sistem informasi manajemen keamanan informasi
DESCRIPTION
pptTRANSCRIPT
Digunakan untuk mendeskripsikan perlindungan baik peralatan komputer maupun non komputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-lpihak yang tidak berwenang.
Keamanan Informasi
Kerahasiaan, perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang. Contohnya: piutang dagang, pembelian, dan utang dagang.
Ketersediaan, adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Contohnya: sistem informasi sumber daya manusia dan sistem informasi eksekutif
Integritas, semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang di representasikannya.
Keamanan informasi, aktifitas untuk menjaga agar sumber daya informasi tetap aman. Sedangkan, aktifitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis.
Tujuan Keamanan Informasi
Manajemen Informasi terdiri dari 4 tahap:1. Mengidentifikasi ancaman yang dapat
menyerang sumber daya informasi perusahaan.2. Mendefinisikan resiko yang dapat di sebabkan
oleh ancaman-ancaman tersebut.3. Menentukan kebijakan keamanan dan informasi.4. Mengimplementasikan pengendalian untuk
mengatasi resiko-resiko tersebut.
Manajemen Keamanan Informasi
Ancaman keamanan informasi adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumberdaya informasi perusahaan.
Ancaman Internal dan Eksternal, ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Sedangkan, ancaman eksternal adalah ancaman yang di luar perusahaan yang tidak ada hubungannya dengan internal seperti perusahaan lain yang sama produk dengan perusahaan kita atau bisa juga disebut pesaing dalam usaha.
Ancaman
Virus, hanyalah salah satu contoh jenis peranti lunak yang menyandanng namaperanti lunak yang berbahaya (malicios software).
Malicios dan malware,terdiri atas program program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak di harapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti.
Jenis Ancaman
Risiko keamanan informasi di definisikan sebagai potensi output yang tidak di harapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Risiko-risiko seperti ini di bagi menjadi 4 jenis, yaitu:
1. pengungkapan informasi yang tidak terotoritas dan pencurian.
2. penggunaan yang tidak terotorisasi.3. penghancuran yang tidak terotorisasi dan
penolakan pelayanan.4. modifikasi yang tidak terotorisasi.
Risiko
Manajemen risiko di identifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi.
Pendefinisian risiko terdiri atas empat langkah, yaitu:
1. identifikasi aset-aset bisnis yang harus di lindungi dari risiko.
2. menyadari risikonya.3. menentukan tingkatan dampak pada
perusahaan jika risiko benar-benar terjadi.4. menganalisis kelemahan perusahaan tersebut.
Manajemen Risiko
Mengabaikan apakah perusahaan mengikuti strategi manajemen risiko kepatuhan tolak ukur maupun tidak. Suatu kebijakan yang menerapkan kebijakan keamanannya dengan pendekatan yang bertahap. 5 fase implementasi kebijakan keamanan.
Fase 1. inisiasi proyek Fase 2. penyusunan kebijakanFase 3. Konsultasi & persetujuanFase 4. kesadaran dan edukasiFase 5. penyebarluasan kebijakan
Kebijakan Keamanan Informasi
Pengendalian(control) mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau meminimalkan dampak risiko pada perusahaan jika risiko tersebut terjadi.pengendalian dibagi menjadi tiga kategori yaitu :
• Teknis• Formal• Dan Informal
Pengendalian
Pengendalian yang menjadi satu di dalam sistem dan dibuat oleh penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor internal didalam tim proyek merupakan satu cara yang anat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain sistem.
Pengendalian Teknik
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: jika orang yang tidak diotorisasi tiadak diizinkan untuk mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan. Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup :
1. Identifikasi pengguna.2. Otentifikasi pengguna.3. Otorisasi pengguna.
Pengendalian Akses
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah “peranti lunak proteksi virus” yang terbukti efektif elewan virus yang terkirim melalui e-mail.
Sistem Deteksi Gangguan
Berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke perusahaan tersebut dan internet. Dibuatnya suatu pengaman terpisah untuk untuk masing-masing komputer. Tiga jenis firewall adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.
Firewall
Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi yaitu penggunaan kode yang menggunakan proses matematika.
Popularitas kriptografi semakin meningkat karena e-commerce dan produk ditunjukan untuk meningkatkan keamanan e-commerence.
Pengendalian Kriptografis
Peringatan pertama terhadap gangguan yang tidak terotorasi adalah mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canngih, yang dibuka denagn cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga tahap tertinggi dengan cara menempatkan pusat komputernya di tempat terpencil yang jauhdari kota dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan badai.
Pengendalian Fisik
mencangkup penentuan cara berperilaku, dokumentasi prosedur, dan praktik yang diharapkan. Pengendalian ini bersifat formal, karena manjemen menghabiskan bayak waktu untuk menyusunnya, mendokumentasikan dalam bentuk tulisan dan diharapkan untuk berlaku dalam jangka panjang.
Pengendalian Formal
Mencangkup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini berkaitan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
PENGENDALIAN INFORMAL
Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolok ukur. Beberapa piahk penentu standar menggunakan istilah baseline (dasar) dan bukannya benchmark (tolok ukur). Organisasi tidak diwajibkan mengikuti satndar ini. Namun, standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat tarhet keamanan.
Dukungan Pemerintah Dan Idustri
Manajemen keterbelangsunga bisnis adalah aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi. Aktivitas ini disebut Perencanaan Kontinjensi
Jenis-jenis rencana dalam perencanaan kontinjensi:
Rencana darurat (emergency plan) Rencana cadangan (backup plan) Rencanan catatan penting (vital records plan)
Manajemen Keterbelangsungan Bisnis
Terima Kasih