CHAPTER 8

KEAMANAN SISTEM
INFORMASI

Febrina Kartikasari

TujuanPembelajaran
Mengapa sistem informasi rentan
terhadap kehancuran , kesalahan dan
penyalahgunaan?
Apa yang dimaksud dengan nilai bisnis
keamanan dan pengendalian?
Apakah komponen dari struktur
organisasi untuk keamanan dan
pengendalian
Peralatan dan teknologi apa yang paling
penting untuk melindungi sumber daya
informasi?

Mengapa Sistem Rawan

Gangguan ?

Internet Vulnerabilities
( Kerawanan Internet)
Sistem informasi perusahaan akan
makin rawan dari gangguan luar
ketika internet menjadi bagian dalam
jaringan perusahaan. Alamat internet
yang tetap adalah target bagi para
hacker. Kerawanan akan meningkat
seiring menyebarnya penggunaan
email dan IM ( Instant Messaging)

Tantangan Keamanan Pada

Nirkabel
( Wireless)
Local Area Network (LANs) yang menggunakan
standard Wifi dapat dimasuki oleh pihak luar dengan
sangat mudah.
Teknologi transmisi Wifi menggunakan Spread Spectrum
Transmission.

SSIDs ( Services Set Identifiers )

menangkap nama nama dan kata sandi pengguna jaringan
( ID dan Password )
War Driving
- Eavesdroppers yang mencoba memasuki lalu lintas
jaringan nirkabel

WEP ( Wired Euivalent Privacy )

Standar keamanan produk produk berbasis 802.11.
penggunaan tergantung pada kebutuhan kita ( pilihan ).
Pengguna sering gagal untuk menerapkan WEP atau
sistem yang kuat

Malware ( Malicious Software

)

Virus Komputer, merupakan program komputer yang

dapat menggandakan atau menyalin dirinya sendiri dan
menyebar dengan cara menyisipkan salinan dirinya ke
dalam program atau dokumen lain. Virus komputer
dapat merusak (misalnya dengan merusak data pada
dokumen), membuat pengguna komputer merasa
terganggu, maupun tidak menimbulkan efek sama
sekali.
Worm (cacing komputer), bekerja dengan
menggandakan dirinya secara sendiri secara terus
menerus dalam sistem komputer.
Trojan Horse, digunakan untuk memperoleh informasi
dari target (password, kebiasaan user yang tercatat
dalam system log, data, dan lain-lain), dan
mengendalikan target (memperoleh hak akses pada
target).

 Rootkit,

Virus yang bekerja menyerupai kerja

sistem komputer yang biasa saja.
Adware (software iklan), menginstal dirinya
sendiri tanpa sepengetahuan pengguna dan
menampilkan iklan-iklan ketika pengguna
berselancar di Internet.
Spyware, merupakan turunan dari adware
(perangkat lunak beriklan), yang memantau
kebiasaan pengguna dalam melakukan
penjelajahan Internet untuk mendatangkan
"segudang iklan" kepada pengguna.
Keylogger, digunakan untuk merekam ketikan
pada keyboard. hasil rekaman ketikan biasanya
akan disimpan ke log file.

Hackers dan Kejahatan

Komputer
Hacker VS Crackers
Aktifitas :
- Gangguan Sistem
- Kerusakan Sistem
- Cybervandalism

pengrusakan situs web atau sistem informasi

perusahaan

Spoofing
Para hacker berusaha untuk menyembunyikan
identitas mereka, menggunakan alamat email
palsu atau bertopeng sebagai orang lain.
Dilakukan dengan mengganggun pengontrolan
suatu saluran web dengan merubah tujuan
pesan.
Sniffer
Tipe eavesdroping program yang mengamati
jalannya informasi pada suatu jaringan secara
menyeluruh.
Memberi peluang pada hacher untuk mencari
informasi dari sudut manapun pada jaringan
tersebut termasuk pesan email, file perusahaan
dan laporan-laporan penting.

Denial-of-service attacks (DoS)

Pada serangan DoS, hacker membanjiri

server jaringan atau web server dengan
ribuan komunikasi atau permintaan yang
salah untuk menghantam jaringan
tersebut.
Distributed denial-ofservice attacks (DDoS)
Menggunakan nomer komputer untuk
memperkenalkan DDoS
Botnets

Computer crime
Didefinisikan sebagai pelanggaran hukum pidana
yang melibatkan pengetahuan teknologi
komputer mereka untuk melakukan berbagai
tindak kekerasan penyelidikan atau penuntutan.

Komputer mungkin menjadi sasaran

kejahatan, mis .:
- Pelanggaran kerahasiaan data
terkomputerisasi dilindungi
- Mengakses sistem komputer tanpa otoritas
Komputer mungkin alat kejahatan, mis .:
Pencurian rahasia dagang
Menggunakan e-mail untuk ancaman atau
pelecehan

Identity Theft ( Pencurian Identitas)

Pencurian identitas merupakan kejahatan
penipuan yang bertujuan memperoleh potongan
potongan kunci informasi pribadi. Seperti : sosial
security identification number, nomor SIM atau
kartu kredit seseorang untuk menipu pihak lain
Phising
Pembangunan situs web palsu atau pengiriman
pesan email yang serupa dengan bisnis aslinya
untuk meminta data pribadi penting para
penggunanya.
Evil Twins
Jaringan nirkabel wi-fi yang berpura-pura
menawarkan koneksi ke internet dapat dipercaya

Pharming
Pharming adalah suatu cara yang digunakan
untuk mengarahkan pengguna situs tertentu
untuk masuk ke situs palsu yang mana interface
dari situs itu dibuat mirip sekali dengan situs asli.
Click Fraud
kegiatan mengklik iklan secara kontestual tanpa
niatan untuk membeli barang atau jasa yang
diiklankan.
Cyberterrorism and Cyberwarfare
Berusaha untuk menyerang software yang
dijalankan dengan aliran kabel listrik, sistem
pengontrolan lalu lintas atau bank bank ternama
dan institusi keuangan

Ancaman Internal : Para Karyawan

Pengguna yang memiliki pengetahuan
rendah merupakan permasalahan
utama yang sering muncul.
Pekerja maupun pengguna maupun
sistem informasi merupakan sumber
utama kesalahan yang ada pada
sistem informasi.
Spesialis sistem informasi juga dapat
membuat kesalahan software

Software Vulnerability
Suatu masalah utama yang terkait
dengan software adalah keberadaan
hidden bugs.
Patches
Untuk memperbaiki cacat tanpa
menggangu jalannya sistem operasi
pada software

Nilai Bisnis Keamanan dan

Pengendalian Sistem Informasi
Keamanan dan pengendalian telah
menjadi hal penting dalam area
investasi sistem informasi
Perusahaan memiliki berbagai
informasi berharga yang perlu
diamankan

Persyaratan hukum dan peraturan untuk

manajemen catatan elektronik dan
perlindungan privasi.
HIPPA: Peraturan dan prosedur keamanan
medis dan privasi
Gramm-Leach-Bliley Act: Membutuhkan
lembaga keuangan untuk menjamin
keamanan dan kerahasiaan data pelanggan
Sarbanes-Oxley Act: Memberlakukan
tanggung jawab pada perusahaan dan
manajemen mereka untuk menjaga
keakuratan dan integritas informasi
keuangan yang digunakan secara internal
dan eksternal dirilis

Bukti Elektronik
Bukti untuk kejahatan kerah putih sering dalam
bentuk digital
Data komputer, e-mail, pesan instan, transaksi ecommerce

Kontrol yang tepat dari data yang dapat

menghemat waktu dan uang seketika
menanggapi permintaan penemuan hukum

Komputer Forensik
Koleksi Ilmiah, pemeriksaan, otentikasi,
pelestarian, dan analisis data dari media
penyimpanan komputer untuk digunakan sebagai
bukti di pengadilan hukum
Termasuk pemulihan ambien dan data
tersembunyi.

Membangun kerangka kerja dari

keamanan dan pengendalian

Kontrol sistem informasi

Kontrol manual dan otomatis

Pengendalian Umum dan aplikasi

Kontrol umum

Mengatur desain, keamanan, dan

penggunaan program komputer dan
keamanan file data secara umum di seluruh
infrastruktur teknologi informasi organisasi.
Terapkan untuk semua aolikasi komputerisasi
Kombinasi hardware, software, dan prosedur
manual untuk menciptakan lingkungan
pengendalian secara keseluruhan

Jenis pengendalian umum

Kontrol software
Kontrol hardware
Kontrol operasi komputer
Kontrol keamanan data
Kontror implementasi
Kontrol administratif

Pengendalian Aplikasi
Kontrol tertentu yang unik untuk setiap
aplikasi komputerisasi, seperti gaji atau
perintah pengolahan
Sertakan kedua prosedur otomatis dan
manual
Memastikan bahwa hanya data berwenang
yang lengkap dan akurat yang diproses oleh
aplikasi
Sertakan
Kontrol input
Kontrol pengolahan
Kontrol output

Penilaian risiko: menentukan tingkat

risiko ke perusahaan jika aktivitas atau
proses tertentu yang tidak dikontrol
dengan baik.
Jenis-jenis ancaman
Kemungkinan sebuah peristiwa selama
setahun
Potensi kerugian, nilai ancaman
Kerugian tahunan yang dirugikan

Kebijakan Keamanan
Peringkat risiko informasi, mengidentifikasi
tujuan keamanan yang dapat diterima, dan
mengidentifikasi ekanisme untuk mencapai
tujuan ini
Dorongan kebijakan lain
Kebijakan penggunaan diterima (AUP)
Menentukan penggunaan diterima dari sumber
informasi perusahaan dan komputasi peralatan

Kebijakan otorisasi
Menentukan berbagai tingkat akses pengguna ke aset
informasi

Identitas Manajemen
Proses bisnis dan alat untuk mengidentifikasi
pengguna yang valid dari sistem dan kontrol
akses
mengidentifikasi dan kewenangan berbagai
kategori pengguna
Menentukan bagian mana dari pengguna sistem
dapat mengakses
Otentikasi pengguna dan melindungi identitas

Identitas sistem manajemen

Menangkap akses yang akurat untuk berbagai
tingkat pengguna

Kelemahan dan Penyalahgunaan Sistem

profil keamanan untuk
sistem pegawai

Dua contoh ini

mewakili dua profil
keamanan atau pola
data keamanan yg
bisa ditemukan di
sistem pegawai.
Tergantung pada
profil keamanannya,
pengguna bisa
memiliki beberapa
batasan untuk
mengakses bbrp
sistem, lokasi, atau
data di organisasi.

Membangun kerangka untuk

kontrol dan keamanan

Disaster recovery planning (perencanaan

pemulihan bencana) : memikirkan rencana
untuk perbaikan gangguan servis
Business continuity planning
(perencanaan kelanjutan bisnis) : fokus pada
perbaikan operasi bisnis setelah bencana
perlu mengindentifikasi sistem paling penting bagi
perusahaan untuk kedua perencanaan
analisa efek bisnis untuk menentukan efek dari
pemberhentiaan pekerjaan
Pengelola harus menentukan sistem mana yang
harus diperbaiki lebih dahulu

Membangun kerangka untuk

kontrol dan keamanan

audit SIM

memeriksa lingkungan sistem keamanan

perusahaan secara menyeluruh serta
mengatur individunya
mereview teknologi, prosedur, dokumentasi,
latihan, dan pegawainya
mengadakan simulasi bencana untuk
mengetahui respon dr teknologi dan pegawai
pegawai.
mendaftar dan menyusun semua kelemahan
sistem serta memperkirakan kemungkinan
terjadinya
menilai efek dari kelemahan pada keuangan
dan organisasi

Kelemahan dan Penyalahgunaan Sistem

Contoh daftar kontrol kelemahan yang dilakukan Auditor
dalam sistem pinjaman
Gambar ini adalah contoh
dr kekurangan yg
mungkin ditemukan
oleh auditor dalam
sistem peminjaman yg
dimiliki oleh bank
komersial. Daftar ini
dapat membantu
auditor mencatat dan
mengevaluasi
kekurangan dan
kemudian
menunjukkan hasil
diskusi pada pengelola
dan jg tindakan untuk
memperbaiki oleh
pengelola.

Teknologi dan alat untuk melindungi

sumber informasi

Identitas software menejemen

Memperhatikan pengguna secar otomatis
Mengautentikasi pengguna, melindungi
identitas, dan mengontrol akses

Authentication (Pengesahan)

Password systems
Tokens
Smart cards
Biometric authentication

Contoh Token

Contoh Smart Card

 Firewall:

kombinasi dari hardware dan

software yg mencegah pengguna
luar dari mengakses jaringan pribadi
Technologies include:
Static packet filtering
Network address translation (NAT)
Application proxy filtering

Firewall
Perusahaan
Firewall
diletakkan
antara
jaringan
pribadi
perusahaan
dan internet
publik atau
jaringan lain
untuk
melindungi
dari
pengguna
luar

 Intrusion

detection
deteksi gangguan)

systems:

(sistem

memperhatikan titik keamanan jaringan

perusahaan untuk mendeteksi dan mencegah
penyusup
memeriksa kejadian ketika sedang terjadi
untuk
mengetahui
serangan
yg
sdg
berlangsung
Antivirus

dan software antispyware :

memeriksa komputer dari adanya malware

dan menghapusnya
membutuhkan update trs menerus

Mengamankan jaringan wireless

Keamanan wep dapat memberi
keamanan dengan
memberi nama unik pada ssid jaringan
dan tidak menyiarkan SSID
digunakan dg teknologi VPN
Aliansi wifi menyelesaikan spesifikasi
wap2, mengganti wep dg standar yg lbih
kuat
mngganti kunci secara reguler
enkripsi autentikasi sistem dg server
pusat

Enkripsi :
Mengubah teks atau data menjadi teks
sandi yg tdk bisa dibaca oleh penerima
yg tdk diinginkan
2 metode untuk mengenkripsi jaringan
Secure Sockets Layer (SSL) and
successor Transport Layer Security
(TLS)
Secure Hypertext Transfer Protocol
(S-HTTP)

Dua metode enkripsi

Enkripsi kunci simetris
> Pengirim dan penggunaan penerima tunggal,
berbagi Enkripsi kunci publik

Enskripsi kunci publik

> Secara sistematis terkait dua kunci : k unci
publik dan kunci pribadi pengirim
> Pengirim mengenkripsi pesan dengan kunci
publik penerima
> Penerima mendekripsi dengan kunci pribadi

Enkripsi kunci publik, Sebuah sistem enkripsi

yang dapat dilihat sebagai rangkaian kunci
publik dan kunci pribadi yang mengunci data bila
mereka ditransmisikan dan membuka data ketika
mereka diterima. Pengirim menempatkan kunci
publik penerima dalam sebuah direktori dan
menggunakannya untuk mengenkripsi pesan .
Pesan ini dikirim dalam bentuk terenkripsi melalui
Internet atau jaringan pribadi . Ketika pesan
terenkripsi tiba, penerima menggunakan kunci
pribadinya untuk mendekripsi data dan membaca
pesan.

Digital sertifikat :
o File data yang digunakan untuk menentukan
identitas pengguna dan aset elektronik untuk
perlindungan transaksi online.
o Menggunakan pihak ketiga yang terpercaya,
otoritas sertifikasi (CA), untuk memvalidasi
identitas pengguna CA, memverifikasi identitas
pengguna.
o Menyimpan informasi di server CA, yang
menghasilkan sertifikat digital terenkripsi yang
berisi informasi pemilik ID dan salinan kunci.

Pemilik Infrastruktur Kunci Publik (PKI)

o Penggunaan kriptografi kunci publik bekerja
dengan otoritas sertifikat
o Banyak digunakan dalam e -commerce

Melindungi Sumber Daya Informasi DIGITAL

SERTIFIKAT
Sertifikat digital membantu menentukan identitas
orang atau aset elektronik. Mereka melindungi
transaksi online dengan menyediakan keaman,
enkripsi, komunikasi online

Memastikan ketersediaan sistem Pemrosesan

- Transaksi online membutuhkan waktu yang
terus menerus, tidak ada waktu yang terhenti.
Sistem komputer tidak ada toleransi
kesalahan
- Untuk ketersediaan yang berkelanjutan, misal;
pasar saham.
- Menyediakan transaksi yg terus menerus,
tanpa gangguan ketersediaan layanan.

Ketersediaan komputer dengan perangkat

yang baik
- Membantu pemulihan data lebih cepat, jika
terjadi error/miss.

Sistem Komputerisasi berorientasi pada

perbaikan sistem
Kemampuan merancang sistem untuk
membantu operator menentukan perbaikan
dan melihat kesalahan dalam sistem
komponen.

Pengendali komponen lalu lintas jaringan

Deep packet inspection (DPI): pemblokiran
video dan musik .

Menjaga keamanan perusahaan

Dengan menyediakan layanan keamanan
yang terkelola.

Jaminan Keamanan
Tanggung jawab keamanan data
perusahaan.
Perusahaan harus memastikan penyedia
memberikan perlindungan yang
memadai.
Perjanjian pelayanan.
-

Mengamankan platform mobile

Kebijakan keamanan harus dengan
persyaratan khusus untuk perangkat
mobile
Misalnya: memperbarui ponsel pintar

Memastikan kualitas perangkat lunak:

Metrik software : tujuan penilaian dari sistem dalam

bentuk pengukuran kuantitatif
- Jumlah transaks:
- Waktu respon secara online
- Cek gaji yang dicetak per jam
- Dikenal bug per seratus baris

Baris kode Pengujian awal dan teratur.

Walkthrough : Ulasan spesifikasi dokumen atau desain

oleh sekelompok orang yang memenuhi syarat .

Debugging : Proses dimana kesalahan akan dieliminasi.

TERIMA
KASIH