ini harus mencakup setiap tahap dalam siklus hidup:
Analisis sistem Perancangan sistem Implementasi sistem, operasi sistem, evaluasi dan pengendalian Ikhtisar seluruh kemungkinan kerugian yang relevan Rencana rinci untuk pengendalian dan penataan kerugian, termasuk anggaran system keamanan yang lengkap Kekhususan pada kinerja sistem keamanan sistem, evaluasi dan termasuk pengelompokan kerugian dan pengendalian pelanggaran keamanan, analisis ketaatan dan biaya operasi sistem

7 ANALISIS KERENTANAN DAN HAMBATAN
Pendekatan kuantitatif penilaian risiko Dalam pendekatan kuantitatif penilaian risiko, setiap kemungkinan kerugian dihitung sesuai hasil biaya individu dikalikan dengan kemungkinan munculnya. Kesulitan dalam menilai kemungkinan-2 kerugian, yaitu: Mengidentifikasi biaya relevan per kerugian dan kemungkinan yang berkaitan. Mengestimasi kemungkinan kegagalan tertentu yang diperlukan untuk memprediksi masa datang. Pendekatan kualitatif penilaian risiko Dalam pendekatan kualitatif penilaian risiko yaitu mengurutkan kerentanan dan hambatan-hambatan sistem, dan secara subyektif membuat rangking berdasarkan kontribusi terhadap kemungkinan total kerugian perusahaan.

8 ANALISIS KERENTANAN DAN HAMBATAN
Terlepas dari metode apa yang digunakan, setiap analisis harus mencakup kemungkinan kerugian untuk paling tidak masalah-masalah berikut ini: Interupsi bisnis Kerugian perangkat lunak Kerugian data Kerugian perangkat keras Kerugian fasilitas Kerugian layanan dan personil

9 KERENTANAN DAN HAMBATAN-HAMBATAN
Kerentanan (vulnerability) adalah kelemahan dalam sistem, dan hambatan (threat) adalah eksploitasi potensial dari kerentanan. Hambatan aktif mencakup penggelapan terhadap komputer dan sabotase terhadap komputer Hambatan pasif mencakup kesalahan-kesalahan sistem, (kegagalan peralatan (kelemahan disk, kekurangan tenaga, dlsb)) dan gangguan alam (gempa bumi, banjir, kebakaran, dan badai).

10 Orang-orang yang Menimbulkan Hambatan pada Sistem Informasi
Serangan atau gangguan yang berhasil terhadap sistem informasi memerlukan adanya akses ke perangkat keras, file data sensistif, atau program-program kritis. Ada tiga kelompok individu yang terlibat dalam serangan sistem informasi: 1. Personil sistem informasi 2. Para pengguna informasi 3. Para pengganggu

11 Personil sistem informasi
Personil sistem komputer, mereka adalah yang menginstalansi hardware, software, memperbaiki hardware, operator komputer, dan karyawan administrasi. Pemrogram, yang menuliskan programnya untuk memodifikasi atau memperbaiki sistem operasi Operator jaringan, yang merencanakan dan memonitor operasi komputer dan jaringan komunikasi. Personil administrative sistem informasi, penyelia sistem merupakan orang yang mempunyai posisi dengan kepercayaan besar. - Klerk pengendali data, bertanggunggjawab atas pemasukan data secara manual maupun terotomasi.

12 Para pengguna informasi
Kelompok orang yang beragam dan satu satu sama lain dapat dibedakan berdasarkan kegiatan fungsionalnya tanpa memandang pemrosesan atau komputasi data. Para pengganggu Orang-2 yang memiliki peralatan, data atau file-file komputer tanpa otorisasi yang memadai. Hackers, unnoticed intruders, wire tappers, piggy-backers, impersonating intruders, dan eavesdroppers.

13 Hambatan Aktif Sistem Informasi
Enam metode untuk penggelapan sistem informasi: manipulasi masukan, gangguan program, gangguan file secara langsung, pencurian data, sabotase, penyalahgunaan dan pencurian sumberdaya informasi. Manipulasi masukan Metode ini membutuhkan sedikit kemampuan teknis. Gangguan program Metode ini paling sedikit digunakan dalam penggelapan komputer. Ini dikarenakan untuk melakukannya dibutuhkan kemampuan pemrograman yang hanya dipunyai sedikit orang saja.

14 Gangguan File Secara Langsung.
Potong jalur terhadap proses normal untuk pemasukan data ke program-program komputer. Pencurian data Pencurian data baik secara on-line (penyadapan internet) maupun off-line (diskette, CD, hardcopy). Sabotase komputer Menciptakan bahaya serius terhadap sistem informasi. Karyawan-karyawan yang tidak puas, khususnya yang dipecat, biasanya menjadi sumber sabotase terhadap sistem komputer. Logic bomb, trojan horse, program virus, worm, dll. Penyalahgunaan dan pencurian sumberdaya informasi karyawan menggunakan kompter perusahaan untuk kepentingan bisnisnya.

15 SISTEM KEAMANAN SISTEM INFORMASI
Mengendalikan hambatan-hambatan dapat diwujudkan dengan mengimplementasikan pengukuran-pengukuran keamanan dan rencana-rencana kontijensi. pengukuran keamanan berfokus pada pencegahan dan pendeteksian hambatan-hambatan (pengendalian preventif); rencana kontinjensi berfokus pada perbaikan dampak dari hambatan-hambatan (pengendalian korektif). Elemen dasar SPI merupakan aspek penting SKSI

16 LINGKUNGAN PENGENDALIAN
Filisofi manajemen dan gaya operasi Aktivitas pertama dan paling penting dalam keamanan komputer adalah menciptakan moral yang tinggi. Seluruh karyawan harus memperoleh pendidikan mengenai masalah keamanan Tujuan pendidikan keamanan adalah meningkatkan perhatian terhadap keamanan, untuk itu keamanan harus ditangani secara serius. Struktur Organisasi Dalam banyak organisasi, akuntansi, komputasi dan pemrosesan data diorganisasikan di bawah Chief Information Officer (CIO). Lini organisasi dibuat untuk menetapkan pertanggungjawaban atas pengambilan keputusan secara langsung mengenai masalah perangkat lunak akuntansi dan prosedur akuntansi.

17 Dewan Komisaris dan Komite-komitenya.
Dewan komisaris harus menugaskan suatu komite audit. Komite audit harus menugaskan atau menyetujui penugasan internal auditor. Metode Pemberian Otoritas dan Tanggungjawab Tanggungjawab untuk semua posisi harus didokumentasikan secara cermat dengan menggunakan bagan organisasi, manual kebijakan perusahaan, pembagian tugas, dlsb. Aktivitas Pengendalian Manajemen Pengendalian harus dtetapkan berkaitan dengan penggunaan dan pertanggungjawaban seluruh sumber daya yang berhubungan dengan komputer dan sistem informasi. Anggaran harus ditetapkan untuk perolehan peralatan dan perangkat lunak, biaya-biaya operasi serta biaya pemanfaatan. Dalam seluruh kategori tersebut, biaya aktual harus dibandingkan dengan anggaran, dan perbedaan-perbedaan yang signifikan harus diselidiki.

18 Fungsi Audit Internal Sistem keamanan komputer harus diaudit secara kontinyu dan dimodifikasi untuk memenuhi kebutuhan-kebutuhan perubahan. Seluruh modifikasi sistem harus diterapkan sesuai dengan kebijakan keamanan yang telah ditetapkan. Kebijakan dan Praktik-praktik kepegawaian Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, cuti yang diharuskan, dan pengecekan ganda merupakan praktik-praktik kepegawaian yang penting. Pengaruh-Pengaruh Eksternal Sistem informasi perusahaan harus sesuai dengan peraturan-peraturan pemerintah.

19 Pengendalian atas Hambatan-Hambatan Aktif
Cara utama mencegah penggelapan dan sabotase adalah dengan menerapkan jenjang memadai pada pengendalian akses. Filosofi dasarnya adalah memisahkan si pelaku dari target potensialnya. Pengendalian Akses Lokasi (Site-Access Controls) Untuk memisahkan secara fisik, individu-individu yang tidak memiliki otorisasi dari sumberdaya komputer yang ada. Pemisahan fisik ini diterapkan pada hardware, area entri data, area output data, perpustakaan data, dan kabel-kabel komunikasi. Seluruh pemakai diharuskan menggunakan kartu indentitas keamanan. Tempat-tempat pemrosesan data harus berada dalam gedung terisolasi yang dikelilingi pagar dengan beberapa pintu masuk. Sistem masuk (entri) yang ketat harus dijalankan.

20 Pengendalian atas Hambatan-Hambatan Aktif
Pengendalian Akses Sistem Pengendalian akses sistem adalah pengendalian yang dirancang berbentuk perangkat lunak untuk mencegah pemanfaatan sistem oleh orang yang tidak berhak. Tujuannya adalah memberi identitas pemakai seperti: kode akun, password, dan peralatan perangkat keras. Pengendalian Akses File (File Aceess Controls) Pengendalian ini mencegah akses tidak sah ke file data dan program. Pengendalian akses file paling mendasar adalah penetapan pedoman dan prosedur otorisasi untuk mengakses dan mengubah file.

21 Pengendalian atas Hambatan-hambatan Pasif
Hambatan-hambatan pasif meliputi masalah-masalah seperti gangguan pada tenaga dan perangkat keras. Pengendalian Preventif Sistem toleransi-kesalahan berkaitan dengan kerusakan komponen dalam hal pemonitoran dan pencadangan Bilamana salah satu bagian sistem gagal, bagian cadangan akan segera mengambil alih, dan sistem akan melanjutkan operasi dengan sedikit atau tanpa interupsi. Pengendalian Korektif Backup file sering digunakan untuk mengoreksi kesalahan Ada tiga jenis backup, yaitu: Full backup, Incremental backup, dan Differential backup.

22 Keamanan Internet (Internet Security)
Kerentanan yang berkaitan dengan internet muncul karena adanya kelemahan dalam lima bidang: Sistem Operasinya atau konfigurasinya Web server atau konfigurasinya Jaringan khusus (the private network) dan konfigurasinya Berbagai program server Prosedur-prosedur keamanan umum

23 Web server adalah perluasan dari mengoperasikan sistem
Web server adalah perluasan dari mengoperasikan sistem. Web server ini sama dengan mengoprasikan sistem yang diperlukan untuk memonitor secara tetap bulletin-buletin saran untuk memutakhirkan keamanan. Risiko-risiko khusus terjadi bila web server ditempatkan pada berbagai komputer yang terhubung dengan berbagai pemakai komputer

24 MANAJEMEN RISIKO BENCANA
Manajemen risiko bencana pada dasarnya adalah memastikan kontinuitas operasi bila terjadi peristiwa bencana alam. Manajemen ini berkaitan dengan pencegahan (prevention) dan perencanaan kontinjensi (contingency planning). Pencegahan bencana merupakan tahap awal dalam mengelola risiko bencana. Sebab-sebab bencana: Bencana Alam = 30 % Tindakan yang disengaja = 45 % Kesalahan Manusia = 25 %

25 Data tsb mengimplikasikan bahwa bencana dapat di kurangi.
Perencanaan pemulihan bencana harus diimplementasikan pada tingkat yang paling tinggi perusahaan. Tahap awal perencanaan tersebut harus mendapat dukungan dari manajemen senior dan membentuk komite perencanaan. Perencanaan mencakup tiga komponen: Menentukan kebutuhan-kebutuhan kritis perusahaan Membuat daftar prioritas pemulihan Menetapkan strategi dan prosedur-prosedur pemulihan Strategi pemulihan yang lengkap meliputi: Pusat respon emergensi Prosedur eskalasi dan pembuatan pemrosesan pengganti Relokasi pegawai dan rencana penempatan kembali Rencana –rencana penyelamatan, dan rencana pengujian dan pemeliharaan sistem.

26

Download ppt "KULIAH 7."

Presentasi serupa

Pemahaman Struktur Pengendalian Intern

Pemahaman Struktur Pengendalian Intern
Keamanan Sistem Informasi

Keamanan Sistem Informasi
DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT

DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT
SISTEM INFORMASI SUMBER DAYA INFORMASI

SISTEM INFORMASI SUMBER DAYA INFORMASI
Keamanan Sistem Informasi

Keamanan Sistem Informasi
Audit Sistem Informasi Berbasis Komputer

Audit Sistem Informasi Berbasis Komputer
ETIKA PROFESI SESI 3 : ETIKA PEMANFAATAN TEKNIK INFORMASI

ETIKA PROFESI SESI 3 : ETIKA PEMANFAATAN TEKNIK INFORMASI
PENGENDALIAN INTERNAL DAN RESIKO KENDALI

PENGENDALIAN INTERNAL DAN RESIKO KENDALI
Mengaudit Sistem/ Teknologi Informasi

Mengaudit Sistem/ Teknologi Informasi
PENGENDALIAN UMUM DAN PENGENDALIAN APLIKASI

PENGENDALIAN UMUM DAN PENGENDALIAN APLIKASI
Pengendalian Sistem Informasi Akuntansi

Pengendalian Sistem Informasi Akuntansi
TUJUAN AUDIT SI/TI Pertemuan 2.

TUJUAN AUDIT SI/TI Pertemuan 2.
Operasi Komputer Cherrya Dhia Wenny.

Operasi Komputer Cherrya Dhia Wenny.
Operasi Komputer BAB 2.

Operasi Komputer BAB 2.
Struktur Pengendalian Intern

Struktur Pengendalian Intern
PENGENDALIAN INTERNAL Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA

PENGENDALIAN INTERNAL Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA
ASSALAMUALAIKUM Wr.. Wb...

ASSALAMUALAIKUM Wr.. Wb...
Pengendalian dan Sistem Informasi Akuntansi

Pengendalian dan Sistem Informasi Akuntansi
KOMPUTER DAN KONTROL FORTUNA ( ) ALPEN PY( )

KOMPUTER DAN KONTROL FORTUNA ( ) ALPEN PY( )
KEAMANAN SISTEM.

KEAMANAN SISTEM.

Presentasi serupa

Iklan oleh Google