KOMPUTER DAN KONTROL

Pengamanan komputer atau sekuriti komputer adalah pencegahan atas penggunaan data atau program dari masalah yang akan dihadapi.
Jenis – jenis pengamanan :
- Pengamanan fisik
- Pengamanan akses
- Pengamanan data
- Pengamanan jaringan
Keamanan Sistem
Keamanan sistem informasi adalah proteksi perlindungan atas sumber-sumber fisik dan konseptual dari bahaya alam dan manusia. Keamanan terhadap sumber konseptual meliputi data dan informasi.
Tujuan keamanan system
1. Kerahasiaan
Perusahaan berusaha melindungi data dan informasi dari pengungkapan kepada orang – orang yang tidak berhak
2. Ketersediaan
Tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang berwenang menggunakannya.
3. Integritas
Semua subsistem CBIS harus menyediakan gambaran akurat dari sistem fisik yang diwakilinya.
Secara umum, ancaman terhadap sistem informasi dapat dibedakan menjadi 2 macam, yaitu ancaman aktif dan ancaman pasif.
- Ancaman aktif (keamanan), mencakup :
1. Pengungkapan tidak sah dan pencurian
Jika database dan software tersedia bagi orang – orang yang tidak berwenang untuk mengaksesnya.
2. Penggunaan tidak sah
Orang – orang yang biasanya tidak berhak menggunakan sumber dya perusahaan.
3. Penghancuran sistem
Orang dapat menghancurkan / merusak HW/SW menyebabkan terhentinya operasi komputer suatu perusahaan.
4. Modifikasi tidak sah
Jenis modifikasi yang sangat mencemaskan disebabkan oleh software yang merusak yang terdiri dari program lengkap yang melaksanakan fungsi yang tidak dikehendaki pemilik sistem dasar untuk keamanan terhadap orang-orang yang tidak berwenang.

- Ancaman pasif, mencakup :
kegagalan sistem, kesalahan manusia (human error), bencana alam, dll.
Untuk mengantisipasinya dapat dilakukan tindakan – tindakan yang berupa pengendalian terhadap SIstem informasi dengan berbagai macam kontrol terhadap Sistem Informasi itu sendiri.
Kontrol tersebut meliputi :
1. Kontrol administratif
2. Kontrol operasi
3. Perlindungan Fisik
4. Kontrol Perangkat Keras
5. Kontrol akses terhadap sistem komputer
6. Kontrol terhadap akses informasi
7. Kontrol terhadap bencana
8. Kontrol terhadap perlindungan terakhir
9. Kontrol aplikasi
1. Kontrol Administratif
Adalah proses pengembangan sistem, prosedur untuk back-up, pemulihan data, dan manajemen pengarsipan data. Kontrol terhadap pengembangan dan pemeliharaan sistem harus melibatkan Auditor Sistem Informasi dari mulai masa penegembangan hingga pemeliharaan sistem.
2. Kontrol Operasi
Yang termasuk di dalamnya adalah pembatasan akses terhadap pusat data, kontrol terhadap personel pengoperasi, kontrol terhadap peralatan, kontrol terhadap penyimpan arsip dan pengendalian terhadap virus.
3. Perlindungan fisik
Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, dan keamanan fisik ruangan.
4. Kontrol Perangkat Keras
Untuk mengantisipasi kegagalan sistem komputer, perlu menerapkan sistem komputer yang berbasis fault- tolerant( toleran terhadap kegagalan).
5. Kontrol Akses terhadap sistem computer
Kontrol ini membatasi akses terhadap sistem. Pemakaian password yang bersifat rahasia. Dengan teknologi yang semakin berkembang untuk dapat akses terhadap sistem komputer digunakan sifat-sifat biologis manusia yang bersifat unik, seperti sidik jari dan retina mata sebagai kunci untuk mengakses sistem.
6. Kontrol terhadap akses informasi
Informasi dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak.
7. Kontrol terhadap bencana
Rencana pemulihan terhadap bencana. Misalnya saja rencana darurat, rencana cadangan, rencana pemulihan, dan rencana pengujian.
8. Kontrol terhadap perlindungan terakhir
Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana.
9. Kontrol Aplikasi
Wilayah yang dicakupnya meliputi :
-Kontrol masukan, digunakan untuk menjamin kekurasian data, kelengkapan masukan, dan validasi terhadap masukan
- Kontrol pemrosesan
Pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu dilakukan sehingga apabila terjadi hal-hal yang tidak sesuai bisa langsung diketahui.
- Kontrol keluaran
Dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan yang diharapkan.
- Kontrol Telekomunikasi
Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau dengancara menyadap jalur fisik dalam jaringan.
Untuk mengantisipasi keadaan seperti ini, kontol terhadap telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi yang sesungguhnya.
Properti sistem yang memberikan keamanan
Sebuah sistem harus mempunyai tiga properti(sifat), yaitu :
- Integritas
Sistem akan mempunyai integritas apabila perancang sistem berusaha untuk mengembangkan sistem yang mempunyai integritas fungsional, yaitu kemampuan untuk melanjutkan operasi, apabila salah satu atau lebih sistem operasinya tidak berjalan
- Audibilitas
Bila sistem memiliki audibilitas maka mudah bagi seseorang untuk memeriksa, memverifikasi atau menunjukkan penampilannya.
- Daya kontrol
daya kontrol memungkinkan seseorang untuk menangani penghambatan pengaruh terhadap sistem.
Computer Based Information System(CBIS)
Sistem Informasi Berbasis Komputer merupakan sistem pengolah data menjadi sebuah informasi yang berkualitas dan dipergunakan untuk suatu alat bantu pengambilan keputusan.
Nilai suatu informasi berhubungan dengan keputusan. Hal ini berarti bahwa bila tidak ada pilihan atau keputusan, informasi menjadi tidak diperlukan.

Kualitas informasi
Kualitas informasi ditentukan oleh 3 hal pokok, yaitu :
1. Relevansi
informasi dikatakan berkualitas jika relevan bagi pemakainya. Informasi akan relevan jika memberikan manfaat bagi pemakainya.
2. Akurasi
Sebuah informasi dapat dikataikan akurat jika informasi tersebut tidak bias atau menyesatkan, bebas dari kesalahan-kesalahan dan harus jelas mencerminkan maksudnya.
3. Tepat waktu
Informasi yang terlambat tidak akan mempunyai nilai yang baik. Kebutuhan akan tepat wakunya sebuah informasi itulah yang pada akhirnya akan menyebabkan mahalnya nilai suatu informasi.
Pentingnya kontrol sistem informasi
Tujuan pngontrolan adalah untuk memastikan bahwa CBIS(Computer Based Information System) telah diimplementasikan seperti yang direncanakan, sistem beroperasi yang dikehendaki, dan operasi tetap dalam keadaan aman dari penyalahgunaan atau gangguan.
Kontrol Disain Sistem
Tujuan untuk memastikan bahwa disainnya bisa meminimalkan kesalahan, mendeteksi kesalahan dan mengoreksinya.
Kontrol tidak boleh diterapkan jika biayanya lebih besar dari manfaatnya.
Kontrol terhadap pengoperasian system
Didasarkan pada struktur organisasional dari departemen operasi, aktivitas dari unit yang ada dalam departemen tersebut. Kontrol yang memberikan kontribusi terhadap tujuan ini dapat diklasifikasikan menjadi lima area :
1. Struktur organisasional
2. Kotrol perpustakaan
3. Pemeliharaan peralatan
4. Kontrol lingkungan dan keamanan fasilitas
5. Perencanaan disaster

Manajemen Keamanan Data/ Informasi
Keamanan data/informasi elektronik menjadi hal yang sangat penting bagi perusahaan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur penting. Sebab data/informasi adalah aset bagi perusahaan tersebut.
Keamanan data/informasi secara langsung maupun tidak langsung dapat mempertahankan kelangsungan bisnis, mengurangi resiko, mengoptimalkan return of investment dan bahkan memberikan peluang bisnis semakin besar. Semakin banyak informasi perusahaan yang disimpan, dikelola dan digunakan secara bersama, akan semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data/informasi ke pihak lain yang tidak berhak.
Sistem Manajemen Keamanan Informasi (Information Security Management System – ISMS) merupakan sebuah kesatuan system yang disusun berdasarkan pendekatan resiko bisnis, untuk pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi perusahaan

10 Langkah Pengamanan Fisik Komputer
Saat belajar jaringan komputer, kita selalu mendapatkan model 7 lapis ISO atau model 4 lapis DoD. Selanjutnya mungkin ada pembahasan tentang sekuriti di lapisan-lapisan itu. Bahkan saat suatu kantor membahas sekuriti TI-nya, seringkali dibahas software apa yang dibutuhkan, dan sedikit hardware. Tetapi keamanan kantor "tradisional" sejak dari satpam sampai fisik server/komputer berada kurang dibahas.
Berikut cuplikan 10 langkah sekuriti fisik dari TechRepublic
1. Kunci ruang server
2. Pengawasan ruangan (siapa yang keluar masuk?)
3. Pastikan bahwa device yang paling tidak aman berada di ruangan terkunci
4. Gunakan server rack-mount
5. Amankan workstation (apalagi yang sedang kosong tidak terpakai)
6. Jaga agar penyelundup tidak membuka case (server/komputer)
7. Proteksi komputer2 portable (laptop/notebook/PDA/HP)
8. Selalu backup
9. Disable drive-drive (rekomendasi: jangan pasang portable drive spt floppy, usb, cd) di komputer pengguna
10. Proteksi printer (apalagi yang disharing)
Standar Sistem Manajemen Keamanan Informasi – ISO 17799
Keamanan data/informasi elektronik menjadi hal yang sangat penting bagi perusahaan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur penting. Sebab data/informasi adalah aset bagi perusahaan tersebut.
Keamanan data/informasi secara langsung maupun tidak langsung dapat mempertahankan kelangsungan bisnis, mengurangi resiko, mengoptimalkan return of investment dan bahkan memberikan peluang bisnis semakin besar. Semakin banyak informasi perusahaan yang disimpan, dikelola dan digunakan secara bersama, akan semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data/informasi ke pihak lain yang tidak berhak.

Ancaman dan resiko yang ditimbulkan akibat kegiatan pengelolaan dan pemeliharaan data/informasi menjadi alasan disusunnya standar sistem manajemen keamanan informasi yang salah satunya adalah ISO 17799.
Penyusunan standar ini berawal pada tahun 1995, dimana sekelompok perusahaan besar seperti Board of Certification, British Telecom, Marks & Spencer, Midland Bank, Nationwide Building Society, Shell dan Unilever bekerja sama untuk membuat suatu standar yang dinamakan British Standard 7799 (BS 7799).
 BS 7799 terdiri dari beberapa bagian yaitu : Part 1, The Code of Practice for Information Security Management. Part 2,The Specification for Information Security Management Systems (ISMS).
Berikut adalah penjabaran 10 klausula pengendalian :
 1. Kebijakan Pengamanan (Security Policy), mengarahkan visi dan misi manajemen agar kelangsungan organisasi dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan data/informasi penting yang dimiliki oleh perusahaan.
 Kebijakan pengamanan sangat diperlukan mengingat banyaknya masalah-masalah non teknis seperti penggunaan passwordoleh lebih dari satu orang yang menunjukan tidak adanya kepatuhan dalam menjalankan sistem keamanan informasi.Kebijakan pengamanan ini meliputi aspek infratruktur dan regulasi keamanan informasi.
 Hal pertama dalam pembuatan kebijakan keamanan adalah dengan melakukan inventarisasi data-data perusahaan. Selanjutnya dibuat regulasi yang melibatkan semua departemen, sehingga peraturan yang akan dibuat tersebut dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi untuk mendapatkan persetujuan dan dukungan agar dapat diterapkan dengan baik.
 2. Pengendalian Akses Sistem (System Access Control), mengendalikan/membatasi akses user terhadap informasi-informasi dengan cara mengatur kewenangannya, termasuk pengendalian secara mobile-computing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada yang meliputi berbagai aspek seperti :
 a. Persyaratan bisnis untuk kendali akses;
 b. Pengelolaan akses user (User Access Management);
 c. Kesadaran keamanan informasi (User Responsibilities);
 d. Kendali akses ke jaringan (Network Access Control);
 e. Kendali akses terhadap sistem operasi (Operating System Access Control);
 f. Pengelolaan akses terhadap aplikasi (Application Access Management); g. Pengawasan dan penggunaan akses sistem (Monitoring System Access and Use); dan h. Mobile Computing danTelenetworking
 3. Pengelolaan Komunikasi dan Kegiatan (Communication and Operations Management), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional.Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu :
 a. Prosedur dan tanggung jawab operasional;
 b. Perencanaan dan penerimaan sistem;
 c. Perlindungan terhadap software jahat (malicious software);
 d. Housekeeping;
 e. Pengelolaan Network;
 f. Pengamanan dan Pemeliharaan Media; dan
 g. Pertukaran informasi dan software.
 4. Pengembangan dan Pemeliharaan Sistem (System Development and Maintenance), memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi dan validasi.
 Penelitian untuk pengembangan dan pemeliharaan sistem meliputi berbagai aspek, seperti : Persyaratan pengamanan sistem; Pengamanan sistem aplikasi; Penerapan Kriptografi; Pengamanan file sistem; dan Pengamanan pengembangan dan proses pendukungnya.
 5. Pengamanan Fisik dan Lingkungan (Physical and Environmental Security), mencegah kehilangan dan/atau kerusakan data yang diakibatkan oleh lingkungan secara fisik, termasuk bencana alam dan pencurian data yang tersimpan dalam media penyimpanan atau dalam fasilitas penyimpan informasi yang lain.
 Pengamanan fisik dan lingkungan ini meliputi aspek: Pengamanan area tempat informasi disimpan; Pengamanan alat dan peralatan yang berhubungan dengan informasi yang akan dilindungi; dan Pengendalian secara umum terhadap lingkungan dan hardware informasi.
 6. Penyesuaian (Compliance), memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk perjanjian kontrak melalui audit sistem secara berkala. Aspek-aspek yang diperlukan untuk membentuk prosedur dan peraturan, yaitu : Penyesuaian dengan persyaratan legal; Peninjauan kembali kebijakan pengamanan dan penyesuaian secara teknis; serta Pertimbangan dan audit sistem.
 7. Keamanan personel/sumber daya manusia (Personnel Security), upaya pengurangan resiko dari penyalahgunaan fungsi dan/atau wewenang akibat kesalahan manusia (human error), manipulasi data dalam pengoperasian sistem serta aplikasi oleh user. Kegiatan yang dilakukan diantaranya adalah pelatihan-pelatihan mengenai kesadaran informasi (security awareness) agar setiap user mampu menjaga keamanan data dan informasi dalam lingkup kerja masing-masing.
 Personnel Security meliputi berbagai aspek, yaitu : Security in Job Definition and Resourcing; Pelatihan-pelatihan danResponding to Security Incidens and Malfunction.
 8. Organisasi Keamanan (Security Organization), memelihara keamanan informasi secara global pada suatu organisasi atau instansi, memelihara dan menjaga keutuhan sistem informasi internal terhadap ancaman pihak eksternal, termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu : keamanan dan pengendalian akses pihak ketiga dan Outsourcing
 9. Klasifikasi dan pengendalian aset (Asset Classification and Control), memberikan perlindungan terhadap aset perusahaan yang berupa aset informasi berdasarkan tingkat perlindungan yang telah ditentukan. Perlindungan aset ini meliputi accountability for Asset dan klasifikasi informasi.
 10. Pengelolaan Kelangsungan Usaha (Business Continuity Management), siaga terhadap resiko yang mungkin timbul didalam aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko kegagalan sistem utama ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan pengelolaan untuk kelangsungan proses bisnis, dengan mempertimbangkan semua aspek dari business continuity management.
 Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien.
Pengendalian & audit sistem informasi
 Audit Mutu Internal terhadap Sistem informasi ini sangat penting karena Sistem Informasi ini memiliki peran yang sangat strategis khususnya dalam penye-diaan data dan keakuratan data. Keberadaan Sistem Informasi ini sangat membantu dan memudahkan dalam mengukur tingkat keberhasilan implementasi SMM ISO 9001:2000. Sebagai sebuah tools, Sistem Informasi ini perlu diaudit. Agar hasil dari sistem informasi ini dapat dijamin mutunya.
 Audit Sistem Informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000). Pengertian ini selaras dengan tujuan audit mutu internal dalam ISO 9001:2000. Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.