KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM


KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM
Oleh: Martina Melissa L. (55517120041)
Dosen: Prof. Dr. Hapzi Ali, CMA

Perkembangan teknologi informasi pada abad ke 21 ini telah memberikan kepraktisan bagi masyarakat modern untuk melakukan berbagai kegiatan komunikasi secara elektronik salah satunya dalam bidang seperti perdagangan pendidikan dan perbankan.  Kegiatan berbisnis secara elektronik ini dikenal dengan nama e-commerce. Dengan teknologi informasi khususnya dengan jaringan computer yang luas seperti internet. Barang dan jasa dapat dipromosikan secara luas dalam skala global.
Kepada calon konsumen pun diberikan kemudahan-kemudahan yang memungkinkan mereka mengakses dan membeli produk dan jasa yang dimaksud secara praktis. Misalnya pelayanan kartu kredit. Perkembangan ini rupanya membawa serta dampak negative dalam hal keamanan. Praktek-praktek kejahatan dalam jaringan computer kerap terjadi dan meresahkan masyarakat, misalnya pencurian sandi lewat dan nomor rahasia kartu kredit. Akibat dari hal seperti ini aspek keamanan dan penggunaan jaringan computer menjadi hal yang krusial.
Terdapat teknik serangan yang mendasarkan pada bunyi yang dihasilkan dari peralatan seperti keyboard PC. Yaitu dengan membedakan bunyi yang dikeluarkan. Sehingga metode ini dapat mengetahui tombol-tombol yang ditekan. Dalam pengaplikasian lebih lanjut dapat diterapkan pada mesin computer, notebook, telepon, sampai mesin ATM. Serangan menggunakan metode ini murah dan tidak langsung. Murah karena selain tambahan computer, yang dibutuhkan hanyalah sebuah microphone parabolic. Disebut tidak langsung karena tidak membutuhkan adanya serangan fisik langsung ke system bunyi dapat direkam menggunakan peralatan tamabahan.

A.   KONSEP DASAR KEAMANAN INFORMASI DAN PEMAHAMAN SERANGANNYA
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah  penipuan (cheating)  atau,  paling  tidak,  mendeteksi  adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikan sebagai  kebijakan,   prosedur,   dan   pengukuran   teknis   yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian,  atau  kerusakan  fisik  terhadap  sistem  informasi.  Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan    teknik-teknik    dan    peralatan-peralatan    untuk mengamankan   perangkat   keras   dan   lunak   komputer,   jaringan komunikasi, dan data.
Keamanan jaringan internet adalah manajemen pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang di miliki. Resiko terhadap keamanan sistem informasi mencakup dua hal utama yaitu ancaman terhadap keamanan system informasi dan kelemahan keamanan system informasi.
Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :
      Efektifitas
      Efisiensi
      Kerahaasiaan
      Integritas
      Keberadaan (availability)
      Kepatuhan (compliance)
      Keandalan (reliability)
Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan baik.  Adapun kriteria yang perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :
1.        Akses kontrol sistem yang digunakan
2.        Telekomunikasi dan jaringan yang dipakai
3.        Manajemen praktis yang di pakai
4.        Pengembangan sistem aplikasi yang digunakan
5.        Cryptographs yang diterapkan
6.        Arsitektur dari sistem informasi yang diterapkan
7.        Pengoperasian yang ada
8.        Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9.        Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10.    Tata letak fisik dari sistem yang ada
Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi. Pada kenyataannya ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja ataupun tidak sengaja. Ancaman selama ini hanya banyak di bahas dikalangan akademis saja. Tidak banyak masyarakat yang mengerti tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat hanya mengenal kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang keamanan sistem terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru mengenalkan ‘serangan’ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman. Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode-metode penilaian resiko dari sebuah ancaman.
Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah satunya adalah Stride Method (metode stride). STRIDE merupakan singkatan dari:
1.    Spoofing yaitu menggunakan hak akses/mengakses sistem dengan menggunakan identitas orang lain.
2.    Tampering yaitu tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam database.
3.    Repudiation yaitu membuat sebuah sistem atau database dengan sengaja salah, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan untuk mengakses sistem pada suatu saat.
4.    Information disclosure yaitu membuka atau membaca sebuah informasi tanpa memiliki hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi.
5.    Denial of service yaitu membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang lain.
6.    Elevation of priviledge yaitu menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah system untuk kepentingan pribadi.
Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang tersebut dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada saat diketahui seseorang membawa kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan ancaman bagi orang lain yang membawa kendaraan bermotor. Didalam dunia keamanan sistem atau dunia teknologi informasi seseorang dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal sebagai berikut:
a.    Kewenangan tinggi untuk login kedalam sebuah sistem.
b.    Memiliki hak akses (password) seseorang yang dia ketahui dari berbagai sumber.
c.     Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang itu.
d.    Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu:
1.    Kerahasiaan
Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.Privacy lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi seperti keabsahan, integritas data, serta autentikasi data.
2.    Ketersediaan
Aspek ini berhubungan dengan  metode untuk menyatakan bahwa informasi benar-benar asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Masalah pertama untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature.Watermarking juga dapat digunakan untuk menjaga intelektual property, yaitu dengan menandatangani dokumen atau hasil karya pembuat. Masalah kedua biasanya berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa memang dia adalah pengguna yang sah atau yang berhak menggunakannya.
3.    Integritas
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan.

Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus. Virus adalah sebuah program komputer  yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan dengan menggunakan metode dan teknik tertentu dengan berbagai tools yang diperlukan sesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu baik menggunakan serangan terarah maupun acak“. Serangan yang terjadi terhadap sebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration. Dalam materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan sangat sulit di prediksi dan dideteksi. Beberapa contoh serangan yang dapat mengancam sebuah sistem adalah sebagai berikut:
1.    Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus selalu menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan berbagai macam cara. Pada dasarnya, virus merupakan program komputer yang bersifat “malicious” (memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam hal finansial.
Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui penekanan tombol pada keyboard, penekanan tombol pada mouse, penggunaan USB pada komputer, pengiriman file via email, dan lain sebagainya.
2.    Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus” merupakan program malicious yang dirancang terutama untuk menginfeksi komputer yang berada dalam sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah penggalan program, perbedaan prinsip yang membedakan worms dengan virus adalah bahwa penyebaran worm tidak tergantung pada campur tangan manusia atau pengguna. Worms merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer. Namun belakangan ini telah tercipta worms yang mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun jaringan komputer, seperti merusak file-file penting dalam sistem operasi, menghapus data pada hard disk, menghentikan aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan membuat pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus dalam menghadapinya.


3.    Trojan Horse
Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip dengan fenomena taktik perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.
Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse, antara lain:
a.    Remote Access Trojan-kerugian yang ditimbulkan adalah komputer korban dapat diakses menggunakan remote program.
b.    Password Sending Trojan-kerugian yang ditimbulkan adalah password yang diketik oleh komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari korban serangan.
c.     Keylogger-kerugian yang ditimbulkan adalah ketikan atau input melalui keyboard akan dicatat dan dikirimkan via email kepada hacker yang memasang keylogger.
d.    Destructive Trojan–kerugian yang ditimbulkan adalah file-file yang terhapus atau hard disk yang diformat oleh Trojan jenis ini.
e.    FTP Trojan–kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer tempat dilakukannya download dan upload file.
f.      Software Detection Killer–kerugiannya dapat mencium adanya program-program keamanan seperti zone alarm, anti-virus, dan aplikasi keamanan lainnya.
g.    Proxy Trojan–kerugian yang ditimbulkan adalah di-“settingnya” komputer korban menjadi “proxy server” agar digunakan untuk melakukan “anonymous telnet”, sehingga dimungkinkan dilakukan aktivitas belanja online dengan kartu kredit curian dimana yang terlacak nantinya adalah komputer korban, bukan komputer pelaku kejahatan.
Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan sistem informasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat digunakan“Secure Socket Layer” (SSL). Metoda ini misalnya umum digunakan untuk Web Site. Secara fisik, sistem anda dapat juga diamankan dengan menggunakan “firewall” yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak berhak.


1.    Mengatur akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”. Di sistem UNIX, untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses authentication dengan menuliskan “userid” dan “password”. Informasi yang diberikan ini dibandingkan dengan userid dan password yang berada di sistem. Apabila keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat. Misalnya, ada yang menuliskan informasi apabila pemakai memasukkan userid dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang waktu kejadian juga dicatat. Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan.
2.    Memilih password
Dengan adanya kemungkinan password ditebak, misalnya dengan menggunakan program password cracker, maka memilih password memerlukan perhatian khusus.
3.    Memasang proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.
4.    Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan.
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall makaakses dapat diatur berdasarkan IP address, port, dan arah informasi.Detail dari konfigurasi bergantung kepada masing-masing firewall.Firewall dapat berupa sebuah perangkat keras yang sudahdilengkapi dengan perangkat lunak tertentu, sehingga pemakai(administrator) tinggal melakukan konfigurasi dari firewall tersebut.

5.    Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager. Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh software IDS antara lain: Autobuse, mendeteksi probing dengan memonitor logfile, Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang dan Shadow dari SANS.
Aspek keamanan sistem informasi:
      Authentication: agar penerima informasi dapat memastikan keaslian pesan tersebut datang dari orang yang dimintai informasi.
      Integrity: keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi tersebut.
      Authority: Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.
      Confidentiality: merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses.
      Privacy: merupakan lebih ke arah data-data yang sifatnya privat (pribadi).

Aspek ancaman keamanan komputer atau keamanan sistem informasi
      Interruption: informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
      Interception: Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.
      Modifikasi: orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
      Fabrication: orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.

Metodologi Keamanan Sistem Informasi:
      Keamanan level 0: keamanan fisik, merupakan keamanan tahap awal dari komputer security. Jika keamanan fisik tidak terjaga dengan baik, maka data-data bahkan hardware komputer sendiri tidak dapat diamankan.
      Keamanan level 1: terdiri dari database, data security, keamanan dari PC itu sendiri, device, dan application. Contohnya: jika kita ingin database aman, maka kita harus memperhatikan dahulu apakah application yang dipakai untuk membuat desain database tersebut merupakan application yang sudah diakui keamanannya seperti oracle. Selain itu kita harus memperhatikan sisi lain yaitu data security. Data security adalah cara mendesain database tersebut. Device security adalah alat-alat apa yang dipakai supaya keamanan dari komputer terjaga. Computer security adalah keamanan fisik dari orang-orang yang tidak berhak mengakses komputer tempat datadase tersebut disimpan.
      Keamanan level 2: adalah network security. Komputer yang terhubung dengan jaringan sangat rawan dalam masalah keamanan, oleh karena itu keamanan level 2 harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal yang dapat merusak keamanan data tersebut.
      Keamanan level 3: adalah information security. Keamanan informasi yang kadang kala tidak begitu dipedulikan oleh administrator seperti memberikan password ke teman, atau menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika informasi tersebut diketahui oleh orang yang tidak bertanggung jawab.
      Keamanan level 4: merupakan keamanan secara keseluruhan dari komputer. Jika level 1-3 sudah dapat dikerjakan dengan baik maka otomatis keamanan untuk level 4 sud

Cara Mendeteksi Suatu Serangan Atau Kebocoran Sistem:
Terdiri dari 4 faktor yang merupakan cara untuk mencegah terjadinya serangan atau kebocoran sistem :
      Desain sistem: desain sistem yang baik tidak meninggalkan celah-celah yang memungkinkan terjadinya penyusupan setelah sistem tersebut siap dijalankan.
      Aplikasi yang Dipakai: aplikasi yang dipakai sudah diperiksa dengan seksama untuk mengetahui apakah program yang akan dipakai dalam sistem tersebut dapat diakses tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi sudah mendapatkan kepercayaan dari banyak orang.
      Manajemen : pada dasarnya untuk membuat suatu sistem yang aman/terjamin tidak lepas dari bagaimana mengelola suatu sistem dengan baik. Dengan demikian persyaratan good practice standard seperti Standard Operating Procedure (SOP) haruslah diterapkan di samping memikirkan hal teknologinya.
      Manusia (Administrator): manusia adalah salah satu fakor yang sangat penting, tetapi sering kali dilupakan dalam pengembangan teknologi informasi dan dan sistem keamanan. Sebagai contoh, penggunaan password yang sulit menyebabkan pengguna malah menuliskannya pada kertas yang ditempelkan di dekat komputer. Oleh karena itu, penyusunan kebijakan keamanan faktor manusia dan budaya setempat haruslah sangat diperhatikan.

Langkah keamanan sistem informasi:
      Aset: Perlindungan aset merupakan hal yang penting dan merupakan langkah awal dari berbagai implementasi keamanan komputer. Contohnya: ketika mendesain sebuah website e-commerce yang perlu dipikirkan adalah keamanan konsumen. Konsumen merupakan aset yang penting, seperti pengamanan nama, alamat, ataupun nomor kartu kredit.
      Analisis Resiko: adalah tentang identifikasi akan resiko yang mungkin terjadi, sebuah even yang potensial yang bisa mengakibatkan suatu sistem dirugikan.
      Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan Internet Firewall yaitu suatu akses yang mengendalikan jaringan internet dan menempatkan web dan FTP server pada suatu server yang sudah dilindungi oleh firewall.
      Alat: alat atau tool yang digunakan pada suatu komputer merupakan peran penting dalam hal keamanan karena tool yang digunakan harus benar-benar aman.
      Prioritas: Jika keamanan jaringan merupakan suatu prioritas, maka suatu organisasi harus membayar harga baik dari segi material maupun non material. Suatu jaringan komputer pada tahap awal harus diamankan dengan firewall atau lainnya yang mendukung suatu sistem keamanan.

Strategi dan taktik keamanan sistem informasi:
      Keamanan fisik: lapisan yang sangat mendasar pada keamanan sistem informasi adalah keamanan fisik pada komputer. Siapa saja memiliki hak akses ke sistem. Jika hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.
      Kunci Komputer: banyak case PC modern menyertakan atribut penguncian. Biasanya berupa soket pada bagian depan case yang memungkinkan kita memutar kunci yang disertakan ke posisi terkunsi atau tidak.
      Keamanan BIOS: BIOS adalah software tingkat terendah yang mengonfigurasi atau memanipulasi hardware. Kita bisa menggunakan BIOS untuk mencegah orang lain me-reboot ulang komputer kita dan memanipulasi sisten komputer kita.
      Mendeteksi Gangguan Keamanan Fisik: hal pertama yang harus diperhatikan adalah pada saat komputer akan di-reboot. Oleh karena Sistem Operasi yang kuat dan stabil, saat yang tepat bagi komputer untuk reboot adalah ketika kita meng-upgrade SO, menukar hardware dan sejenisnya.




B.   TIPE-TIPE PENGENDALIAN
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan dalam proses pengelolaan informasi. Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke cloud.
1.    Pengendalian Preventif
Yaitu pengendalian yang mencegah masalah sebelum timbul. Pengendalian preventif yang digunakan organisasi secara umum digunakan untuk membatasi akses terhadap sumber daya informasi. COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan informasi yang eefektif. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan bagi kebertahanan jangka panjang organisasi. Selain itu, pegawai juga dilatih untuk mengikuti praktik-praktik komputasi yang aman. Investasi organisasi dalam pelatihan keamanan akan menjadi efektif  hanya jika manajemen mendemontrasikan dengan jelas bahwa mereka mendukung para pegawai yang mengikuti kebijakan keamanan. Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu, organisasi menerapkan satu set pengendalian untuk melindungi aset informasi.
Praktik manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian atas ancaman terhadap aset informasi:
a.    Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat mengakses sistem informasi organisasi.
b.    Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.

2.    Pengendalian Detektif
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak terelakan. Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat menciptakan sebuah jejak audit pada akses sistem. Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Sedangkan, sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan.
Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi. Oleh karena itu, Praktik manajemen COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis.

3.    Pengendalian Korektif
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga pengendalian korektif yang penting:
a.         Pembentukan sebuah tim perespon insiden komputer (computer incident response team–CIRT). Merupakan sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan utama. Sebuah CIRT harus mengarahkan proses respon insiden organisasi melalui empat tahap: 1). Pemberitahuan(recognition) adanya sebuah masalah; 2). Penahanan (containment) masalah; 3). Pemulihan (recovery); dan 4). Tindak lanjut (foloow up).
b.        Pendesainan individu khusus (Chief Informastion Security Officer – CISO). Penting agar organisasi menentukan pertanggungjawaban atas keamanan informasi kepada seseorang di level manajemen senior yang tepat. satu cara untuk memenuhi sasaran adalah menciptakan posisi CISO, yang harus independen dari fungsi-fungsi sistem informasi lainnya serta harus melapor baik ke chief operating officer (COO) maupun chief executive officer (CEO). Oleh karena itu, CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik.
c.         Penetapan serta penerapan sistem manajemen path yang didesain dengan baik. Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbarui  seluruh perangkat lunak yang digunakan  oleh organisasi. Oleh karena sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh rumit, maka organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya.



PENGENDALIAN UMUM DAN APLIKASI
1.    PENGENDALIAN UMUM
Yaitu pengendalian yang didesain untuk memastikan sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan baik. Pengendalian umum digolongkan menjadi beberapa, diantaranya:
a.    Pengendalian organisasi dan otorisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.
b.    Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
c.     Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
d.    Pengendalian akses fisikal dan logikal. Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

2.    PENGENDALIAN APLIKASI
Yaitu pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Terdapat beberapa macam aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan:
a.    Perangkat lunak berdiri sendiri. Terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.
b.    Perangkat lunak di server. Tedapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.
Selain macam-macam aplikasi dalam pengendalian, terdapat juga bentuk pengendalian dari aplikasi tersebut, diantaranya:
a.    Pengendalian Organisasi dan Akses Aplikasi. Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.
b.    Pengendalian Input. Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c.     Pengendalian Proses. Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master.
d.    Pengendalian Output. Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.
e.    Pengendalian Berkas Master. Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti anomaly penambahan, anomaly penghapusan dan anomaly pemuktahiran/pembaruan.

C.   PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM
Untuk mengatasi permasalahan pengendalian  tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem:
1.    Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2.    Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3.    Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa ijin.
4.    Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5.    Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontraktual.

KERAHASIAAN DAN PRIVASI
1.    Kerahasiaan
Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan pada sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-orang yang tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna (internal)  yang memiliki izin tetapi menyalah gunakan izin tersebut lalu pengguna tersebut menyebar luaskan data-data organisasi yang bersifat rahasia tersebut kepada orang lain atau pesaing  yang membuat organisasi merasa dirugikan atau juga pengguna tersebut menggunakan secara pribadi rahasia tersebut untuk menyaingi perusahaan. Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi  sensitif:
a.    Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya. Setelah informasi yang perlu untuk dilindungi telah diidentifikasi, langkah selanjutnya adalah mengklasifikasikan informasi untuk organisasi berdasarkan nilainya. Praktik manajemen COBIT 5 menunjukkan bahwa klasifikasi merupakan tanggung jawab pemilik informasi, bukan professional keamanan informasi karena hanya pemilik informasilah yang memahami bagaimana informasi digunakan.
b.    Mengenkripsi informasi. Enkripsi adalah alat yang penting dan efektif untuk melindungi kerahasiaan.  Enkripsi adalah satu-satunya cara untuk melindungi informasi dalam lalu lintas internet dan cloud publik.
c.     Mengendalikan akses atas informasi. Pengendalian autentikasi dan otorisasi tidaklah cukup untuk melindungi kerahasiaan karena hanya mengendalikan akses awal terhadap informasi yang disimpan secara digital. Perangkat lunak information rights management (IRM) memberikan tambahan lapisan perlindungan terhadap informasi yang disimpan dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file tetapi juga memerinci tindakan-tindakan yang dapat dilakukan individuyang diberi akses terhadap sumber daya tersebut. Saat ini organisasi secara konstan mempertukarkan informasi dengan rekan bisnis dan pelanggan, perangkat lunak data loss prevention bekerja seperti antivirus secara terbalik mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi.
d.    Melatih para pegawai untuk menangani informasi secara tepat. Pelatihan adalah pengendalian yang penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dan jenis informasi yang dilindungi.  Dengan pelatihan yang memadai, para pegawai dapat memainkan peran penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan efektivitas pengendalian terkait.

2.    Privasi
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi  pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari pada data keorganisasian. Langkah pertama untuk melindungi privasi yaitu mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia simpan, dan orang yang memiliki akses terhadapnya. Demi melindungi privasi, organisasi harus menjalankan program data masking yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu sebelum mengirimkan data tersebut kepada pengembang program dan sistem pengujian. Terdapat dua permasalahan utama terkait privasi:
a.  Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering kali menjadi target tujuan atas akses tak terotorisasi terhadap daftar dan databasee-mail yang berisi informasi pribadi.
b.  Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku. Organisasi harus memiliki kewajiban etis dan moral untuk menerapkan pengendalian demi melindungi informasi pribadi yang organisasi kumpulkan.
Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi individu telah menghasilkan berbagai regulasi pemerintah. Untuk membantu organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan ini, American Institute of Certified Public Accountant (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-sama  mengembangkan sebuah kerangka yang disebut prinsip-prinsip yang diterima umum (Generally Accepted Privacy  Principles – GAAP). Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik untuk melindungi privasi informasi pribadi para pelanggan yang terdiri dari: 1). Manajemen; 2). Pemberitahuan; 3). Pilihan dan persetujuan; 4). Pengumpulan; 5). Penggunaan dan Retensi; 6). Akses; 7). Pengungkapan kepada pihak ketiga;  8). Keamanan; 9). Kualitas; 10). Pengawasan dan penegakan.




INTEGRITAS DAN KETERSEDIAAN PEMROSESAN
1.    Integritas Pemrosesan
Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap, tepat waktu, dan valid. Aplikasi pengendalian untuk integritas pemrosesan terdiri atas:
a.  Pengendalian Input. Jika data yang dimasukkan ke dalam sistem tidak akurat, tidak lengkap, atau tidak valid maka bentuk pengendalian input yang dilakukan adalah bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi dan pemisahan tugas pengendalian, pemindaian visual, dan pengendalian entri data.
b.  Pengendalian pemrosesan. Jika terjadi kesalahan dalam output dan data yang tersimpan dalam pemrosesan maka bentuk pengendalian yang dilakukan adalah pencocokan data, label file, total batch, pengujian saldo cross-footing dan saldo nol, mekanisme menulis perlindungan (write-protection), pemrosesan database, dan pengendalian integritas.
c.  Pengendalian Output. Jika terjadi penggunaan laporan yang tidak akurat atau tidak lengkap, pengungkapan yang tidak diotorisasi informasi sensitive, dan kehilangan, perubahan, atau pengungkapan informasi dalam transit maka bentuk pengendalian yang dilakukan adalah pemeriksaan dan rekonsiliasi, enkripsi dan pengendalian akses, pengecekan berimbang dan tenik pengakuan pesan.

2.    Ketersediaan Pemrosesan
Tujuan utamanya adalah untuk meminimalkan risiko penghentian sistem. Oleh karena itu, organisasi perlu memiliki pengendalian yang didesain untuk memungkinkan pelanjutan cepat dari operasi normal. Berdasarkan kedua tujuan tersebut maka bentuk pengendaliannya:
a.  Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan desain pusat data, pelatihan, dan manajemen patch dan perangkat lunak antivirus.
b.  Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal dapat dilakukan melalui pengendalian prosedur backup, disaster recovery plan, dan business continuity plan.



KEAMANAN INFORMASI PADA BANK DANAMON
Sebagaimana teknologi lainnya, selain memiliki kelebihan berupa kemudahan dan manfaat luas yang meningkatkan kualitas kehidupan manusia, maka layanan perbankan elektronik juga memiliki banyak kelemahan yang patut diwaspadai dan diantisipasi. Sehingga, teknologi tersebut tetap dapat dipakai, manfaatnya terus dinikmati oleh umat manusia namun juga harus ada tanggung jawab, pengawasan dan upaya untuk memperbaiki kelemahan, menanggulangi permasalahan yang mungkin timbul serta yang paling penting adalah meningkatkan kesadaran dan menanamkan pemahaman tentang resiko dari pemanfaatan teknologi yang digunakan oleh layanan perbankan itu terutama kepada masyarakat luas, pengguna/nasabah, pemerintah/regulator, aparat penegak hukum dan penyelenggara layanan itu sendiri (bank, merchant, operator layanan pihak ketiga dlsb.). Karena masalah keamanan adalah tanggung jawab bersama, semua pihak harus turut serta berperan aktif dalam upaya pengamanan.
Kerjasama semua pihak yang terkait pemanfaatan teknologi ini sangat diperlukan. Ada sebuah jargon dalam dunia information security yaitu: “your security is my security”, artinya semua pihak pasti memiliki titik kerawanan dan karenanya masing-masing memiliki potensi resiko yang mungkin dapat dieksploitasi oleh pihak lain yang berniat tidak baik. Maka apabila terjadi insiden terkait kerawanan itu, seluruh komponen yang saling terkait harus turut bertanggung jawab untuk menanggulangi dan meningkatkan upaya meminimalisir resiko serta mencegah kejadian serupa di masa depan.
Misalnya, bank tidak mungkin melakukan pengamanan apabila nasabah tidak memiliki pemahaman mengenai kemungkinan resiko kerawanan dan kelemahan pada sistem elektronik yang digunakan. Sebaliknya, nasabah yang telah berhati-hati sekalipun akan dapat menjadi korban apabila bank lalai atau gagal di dalam pengawasan dan upaya peningkatan pengamanan sistem secara terus-menerus. Demikian juga apabila aturan dari pemerintah lemah dan penegak hukum tidak memiliki kemampuan yang memadai untuk terus mengikuti perkembangan sistem dan teknologi maka ketika terjadi insiden akan sulit untuk melakukan penindakan terhadap semua pihak yang seharusnya bertanggung jawab.
Sehingga semuanya saling terkait, tidak berdiri sendiri. Pihak yang berniat jahat akan selalu memilih celah kerawanan yang paling lemah sebagai pintu masuk. Sehingga semua pihak turut bertanggung jawab dan harus saling membantu (bekerjasama) untuk mengawasi, memperbaiki dan menutup celah tersebut tanpa saling menyalahkan karena justru akan berakibat melemahkan peran dan potensi setiap pihak dalam upaya pengamanan bersama. Setiap pihak adalah satu simpul rangkaian rantai pengamanan dan semua saling bergantung satu sama lain, karenanya semua sama pentingnya.

IDENTIFIKASI METODE PENGAMANAN DATA DI BANK DANAMON
Perbankan mulai melakukan langkah pengetatan pengamanan data nasabah setelah sejumlah kasus pembobolan rekening nasabah terungkap. Bocornya dana nasabah bisa berdampak pada berkurangnya tingkat kepercayaan masyarakat pada sistem pengelolaan dana di perbankan. Oleh sebab itu, Bank Danamon memperketat sistem keamanannya dengan penambahan sistem keamanan baik di jaringan, sistem informasi teknologi dan bahkan di perangkat keras (hardware).

Menjamin Ketersediaan Data
Ketersediaan data bagi dunia perbankan sangat penting. Bank danamon memberikan kemudahan bagi nasabahnya untuk dapat mengakses data secara online baik untuk setiap jenis tabungan. Danamon Online Banking adalah jasa layanan perbankan melalui internet banking yang memberikan kemudahan bagi Nasabah Bank Danamon untuk mengakses rekening dan melakukan transaksi Perbankan non-tunai melalui jaringan Internet kapan saja selama 24 jam sehari, 7 hari dalam satu minggu, dengan aman dan mudah. Data nasabah dilindungi dengan berbagai proteksi sistem keamanan salah satunya adalah dengan Extended Validation (EV) SSL 3.0 dengan enskripsi 128-bit.

Mencegah kerusakan dan korupsi data
Proses Implementasi dilakukan oleh Bank Danamon untuk menyempurnakan program atau software baik yang berkaitan dengan kegiatan transaksional maupun non transaksional. Sebagai tindakan preventif terhadap kerusakan dan korupsi data, Bank Danamon menempatkan server di pusat dan di cabang. Hal itu bertujuan agar ketika terjadi implementasi program dapat dilakukan secara integratif dan mencegah terjadinya baik kerusakan data maupun korupsi data.

Mencegah pengunaan data oleh yang tidak berhak
Danamon Online Banking menggunakan halaman Web yang dilindungi dengan Extended Validation (EV) SSL 3.0 dengan enskripsi 128-bit, standard tertinggi dari industri keamanan internet untuk otentikasi identitas suatu situs web, sehingga informasi pribadi dan keuangan Nasabah tidak dapat terbaca oleh pihak yang tidak berkepentingan ketika melalui jaringan internet. Nasabah juga akan diberikan User ID & Password yang unik, sehingga tidak ada duplikasi dan hanya Nasabah yang mengetahuinya. Setiap kali Login, Nasabah hanya diperkenankan mengulang Password yang salah sebanyak tiga kali sebelum akses tersebut diblokir untuk mencegah penyalahgunaan oleh pihak yang tidak bertanggung jawab. Setiap transaksi finansial harus menggunakan alat pengaman tambahan yang disebut Token dan setiap transaksi yang diinstruksikan tidak akan diproses tanpa konfirmasi dan persetujuan Nasabah. Jika tidak terdapat aktivitas selama sepuluh menit, sistem secara otomatis akan mengakhiri (logout) akses Nasabah untuk mencegah penyalahgunaan oleh pihak yang tidak berwenang.

Menjamin update dan validitas data
Transaksi online banking dapat dilakukan melalui telepon selular ataupun layanan internet. Semua jenis rekening dapat diakses melalui layanan Danamon Online Banking (DOB). Sebelum menggunakan layanan ini nasabah harus melakukan registrasi lalu masuk ke https://www.danamonline.com. Bila diperhatikan HTTPS adalah singkatan dari HyperText Transport Protocol Secure,memiliki pengertian sama dengan HTTP tetapi dengan alasan keamanan (security), HTTPS memberi tambahan Secure Socket Layer (SSL). Bisa dilihat tambahan kata  secure pada singkatan https.
Nasabah akan diminta untuk memasukkan data-data pribadi, lalu Setelah data tervalidasi, User ID Sementara akan dikirimkan melalui e-mail address yang telah dimasukkan pada saat Registrasi dan Password Sementara akan dikirimkan melalui SMS.
Jika Nasabah tidak mengganti User ID dan Password Sementara melalui situs Danamon Online Banking dalam waktu empat belas (14) hari setelah Registrasi, maka User ID dan Password Semetara tersebut akan menjadi tidak belaku. Oleh karena itu, Nasabah harus melalukan Registrasi ulang secara online melalui situs Danamon Online Banking atau melalukan registrasi ulang melalui ATM Danamon untuk mendapatkan User ID dan Password Sementara yang baru.
Jika Nasabah belum melakukan Login ke situs Danamon Online Banking dan mengganti User ID dan Password Sementara, Nasabah dapat melakukan Registrasi ulang secara online melalui situs Danamon Online Banking atau registrasi ulang melalui ATM Danamon atau menghubungi Danamon Access Center untuk mendapatkan informasi mengenai User ID.
Nasabah bank danamon juga mendapatkan token. Token adalah piranti keamanan yang dapat menghasilkan Kode Rahasia dengan algoritma tertentu agar Nasabah dapat melakukan transaksi finansial dan non-finansial lainnya seperti reset Password, penggantian data pribadi, dan sebagainya melalui Danamon Online Banking. Bank Danamon memberi Anda keleluasaan untuk memilih Token sebagai piranti keamanan yang Anda inginkan, yaitu Danamon (hardware) Token atau SMS Token.
Danamon Token adalah perangkat yang dapat menghasilkan Kode Rahasia Token yang dapat berupa Challenge Response maupun One Time Password (OTP) sesuai dengan instruksi yang dimasukkan pada Danamon Token. Dengan memilih jenis Token ini, Anda harus selalu membawa Danamon Token setiap melakukan transaksi melalui Danamon Online Banking.
SMS Token adalah Kode Rahasia berupa One Time Password (OTP) yang akan dihasilkan pada saat Anda menekan tombol Lanjut pada halaman transaksi di situs Danamon Online Banking. Kode ini akan dikirimkan melalui SMS ke nomor ponsel yang telah terdaftar. Dengan SMS Token, Anda dapat melakukan transaksi Danamon Online Banking tanpa harus membawa piranti Token.

DAFTAR PUSTAKA:
________ Information Security Management System; www.scribd.com,12/06/2009/ Information-Security-Management-System / 25 Juli 2011 pukul 20.00 wib.
________ Data base & Data Security; http://mtaufik.wordpress.com/14/06/2011/ 27 Juli 2011 pukul 21.00 wib.

Yuriaiuary, 2017, http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-pengendalian.html, (12 Mei 2017)
Fairuzelsaid, 2011, https://fairuzelsaid.wordpress.com/2011/03/19/keamanan-sistem-informasi-konsep-keamanan-sistem-informasi/, (19 Maret 2011)
Dewi Fatma, 2013, https://www.academia.edu/9760290/keamanan_sistem_informasi

Comments

Post a Comment

Popular posts from this blog

MODEL KERANGKA PENGENDALIAN: COBIT, COSO DAN ERM

Image
MODEL KERANGKA PENGENDALIAN: COBIT, COSO DAN ERM Oleh: Martina Melissa L. (55517120041) Dosen: Prof. Dr. Hapzi Ali, CMA 1.    COSO COSO merupakan singkatan dari Comittee of Sponsoring Organization of treadway Commision, yaitu suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. COSO merupakan model pengendalian internal yang banyak digunakan oleh auditor sebagai dasar untuk mengevaluasi dan mengembangkan pengendalian internal. Struktur pengendalian internal COSO dikenal sebagai kerangka kerja pengendalian internal yang terintegrasi dan memiliki lima komponen yang saling berhubungan. Komponen ini didapat dari cara manajemen dalam menjalankan bisnisnya dan terintegrasi dengan proses manajemen. Komponen pengendalian COSO antara lain meliputi: a.     Lingkungan Pengendalian Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen puncak secara keseluruhan dalam pengendalian manajemen. b.     Penilaian Risiko Tindakan manajemen untuk mengidentifikasi
Read more

PENGENDALIAN INTERNAL & UNSUR-UNSUR PENGENDALIAN INTERNAL COSO

PENGENDALIAN INTERNAL & UNSUR-UNSUR PENGENDALIAN INTERNAL COSO Oleh: Martina Melissa L. (55517120041) Dosen: Prof. Dr. Hapzi Ali, CMA A.    Pengertian Pengendalian Internal Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang untuk memberikan manajemen kepastian yang layak bahwa perusahaan telah mencapai tujuan dan sasarannya. Kebijakan dan prosedur tersebut sering kali disebut sebagai pengendalian, dan secara kolektif akan membentuk suatu pengendalian internal B.    Tujuan Pengendalian Internal Manajemen memiliki tiga tujuan umum dalam merancang system pengendalian internal yang efektif: 1.     Reliabilitas pelaporan keuangan 2.     Manajemen bertanggung jawab untuk menyiapkan laporan bagi para investor, kreditor, dan pemakai lainnya. 3.     Efisiensi dan efektifitas operasi 4.     Pengendalian dalam perusahaan akan mendorong pemakaian sumber daya secara efisien dan efektif untuk mengoptimalkan sasaran-sasaran perusahaan.
Read more