IMAGINATION & CREATION: Pembangunan Sistem Informasi dan Keamanan Sistem

A. Pembangunan Sistem Informasi (SI)
1. Pertimbangan Dalam Pembangunan Sistem Informasi (SI)
Dalam membangun SI, kadang ada hal yang penting yang sering terlupakan yaitu berorientasi pada user. Sering SI yang dibagun lebih berorientasi pada pembuat dan hal ini dapat diamati seperti: (1) Kurang user friendly; (2) Kurang memberi rasa nyaman dan interaktif (3)Tampilan sulit dipahami; (4) User dipaksa mengikuti proseur yang dibangun (kurang dinamis dan kaku). Jadi dalam membangun SI, kelemahan SI yang berorientasi pembuat sedapat mungkin dihindari.

Dalam pembangunan SI terdapat beberapa hal yang harus dipertimbangkan yaitu:
a. Efisiensi dan efektivitas
SI yang dibangun hendaknya tepat guna yaitu sesuai dengan kebutuhan dan tuntutan user.
b. Prosedur pemasukan data sesingkat mungkin
Usahakan prosedur pemasukan data sebagai input dan yang akan diolah oleh SI nantinya praktis dan tidak berbelit-belit.
c. Sistem harus dapat mengoptimalkan pemanfaatan sumber daya yang dimiliki perusahaan;
d. Tren masa depan
Sesuai dengan tuntutan kebutuhan saat itu dan tidak ketinggalan jaman
e. Efisiensi pembiayaan
Anggaran biaya yang telah diperhitungkan secermat mungkin dengan melihat berbagai aspek untuk mendapatkan hasil yang optimal
f. Integritas dan kemanan data
Terpadu dan Saling terkait serta adanya keamanan bagi data yang dimasukkan dan yang disimpan
g. Interaktif
Interaktif harus memerhatikan ruang gerak mata, sarana komunikasi, mudah digunakan. Di sini, Agar sistem mudah digunakan, maka harus memerhatikan teknik perancangan sistem yaitu:
1. Perancangan berbasis pemakai
2. Perancangan secara partisipatif
3. Perancangan eksperimental harus melibatkan pemakai
4. Perancangan secara iteratif harus melibatkan pemakai agar perancangan dan pengujian dan pengukuran yang selalu dilakukan berulang-ulang dengan prosedur yan tetap dapat memenuhi spesifikasi yang ditentukan oleh pemakai.

2. Metode Pembangunan Sistem Informasi
1) Metode Prototype
a. Prototype 1
Adapun langkah-langkah dalam prototype 1 yaitu:
1. Mengidentifikasi kebutuhan pemakai. Hal ini dapat dilakukan dengan cara Study kelayakan dan kebutuhan bagi pemakai.
2. Mengembangkan prototype termasuk di dalamnya Pemodelan sistem
3. Menentukan prototype dimana pemesan menentukan model yang sesuai
4. Penggunaaan prototype dimana pemrogram megimplementasikan model ke dalam sistem
b. Prototype 2
Prosedurnya terdiri atas: (1) Mengientifikasi kebutuhan pemakai; (2) Mengembangkan prototype; (3) Menentukan prototype; (4) Mengadakan sistem operasional; (5) Menguji sistem operasional; (6) Menentukan sistem operasional; (7) Implementasi sistem.

2) Metode Daur Hidup (Life Cycle)
Prosedur metode daur hidup adalah:
1. Perencanaan
Yang dilakukan dalam perencanaan adalah Identifikasi masalah, kemudian menentukan tujuan pembuatan sistem dan mengidentifikasi kendala. Tahap ini penting karena:
-Permasalahan yang sebenarnya didefinisikan dan diidentifikasikan secara rinci.
-Pembangunan SI harus diarahkan pada peningkatan keunggulan kompetitif
-Perubahan aliran informasi akan terjadi secara besar-besaran di dalam organisasai
-Implementasi teknologi akan membawa dampak bagi tenaga kerja di dalam organisasi
Adapun keuntungan perencanaan SI berbasis komputer yaitu:
a. Meningkatkan komunikasi antara manajer , pemakai dan pembuat
b. Meningkatkan efektifitas penggunaan sumber daya organisasi
c. Mendukung komunikasi untuk pertanggung jawaban kegiatan yang dilakukan oleh individu maupun departemen
d. Mendukung proses evaluasi
e. Memungkinkan para manajer untuk mengelola pembangunan sistem jangka panjang
Implikasi dari proses perencanaan SI adalah:
1. Para pengelola harus terlibat langsung dan meluangkan waktu untuk belajar guna pengetahui skala dan potensi dari teknologi komputer ahng akan diterapkan untuk pembangunan Sim
2. Perencanaan ini mendorong para manajer untuk berfikir integral antar departemen
3. Para staf level operasional yang tidak trampil dalam mengoperasikan teknologi akan pensiun
4. Mendorong terbentuknya suatu keunggulan kompetitif sehingga situasi persaingan antar organisasi akan semakin kompleks
5. Para pelanggan akan mendapatkan pelayanan yang lebih baik.

2. Analisis
Aspek-aspek yang dianalisis berupa:
a. Kelayakan teknis termasuk di dalamnya perangkat keras, perangkat lunak dan organisasi.
b. Pengembalian ekonomis seperti penghematan yang dapat dilakukan, Peningkatan pendapatan dan keuntungan.
c. Pengembalian non ekonomis berupa ketersediaan informasi yang akurat dan up to date setiap saat, citra perusahaan, moral karyawan, layanan konsumen semakin memikat, penguatan posisi perusahaan terhadap pesaingnya, hukum dan etika.
d. Opersional, Apakah sistem dapat diimplementasikan
- Tempat
- Lingkungan
- SDM
e. Jadwal

3. Perancangan
Dalam perancangan, komponen-komponen yang harus diperhatikan adalah:
1. Kebutuhan perusahaan
2. Kebutuhan operator
3. Kebutuhan pemakai
4. Kebutuhan teknis, termasuk di dalamnya:
-Arsitektur dan konfigurasi sistem
-Peralatan dan teknologii yang digunakan
-Multimedia
-Interface
-Database
-Perangkat lunak

4. Penerapan
Penerapan terdiri atas:
a. Paket aplikasi
b. Pengembangan sendiri oleh staf
c. Pengembangan yang dilakukan dengan kerjasama dengan pihak luar (outsourcing)

5. Evaluasi
-Uji coba dapat dilakukan secara bertahap
-Mengecek alur sistem secara keseluruhan
-Pengecekan sampel data
-Pengecekan dengan data yang sesungguhnya

6. Penggunaan dan pemeliharaan

3) Metode Spiral
Metode spiral merupakan penggabungan antara metode prototype dan daur hidup.
Metode spiral ini lambat dan mahal karena:
1. Setiap tahapan harus mengikutsertakan pemesan
2. Butuh perhatian ahli untuk merespon keinginan pemesan
3. Permintaan pemesan bisa melebar dan meluas

B. Keamanan Sistem
Setelah suatu sistem informasi dibangun, maka keamanan merupakan salah satu faktor penting agar apa yang telah di bangun dapat bertahan dan terjaga stabilitasnya. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi / ditiadakan. Pada hal, keamanan sistem bertujuan untuk menanggulangi kemungkinan akses data penting (rahasia) dari orang-orang yang tidak seharusnnya

1. Kejahatan komputer (computer crime)
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi akan terus meningkat dikarenakan beberapa hal, antara lain :
a. Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat.
b. Desentralisasi (distributed) server menyebabkan lebih banyak sistem yang harus ditangani. Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga kemungkinan harus disebar di seluruh lokasi. Padahal mencari operator dan administratoryang handal adalah sangat sulit.
c. Transisi dari single vendor ke multi-vendor sehingga lebih banyak sistem / perangkat yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah apalagi harus menangani berjenis-jenis perangkat.
d. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain / membongkar sistem yang digunakannya.
e. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.
f. Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman).
g. Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Hal ini membuka akses dari seluruh dunia. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.

2. Klasifikasi Kejahatan Komputer
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang hanyamengesalkan (annoying). Berdasarkan lubang keamanan, keamanan dapat diklasifikasikanmenjadi empat, yaitu :
a. Keamanan yang bersifat fisik (physical security) : termasuk akses orang ke gedung,
peralatan dan media yang digunakan.
b. Keamanan yang berhubungan dengan orang (personel) : termasuk identifikasi dan profil risiko dari orang yang mempunyai akses (pekerja).
c. Keamanan dari data dan media serta teknik komunikasi (communications). Yang termasuk di dalam kelas ini adalah kelemahan dalam
software yang digunakan untuk mengelola data.
d. Keamanan dalam operasi : termasuk prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan dan juga termasuk prosedur setelah serangan (post attack recovery).

3. Aspek-aspek Keamanan Komputer
Keamanan komputer (computer security) melingkupi empat aspek, yaitu privacy, integrity,authentication dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan nonrepudiation.
a. Privacy / Confidentiality
Inti utama aspek privacy / confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaransebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.
b. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse / pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi.
c. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli / orang yang mengakses / memberikan informasi adalah betul-betul orang yang dimaksud. Masalah pertama, membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature.
d. Availability
Aspek availability / ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang / dijebol dapat menghambat / meniadakan akses ke informasi.
e. Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya
berhubungan dengan masalah authentication dan juga privacy.
f. Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi.
Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat
menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal
electronic commerce. Penggunaan digital signature dan teknologi kriptografi secara umum
dapat menjaga aspek ini.

4. Serangan Terhadap Keamanan Sistem Informasi
Security attack / serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer / jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Ada beberapa kemungkinan serangan (attack) :
a. Interruption : Perangkat sistem menjadi rusak / tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”.
b. Interception : Pihak yang tidak berwenang berhasil mengakses aset / informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
c. Modification : Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang merugikan pemilik web site.
d. Fabrication : Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.
Contoh dari serangan jenis ini adalahmemasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer.
5. Dasar-dasar (principles) dan teori-teori yang digunakan untuk pengamanan sistem informasi
1. Kriptografi
Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman. “Crypto” berarti “secret” (rahasia) dan “graphy” berarti “writing”. Para pelaku / praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik (cryptographic algorithm) disebut cipher, merupakan persamaan matematik yang digunakan untuk proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dan dekripsi) tersebut memiliki hubungan matematis yang cukup erat. Proses yang dilakukan untuk mengamankan
sebuah pesan (yang disebut plaintext) menjadi pesan yang tersembunyi (disebut ciphertext)
adalah enkripsi (encryption). Ciphertext adalah pesan yang sudah tidak dapat dibaca dengan
mudah. Terminologi yang lebih tepat digunakan adalah “encipher”. Proses sebaliknya, untuk
mengubah ciphertext menjadi plaintext, disebut dekripsi (decryption). Terminologi yang lebih tepat untuk proses ini adalah “decipher”. Cryptanalysis adalah seni dan ilmu untuk memecahkan ciphertext tanpa bantuan kunci. Cryptanalyst adalah pelaku atau praktisi yang menjalankan cryptanalysis.
2. Enkripsi
Enkripsi digunakan untuk menyandikan data-data / informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak. Dengan enkripsi, data disandikan (encrypted) dengan menggunakan sebuah kunci (key). Untuk membuka (decrypt) data tersebut digunakan juga sebuah kunci yang dapat sama dengan kunci untuk mengenkripsi (untuk kasus private key cryptography) / dengan kunci yang berbeda (untuk kasus public key cryptography).

6. Sumber lubang keamanan
Lubang keamanan (security hole) dapat terjadi karena beberapa hal, yaitu:
a. Salah Disain
Lubang keamanan yang ditimbulkan oleh salah desain umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Akibat disain yang salah, maka biarpun dia diimplementasikan
dengan baik, kelemahan dari sistem akan tetap
ada.
b. Implementasi kurang baik
Lubang keamanan yang disebabkan oleh kesalahan implementasi sering terjadi. Banyak program yang diimplementasikan secara terburuburu sehingga kurang cermat dalam pengkodean. Akibatnya cek atau testing yang harus dilakukan menjadi tidak dilakukan.
c. Salah konfigurasi
Meskipun program sudah diimplementasikan dengan baik, masih dapat terjadi lubang
keamanan karena salah konfigurasi. Contoh masalah yang disebabkan oleh salah konfigurasi
adalah berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi
“writeable”.
d. Salah menggunakan program atau sistem
Salah penggunaan program dapat juga mengakibatkan terjadinya lubang keamanan. Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal.

7. Penguji keamanan sistem
Dikarenakan banyaknya hal yang harus dimonitor, administrator dari sistem informasi membutuhkan “automated tools”, perangkat pembantu otomatis, yang dapat membantu menguji atau mengevaluasi keamanan sistem yang dikelola. Untuk sistem yang berbasis UNIX ada beberapa tools yang dapat digunakan, antara lain:
• Cops
• Tripwire
• Satan/Saint
• SBScan: localhost security scanner
Untuk sistem yang berbasis Windows NT ada juga program semacam, misalnya program Ballista yang dapat diperoleh dari : http://www.secnet.com. Selain program-program (tools) yang terpadu (integrated) seperti yang terdapat pada daftar di atas, ada banyak program yang dibuat oleh hackers untuk melakukan “coba-coba”. Programprogram seperti ini, yang cepat sekali bermunculuan, biasanya dapat diperoleh (download) dari Internet melalui tempat-tempat yang berhubungan dengan keamanan, seperti misalnya “Rootshell”.

Sumber: