KEAMANAN INFORMASI

KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN

Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar.

KEAMANAN INFORMASI

Dalam arti luas istilah keamanan sistem (system security) digunakan untuk perlindungan peranti keras dan data, peranti lunak, fasilitas komputer, dan personel yang cakupannya untuk semua jenis data - bukan hanya data di dalam komputer. Sedangkan istilah keamanan informasi (informasi security) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan nonkomputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

Tujuan Keamanan Informasi

      1.       Kerahasiaan

Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.

       2.       Ketersediaan

Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.

       3.       Integritas

Semua sistem informasi harus memberikan representasi akurat sistem fisik yang direpresentasikannya.

MANAJEMEN KEAMANAN INFORMASI

Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap :

      1.   Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi 

            perusahaan.

      2.   Mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut.

      3.   Menentukan kebijakan keamanan informasi.

      4.   Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

Manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya. Tolok ukur (benchmark) adalah tingkat kinerja yang disarankan. 

Tolok ukur keamanan informasi (information security benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi. Standar dan tolok ukur semacam ini ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program keamanan informasi yang baik menurut otoritas-otoritas tersebut.

ANCAMAN

Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.

Ancaman Internal dan Eksternal

Ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang potensi lebih serius jika dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.

JENIS ANCAMAN

Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain. Sebenarnya, virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software). Malicious software, atau malware terdiri atas program-program yang lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem.

Terdapat beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm, Trojan horse, adware, dan spyware. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri didalam sistem, tapi dapat menyebarkan salinannya melalui e-mail. Trojan horse (kuda Tronya) tidak dapat mereplikasikan ataupun mendistribusikan dirinya sendiri; si pengguna menyebarkan sebagai suatu perangkat. Adware memunculkan pesan-pesan iklan yang mengganggu, dan spyware mengumpulkan data dari mesin pengguna.

Baru pada awal 2005, Microsoft memutuskan untuk memasuki perang antispyware. Program antispyware sering kali menyerang cookies, yaitu file teks kecil yang diletakkan perusahaan hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di kalangan beberapa pemasat.

RISIKO

Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.

Empat jenis risiko :

      1.       Pengungkapan informasi yang tidak terotorisasi dan pencurian.

      2.       Penggunaan yang tidak terotorisasi.

      3.       Penghancuran yang tidak terotorisasi dan penolakan layanan.

      4.       Modifikasi yang tidak terotorisasi.

PERSOALAN E-COMMERCE

E-commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari pemalsuan kartu kredit.

MANAJEMEN RISIKO

Manajemen risiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Pendefinisian risisko terdiri atas empat langkah :

         1.   Identifikasi aset-aset bisnis yang harus dilindungi dari risiko.
   2.   Menyadari risikonya.
   3.   Menentukan tingkatan dampak pada perusahaan jika risiko 

               benar-benar terjadi.
   4.   Menganalisis kelemahan perusahaan tersebut.

Tingkat keparahan dampak dapat diklasifikasikan menjadi :

      1.     Dampak yang parah (severe impact), membuat perusahaan bangkrut atau 

             sangat membatasi kemampuan perusahaan tersebut untuk berfungsi.

      2.    Dampak signifikan (significant impact), menyebabkan kerusakan dan biaya 

            yang signifikan, tetapi perusahaan tersebut akan selamat.

      3.    Dampak minor (minor impact), menyebabkan kerusakan yang mirip dengan 

            yang terjadi dalam operasional sehari-hari.

KEBIJAKAN KEAMANAN INFORMASI

Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang bertahap. Lima fase implementasi kebijakan keamanan, yaitu :

      1.       Inisiasi proyek

      2.       Penyusunan kebijakan

      3.       Konsultasi dan persetujuan

      4.       Kesadaran dan edukasi

      5.       Penyebarluasan kebijakan

Kebijakan terpisah dikembangkan untuk :

      1.       Keamanan sistem informasi

      2.       Pengendalian akses sistem

      3.       Keamanan personel

      4.       Keamanan lingkungan dan fisik

      5.       Keamanan komunikasi data

      6.       Klasifikasi informasi

      7.       Perencanaan kelangsungan usaha

      8.       Akuntabilitas manajemen

PENGENDALIAN

Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi.

Tiga kategori pengendalian :

      1.       Pengendalian Teknis

Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.

Pengendalian Akses

Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup identifikasi pengguna, autentikasi pengguna, ddan otorisasi pengguna. Penggabungan langkah-langkah ini menjadi sistem keamanan ditunjukkan dalam figur

·         Identifikasi pengguna

·         Otentikasi pengguna

·         Otorisasi pengguna

Sistem Deteksi Gangguan

Peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang senditif, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimiliki, dan penggunaan protokol jaringan tertentu. Ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.

Firewall

Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.

      2.       Pengendalian Formal

Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku.

      3.       Pengendalian Informal

Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditunjukkan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

Referensi : Buku Sistem Informasi Manajemen (Raymond McLeod, Jr. dan George P. Schell)

SISTEM MANAJEMEN BASIS DATA

ORGANISASI DATA

Komputer pada awalnya digunakan untuk memecahkan masalah-masalah yang membutuhkan kalkulasi angka yang rumit dan membosankan. Perusahaan seringkali membutuhkan komputer untuk memecahkan masalah yang sama, dengan input yang berbeda, secara berulang kali. Perusahaan menyimpan data dalam jumlah besar di sistem informasi berbasis komputer.

Hierarki Data

Data bisnis secara tradisional telah diorganisasikan ke dalam suatu hierarki field-field data yang bergabung untuk membentuk record, dan record yang bergabung untuk membentuk file.

Field data adalah unit data yang terkecil mencerminkan jumlah data terkecil yang akan ditarik dari komputer pada suatu waktu.

Record adalah suatu koleksi field-field data yang saling berhubungan atau baris-baris di dalam tabel.

File adalah koleksi record yang saling berhubungan, seperti suatu file dari seluruh record yang berisi field kode-kode mata kuliah dan namanya.

Basis data adalah sekumpulan file. Definisi umum dari basis data adalah bahwa basis data merupakan kumpulan dari seluruh data berbasis komputer sebuah perusahaan. Definisi basis data yang lebih sempit adalah bahwa basis data merupakan kumpulan data yang berada dibawah kendali peranti lunak sistem manajemen basis data.

Menurut definisi yang lebih sempit, data perusahaan yang dikendalikan dan di administrasi oleh sistem manajemen basis data akan dianggap sebagai basis data; file-file komputer yang terdapat didalam komputer pribadi seorang manajer akan dianggap berada di luar basis data.

Spreadsheet sebagai Basis Data Sederhana

Tabel yang berisi baris dan kolom dapat disajikan dalam suatu spreadsheet. Kolom-kolom dalam spreadsheet mencerminkan field-field data, sedangkan judul kolom berisi nama-nama field data. Baris-baris dalam tabel berisi nilai-nilai field.

Flat Files

File datar (Flat file) adalah suatu tabel yang tidak memiliki kolom-kolom yang berulang. Alasan dari sebuah tabel harus menjadi flat file adalah karena komputer membaca field-field data dari suatu record secara berurutan. Alasan kedua untuk flat file adalah bahwa ia memungkinkan struktur basis data relasional untuk dinormalisasi.

Normalisasi (Normalization) adalah suatu proses formal untuk menghapus field-field yang berulang (redundant) sambil tetap menjaga kemampuan basis data untuk menambah, mengubah, dan menghapus tanpa menyebabkan kesalahan.

Field-Field Kunci

Kunci (key) di dalam suatu tabel adalah satu field (atau kombinasi field) yang berisi satu nilai yang secara unik mengidentifikasi masing-masing record di dalam tabel, artinya bahwa setiap baris dalam tabel akan teridentifikasi secara unik.

Kandidat kunci (key candidate) adalah sebuah field yang secara unik mengidentifikasi masing-masing baris tabel namun tidak dipilih untuk menjadi kunci.

STRUKTUR BASIS DATA

Struktur basis data adalah cara data diorganisasi agar pemrosesan data menjadi lebih efisien. Struktur ini kemudian diimplementasikan melalui sistem manajemen basis data. Sistem manajemen basis data (DBMS) adalah suatu aplikasi peranti lunak yang menyimpan struktur basis data, data itu sendiri, hubungan di antara data di dalam basis data, nama-nama formulir, jenis-jenis data, angka dibelakang desimal, jumlah karakter, nilai-nilai default, dan seluruh uraian field lainnya.

Struktur Basis Data Hierarkis

Struktur Basis Data Hierarkis terlihat seperti cabang-cabang dari sebuah pohon. Seperti cabang sebuah pohon, untuk mendapatkan satu record dari satu cabang ke satu cabang lainnya mengharuskan sistem manajemen basis data tersebut menavigasi kembali ke persimpangan umum dari cabang-cabang tersebut.

Struktur Basis Data Jaringan

Struktur Basis Data Jaringan dikembangkan untuk memungkinkan penarikan record-record tertentu. Ia memungkinkan satu record tertentu menunjuk pada semua record lainnya da dalam basis data. Struktur jaringan memecahkan permasalahan keharusan untuk menarik balik hingga kembali ke “cabang” yang menyatukan basis data.

Struktur Basis Data Relasional

Struktur Basis Data Relasional terlihat seperti sekumpulan tabel-tabel yang mirip seperti tabel-tabel spreadsheet. Relasi di antara tabel tidak disimpan sebagai penunjuk atau alamat; sebagai gantinya, relasi antara tabel bersifat implisit. Jika struktur hierarkis dan jaringan mengandalkan diri pada relasi fisik (physical relationship) di dalam bentuk alamat-alamat penyimpanan, relasi dalam struktur basis data relasional adalah implisit. Relasi implisit (implicit relationship) dapat secara tidak langsung berasal dari data.

MEMBUAT BASIS DATA

Konsepnya, proses pembuatan sebuah basis data akan melibatkan tiga langkah utama, yaitu :

       1.       Menentukan data yang dibutuhkan

       2.       Menguraikan data

       3.       Memasukkan data ke dalam basis data

MENGGUNAKAN BASIS DATA

Formulir, laporan, dan query adalah metode-metode yang dipergunakan untuk mengakses basis data yang disimpan dalam suatu sistem manajemen basis data.

Laporan dan Fomulir

Laporan (reports) adalah data teragregasi dari basis data yang diformat dengan cara yang akan membantu pengambilan keputusan.

Formulir (forms) secara tipikal menampilkan suatu record saja dalam satu waktu dan tidak memberikan ikhtisar data serta biasanya tidak melakukan agregasi data dari banyak tabel basis data.

Query

Query adalah suatu permintaan kepada basis data untuk menampilkan record-record yang dipilih.

Bahasa Query Terstruktur

Bahasa Query Terstruktur atau Structured Query Language (SQL) adalah kode yang digunakan oleh sistem manajemen basis data relasional untuk mengerjakan pekerjaan-pekerjaan basis data-Nya.

MENEMPATKAN SISTEM MANAJEMEN BASIS DATA DALAM PERSPEKTIF

Sistem manajemen basis data memungkinkan untuk membuat sebuah basis data, memelihara isinya, dan menyebarkan data kepada khalayak pengguna yang luas tanpa harus mempergunakan pemrograman komputer yang berbiaya mahal. Setiap sisi teknologi informasi memiliki keuntungan dan kerugiannya masing-masing; sistem manajemen basis data juga demikian.

Keuntungan DBMS

       1.       Mengurangi pengulangan data

       2.       Mencapai independensi data

       3.       Mengambil data dan informasi dengan cepat

       4.       Kemanan yang lebih baik

Kerugian DBMS

       1.       Mebeli peranti lunak yang mahal

       2.       Mendapatkan konfigurasi peranti keras yang besar

       3.       Mempekerjakan dan memelihara staf DBA

Referensi : Buku Sistem Informasi Manajemen (Raymond McLeod, Jr. dan George P. Schell)