Studi Kasus Septiarani Saputri W

On By manajemenkeamananMeninggalkan komentar

Nama             : Septiarani S.W

NIM/Off          : 140411600714/GG

Prodi              : S1 Pendidikan Tata Niaga

 

 

MANAJEMEN RISIKO TEKNOLOGI INFORMASI:

STUDI KASUS PADA PERUSAHAAN JASA

Achmad Reza Viyanto; Okhran Steve Latuihamallo; Franky Mangihut Tua;

Anderes Gui; Suryanto

Computerized Accounting Department, School of Information Systems, Binus University

Jl. K.H. Syahdan No. 9, Palmerah, Jakarta Barat 11480

anderesgui@binus.edu

 

Morse, sebuah perusahaan IT asal Inggris, telah melakukan survei pada 1.460 karyawan perusahaan tersebut. Ternyata, lebih dari setengahnya (57%) di antara mereka menggunakan waktu kerja selama 40 menit per minggu, atau kira-kira satu minggu dalam setahun hanya untuk mengakses situs jejaring sosial, seperti Facebook dan Twitter. Kegiatan mengakses situs jejaring sosial ini dapat merugikan sejumlah pengusaha. Terutama bagi perusahaan yang karyawannya berinteraksi di sana selama jam kerja dan menurunkan produktivitas. Bila dikalkulasikan, diperkirakan bahwa pebisnis di seluruh Inggris mengalami kerugian total sekitar 1,38 miliar poundsterling atau 21 triliun rupiah per tahun akibat waktu yang disalahgunakan oleh karyawannya.

 

Contoh kasus di atas memberikan suatu gambaran mengenai kerugian yang diakibatkan oleh lemahnya sistem pengendalian dalam mengelola penggunaan teknologi informasi. Teknologi informasi yang sebelumnya diharapkan oleh perusahaan untuk meningkatkan produktivitas karyawan justru membawa dampak yang merugikan karena kurangnya pemahaman mengenai dimensi risiko teknologi informasi. Kemudian pemahaman itu juga seharusnya diikuti dengan pengetahuan tentang cara terbaik dalam mengatasinya, tidak hanya dengan melakukan pengukuran terhadap risiko, tetapi dengan mendefinisikan penanggulangan apabila risiko-risiko tersebut terjadi dan tentu saja mengimplementasikan manajemen risiko. Oleh karena itu perlu dilakukan pengukuran risiko teknologi informasi.

 

Untuk mengumpulkan data-data yang dibutuhkan pada penelitian ini, dilakukan wawancara dengan pihak HRD dan pihak TI dengan upaya untuk mengetahui risiko-risiko apa saja yang terjadi atau kemungkinan terjadi pada perusahaan. Metode OCTAVE-S tersebut terdiri dari tiga tahap (Alberts, et al., 2003,), yaitu: (1) membangun aset berbasis profil ancaman; (2) mengidentifikasi kerentanan infrastruktur; dan (3) mengembangkan strategi keamanan dan perencanaan.

 

Dari ketiga tahap tersebut di dalamnya terdapat 5 proses yang terdiri dari 16 aktivitas dan 30 langkah. Lima proses tersebut yaitu: (1) mengidentifikasi informasi organisasi, yang terdiri dari 3 aktivitas dan 4 langkah; (2) membuat profil ancaman, yang terdiri dari 3 aktivitas dan 12 langkah; (3) memeriksa perhitungan infrastruktur yang berhubungan dengan aset kritis, yang terdiri dari 2 aktivitas dan 5 langkah; (4) identifikasi dan analisis risiko, yang terdiri dari 3 aktivitas dan 3 langkah; (5) mengembangkan strategi perlindungan dan rencana mitigasi, yang terdiri dari 5 aktivitas dan 6 langkah.

 

Di dalam metode OCTAVE-S terdapat beberapa kategori risiko yang merupakan dasar pengukuran risiko OCTAVE-S, di mana kategori risiko ini menjadi tolak ukur wajib dalam melakukan penelitian. Kategori tersebut yaitu: Kesadaran Keamanan dan Pelatihan; Strategi Keamanan; Manajemen Keamanan; Peraturan dan Kebijakan Keamanan; Kolaborasi Manajemen Keamanan; Rencana Kemungkinan; Pengendalian Akses Fisik; Pemantauan dan Audit Keamanan Fisik; Manajemen jaringan dan sistem; Pemantauan dan Audit Keamanan TI; Pengesahan dan Otorisasi; Manajemen Kerentanan; Enkripsi; Desain dan Arsitektur Keamanan; Manajemen Insiden.

 

Menurut Alberts, et al. (2003), selama mengevaluasi OCTAVE-S, tim analisis melibat keamanan dari beberapa perspektif, memastikan bahwa rekomendasi yang dicapai sesuai dengan keseimbangan berdasarkan kebutuhan organisasi.

 

Hasil utama dari OCTAVE-S, yaitu: Strategi perlindungan organisasi yang luas, Rencana mitigasi risiko, Daftar tindakan. Hasil OCTAVE-S yang berguna lainnya, yaitu: Daftar informasi penting terkait dengan aset yang mendukung tujuan bisnis dan sasaran organisasi, hasil survei menunjukkan sejauh mana organisasi mengikuti praktek keamanan yang baik, profil risiko untuk setiap aset kritis menggambarkan jarak antara risiko terhadap aset.

 

Analisis

 

Hasil analisis praktik keamanan pada perusahaan, yaitu:

 

Manajemen Keamanan

Perusahaan telah melakukan pengalokasian dan sumber daya yang cukup untuk aktivitas keamanan informasi. Peran keamanan dan tanggung jawab sudah dijelaskan kepada semua karyawan. Sebagian karyawan telah melaksanakan dengan baik tugas dan tanggung jawab yang berkaitan dengan keamanan informasi dan memberikan sanksi kepada karyawan yang terlibat dalam permasalahan keamanan informasi.

 

Saat ini perusahaan belum melakukan penilaian risiko terhadap keamanan informasi. Jika terjadi risiko maka divisi IT yang akan langsung mengambil langkah-langkah dalam meminimalisir risiko keamanan informasi tersebut. Selain itu perusahaan juga tidak memiliki kebijakan dan prosedur mengenai penghentian kerja terhadap pihak karyawan yang terlibat dalam permasalahan keamanan informasi.

 

Manajemen jaringan dan sistem

Perusahaan telah mengelola sistem dan jaringan dengan baik, hal tersebut dapat dilihat dari adanya penggunaan sistem wireless di dalam jaringan LAN. Perusahaan telah melindungi informasi sensitif di tempat yang aman. Dan pihak yang tidak mempunyai wewenang yang berkaitan dengan informasi tersebut tidak dapat mengaksesnya.

 

Manajemen Kerentanan

Perusahaan belum memiliki manajemen kerentanan dengan baik karena perusahan tidak meninjau atau menilai sumber informasi mengenai kerentanan informasi, peringatan dan keamanan informasi dan pemberitahuan. Hal lainnya adalah perusahaan tidak mengidentifikasi komponen infrastruktur untuk dievaluasi serta tidak memberikan penafsiran dan menanggapi hasilnya.

Perusahaan belum meninjau atau menilai sumber informasi mengenai kerentanan informasi, peringatan akan keamanan informasi dan pemberitahuan. Selain itu perusahaan juga tidak melakukan identifikasi terhadap komponen infrastruktur untuk di evaluasi secara periodik. Dan prosedur manajemen kerentanan belum dimonitori dan ditinjau serta di-update secara berkala.

 

Manajemen Insiden

Dalam mengelola insiden di dalam perusahaan, perusahaan memiliki prosedur yang didokumentasikan untuk mengidentifikasi, melaporkan dan menanggapi dugaan pelanggaran keamanan dan insiden. Namun dalam penanganannya, perusahaan belum melakukan verifikasi dan diperbaharui secara periodik.

 

 

Studi Kasus Sefnia Linda Sari

On By manajemenkeamananMeninggalkan komentar

Nama : Sefnia Lindasari
NIM/off : 140411605385 /GG
Prodi : S1 Pendidikan Tata Niaga

STUDI KASUS PT XYZ
Penerapan Sistem Informasi di Perusahaan
PT XYZ, sebuah perseroan terbatas yang beralamat di Jakarta. Bidang usaha yang dijalankan oleh Perusahaan adalah sebagai perusahaan manufaktur komponen kendaraan bermotor baik roda dua maupun roda empat serta melakukan perdagangan impor dan ekspor serta melakukan perdagangan besar.
Saat ini Perusahaan mengimplementasikan penerapan Sistem Informasi sebagai berikut:
1. SAP system ( Purchase, Sales, Inentory Management, Finance & Accounting )
2. EXP system,
3. Barcode system,
4. HRIS system,
5. BI (Business intelligence) system,
6. System untuk Factory Operations,
7. CRM (Customer Relationship Management) System.
8. Dan lain-lain
Secara umum penerapan Sistem Informasi utama yang diimplementasikan oleh Perusahaan sudah berjalan dengan baik. Indikasi keberhasilan tersebut adalah kecepatan dalam memberikan data dan informasi yang dibutuhkan secara tepat waktu. Hal lain juga dapat dilihat dari tingkat gangguan yang terjadi yang terkait dengan sistem informasi sangat jarang terjadi sampai mengganggu operasional pekerjaan, sebab pekerjaan operasional tidak seluruhnya menggunakan sistem informasi secara online antara lokasi Pabrik 1 dan Pabrik 2 serta dengan kantor pusat di Jakarta. Artinya jika misalnya terjadi gangguan jaringan, sistem masih dapat dijalankan melalui proses manual yang kemudian nanti diinput pada saat sistem sudah kembali beroperasi. Demikian juga proses yang dilakukan oleh Pabrik 1 terpisah dengan Pabrik 2 artinya jika terjadi permasalahan sistem informasi di satu pabrik tidak akan mengganggu sistem informasi di Pabrik lainnya.
Dalam pembahasan di makalah ini kami akan fokuskan pada pengamatan atas pelaksanaan sistem informasi pada penerapan aplikasi SAP. Sistem ini telah diterapkan di perusahaan sejak tahun 2009 menggantikan sistem yang lama. Pengguna dari sistem ini terutama mulai dari pembelian bahan baku untuk produksi dan pembelian lainnya, pengelolaan persediaan bahan baku, penghitungan barang setengah jadi, pengelolaan transfer antara produksi ke gudang persediaan barang jadi, penyimpanan dan pengelolaan barang jadi, alokasi dan pengiriman barang jadi antara gudang pabrik 1 dan pabrik 2, pengelolaan pengaturan penjualan barang jadi untuk ekspor dan penjualan dalam negeri, kemudian sistem juga digunakan untuk masing-masing bagian dalam pengeluaran belanja kebutuhan operasional kantor, sampai kepada muaranya adalah bagaimana penyusunan laporan keuangan perusahaan.
• Analisis atas alasan keberhasilan Penerapan Sistem Informasi
Faktor-Faktor yang mendukung alasan keberhasilan Penerapan Sistem Informasi adalah sebagai berikut:
1. Dukungan dari manajemen.
Dukungan ini diberikan oleh Direktur Keuangan yang pada awal implementasinya sekaligus bertanggung jawab sebagai Pimpinan proyek penerapan SAP di Perusahaan.
2. Keterlibatan end user.
End User adalah meliputi para operator dan seksi yang terkait juga mendukung proyek ini, karena ini akan mempengaruhi kinerja masing-masing Seksi/Bagian, Departemen, maupun Divisi yang digambakan ke dalam target masing-masing Seksi, Departmen maupun Divisi dalam hal ini keterlibatan adalah seluruh Seksi/Bagian di Perusahaan. Sistem yang ada juga memungkinkan pengawasan yang dilakukan oleh atasan tiap-tiap bagian, seperti di uraikan di bawah nanti, untuk mengawasi pelaksanaan pekerjaan yang dilakukan melalui sistem yang belum selesai setiap periode untuk segera diselesaikan oleh pengguna sistem baik operator maupun end user lainnya.
3. Kemudahan dalam pengoperasian.
Dengan didukung pelatihan-pelatihan yang diadakan pada awal penerapan sistem tersebut maka semakin mempermudah dan makin mahir para operator / pengguna sistem dalam pemakaian sistem operasional harian. Hal ini diperkuat lagi dengan tingkat penggantian tenaga yang mengoperasikan sistem tidak sering berganti-ganti dengan ditunjukannya tingkat turn-over pegawai yang sangat rendah. Demikian juga jika terjadi penggantian satu tenaga operator sistem yang terjadi karena perpindahan tempat kerja maka bagian tersebut yang bertanggung jawab untuk memberikan pelatihan dan serah terima pekerjaan, sedangkan bagian IT hanya akan membantu dari sisi dukungan teknis.
4. Pengawasan secara regular.
Pekerjaan yang masih menggantung (belum selesai) di satu bagian akan dapat dilihat statusnya di oleh pejabat yang memiliki otoritas yang lebih tinggi atau bagian yang memantau pelaksanaan sistem. Atasan masing-masing bagian juga turut mengawasi pekerjaan-pekerjaan yang belum selesai di bagiannya untuk segera di selesaikan. Oleh karena itu ini akan memaksa operator sistem di tiap-tiap bagian untuk senantiasa segera menyelesaikan aplikasi yang sudah dibuat. Pengawasan dimaksud juga termasuk pengawasan yang dilakukan oleh Internal Auditor maupun External Auditor. Khusus untuk Internal Auditor saat ini sebelum melakukan audit laporan keuangan tahunan mereka akan mereview penerapan sistem informasi yang ada di Perusahaan untuk memastikan bahwa apakah sistem internal control yang ada di Perusahaan sudah memadai atau belum. Hal ini akan mempengaruhi proses audit yang akan mereka laksanakan.
5. Dukungan dari sisi sistem maintenance.
Dukungan ini diberikan oleh bagian IT yang bertanggung jawab bahwa sistem akan berjalan secara berkesinambungan, karena untuk beberapa bagian tertentu terdapat pekerjaan yang dilakukan secara bergantian / shift mengikuti jam kerja produksi selama 24 Jam. Jika terdapat perbaikan atau pemeliharaan sistem maka informasi tersebut akan disampaikan kepada semua pengguna sistem bahwa pada satu waktu yang ditentukan, sistem tidak dapat digunakan karena sedang/akan dilakukan pemeliharaan / maintenance. Oleh karena itu umumnya pelaksanaan pekerjaan tersebut dilakukan pada saat hari libur perusahaan secara keseluruhan misalnya libur Hari Raya Idul Fitri atau Libur Tahun baru setiap tahunnya.
6. Jumlah pengguna dan lokasi
Mungkin salah satu faktor yang mendukung penerapan sistem informasi di Perusahaan adalah karena jumlah pengguna sistem yang tidak terlalu banyak hanya dibawah 1,000 pengguna dan hanya melibatkan penggunanya di 3 tempat / lokasi saja. Dapat dibayangkan misalnya dengan pengguna yang sama akan tetapi melibatkan misalnya 100 tempat yang berbeda akan menghadapi tingkat kompleksitas dan resiko yang berbeda, dimana tentunya lokasi yang lebih banyak akan semakin kompleks dan memiliki resiko yang lebih besar terjadinya ganguan penggunaan sistem operasional.
• Analisis faktor-faktor yang mempengaruhi alasan Kegagalan Penerapan Sistem Informasi
1. Tidak secara full package diterapkan terutama hanya terkait dengan Accounting, Inventory, Purchasing, Sales. Oleh karena itu perusahaan masih memiliki peluang untuk mengembangkan kebutuhan atas kecepatan dan akurasi data dan informasi di luar area yang sudah dapat dimiliki oleh sistem yang ada misalnya sistem Human Resources, Fixed Asset Management dan lainnya yang terintegrasi dengan sistem yang sekarang sudah ada. Akan tetapi ini kembali kepada kebutuhan perusahaan atas kepuasan penyediaan data dan informasi terhadap area tersebut yang saat ini dijalankan, apalagi kebutuhan dana investasi tentunya tidaklah kecil yang dapat dialokasikan kepada kebutuhan yang lebih mendesak bagi Perusahaan.
2. Untuk perbaikan dilakukan oleh sistem engineer dari perusahaan induk sehingga membutuhkan waktu dan biaya yang lebih besar, demikian juga penyimpanan server ditempatkan tidak di kantor Perusahaan tetapi di luar negeri di tempat perusahaan induk berada.

Nama : Sefnia Lindasari
NIM/off : 140411605385 /GG
Prodi : S1 Pendidikan Tata Niaga
STUDI KASUS PT XYZ
Penerapan Sistem Informasi di Perusahaan
PT XYZ, sebuah perseroan terbatas yang beralamat di Jakarta. Bidang usaha yang dijalankan oleh Perusahaan adalah sebagai perusahaan manufaktur komponen kendaraan bermotor baik roda dua maupun roda empat serta melakukan perdagangan impor dan ekspor serta melakukan perdagangan besar.
Saat ini Perusahaan mengimplementasikan penerapan Sistem Informasi sebagai berikut:
1. SAP system ( Purchase, Sales, Inentory Management, Finance & Accounting )
2. EXP system,
3. Barcode system,
4. HRIS system,
5. BI (Business intelligence) system,
6. System untuk Factory Operations,
7. CRM (Customer Relationship Management) System.
8. Dan lain-lain
Secara umum penerapan Sistem Informasi utama yang diimplementasikan oleh Perusahaan sudah berjalan dengan baik. Indikasi keberhasilan tersebut adalah kecepatan dalam memberikan data dan informasi yang dibutuhkan secara tepat waktu. Hal lain juga dapat dilihat dari tingkat gangguan yang terjadi yang terkait dengan sistem informasi sangat jarang terjadi sampai mengganggu operasional pekerjaan, sebab pekerjaan operasional tidak seluruhnya menggunakan sistem informasi secara online antara lokasi Pabrik 1 dan Pabrik 2 serta dengan kantor pusat di Jakarta. Artinya jika misalnya terjadi gangguan jaringan, sistem masih dapat dijalankan melalui proses manual yang kemudian nanti diinput pada saat sistem sudah kembali beroperasi. Demikian juga proses yang dilakukan oleh Pabrik 1 terpisah dengan Pabrik 2 artinya jika terjadi permasalahan sistem informasi di satu pabrik tidak akan mengganggu sistem informasi di Pabrik lainnya.
Dalam pembahasan di makalah ini kami akan fokuskan pada pengamatan atas pelaksanaan sistem informasi pada penerapan aplikasi SAP. Sistem ini telah diterapkan di perusahaan sejak tahun 2009 menggantikan sistem yang lama. Pengguna dari sistem ini terutama mulai dari pembelian bahan baku untuk produksi dan pembelian lainnya, pengelolaan persediaan bahan baku, penghitungan barang setengah jadi, pengelolaan transfer antara produksi ke gudang persediaan barang jadi, penyimpanan dan pengelolaan barang jadi, alokasi dan pengiriman barang jadi antara gudang pabrik 1 dan pabrik 2, pengelolaan pengaturan penjualan barang jadi untuk ekspor dan penjualan dalam negeri, kemudian sistem juga digunakan untuk masing-masing bagian dalam pengeluaran belanja kebutuhan operasional kantor, sampai kepada muaranya adalah bagaimana penyusunan laporan keuangan perusahaan.
• Analisis atas alasan keberhasilan Penerapan Sistem Informasi
Faktor-Faktor yang mendukung alasan keberhasilan Penerapan Sistem Informasi adalah sebagai berikut:
1. Dukungan dari manajemen.
Dukungan ini diberikan oleh Direktur Keuangan yang pada awal implementasinya sekaligus bertanggung jawab sebagai Pimpinan proyek penerapan SAP di Perusahaan.
2. Keterlibatan end user.
End User adalah meliputi para operator dan seksi yang terkait juga mendukung proyek ini, karena ini akan mempengaruhi kinerja masing-masing Seksi/Bagian, Departemen, maupun Divisi yang digambakan ke dalam target masing-masing Seksi, Departmen maupun Divisi dalam hal ini keterlibatan adalah seluruh Seksi/Bagian di Perusahaan. Sistem yang ada juga memungkinkan pengawasan yang dilakukan oleh atasan tiap-tiap bagian, seperti di uraikan di bawah nanti, untuk mengawasi pelaksanaan pekerjaan yang dilakukan melalui sistem yang belum selesai setiap periode untuk segera diselesaikan oleh pengguna sistem baik operator maupun end user lainnya.
3. Kemudahan dalam pengoperasian.
Dengan didukung pelatihan-pelatihan yang diadakan pada awal penerapan sistem tersebut maka semakin mempermudah dan makin mahir para operator / pengguna sistem dalam pemakaian sistem operasional harian. Hal ini diperkuat lagi dengan tingkat penggantian tenaga yang mengoperasikan sistem tidak sering berganti-ganti dengan ditunjukannya tingkat turn-over pegawai yang sangat rendah. Demikian juga jika terjadi penggantian satu tenaga operator sistem yang terjadi karena perpindahan tempat kerja maka bagian tersebut yang bertanggung jawab untuk memberikan pelatihan dan serah terima pekerjaan, sedangkan bagian IT hanya akan membantu dari sisi dukungan teknis.
4. Pengawasan secara regular.
Pekerjaan yang masih menggantung (belum selesai) di satu bagian akan dapat dilihat statusnya di oleh pejabat yang memiliki otoritas yang lebih tinggi atau bagian yang memantau pelaksanaan sistem. Atasan masing-masing bagian juga turut mengawasi pekerjaan-pekerjaan yang belum selesai di bagiannya untuk segera di selesaikan. Oleh karena itu ini akan memaksa operator sistem di tiap-tiap bagian untuk senantiasa segera menyelesaikan aplikasi yang sudah dibuat. Pengawasan dimaksud juga termasuk pengawasan yang dilakukan oleh Internal Auditor maupun External Auditor. Khusus untuk Internal Auditor saat ini sebelum melakukan audit laporan keuangan tahunan mereka akan mereview penerapan sistem informasi yang ada di Perusahaan untuk memastikan bahwa apakah sistem internal control yang ada di Perusahaan sudah memadai atau belum. Hal ini akan mempengaruhi proses audit yang akan mereka laksanakan.
5. Dukungan dari sisi sistem maintenance.
Dukungan ini diberikan oleh bagian IT yang bertanggung jawab bahwa sistem akan berjalan secara berkesinambungan, karena untuk beberapa bagian tertentu terdapat pekerjaan yang dilakukan secara bergantian / shift mengikuti jam kerja produksi selama 24 Jam. Jika terdapat perbaikan atau pemeliharaan sistem maka informasi tersebut akan disampaikan kepada semua pengguna sistem bahwa pada satu waktu yang ditentukan, sistem tidak dapat digunakan karena sedang/akan dilakukan pemeliharaan / maintenance. Oleh karena itu umumnya pelaksanaan pekerjaan tersebut dilakukan pada saat hari libur perusahaan secara keseluruhan misalnya libur Hari Raya Idul Fitri atau Libur Tahun baru setiap tahunnya.
6. Jumlah pengguna dan lokasi
Mungkin salah satu faktor yang mendukung penerapan sistem informasi di Perusahaan adalah karena jumlah pengguna sistem yang tidak terlalu banyak hanya dibawah 1,000 pengguna dan hanya melibatkan penggunanya di 3 tempat / lokasi saja. Dapat dibayangkan misalnya dengan pengguna yang sama akan tetapi melibatkan misalnya 100 tempat yang berbeda akan menghadapi tingkat kompleksitas dan resiko yang berbeda, dimana tentunya lokasi yang lebih banyak akan semakin kompleks dan memiliki resiko yang lebih besar terjadinya ganguan penggunaan sistem operasional.
• Analisis faktor-faktor yang mempengaruhi alasan Kegagalan Penerapan Sistem Informasi
1. Tidak secara full package diterapkan terutama hanya terkait dengan Accounting, Inventory, Purchasing, Sales. Oleh karena itu perusahaan masih memiliki peluang untuk mengembangkan kebutuhan atas kecepatan dan akurasi data dan informasi di luar area yang sudah dapat dimiliki oleh sistem yang ada misalnya sistem Human Resources, Fixed Asset Management dan lainnya yang terintegrasi dengan sistem yang sekarang sudah ada. Akan tetapi ini kembali kepada kebutuhan perusahaan atas kepuasan penyediaan data dan informasi terhadap area tersebut yang saat ini dijalankan, apalagi kebutuhan dana investasi tentunya tidaklah kecil yang dapat dialokasikan kepada kebutuhan yang lebih mendesak bagi Perusahaan.
2. Untuk perbaikan dilakukan oleh sistem engineer dari perusahaan induk sehingga membutuhkan waktu dan biaya yang lebih besar, demikian juga penyimpanan server ditempatkan tidak di kantor Perusahaan tetapi di luar negeri di tempat perusahaan induk berada.

Studi Kasus Septyan Adhi Kristanto (Laporan Rahasia)

On By manajemenkeamananMeninggalkan komentar

NAMA            : SEPTYAN ADHI KRISTANTO

NIM                : 140411604306 / OFF. GG

PRODI            : S1 PENDIDIKAN TATA NIAGA
Analisis Studi Kasus !!

Sumber           : Buku  “ Sistem Informasi Manajemen”  Reymond McLeod Jr & George

  1. Schell

 

LAPORAN RAHASIA

 

Perusahaan Anda, Fair Heights, disewa oleh perushahaan lain untuk melakukan pemeriksaan latar belakang terhadap para eksekutif perusahaan. Para eksekutif ini biasanya adalah manajer senior perusahaan dengan jabatan wakil presiden atau lebih tinggi. Kebanyakan pemeriksaan ini dilakukan pada eksekutif yang dipertimbangkan untuk menjabat suatu posisi , namum terkadang anda juga melakukan pemeriksaan pada eksekutif yang sedang menjabat. Pengumpulan informasi ini bukanlah jasa utama yang disediakan oleh Fair Heights. Analisis informasi dan rekomendasi keamanan adalah layanan yang membuat perusahaan Anda Unik.

 

Selama 10 tahun terakhir, Fair Heigh selalu menyediakan laporan untuk kliennya secara pribadi atau dalam laporan teartulis yang dikirmkan oleh seorang kurir. Permintaan untuk membuat rekomendasi ini tersedia di Internet semakin meningkat. Alasannya adalah karena perusahaan ini adalah perusahaan multinasional dan mengumpulkan eksekutif – eksekutif utama untuk mempelajari laporan Fair Heights akan menjadi suatu hal yang sulit atau mahal untuk dilakukan. Pengaturan ini dapat menyebabkan penundaan dan perusahaan-perusahaan tersebut menginginkan informasi penting ini dikirimkan secepat mungkin.

 

Pergantian ke laporan berbasis Web tidak dapat dicegah lagi. Tugas Anda adalah membuat laporan untuk komite perencanaan yang mengidentifikasi dan menjawab isu-isu penting.

 

 

Analisis Studi Kasus

Tujuan Keamanan Informasi

Keamanan Informasi ditujuan untuk mencapai tiga tujuan utama : Kerahasiaan, Ketersediaan, dan Integritas

 

  • Keamanan

Laporan Fair Heights yang dapat diakses melalui web dapat bersifat keamanan apabila di dalam web tersebut diberi sistem keamanan yang diinstall di dalam web tersebut. Laporan yang berbasis web dapat memberikan keamanan pada data atau informasi manajemen dengan cara melakukan pembatasan kepada hak akses penggunaan sistem informasi. Web tersebut hanya dapat diakses oleh  para pejabat penting perusahaan yang memiliki kepentingan. Dengan adanya pemabatasan akses tersebut akses keamanan dari sistme informasi tersebut dapat terjaga.

 

  • Ketersediaan

 

Dengan adaanya Laporan Web yang dimiliki oleh Fair Heights diharapkan para pemangku kepentingan dapat mendapat informasi yang mereka butuhkan dengan baik dan tkdak memiliki kendala. Selain itu para para pemangku kepentingan dapat melakukan kegiatan update informasi dengan adanya laporan penjuaan ini.

  • Integritas

 

Dengan adanya laporan web tersebut perusahaan dapat menggunakannya untuk mendapat nilai positif yang dapat diambil. Selain itu dengan laporan yang terupload di web juga dapat menambah mudahnya aksesbilitas dari pengguna dan pemakai.

 

 

 

 

 

 

 

 

 

Ancama Sistem Informasi yang berupa Laporan Web

Ancaman Internal dan Eksternal

Ancaman Internal dari Laporan web mencakup para pemegang kekuasaan wb, tetapi juga pekerja temporer, dan juga mitra bisnis tersebut. Hak akses yang digunakan web yang berisi laporan penjualan tersebut harus dijaga dengan baik agar tidak jatuh kepada orang yang kurang bertanggung jawab. Dan juga Sistem Informasi harus dibuat sesederhana mungkin untuk agar dapat membuat nyaman para penggunanya.

 

Selain virus dan hacker juga harus diperhatikan oleh perusahaan pengguna laporan web tersebut. Apabila laporan web tersebut terkena virus dan hacker maka web atau laporan tersebut akan mengalami kerusakan dan dapat tidak digunakan secara optimal lagi.

 

Untuk itu ada beberapa cara dapat digunakan agar laporan web tersebut aman dari ancaman-ancaman tersebut baik secara eksternal maupun internal yaitu menjalankan kebiajakan keamanan informasi dan pengendalian. Kebijakan keamanan informasi meliputi :

 

  • Inisiasi proyek
  • Penyusunan kebijakan
  • Konsultasi dan persetujuan
  • Kesadaran dan pendidikan
  • Penyebarluasan kebijakan

 

Selain itu agar perusahaan aman dapat juga digunakan pengendalian akses yang dapat berupa penggunaan password dan username dalam web sehingga dapat dilakukan pembatasan akses secara maksimal dan optimal

 

 

 

 

Saran

 

Agar laporan web bagi para pemangku kepentingan dapat efektif perlu dilakukan hal-hal berikut ini yaitu :

 

  • Memasang dan memelihara Firewall
  • Selalu mengupdate atau memperbarui keamanan yang telah dimiliki
  • Memberikan id user yang dapat berupa username dan password bagi para pengguna sistem informasi
  • Secara teratur menguji sistem keamanan yang dipasan di web
  • Membatasi akses data kepada orang-orang yang ingin tahu
  • Melakukan pengecakan data kepada database data yang disimpan
  • Melakukan pengecekan data kepada database tabase yang telah diudate.

 

 

Sheila Apriliawati (Analisis Studi Kasus BCA)

On By manajemenkeamananMeninggalkan komentar

ANALISIS STUDI KASUS MANAJEMEN KEAMANAN INFORMASI DAN MANAJEMEN UNTUK KEBERLANGSUNGAN BISNIS

UNTUK MEMENUHI TUGAS MATAKULIAH
Sistem Informasi Manajemen
yang dibina oleh
Drs. H. Mohammad Arief, M.Si

download

oleh:
Sheila Apriliawati (120413423846)

UNIVERSITAS NEGERI MALANG
FAKULTAS EKONOMI
JURUSAN MANAJEMEN
November 2015

Lanjutkan membaca “Sheila Apriliawati (Analisis Studi Kasus BCA)”

Biodata Mahasiswa Kelompok 7

On By manajemenkeamananMeninggalkan komentar

BIODATA MAHASISWA

 Sefnia Lindasari (140411605385)

Nama                 :     Sefnia Lindasari

Nim                    :    140411605385

FB (Link)           :  Sefnia Linda Sari

septiarani saputri widodo (140411600714)

Nama                    :           Septiarani Saputri Widodo    

NIM                       :           140411600714

 FB (Link FB)     ;           Septyarani Saputri 

Septyana Putri (140411603728)

Nama     :           Septyana Putri

NIM       :           140411603728

FB Link  :            Septyana Putri

10675712_848692595171970_1539748616629656469_n

Nama             :           Septyan Adhi Kristanto

NIM               :           140411604306 

Fb (Link)      :          Septyan Adhi Kristanto 

sheilla (2)

Nama          :           Sheila Apriliawati               

NIM            :           120413423846

FB (link)    :           Sheila Apriliawati

Makalah Kelompok 7 (Manajemen Keamanan)

On By manajemenkeamananMeninggalkan komentar

MANAJEMEN KEAMANAN INFORMASI DAN MANAJEMEN UNTUK KEBERLANGSUNGAN BISNIS

MAKALAH

UNTUK MEMENUHI TUGAS MATAKULIAH

Sistem Informasi Manajemen

yang dibina oleh

oleh:

Sefnia Lindasari                   (140411605385)

Septian Adi Kristanto          (140411604306)

Septiana Putri                       (140411603728)

Septiarani Saputri Widodo  (140411600714)

Sheila Apriliawati                (120413423846)

 

 

UNIVERSITAS NEGERI MALANG

FAKULTAS EKONOMI

JURUSAN MANAJEMEN

September 2015

BAB I

PENDAHULUAN

  • Latar Belakang

Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industry telah lama menyadari kebutuhan untuk menjaga keamanan dari para kriminala computer, dan sekarang pemerintah telah  mempertinggi tingkat keamanan sebagai salah satu cara untuk mengurangi terorisme. Ketika organisasi-organisasi ini mengimplementasikan pengendalian keamanan, isu-isu utama mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.

Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan serta integritas pada semua sumber daya informasi perusahaan, bukan hanya untuk piranti keras dan data. Manajemen keamanan informasi (information security management-ISM) dan persiapan-persiapan oprasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis(business continuity management-BCM).

Dua pendekatan dapat dilakukan untuk menyusun strategi-strategi ISM, manajemen resiko dan kepatuhan tolok ukur. Perhatian akan ancaman dan resiko berhubungan dengan pendekatan manajemen resiko. Ancaman dapat bersifat internal atau eksternal, tidak disengaja atau disengaja. Resiko dapat mencakup insiden pengungkapan, penggunaan dan modifikasi yang tidak diotorisasi serta pencurian, penghancuran dan penolakan layanan. Ancaman yang paling ditakuti adalah virus computer. E-commercy telah menghasilkan resiko tertentu, namun beberapa respons khusus telah dilakukan oleh organisasi seperti American Epress dan Visa

Ada tiga jenis pengendalian yang tersedia. Pengendalian teknis terdiri atas pembatasan akses, firewall, kriptografi dan pengendalian fisik. Pengendalian formal bersifat tertulis dan memiliki harapan hidup jangka panjang. Pengendalaian informal ditujukan agar menjaga para karyawan perusahaan memahami dan mendukung kebijakan-kebijakan keamanan.

Sejumlah pihak pemerintah menentukan standard an menetapkan peraturan yang mempengruhi keamanan informasi. Asosiasi-asosiasi industry juga telah menyediakan berbagai standard an sertifikasi professional.

Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk (1) menjaga keamnana karyawan, (2) memungkinkan keberlangsungan operasional degan cara menyediakan fasilitas computer cadangan serta, (3) melindungi catatan penting perusahaan. Perusahaan-perusahaan yang ingin mengembangkan rencana kontijensi baru tidak harus memulainya dari awal, beberapa model berbasis piranti lunak tersedia, seperti halnya garis besar dan panduan dari pemerintahan.

Untuk Selengkapnya dapat mendownload dibawah ini..

Lanjutkan membaca “Makalah Kelompok 7 (Manajemen Keamanan)”

MANAJEMEN KEAMANAN INFORMASI DAN MANAJEMEN UNTUK KEBERLANGSUNGAN BISNIS

On By manajemenkeamananMeninggalkan komentar
  • Kebutuhan Organisasi akan Keamanan dan Pengendalian

            Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang viaetnam ketika sejumlah instalasi keamanan komputer dirusak pemrotes. Pengalaman ini menginspirasi kalangan industri untuk meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengnan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan.

Pendekatan-pendekatan yang dimulai di kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini diimplementasikan, dua isu penting harus diatasi yakni keamana versus hak-hak individu dan keamaan versus ketersediaan.

  • Keamanan Informasi

Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindunga peranti keras data maka istilah keamanan sistem digunakan. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

  • Tujuan Keamanan Informasi

Keamanan informasi ditujuakn untuk mencapai tiga tujuan utama yakni:

  1. Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
  2. Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
  3. Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya.
  • Manajemen Keamanan informasi

Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM).

Jabatan direktur keamanan sistem informasi perusahaan (coorporate information system security officer – CISSO) digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem informasi yang bertanggung jawab atas keamanan sistem informasi perusahaan tersebut.

  • Manajemen Keamanan Informasi

Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap yakni:

  1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan
  2. Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
  3. Menentukan kebijakan keamanan informasi
  4. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.

Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan informasi (information security benchmark) adalah tingkat kemanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.standar atau tolak ukur semacam ini ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program keamanan informais yang baik menurut otoritas tersebut.

Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.

  • Ancaman

Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.

  • Ancaman Internal dan Eksternal

Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha.

  • Tindakan Kecelakaan dan disengaja

Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar perusahaan.

Jenis- Jenis Ancaman:

Malicious software, atau malware terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya, yakni:

  1. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain
  2. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail
  3. Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat
  4. Program yang memunculkan pesan-pesan iklan yang mengganggu
  5. Program yang mengumpulkan data dari mesin pengguna
  • Risiko

Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:

  1. Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
  2. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
  3. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi.
  4. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.
  • Manajemen Risiko (Management Risk)

Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :

  1. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
  2. Menyadari risikonya
  3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
  4. Menganalisis kelemahan perusahaan tersebut