TUGAS SIM, implementasi manajemen keamanan informasi pada perusahaan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan, Akbar Nurhisyam ,Yananto Mihadi P., S.E., M.Si., CMA. , 2018

1. IMPLEMENTASI MANAJEMEN KEAMANAN INFORMASI PADA PERUSAHAAN
UNTUK MENDAPATKAN KERAHASIAAN, KETERSEDIAAN, SERTA INTEGRITAS
PADA SEMUA SUMBER DAYA INFORMASI PERUSAHAAN
Disusun Oleh
Akbar Nurhisyam
43217010116
Dosen Pengampu:
Yananto Mihadi Putra, SE, M.Si
Universitas Mercu Buana
Fakultas Ekonomi dan Bisnis
Akuntansi
2018

2. BAB I
PENDAHULUAN
A. Latar Belakang
Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka
aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari para
kriminal komputer dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai
salah satu cara untuk menanggulangi kejahatan, isu-isu utama mengenai keamanan versus
ketersediaan serta keamanan versus hak pribadi harus diatasi. Keamanan informasi ditujukan
untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya
informasi perusahaan. Manajemen keamanan informasi terdiri atas perlindungan harian, yang
disebut manajemen keamanan informasi dan persiapan operasional setelah suatu bencana yang
disebut dengan manajemen keberlangsungan bisnis.
Dua pendekatan dapat dilakukan untuk menyusun strategi-strategi Information Security
management-ISM manajemen resiko dan kepatuhan tolak ukur. Perhatian akan ancaman dan
resiko berhubungan dengan pendekatan manajemen risiko. Ancaman dapat bersifat internal
atau eksternal, tidak disengaja atau disengaja. Risiko dapat mencakup insiden
pengungkapan,penggunaan, dan modifikasi yang tidak diotorisasi serta pencurian,
penghancuran dan penolakan layanan. Dalam makalah ini para persentator akan memaparakan
mengenai keamanan infomasi.
B. Rumusan Masalah
Yang menjadi rumusan masalah dalam makalah ini ialah :
a) Apa yang dimaksud dengan keamanan dan pengawasannya ?
b) Apa yang dimaksud dengan ancaman keamanan system informasi ?
c) Bagaimana yang dimaksud dengan pengendalian ?
C. Tujuan Penulisan
Adapun tujuan dari penulisan dari makalah ini adalah,antara lain :
a) Agar pembaca mengetahuai keamanan dan pengawasan sistem informasi
b) Agar pembaca mengetahui perbedaan keamanan virtual dan fisik
c) Agar pembaca mengetahui bagaimana manajemen dan jenis ancaman dalam informasi

3. 1. KEBUTUHAN PERUSAHAAN AKAN KEAMANAN DANPENGENDALIAN
Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya menjaga seluruh
sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan
luar sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini
berubah pada saat perang Vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.
Pengalaman diatas untuk meletakkan penjagan keamanan yang bertujuan untuk menghilangkan atau
mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengan
kemampuan untuk melanjutkan kegiatan operasional seelah terjadi gangguan.
2. Keamanan Informasi
Keamanan informasi berkaitan dengan semua sumber daya informasi, bukan hanya peranti
keras data,namun juga peranti lunak, fasilitas komputer, dan personel.
Istilah keamanan informasi digunakan untuk mendeskripsikan perlindungan baik peralatan komputer
dan nonkomputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak
berwenang.
3. Tujuan Keamanan Informasi
Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama,yaitu:
– Kerahasiaan:Melindungi data dan informasi perusahaan dari penyingkapan orang –orang yang tidak
berhak
– Ketersediaan:Meyakinkan bahwa data dan informasi perusahaan hanya dapat digunakan oleh orang
yang berhak menggunakannya.
– Integritas: Sistem informasi perlu menyediakan representasiyang akurat dari sistem fisik yang
direpresentasikan

4. 4. Manajemen Keamanan Informasi
• Manajemen Keamanan Informasi terdiri atas dua area:
a) Manajemen Keamanan Informasi: Aktivitas untuk menjaga agar sumber daya informasi tetap
aman.
b) Manajemen Keberlangsungan Bisnis: Aktivasi untuk menjaga agar perusahaan dan sumber
daya informasi tetap berfungsi setelah adanya bencana.
• Istilah corporate information systems security officer (CISSO) telah digunakan untuk orang
yang berada di organisasi yang bertanggung jawab pada sistem keamanan informasi perusahaan.
• Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang
melaporkan kepada CEO dan mengatur suatu unit jaminan informasi
5. Manajemen Keamanan Informasi
(ISM)
• Manajemen Informasi Keamanan (ISM) terdiri dari empat langkah:
1. Identifikasi ancaman (threats) yang dapat menyerang sumber daya informasi perusahaan
2. Mendefinisikan resiko dari ancaman – ancaman tersebut.
3. Menentukan kebijakan keamanan informasi
4. Menerapkan pengendalian (controls ) yang tertuju pada resiko
Hubungan logis antara ancaman,resiko dan pengendalian adalah ketika ada ancaman maka ada resiko
yang timbul dan harus ada pengendalian terhadap resiko tersebut.

5. • Tolak ukur keamanan informasi (ISB) adalah tingkat keamanan yang disarankan yang dalam
keadaan normal harus menawarkan perlindungan dengan cukup terhadap gangguan yang tidak
terotoritasi

6. 6. Ancaman
• Ancaman keamanan informasi adalah seseorang,organisasi, mekanisme, atau peristiwa yang
dapat berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan
• Ancaman dapat berupa internal atau external, disengaja atau tidak disengaja
• Gambar 9.2 memperlihatkan tujuan keamanan informasi dan bagaimana keamanan informas
diberlakukan terhadap empat jenis resiko:

7. • Ancaman Internal dan External
• Disengaja dan tidak disengaja
Jenis Ancaman
Yang Paling Terkenal– “VIRUS”
sebuah virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa
pengetahuan pengguna
• sebuah worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi dapat
memancarkan salinan dengan sendirinya oleh e-mail
• sebuah Trojan horse tidak dapat mereplikasi maupun mendstribusikan dirinya sendiri.
Distribusi terpenuhi oleh para pemakai yang mendistribusikannya sebagai utilitas, maka ketika
digunakan menghasilkan sesuatu perubahan yang tidak dikehendaki dalam kemampuan sistem
• Sebuah Adware memunculkan pesan-pesan iklan yang mengganggu
• Sebuah spyware mengumpulkan data dari mesin pengguna
7. Resiko
Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat jenis :
1. Pencurian dan Penyingkapan tidak terotorisasi.
2. Penggunaan tidak terotorisasi.
3. Pembinasaan dan Pengingkaran Layanan yang tidak terotorisasi.
4. Modifikasi yang tidak terotorisasi.
8. Pertimbangan E-COMMERCE

8. E-commerce telah memperkenalkan sebuah keamanan resiko yang baru: penipuan kartu kredit.
Keduanya American Express dan Visa telah mengimplementasikan program yang mengarahkan
secara rinci pada e-commerce, American Express mengumumkan “penyediaan" angka-angka kartu
kredit. Angka ini, dibandingkan dengan angka kartu kredit pelanggannya, yang ditujukan pada
perdagangan online menggunakan e-commerce,yang memilih American Express untuk
pembayarannya.
Visa telah mengumumkan sepuluh praktek terkait dengan keamanan yang mereka harap pengecernya
untuk mengikuti lebih dari tiga langkah praktek yang umum dilakukan
Tindakan Pencegahan Visa
Pengecer Harus:
– Memasang dan memelihara firewall
– Memperbarui keamanan
– Melakukan enkripsi pada data yang disimpan
– Melakukan enkripsi pada data yang dikirimkan
– Menggunakan dan memperbarui perantik lunak antivirus
– Membatasi akses data kepada orang-orang yang ingin tahu
– Memberikan ID unik untuk orang yang memiliki kemudahan mengakses data
– Memantau akses data dengan ID unik
– Tidak menggunakan password default dari vendor
– Secara teratur menguji keamanan sistem
– Memantau pegawai yang memiliki akses data
– Tidak meninggalkan data (disket, kertas,dll) atau komputer dalam keadaan tidak aman
– Hapus data jika sudah tidak digunakan
9. Manajemen Resiko
4 sub langkah untuk mendefinisikan risiko informasi adalah:
1. Mengidentifikasi aset bisnis yang harus dilindungi dari risiko

9. 2. Menyadari resiko
3. Tentukan tingkat dampak pada perusahaan jika risiko benar-benar terjadi
4. Menganalisis kerentanan perusahaan
Pendekatan sistematis dapat diambil dari langkah 3 dan 4 dengan menentukan dampak dan
menganalisis kelemahan.
Tingkat Dampak dan Kelemahan Menentukan Pengendalian
Laporan Analisis Risiko
Dampak parah Dampak signifikan Dampak minor
Kelemahan tingkat Melaksanakan Melaksanakan Analisis kelemahan
tinggi analisis analisis tidak dibutuhkan
kelemahan.harus kelemahan.harus
meningkatkan meningkatkan
pengendalian pengendalian.
Kelemahan tingkat Melaksanakan Melaksananakan Analisis kelemahan
menegah analisis kelemahan. analisis kelemahan, tidak dibutuhkan
Sebaiknya sebaiknya
meningkatkan meningkatkan
pengendalian pengendalian
Kelemahan tingkat Melaksanakan Melaksanakan Analisis kelemahan
rendah analisis kelemahan, analisis kelemahan, tidak dibutuhkan.
menjaga menjaga
pengendalian tetap pengendalian tetap
ketat. ketat.

10. • Pemuan dari analisis risiko harus didokumentasikan dalam sebuah laporan yang berisi
informasi rinci seperti berikut untuk masing-masing risiko:
1. Deskripsi risiko
2. Sumber risiko
3. Tingginya tingkat resiko
4. Pengendalian yang diterapkan pada resiko tersebut
5. Para pemilik resiko tersebut
6. Tindakan yang direkomendasikan untuk mengatasi risiko
7. Jangka waktu yang direkomendasikan untuk mengatasi risiko
8. Apa yang telah dilaksanakan untuk mengatasi risiko tersebut
10. Kebijakan Keamanan Informasi
Mengabaikan apakah perusahaan mengikuti strategimanajemen risiko kepatuhan tolak ukur maupun
tidak. Suatu kebijakan yang menerapkan kebijakan keamanannya dengan pendekatan yang bertahap.

11. Figur 9.3 mengilustrasikan 5 fase implementasi kebijakan keamanan.

12. •Fase 1. inisiasi proyek : tim yang menyusun kebijakan keamanan yang din bentuk dan suatu komite
akan mencangkup manajer dari wilayah dimana kebijakan akan diterapkan
•Fase 2. penyusunan kebijakan: tim proyek berkonsultasi dengan semua pihak yang berminat &
berpengaruh oleh proyek.
•Fase 3. Konsultasi & persetujuan : berkonsultasi dengan manjemen untuk memberitaukan
temuannya. Serta untuk mendapatkan pandangan mengenai persyaratan kebijakan
•Fase 4. kesadaran dan edukasi: program pelatihan kesadaran dan edukasi dilaksanakan dalam unit
organisasi
•Fase 5. penyebarluasan kebijakan: disebarluaskan oleh seluruh unit organisasi dimana kebijakan
dapat diterapkan.
11.Pengendalian

13. Pengendalian(control) mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau
meminimalkan dampak risiko pada perusahaan jika risiko tersebut terjadi.pengendalian dibagi
menjadi tiga kategori yaitu :
Teknis Formal
Dan Informal
1. PENGENDALIAN TEKHNIS(Tehnicalcontrol)
Pengendalian yang menjadi satu di dalam sistem dan dibuat oleh penyusun sistem selama masa siklus
penyusunan sistem.
A. PENGENDALIAN AKSES
1.Identifikasi pengguna. Para pengguna pertama mengidentifikasi mereka dengan cara memberikan
sesuatu yang mereka ketahui, misalnya kata sandi 2.Otentifikasi pengguna . Setelah identifikasi awal
telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang
mereka ketahui
3.Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasidilalui, seseorang maka dapat
melakukan otorisasi untuk memasuki tingkat/derajat penggunaan tertentu
B. Sistem DeteksiGangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan
perusakan. Salah satu contoh yang baik adalah “peranti lunak proteksi
virus” yang terbukti efektif elewan virus yang terkirim melalui e-mail.
C. Firewall
Berfungsi sebagaipenyaring dan penghalang yang membatasi aliran
data ke perusahaan tersebut dan internet. Dibuatnya suatu pengaman
terpisah untuk untuk masing-masing komputer Tiga jenis firewall
adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.

14. 2. Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi dari pengungkapan
yang tidak terotorisasi dengan kriptografi yaitu penggunaan kode yang menggunakan proses
matematika.

15. Popularitas kriptografi semakin meningkat karena e-commerce dan produk ditunjukan untuk
meningkatkan keamanan e-commerence
3. PENGENDALIAN FISIK
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yang
dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat
penjaga keamanan. Perusahaan dapat melaksanakan pengendaliian fisik hingga pada tahap
tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh darikota
dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan
badai
Meletakan manajemen keberlangsungan bisnis pada tempatnya
manajemen keberlangsungan bisnis merupakan salah satu bidang penggunaan komputer
dimana kita dapat melihat perkembangan besar. Tersedia pula rencana dalam paket sehingga
perusahaan dapat mengadaptasi ke dalam kebutuhan khususnya.
PENGENDALIAN FORMAL DANINFORMAL
Mencangkup penentuan cara berperilaku, dokumentasi prosedur, dan praktik yang diharapkan.
Pengendalian ini bersifat formal, karena manjemen menghabiskan bayak waktu untuk menyusunnya,
mendokumentasikan dalam bentuk tulisan dan diharapkan untuk berlaku dalam jangka panjang.
Pengendalian Informal
Mencangkup program-program pelatihan dan edukasi serta program pembangunan manajemen.
Pengendalian ini berkaitan untuk menjaga agar para karyawan perusahaan memahami serta
mendukung program keamanan tersebut.
12.DUKUNGAN PEMERINTAHDAN INDUSTRI
Beberapa organisasi pemerintahan dan internasional telah menentukan standar- standar yang
ditunjukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan informasi.
Beberapa standar ini berbentuk tolok ukur, yang telah diidentifikasikan sebelumnya sebagai penyedia
strategi alternatif untuk manajemen resiko. Beberapa pihak penentu standar menggunakan istilah
baseline(dasar) dan bukannya benchmark (tolok ukur).Organisasi tidak diwajibkan mengikuti standar
ini. Namun, standar ini ditunjukan untuk memberikan bantuan kepada perusahaan dalam menentukan
tingkat target keamanan. Berikut ini adalah beberapa contohnya:

16. • BS7799 milik inggris
• BSI IT Baseline Protection Manual
• Cobit
• GASSP
• ISF Standard Of Good Practice
PERATURAN PEMERINTAH
Pemerintah baik di amerika serikat maupun inggris telah menentukan standar dan menetapkan
peraturan yang ditujukan untuk menanggapi masalah pentinggnya keamanan informasi yang makin
meningkat, terutama setelah peristiwa 9/11 dan semakin memperluasnya internet serta peluang
terjadinya kejahatan komputer. Beberapa diantaranya adalah:
Standar keamanan komputer pemerintah Amerika Serikat
Undang- undang antiterorisme, kejahatan, dan keamanan inggris (ATCSA)
STANDAR INDUSTRI
The center for internet security(CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu
para pengguna komputer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua
produk yaitu: CIS Benchmarks dan CIS Scoring Tools.
13. SERTIFIKASI PROFESIONAL

17. Mulai tahun 1969-an, profesi IT mulai menawarkan prorgam sertifikasi. Tiga contoh berikut
mengilustrasikan cakupan dari program- program ini.
Asosiasi Audit Sistem dan Pengendalian
Konsorsium Sertifikasi Keamanan Sistem Informasi
Internasional
Institut SANS
MANAJEMEN KEBERLANGSUNGAN BISNIS
Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen keberlangsungan Bisnis ( business continuity management-
BCM). Pada tahun-tahun awalpenggunaan komputer, aktifitas ini disebut perencanaan besar (disaster
planning), namun istilah yang lebih positif, perencanaan kontinjensi(contingency plan), menjadi
populer. Elemen penting dalam perencanaan kontinjensi adalah rencana kontinjensi (contingency
plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan
yang harus dilakukan jika terjadi gangguan,atau ancaman gangguan pada operasi komputasi
perusahaan.

18. 14. Subrencana yang menjawab beberapa kontinjensi yang spesifik
Rencana Darurat :menyebutkan cara-cara yang akan menjaga keamanan karyawan jika
bencana terjadi. Cara – cara ini mencakup sistem alarm, prosedur evakuasi, dan sistem pemadaman
api.
Rencana Cadangan : Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia
seandainya fasilitas yang biasa hancur atau rusak sehingga tidak apat digunakan. Cadangan dapat
diperoleh melalui kombinasi redundansi, keberagaman, mobilitas.
Rencana Catatan Penting terbagi menjadi 2 bagian:
a. Catatan Penting : Dokumen kertas, mikroform dan media penyimpanan optis dan magnetis
yang penting untuk meneruskan bisnis perusahaan tersebut.
b. Rencana Catatan Penting : Menentukan cara bagaimana catatan penting tersebut harus
dilindungi.

19. Kesimpulan
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber
daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal
dan bersifat disengaja dan tidak disengaja. Dalam dunia masa kini, banyak organisasi semakin
sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun
fisik agar aman dari ancaman baik dari dalam atau dari luar. Istilah keamanan sistem digunakan
untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data
dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Suatu prganisasi akan
berjalan terus dan semakin komplek dari waktu ke waktu, banyaknya orang yang berbuat
kesalahan dan guna mengevaluasi atas hasil kegiatan yang telah dilakukan, inilah yang
membuat fungsi pengawasan semakin penting dalam setiap organisasi. Tanpa adanya
pengawasan yang baik tentunya akan menghasilkan tujuan yang kurang memuaskan, baik bagi
organisasinya itu sendiri maupun bagi para pekerjanya. Jadi bisa kita lihat secara keseluruhan
kaeamanan dan pengendalian harus dilakukan secara balance agar terciptanya system dimana
kecil kemunginan dapat terjadinya kebocoran informasi dan kelalaiaan dalam mengelola
system informasi karena system informasi manajemen sangat menentukan arah perusahaan
yang akan ditempuh.
B. Saran

20. DAFTAR PUSTAKA
1. Buku
Mcleod Jr, Raymond, George P Schell.(2007). Management Information Systems. Grafindo.
Jakarta
Rahardjo, Budi. 2005. Keamanan Sistem Informasi Berbasis Internet. PT. Insan Indonesia.
Bandung
2. Internet
https://agilbox.wordpress.com/2015/01/22/ancaman-dan-keamanan-sistem-informasi/
http://www.academia.edu/6610389/Sistem_Keamanan_dan_Virus_Dalam_Sistem_Informasi
_Manajemen
http://kumpulanmakalahsim.blogspot.co.id/2014/05/keamanan-informasi.html
WAJIB: Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi Manajemen:
Implementasi Sistem Informasi. FEB - Universitas Mercu Buana: Jakarta.)