Kamis, 07 November 2013
Hal-hal yang perlu dilindungi dalam Sistem Informasi
1. KONTROL ADMINISTRATIF
untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya.
Mencakup hal-hal berikut:
- Mempublikasikan kebijakan control.
- Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas.
- Perekrutan pegawai dengan orientasi pembinaan, dan pelatihan yang diperlukan.
2. PEMBATASAN AKSES TERHADAP DATA
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan.
3. KONTROL TERHADAP PERSONEL PENGOPERASI
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini harus dijalankan dengan tegas.
4. KONTROL TERHADAP PERALATAN
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.
5. KONTROL TERHADAP PENYIMPANAN ARSIP
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.
6. KONTROL TERHADAP AKSES INFORMASI
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer).
Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi.
Adapun sistemnya disebut sistem kripto. Secara lebih khusus, proses untuk mengubah teks asli (cleartext atau plaintext) menjadi teks yang telah dilacak (cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya, dari chiphertext menjadi cleratext, disebut dekrpisi. Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key encryption.
7. Kontrol Terhadap Perlidungan Terakhir
Kontrol terhadap perlindungan terakhir dapat berupa:
- Rencana pemulihan terhadap bencana.
- Asuransi.
Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana.
8. KONTROL APLIKASI
Kontrol aplikasi adalah kontrol yang diwujudkan secara sesifik dalam suatu aplikasi sistem informasi. Wilayah yang dicakup oleh kontrol ini meliputi:
- KONTROL MASUKAN (Input)
Kontrol masukan digunakan untuk menjamin keakurasian data, kelengkapan masukan (inputan), dan validasi terhadap masukan (inputan).
- KONTROL PEMROSESAN
Kesalahan salam pemrosesan bisa terjadi sekalipun program dibuat dengan hati-hati agar bebas dari kesalahan. Kesalahan juga bisa terjadi karena gangguan pada komponen-komponen pemrosesan. Oleh karena itu, pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu dilakukan sehingga kala terjadi hal-hal yang tidak benar segera bisa diketahui.
Kontrol proses antara lain dilakukan dengan mencantumkan total kontrol, berupa nilai total semua transaksi. Ada pula yang mencantumkan jumlah rekaman dengan maksud untuk dicocokkan dengan jumlah transaksi.
- KONTROL KELUARAN (Output)
Kontrol keluaran dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan yang diharapkan. Hal ini dilakukan dengan melaksanakan pengamatan terhadap dokumen-dokumen dan laporan-laporan yang dihasilkan oleh komputer didasarkan pada kebenaran informasi, otorisasi, dan kerahasiaan informasi.
- KONTROL BASIS DATA
Kontrol terhadap basis data antara lain dengan cara:
• Penerapan kebijakan backup dan recovery.
• Penanganan transaksi melalui mekanisme rollback dan commit. (rollback adalah kemampuan basis data yang memungkinkan pengembalian ke keadaan sebelum sebuah transaksi dimulai jika suatu transaksi tidak berjalan dengan sempurna, sedangkan commit digunakan untuk memastikan bahwa data benar-benar teah dimutakhirkan pada basis data sekiranya sebuah transaksi berlangsung dengan sempurna.
• Otorisasi akses, yang mengatur orang tertentu hanya bisa melakukan tindakan tertentu pada berkas tertentu.
- KONTROL TELEKOMUNIKASI
Telekmunikasi merupakan komponen yang paling lemah dalam sistem informasi. Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap jalur fisik dalam jaringan.
Untuk mengantisipasi keadaan seperti ini, kontrol terhadap telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi yang sesungguhnya. Teknik checksum juga bisa diterapkan pada data yang vital untuk mendeteksi apakah telah terjadi perubahan pada data atau tidak.
sumber : http://pranatha3.blogspot.com/2012/11/cara-mengontrol-sistem-informasi-yang_26.html
untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya.
Mencakup hal-hal berikut:
- Mempublikasikan kebijakan control.
- Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas.
- Perekrutan pegawai dengan orientasi pembinaan, dan pelatihan yang diperlukan.
2. PEMBATASAN AKSES TERHADAP DATA
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan.
3. KONTROL TERHADAP PERSONEL PENGOPERASI
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini harus dijalankan dengan tegas.
4. KONTROL TERHADAP PERALATAN
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.
5. KONTROL TERHADAP PENYIMPANAN ARSIP
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.
6. KONTROL TERHADAP AKSES INFORMASI
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer).
Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi.
Adapun sistemnya disebut sistem kripto. Secara lebih khusus, proses untuk mengubah teks asli (cleartext atau plaintext) menjadi teks yang telah dilacak (cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya, dari chiphertext menjadi cleratext, disebut dekrpisi. Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key encryption.
7. Kontrol Terhadap Perlidungan Terakhir
Kontrol terhadap perlindungan terakhir dapat berupa:
- Rencana pemulihan terhadap bencana.
- Asuransi.
Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana.
8. KONTROL APLIKASI
Kontrol aplikasi adalah kontrol yang diwujudkan secara sesifik dalam suatu aplikasi sistem informasi. Wilayah yang dicakup oleh kontrol ini meliputi:
- KONTROL MASUKAN (Input)
Kontrol masukan digunakan untuk menjamin keakurasian data, kelengkapan masukan (inputan), dan validasi terhadap masukan (inputan).
- KONTROL PEMROSESAN
Kesalahan salam pemrosesan bisa terjadi sekalipun program dibuat dengan hati-hati agar bebas dari kesalahan. Kesalahan juga bisa terjadi karena gangguan pada komponen-komponen pemrosesan. Oleh karena itu, pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu dilakukan sehingga kala terjadi hal-hal yang tidak benar segera bisa diketahui.
Kontrol proses antara lain dilakukan dengan mencantumkan total kontrol, berupa nilai total semua transaksi. Ada pula yang mencantumkan jumlah rekaman dengan maksud untuk dicocokkan dengan jumlah transaksi.
- KONTROL KELUARAN (Output)
Kontrol keluaran dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan yang diharapkan. Hal ini dilakukan dengan melaksanakan pengamatan terhadap dokumen-dokumen dan laporan-laporan yang dihasilkan oleh komputer didasarkan pada kebenaran informasi, otorisasi, dan kerahasiaan informasi.
- KONTROL BASIS DATA
Kontrol terhadap basis data antara lain dengan cara:
• Penerapan kebijakan backup dan recovery.
• Penanganan transaksi melalui mekanisme rollback dan commit. (rollback adalah kemampuan basis data yang memungkinkan pengembalian ke keadaan sebelum sebuah transaksi dimulai jika suatu transaksi tidak berjalan dengan sempurna, sedangkan commit digunakan untuk memastikan bahwa data benar-benar teah dimutakhirkan pada basis data sekiranya sebuah transaksi berlangsung dengan sempurna.
• Otorisasi akses, yang mengatur orang tertentu hanya bisa melakukan tindakan tertentu pada berkas tertentu.
- KONTROL TELEKOMUNIKASI
Telekmunikasi merupakan komponen yang paling lemah dalam sistem informasi. Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap jalur fisik dalam jaringan.
Untuk mengantisipasi keadaan seperti ini, kontrol terhadap telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi yang sesungguhnya. Teknik checksum juga bisa diterapkan pada data yang vital untuk mendeteksi apakah telah terjadi perubahan pada data atau tidak.
sumber : http://pranatha3.blogspot.com/2012/11/cara-mengontrol-sistem-informasi-yang_26.html
Langkah langkah Melindungi Aset Sistem Informasi
Aset Sistem Informasi yang harus dilindungi melalui sistem keamanan dapat diklasifikasikan
Menjadi 2 yaitu :
1. Aset Fisik, meliputi:
a. Personnel
b. Hardware (termasuk media penyimpanan, dan periperalnya)
c. Fasilitas
d.Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Pelaksanaan Program Keamanan (Conductinga Security Program)
Langkah-langkah utama pelaksanaan Program keamanan yaitu
Persiapan Rencana Pekerjaan (Preparation of a Project Plan)
Perencanaan proyek untuk tinjauan kemanan mengikuti item sbb:
a. Tujuan Review
b. Ruang Lingkup (Scope) Review
c. Tugas yang harus dipenuhi
d. OrganisasidariTimProyek
e. Sumber Anggaran (Pendanaan) dan
f. Jadwal untuk MenyelesaikanTugas
I. dentifikasi Kekayaan (Identificationofasset)
Katagori asset:
a. Personnel (endusers, analyst, programmers, operators, clerks, Guards)
b. Hardware (Mainfarme, mini computer, micro computer, disk, printer,
communication lines, concentrator, terminal)
c. Fasilitas(Furniture,officespace,computerrrom,tapestoragerack)
d. Dokumentasi(System andprogramdoc.,databasedoc.,standardsplans,insurance
policies, contracts)
e. Persediaan (Negotiable instrument, preprinted forms, paper, tapes, cassettes)
f. Data / Informasi (Masterfiles, transaction files, archival files)
g. Software Aplikasi (Debtors, creditors, payroll, bill-of-materials, sales, inventory)
h. Sistem Software (Compilers, utilities, DBMS, OS, Communication Software,
Spread sheets)
Penilaian Kekayaan (Valuation of asset)
Langkah ketiga adalah penilaian kekayaan,yang merupakan langkah paling sulit. Parker (1981) menggambarkan ketergantungan penilaian pada siapa yang ditanya untuk Memberikan penilaian, cara penilaian atas kekayaan yang hilang (lost), waktu periode untuk perhitungan atas hilangnya kekayaan, dan umur asset
Identifikasi Ancaman-ancaman(ThreatsIdentification)
Sumber ancaman External:
1. Nature/ActsofGod
2. H/WSuppliers
3. S/WSuppliers
4. Contractors
5. OtherResourceSuppliers
6. Competitors (sabotage, espionage, lawsuits, financial distress through fair or unfair competition)
7. Debtand Equity Holders
8. Unions (strikes, sabotage, harassment)
9. Governmnets
10. Environmentalist (Harassment (gangguan), unfavorable publicity)
11. Criminals / hackers (theft, sabotage, espionage, extortion)
Sumber ancaman Internal :
1. Management,contoh kesalahan dalam penyediaan sumberdaya, perencanaan
Dan control yang tidak cukup.
2. Employee, contoh Errors, Theft (pencurian), Fraud (penipuan), sabotase, extortion
(pemerasan), improper use of service (penggunaan layanan yg tidak sah)
3. Unreliable system, contoh Kesalahan H/W, kesalahan S/W, kesalahan fasilitas.
Penilaian Kemungkinan Ancaman (Threats Like Iihood Assessment)
Contoh, perusahaan asuransi dapat menyediakan informasi tentang kemungkinan
terjadinya kebakaran api dalam satu waktu periode tertentu.
Analisis Ekspose (Exposures analysis)
Tahap analisis ekspose terdiri dari 4 tugas yaitu:
1.Identification of the controls in place
2.Assess ment of there liability of the controls in place
3.Evaluation of the like lihood that a threat incident will be successful
4.Assess there sultingloss if the threat is successful
Langganan:
Postingan (Atom)