RANGKUMAN SIM Chapter 8 : MELINDUNGI SISTEM INFORMASI Jika kita menjalankan bisnis hari ini, prioritas utama yang perlu dikendalikan adalah keamanan, mengacu pada perlindungan system informasi dengan kebijakan, prosedur, dan teknis/ langkah-langkah yang digunakan untuk mencegah akses yang tidak sah, perubahan, pencurian, atau kerusakan fisik untuk sistem informasi. Solusinya adalah dengan melakukan kontrol metode, kebijakan, dan organisasi prosedur yang menjamin keamanan aset organisasi; dan kepatuhan operasional standar manajemen.
A. KERENTANAN dan PENYALAHGUNAAN SISTEM KENAPA SISTEM itu RENTAN? Ketika sejumlah besar data yang disimpan dalam bentuk elektronik, mereka berpotensi diakses secara tidak sah, penyalahgunaan/ penipuan. Karena dengan penggunaan sistem klien, orang dapat mengakses sistem tanpa otorisasi, seperti mencuri data berharga selama transmisi, atau mengubah pesan tanpa otorisasi. Ancaman Yang Paling Umum Terhadap Informasi Kontemporer
KERENTANAN INTERNET Hacker dapat mengakses data yang mengalir dalam jaringan, mencuri data yang penting selama pengiriman, atau mengubah pesan tanpa izin di layanan email. Radiasi dapat mengganggu Internet dan jaringan. Penyusup dapat melancarkan serangan penolakan layanan (DoS) atau perantik lunak berbahaya yang bertujuan dapat menganggu ataupun kekacauan serius pada sistem. TANTANGAN KEAMANAN WIRELESS Wi-Fi merupakan standar untuk jaringan nirkabel mudah disusupi penyelundup menggunakan program sniffer untuk mendapatkan sebuah alamat sebagai sumber akses jaringan. Karena jaringan Wi-Fi di banyak lokasi tidak memiliki keamanan untuk melawan war driving. SOFTWARE BERBAHAYA : VIRUS, WORMS, TROJAN HORSES, dan SPYWARE Malware
merupakan program perangkat lunak berbahaya yang mengancam,
seperti virus komputer, worm, dan Trojan horse. Penyebaran virus dari komputer ke komputer lain ketika manusia mengirim lampiran e-mail atau menyalin file yang telah terinfeksi virus. Worms
merupakan perangkat lunak yang mengganggu operasional jaringan
computer/ menghancurkan data , yang menyebar dengan sendirinya. Trojan Horse merupakan program perangkat lunak yang tampak tak berbahaya namun sangat merusak, karena membuka gerbang untuk virus/kode berbahaya yang akan diperkenalkan ke system computer. Yang terkenal yaitu Zeus Trojan. Serangan injeksi SQL merupakan yang paling mengancam, karena memanfaatkan kerentanan dalam program aplikasi web yang buruk, untuk diperkenalkan kode berbahaya pada system perusahaan. Spyware merupakan teknologi yang membantu mengumpulkan informasi tentang seseorang atau organisasi secara sembunyi-sembunyi, dengan memasang dirinya di komputer untuk memantau kegiatan penelusuran web oleh user, dan menyisipkan iklan.
HACKER dan PENJAHAT KOMPUTER 1. Spoofing and Sniffing Hacker melakukan Spoofing dengan mengarahkan pelanggan ke situs web palsu yang terlihat hampir persis seperti situs yang benar, mereka kemudian dapat mengambil keuntungan darinya. Sniffer adalah jenis program penyadapan yang memonitor pengiriman informasi melalui
jaringan.
Ketika
digunakan
secara
sah,
sniffer
membantu
mengidentifikasi potensi titik masalah jaringan atau kegiatan kriminal pada jaringan, tetapi jika disalahgunakan maka sangat berbahaya dan sangat sulit untuk dideteksi pelakunya. Sniffer memungkinkan hacker untuk mencuri informasi kepemilikan darimana saja pada jaringan, termasuk pesan e-mail, file perusahaan, dan laporan rahasia. 2. Denial-of-Service Attacks (DoS) Hacker membanjiri Web server dengan ribuan komunikasi palsu atau permintaan untuk menghancurkan jaringan. 3. Computer Crime KOMPUTER SEBAGAI SASARAN
KOMPUTER SEBAGAI INSTRUMEN
KEJAHATAN
KEJAHATAN
Melanggar kerahasiaan data komputeri Pencurian rahasia dagang yang dilindungi Mengakses sistem komputer tanpa Penyalinan ilegal dari perangkat lunak otoritas
yang memiliki hak cipta, seperti artikel, buku, musik, dan video
Sengaja mengakses komputer yang Skema untuk menipu Menggunakan dilindungi untuk melakukan penipuan
email untuk ancaman atau pelecehan
Sengaja mengakses komputer yang Sengaja mencoba untuk mencegat dilindungi kerusakan.
dan
menyebabkan komunikasi elektronik secara Ilegal, mengakses komunikasi elektronik yang disimpan, termasuk e-mail dan pesan suara
Sengaja mentransmisi program, kode Menyisipkan pornografi pada anak program, atau perintah yang sengaja menggunakan computer menyebabkan kerusakan pada komputer yang dilindungi Mengancam
untuk
menyebabkan
kerusakan komputer yang dilindungi
4. Pencurian Identitas adalah pencurian informasi, seperti kartu kredit atau nomor jaminan sosial dengan tujuan mendapatkan layanan atas nama korban atau untuk mendapatkan data rahasia. Karena situs e-commerce adalah sumber informasi pribadi yang luar biasa karena menyimpan nama, alamat, dan data pribadi lainnya. Phising adalah bentuk penipuan melibatkan pembuatan halaman situs palsu atau pesan elektronik (e-mail) seolah-olah berasal dari pihak yang sah dan menanyakan data pribadi yang rahasia. Pharming adalah teknik phising yang mengarahkan pengguna ke halaman situs web palsu, bahkan saat seseorang mengetikkan alamat halaman situs yang seharusnya. 5. Click Fraud Penipuan lewat klik terjadi seseorang atau program computer dengan curang mengeklik sebuah iklan online tanpa maksud mempelajari lebih lanjut tentang pemasangan iklannya atau melakukan pembelian. Dimana sebenarnya itu berbayar. 6. Ancaman Global : Cyberterrorism and Cyberwarfare Kerentanan internet yang dapat disalahgunakan oleh teroris seperti pengambil alihan lalu lintas udara, dsb. ANCAMAN INTERNAL : KARYAWAN Kelalaian yang dilakukan karyawan, seperti lupa mempassword system computer, atau mengizinkan rekannya untuk menggunakan komputernya, atau mengizinkan pihak yang
berpura-pura menjadi anggota yang sah untuk mengakses informasi perusahaan menimbulkan social engineering. KERENTANAN PERANGKAT LUNAK : adanya bug (program tersembunyi) atau kode yang cacat. B. KEAMANAN dan PENGENDALIAN NILAI BISNIS Kurangnya keamanan suara dan kontrol dapat menyebabkan perusahaanperusahaan yang mengandalkan sistem komputer untuk fungsi inti bisnisnya, mengurangi penjualan dan produktivitas. Aset informasi, seperti karyawan rahasia catatan, rahasia dagang, atau rencana bisnis, kehilangan banyak nilai mereka jika mereka mengungkapkan kepada pihak luar atau jika mereka mengekspos perusahaan untuk tanggung jawab hukum. Undang-undang baru, seperti HIPAA, UU Sarbanes-Oxley, dan Gramm-Leach-Bliley Act, mengharuskan perusahaan untuk memanajemen catatan elektronik yang ketat dan mematuhi standar yang ketat untuk keamanan, privasi, dan kontrol. C. MEMBANGUN KERANGKA KEAMANAN DAN PENGENDALIAN 1. PENGENDALIAN SISTEM INFORMASI TIPE PENGENDALIAN
DESKRIPSI
UMUM Pengendalian Lunak
Perangkat Memantau penggunaan sistem perangkat lunak dan mencegah akses yang tidak sah dari program perangkat lunak, system software, dan program komputer.
Pengendalian Keras Pengendalian Komputer
Perangkat Memastikan perangkat keras komputer secara fisik aman, dan memeriksa kerusakan peralatan. Operasi Mengawasi pekerjaan departemen komputer untuk memastikan konsisten
bahwa
prosedur
diprogram
secara
dan
benar,
diterapkan
pada
penyimpanan
dan
pengolahan data. Pengendalian Keamanan Memastikan file data bisnis yang berharga tersimpan di Data
disk atau tape tidak diakses secara illegal, tidak mengubah, atau merusak saat sedang digunakan atau dalam penyimpanan.
Pengendalian
Mengaudit proses pengembangan sistem pada berbagai
implementasi
titik
untuk
memastikan
bahwa
proses
tersebut
dikontrol dan dikelola secara benar. Pengendalian
Meresmikan standar, aturan, prosedur, dan disiplin
administrasi
kontrol untuk memastikan bahwa organisasi dan kontrol aplikasi yang benar dijalankan dan ditegakkan.
2. PENILAIAN RESIKO Penilaian risiko menentukan tingkat risiko perusahaan jika aktivitas atau proses tidak terkontrol dengan baik. Manajer bisnis bekerja dengan sistem informasi spesialis harus mencoba untuk menentukan nilai aset informasi, poin dari kerentanan, frekuensi kemungkinan masalah, dan potensi kerusakan. 3. KEBIJAKAN KEAMANAN Terdiri dari laporan peringkat risiko informasi, mengidentifikasi tujuan keamanan, dan mekanisme untuk mencapai tujuan-tujuan ini. Seperti diterapkannya AUP (An acceptable use policy) 4. PEMULIHAN KEGAGALAN dalam PERENCANAAN dan PERENCANAAN BISNIS KONTINUITAS Pemulihan kegagalan dalam perencanaan berfokus pada teknis dalam pemeligaeaan system pencadangan computer. Sedangkan perencanaan bisnis
kontinuitas
berfokus pada bagaimana perusahaan dapat mengembalikan operasi bisnis setelah terjadi kegagalan. 5. PERATURAN MELAKUKAN AUDIT
Keamanan dilihat dari teknologi, prosedur, dokumentasi, pelatihan, dan personil. Mengudit secara keseluruhan bahkan akan mensimulasikan serangan atau bencana untuk menguji dan menilai dampak keuangan dan organisasi menghadapi setiap ancaman. D. TEKNOLOGI DAN ALAT UNTUK MELINDUNGI SUMBER INFORMASI 1. IDENTITAS MANAJEMEN DAN OTENTIKASI Keontentikan merupakan kemampuan seseorang untuk mengklaim sesuatu, misalkan dengan penggunaan password, token (perangkat, mirip dengan kartu identitas, yang dirancang untuk membuktikan identitas dari pengguna) atau kartu pintar (perangkat seukuran kartu kredit yang berisi chip yang diformat dengan izin akses dan data lainnya) 2. FIREWALLS, INTRUSION DETECTION SYSTEMS, dan ANTIVIRUS SOFTWARE Firewall mencegah pengguna yang tidak sah mengakses jaringan pribadi. Sistemnya digambarkan pada bagan :
Sistem deteksi intrusi merupakan fitur alat monitor 24 jam yang ditempatkan pada titik-titik yang paling rentan atau "hot spot" dari jaringan perusahaan untuk mendeteksi dan mencegah penyusup terus. Sistem ini menghasilkan alarm jika menemukan aktivitas yang mencurigakan. Perangkat lunak Antivirus dan Antispyware yang didesain untuk mengecek system computer dan melindungi dari virus. Seperti : McAfee, Symantec, and Trend Micro Ad-Aware, Spybot S&D, dan Spyware Doctor 3. Melindungi Jaringan Nirkabel dengan menggunakan virtual private network (VPN) 4. Enkripsi ( proses mengubah data menjadi tak bisa dibaca oleh siapapun kecuali pengirim dan penerima) dan Mengunci Infrastruktur Publik degan Secure Sockets Layer (SSL) dan Secure Hypertext Transfer Protocol (S-HTTP) dan dengan sertifikat digital untuk memproteksi transaksi online.
5. Memastikan Ketersediaan Sistem
6. Isu Keamanan untuk Internet dan Platform Mobile Digital Untuk internet, pengguna harus mengkonfirmasi bahwa terlepas dari mana data mereka disimpan atau ditransfer, mereka dilindungi sesuI persyaratan perusahaan. Pengguna harus bertanya apakah penyedia layanan akan menyerahkan kepada audit dan keamanan sertifikasi eksternal. Jenis kontrol dapat
ditulis
ke
dalam
perjanjian
tingkat
layanan
(SLA)
sebelum
penandatanganan dengan penyedia layanan berbasis awan (internet). Dan Perusahaan harus memastikan bahwa kebijakan keamanan perusahaan mereka termasuk perangkat mobile, dengan rincian tambahan tentang bagaimana perangkat mobile harus didukung, dilindungi, dan digunakan. 7. Memastikan kualitas Perangkat Lunak Penggunaan metrik perangkat lunak dan pengujian perangkat lunak yang ketat membantu meningkatkan kualitas perangkat lunak dan kehandalan.
SUMBER: Chapter 8 : Securing Information Systems. Laudon, Kenneth C., and Jane P. Laudon. Management information systems : managing the digital firm. Boston: Prentice Hall, 2012. Print.