KONSEP DASAR KEAMANAN INFORMASI DAN PEMAHAMAN SERANGANNYA, TIPE-TPE PENGENDALIAN DAN PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SISTEM
Toharudin
Prof. Dr. Hapzi Ali, CMA.
Prof. Dr. Hapzi Ali, CMA.
KONSEP DASAR KEAMANAN INFORMASI DAN PEMAHAMAN
SERANGANNYA, TIPE-TPE PENGENDALIAN DAN PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SISTEM
I.
Konsep Dasar Keamanan Informasi dan Pemahaman Serangannya
A.
Konsep dasar Keamanan Informasi
Keamanan Informasi elektronik yang dimiliki
oleh perusahaan menjadi hal yang sangat penting bagi perusahaan yang
menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur penting. Oleh
karena data Informas elektronik menjadi asset yang sangat penting bagi
perusahaan, maka perlu dilakukan pengamanan sebaik baiknya.
Informasi yang dimiliki oleh perusahaan harus
diamankan dengan 3 (tiga) sasaran utama,
yaitu : Kerahasiaan informasi terjaga
dari penyingkapan orang yang tidak berwewenang, Ketersediaan informasi hanya
digunakan oleh orang yang berwewenang dan tidak pernah terlambat serta Integritas Informasi terjamin
keasliannya dan lengkap.
Secara lebih rinci, ISO-17799 menyatakan bahwa
pengamanan informasi dilakukan untuk memberikan 5 layanan jaminan keamanan informasi,
yaitu :
1. Confidentiality;
jaminan bahwa informasi hanya dapat diakses oleh pihak yang berwenang.
2. Authenticity; jaminan bahwa informasi benar-benar asli/ autentik
3. Integrity;
jaminan bahwa informasi itu tepat,lengkap,terpercaya, dan sesuai aslinya.
4. Availability;
jaminan bahwa informasi dapat diakses
oleh pihak yang berwewenang saat dibutuhkan tanpa penundaan
5. Non-repudiation; jaminan bahwa pihak yang terlibat dengan
keberadaan informasi tidak dapat
menyangkal atas dokumen yang
didalamnya ada tandatangan/paraf yang bersangkutan (ISO-
17799).
Perlu diingatkan bahwa terkadang antara
tingkat pengaman dan kenyamanan dalam akses terhadap system informasi
berbanding terbalik. Artinya semakin tinggi tingkat pengamanan, terkadang
tingkat kemudahan atau kenyamanan
pengguna menjadi berkurang. Karena itu maka perencanaan dan pembangunan
sistim pengamanan informasi di perusahaan perlu dilakukan dengan sebaik
baiknya.
Konsep Dasar pengamanan meliputi 3 hal, yaitu :
1. Precaution
( Pencegahan ); segala upaya dan langkah-langkah yang dilakukan agar kemanan informasi
terjaga.
2. Maintenance ( pemeliharaan); Pengelolaan terhadap semua perubahan
aplikasi serta
memastikan aplikasi tetap update
3. Reaction
(Tindakan); Tindakan yang tepat jiga
terjadi insiden terhadap pengaman system
informasi.
B.
Pemahaman Serangan Terhadap Keamanan Sistem informasi
Serangan terhadap keamanan system informasi (security attack) dapat digolongkan
sebagai Cyber Crime. Ada beberapa
kemungkinan serangan terhadap peranan komputer atau jaringan komputer sebagai
penyedia informasi yaitu :
1. Interuption : perangkat sistem menjadi rusak atau tidak tersedia.
Searangan ditujukan kepada
ketersediaan (availability) dari system. Serangan ini dapat merusak, memperlambat atau
membikin system menjadi hang.
2. Interception; pihak yang
tidak berwewenang berhasil mengakses asset atau informasi.
Serangan dilakukan dengan penyadapan (wiretapping) terhadap aplikasi
atau system.
3. Modification; Pihak yang tidak berwewenang berhasil mengubah asset atau informasi
dengan penyebaran walware ( virus, trojan horse, ataupun worm).
4. Fabrivcation; Pihak yang tidak
berwewenang memasukkan objek palsu (pesan-pesan palsu) ke
dalam system.
Pemahaman terhadap serangan-serangan yang
mungkin dilakukan terhadap system
informasi tersebut dapat menjadi alasan
kuat untuk kewaspadaan dan peningkatan keamanan informasi, antara lain :
- Mendidik seluruh pegawai
perusahaan menggunakan jaringan komputer secara aman
- Mengguanakan
password yang baik
- Menulis kebijakan dan prosedur-prosedur
untuk melindungi jaringan komputer,
misalnya penggunaan antivirus.
- Back up data-data penting
- Mengunci setiap peralatan komputer bila tidak
digunakan
- Menghancurkan semua dokumen elektronik
bila tidak dibutuhkan lagi, dll.
II.
Tipe Tipe Pengendalian
Untuk menjamin kegiatan-kegiatan dalam
perusahaan atau organisasi dilaksanakan atau diselesaikan dengan cara-cara yang
membawa pada tercapainya sasaran organisasi atau perusahaan, maka diperlukan
aktivitas pengendalian manajemen.
Secara ringkas, proses pengendalain meliputi tiga tahap yaitu : (1) Pengukuran kinerja yang
sebenarnya, (2) Membandingkan kinerja sebenarnya dengan standard an
kemudian (3) Mengambil tindakan
manajerial untuk membetulkan penyimpangan realisasi dengan standar, atau pembetulan standar itu
sendiri.
Tipe pengendalian Manajemen dalam sebuah
oprganisasi atau perusahaan dikategorikan menjadi tiga kelompok, yaitu :
1. Pengendalian
preventif; berkaitan dengan
perumusan perencanaan stategi yang dijabarkan dalam bentuk program-program.
2. Pengendalian
Operasional; berkaitan dengan pengawasan pelaksanaan program yang telah
ditetapkan dalam Rencana Kerja dan Anggaran perusahaan.
3. Pengendalian Kinerja; berkaitan dengan analisa evaluasi kinerja
berdasarkan tolak ukur kinerja
yang telah ditetapkan.
III.
Prinsip The Five trust Service dalam Pengendalian system Pengendalian
Trust Service Framework merupakan panduan penilaian keandalan system
informasi yang dikembangkan oleh AICPA ( American Institute of Certified Public
Accountants) yang mengatur pengendalian TI ke dalam lima prinsip yang
berkontribusi secara bersamaan terhadap
keandalan system , yaitu :
1. Keamanan (security) - Akses (baik fisik
maupun logical) terhadap sistem dan data dikendalikan dibatasi hanya kepada
pengguna yang sah saja.
2. Kerahasiaan
(confidentiality)- Informasi organisasi
yang sensitif dilindungi dari pengungkapan
yang tidak berhak dan terlindungi dari pengungkapan tanpa izin.
3. Privasi (Privacy)- Informasi personal terkait dengan customer
atau partner bisnis hanya digunakan untuk kepatuhan internal perusahaan dan informasi terkait
dengan kerjasama dan persyaratan aturan eksternal dan dilindungi dari
pengungkapan tidak sah dan tanpa izin.
4. Integritas Pemrosesan
(Processing Integrity) - data yang
diproses secara akurat, lengkap dan
hanya dengan otoritas yang sah.
5. Ketersediaan (Availiability )- sitem dan
informasi tersedian bagi kebutuhan kewajiban operasional dan kontraktual.
IV.
APLIKASI THE FIVE TRUST SERVICE DALAM SISTEM BATUBARA ONLINE DI PT PLN
(PERSERO)
Batubara Online (BBO) adalah sebuah system/aplikasi
pengelolaan batubara secara online di PT PLN (Persero). Sistem ini mengelola
sejak dari proses perencanaan pengiriman
dari masing-masing mitra di beberapa lokasi, sampai dengan proses pembongkaran
di PLTU-PLTU yang dituju hingga proses pembayarannya secara terpusat di PLN
Pusat.
Secara garis besar, Organisasi pengelolaan BBO di PLN adalah sebagai
berikut :
1. Pemilik (Owner) dari BBO adalah PT PLN
(Persero) Divisi STI (Sistem Teknologi Informasi)
2. Pemakai (User) adalah Unit PT PLN Sektor, Kantor Induk Pembangkitan/Kantor
Wilayah, Divisi
Batubara (kantor Pusat), Divisi Treasury (Kantor Pusat),
Vendor/Pemasok, dan Surveyor.
3. Pengelola dan
Pengembangannya (Development) dari BBO
adalah PT ICON+ (Anak perusahaan
PT PLN ).
Dilihat dari penerapan prinsip
The Five Trust Service dalam BBO, maka dapat dijelaskan sebagai berikut
:
1. Dari sudut Keamanan (Security) Informasi
batubara; dengan adanya aplikasi/system BBO ini maka semau data yang berkaitan
dengan batubara dapat diakses oleh yang sudah memiliki ijin yang dikeluarkan
oleh pemilik dengan berjenjang.
2. Dari sudut Kerahasiaan (Confidentiality)
Informasi maka mereka yang tidak diberikan wewenang tidak dapat masuk dalam
system/ aplikasi
3. Dari sudut Privasi (Privacy) Informasi; maka mereka yang
diberikan akses/wewenang hanya
dapat melihat terbatas pada data/informasi
yang sudah ditentukan (miliknya sendiri).
4. Dari sudut Integritas pemrosesan (
Integrity) Informasi; Bahwa data yang masuk hanya bisa diproses apabila sudah
benar dan lengkap serta sudah melalui approval sebelumnya.
5. Dari sudut Ketersediaan (Availiability)
Informasi; semua data serta trace
terhadap dokumen dapat di monitor dan direkam secara real time oleh Divisi
Treasury dan Divisi Batubara untuk
keperluan penyediaan likwiditas, pembayaran cepat serta pemantauan operasional lainnya..
Ke depan aplikasi ini akan ditingkatkan kemampuannya dengan
mengurangi keterlibatan manusia dan menghindari adanya delay waktu bila dokumen
harus ada tanda tangan basah.
Penyempurnaan dengan menerapkan Digitalisasi
Management System dimana OCR (Optical
Character Recognition) dan Tandatangan Elektronik akan diterapkan sehingga keterlibatan manusia
(manual) dalam proses input data dihilangkan dan tandatangan basah oleh yang
telah diberikan wewenang terhadap dokumen-dokumen pendukung BBO diganti dengan
tandatangan elektronik.
Daftar Pustaka:
https://ica03.wordpress.com/2012/12/17/hal-dasar-tentang-keamanan-informasi https://www.slideshare.net/Amelia Fitri/konsep-sistem-keamanan-pertamina (12 April 2018) ASIA, STIE. 2015. http://stieasiakel12-
simb.blogspot.co.id/2015/01/pengendalian-sistem- informasi.html. (16 April
2018).
Samanttha Salomon, December 2015.
https://www.ispartnersllc.com/blog/undestanding-trust- service-principles.
Comments
Post a Comment