Pengamanan dan Pengendalian Sistem Informasi

 

RANGKUMAN MATERI KELOMPOK 1 – PENGAMANAN DAN PENGENDALIAN SISTEM INFORMASI

 

DEFINISI SISTEM INFORMASI

Definisi dari sistem informasi (SI) secara umum adalah suatu sistem yang mengkombinasikan antara aktivitas manusia dan penggunaan teknologi untuk mendukung manajemen dan kegiatan operasional. Di mana, hal tersebut merujuk pada sebuah hubungan yang tercipta berdasarkan interaksi manusia, data, informasi, teknologi, dan algoritma.

Penggunaan dari SI sendiri ditujukan untuk mengolah berbagai informasi yang dikelola oleh setiap perusahaan atau organisasi, sehingga sumber daya atau resources yang dibutuhkan tidak terlalu besar dan dapat mempersingkat waktu penanganan proses.

TUJUAN SISTEM INFORMASI

                Tujuan dari pengembangan sistem informasi adalah untuk menghasilkan sebuah produk yang berisi kumpulan informasi. Sebuah sistem tentunya melibatkan berbagai jenis dan tipe data yang mampu diolah agar dapat ditampilkan dengan mudah kepada pengguna (user).

Untuk menghasilkan data yang valid dan sesuai, maka kita perlu memerhatikan ketiga faktor ini. Pertama, data tersebut harus relevan atau tepat sasaran (relevance). Kedua, tepat waktu dan efisien (timeliness). Dan yang ketiga adalah tepat sasaran atau akurat (accurate).

KLASIFIKASI JENIS INFORMASI

                Informasi yang berada pada sistem adalah hal-hal penting yang perlu dijaga, akan tetapi setiap informasi tersebut memiliki klasifikasinya. Klasifikasinya adalah sebagai berikut:

1.       Top Secret: jika informasi tersebar berdampak terhadap strategi bisnis organisasi. Contoh: rencana operasi bisnis, strategi bisnis.

2.       Confidential: jika informasi tersebar akan merugikan privasi perorangan dan merusak reputasi perusahaan. Contoh: gaji karyawan, rencana produksi

3.       Restricted: informasi yang hanya ditujukan kepada orang-orang tertentu untuk menopang bisnis organisasi. Contoh: strategi harga penjualan.

4.       Internal Use: informasi yang hanya boleh digunakan oleh pegawai perusahaan untuk melaksanakan tugasnya. Contoh: prosedur pelaksaan tugas.

5.       Public: informasi yang disebar luaskan kepada umum melalui jalur yang resmi.

PENGGUNAAN SISTEM INFORMASI TEPAT SASARAN

                Penggunaan sistem informasi di organisasi bukannya tanpa risiko. Penggunaan atau akses yang tidak sah, perangkat lunak yang tidak berfungsi, kerusakan pada perangkat keras, gangguan dalam komunikasi, bencana alam, dan kesalahan yang dilakukan oleh petugas merupakan beberapa contoh betapa rentannya sistem informasi menghadapi berbagai risiko dan potensi risiko yang kemungkinan timbul dari penggunaan sistem informasi yang ada.

Beberapa hal yang menjadi tantangan manajemen menghadapi berbagai risiko dalam penggunaan sistem informasi yaitu:

1.       Bagaimana merancang sistem yang tidak mengakibatkan terjadinya pengendalian yang berlebih (overcontrolling) atau pengendalian yang terlalu lemah (undercontrolling).

2.       Bagaimana pemenuhan standar jaminan kualitas (quality assurance) dalam aplikasi sistem informasi.

ANCAMAN DAN GANGGUAN PADA SISTEM INFORMASI

                Dalam pelaksanaan suatu sistem informasi tentu tidak bisa terlepas dari keamanan data. Terlebih bagi organisasi besar yang tidak go public, sistem informasi yang dijalankan tentu sudah dibuat sedemikian rupa agar data-data perusahaan tidak dapat diakses oleh pihak yang tidak berkompeten.

Beberapa ancaman dan gangguan yang mungkin terjadi dan berpengaruh terhadap sistem informasi, adalah sebagai berikut:

1.       Kerusakan perangkat keras.

2.       Perangkat lunak tidak berfungsi.

3.       Tindakan-tindakan personal.

4.       Penetrasi akses ke terminal.

5.       Pencurian data atau peralatan.

6.       Kebakaran.

7.       Permasalahan listrik.

8.       Kesalahan-kesalahan pengguna.

9.       Program berubah.

10.   Permasalahan-permasalahan telekomunikasi.

MANAJEMEN RISIKO

Manajemen rIsiko adalah strategi yang digunakan untuk mengatasi atau mengurangi dampak dari berbagai rIsiko keamanan jaringan. Pendefinisian rIsiko terdiri dari empat langkah, yaitu:

1.           Identifikasi aset perusahaan (bisnis) yang harus dilindungi.

2.           Sadari adanya risiko.

3.           Menentukan tingkat dampak yang ditimbulkan jika risiko tersebut benar terjadi.

4.           Menganalisis kelemahan perusahaan.

TUJUAN PENGAMANAN SISTEM INFORMASI

Aspek pengamanan informasi adalah aspek-aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Biasanya, keamanan sistem informasi dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas, padahal ada beberapa tujuan penting lainnya, seperti:

1.       Otentikasi/identifikasi, pengecekan terhadap identitas suatu entitas, bisa berupa orang, kartu kredit atau mesin;

2.       Tanda tangan, mengesahkan suatu informasi menjadi satu kesatuan di bawah suatu otoritas;

3.       Otorisasi, pemberian hak/kewenangan kepada entitas lain di dalam sistem;

4.       Validasi, pengecekan keabsahan suatu otorisasi;

5.       Kontrol akses, pembatasan akses terhadap entitas di dalam sistem;

6.       Sertifikasi, pengesahan/pemberian kuasa suatu informasi kepada entitas yang terpercaya;

7.       Pencatatan waktu, mencatat waktu pembuatan atau keberadaan suatu informasi di dalam sistem;

8.       Persaksian, memverifikasi pembuatan dan keberadaan suatu informasi di dalam sistem bukan oleh pembuatnya

9.       Tanda terima, pemberitahuan bahwa informasi telah diterima;

10.   Konfirmasi, pemberitahuan bahwa suatu layanan informasi telah tersedia;

11.   Kepemilikan, menyediakan suatu entitas dengan sah untuk menggunakan atau mengirimkan kepada pihak lain;

12.   Anonimitas, menyamarkan identitas dari entitas terkait dalam suatu proses transaksi;

13.   Nirpenyangkalan, mencegah penyangkalan dari suatu entitas atas kesepakatan atau perbuatan yang sudah dibuat;

PEMBANGUNAN SISTEM PENGAMANAN INFORMASI

                Kontrol keamanan hanya memberikan informasi dasar untuk sistem keamanan, namun dengan berfokus pada perspektif teknologi juga tidak cukup karena sistem tersebut harus dikelola. Prinsip dasar pada program keamanan adalah kombinasi masyarakat, proses, dan teknologi.

Berikut ini adalah beberapa hal yang perlu diperhatikan dalam pengamanan sistem informasi:

1.       Melakukan peninjauan keamanan secara teratur.

2.       Membuat kebijakan keamanan dan perencanaan.

3.       Kesadaran keamanan.

4.       Mengendalikan keamanan untuk memantau postur keamanan jaringan.

5.       Pastikan sistem komputer dan perangkat lunak keamanan selalu aktual.

6.       Memindahkan data ke penyedia layanan Cloud (penyimpanan data secara daring).

KEBIJAKAN DALAM PENGENDALIAN SISTEM INFORMASI

Kebijakan keamanan informasi disusun untuk mendukung pencapaian sasaran keamanan informasi. Di dalamnya terdapat komitmen untuk memenuhi berbagai persyaratan keamanan informasi dan komitmen untuk melakukan perbaikan yang berkelanjutan. Beberapa kebijakan keamanan sistem informasi yang perlu diperhatikan adalah sebagai berikut:

1.       Keamanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan.

2.       Penetapan pemilik sistem informasi.

3.       Langkah keamanan harus sesuai dengan peraturan dan undang-undang.

4.       Antisipasi terhadap kesalahan.

5.       Pengaksesan kendala sistem harus berdasarkan kebutuhan fungsi.

6.       Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses pada sistem komputer.

7.       Pekerjaan yang dilakukan oleh pihak ketiga harus berdasarkan kontrak yang telah disetujui.

8.       Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi.

9.       Implementasi sistem baru atau perubahan harus melalui pengontrolan yang ketat.