BAB 8 MELINDUNGI SISTEM INFORMASI

8.1 KERENTANAN DAN PENYALAHGUNAAN SISTEM

Ketika sejumlah data penting dalam bentuk elektronik, maka data
tersebut rentan terhadap berbagai jenis ancaman, daripada data yang
tersimpan secara manual. Ancaman-ancaman tersebut bisa saja berasal
dari faktor teknis, organisasi, dan lingkungan yang diperparah oleh
akibat keputusan manajemen yang buruk. Mengapa sistem dapat
menjadi rentan disebabkan sebagai berikut:
Pengguna dalam lapisan klien dapat menyebabkan kerusakan,
dengan cara melakukan kesalahan, mengakses tanpa izin, atau
secra tidak sengaja mengunduh (download) spyware dan virus.
Hacker melalui berbagai tipu musliahta dapat mengakses data
yang mengalir dalam jaringan, mencuri data yang penting selama
pengiriman, atau mengubah pesan tanpa izin.
Penyusup melancarkan penolakan layanan (denial-of-service-DOS)
atau piranti lunak berbahaya yg bertujuan utk menggangu operasi
situs Web
Bagi perusahaan atau individu di dalam menyimpan data-data penting
yang

menyangkut

perusahaan

yang

privasi

atau

menggunakan

kerahasiaan
web,

perusahaan,

sangat

rentan

apalagi
terhadap

penyalahgunaan, karena pada dasarnya web mempunyai akses yang

sangat luas dan dapat diakses oleh semua orang, membuat sistem
perusahaan dengan mudah mendapat serangan yang pada umumnya
berasal dari pihak luar, seperti hacker. Seorang hacker adalah
seseorang yang ingin mendapatkan akses secara tidak sah dari suatu
sistem komputer, dan biasanya hacker ini memiliki maksud kriminal
dengan tujuan tertentu, seperti karena tujuan keuntungan, kejahatan
atau kesenangan pribadi.

Figure 10-1
Contemporary Security Challenges and Vulnerabilities
Aktivitas hacker tidak hanya terbatas menyusup ke dalam sistem, tetapi
juga mencuri barang dan informasi dalam dan bisa merusak sistem
melalui serangan, diantaranya serangan DoS (Distributed Denial-ofService), yaitu jaringan serangan penolakan layanan terdistribusi yang
menggunakan ribuan komputer untuk membanjiri jaringan sasaran. DoS
seringkali membuat situs mati dan tidak dapat diakses oleh pengguna
yang sah. Bagi perusahaan dengan jaringan WiFi, tidak menjamin
terlepas dari para penyusup yang dengan mudah menggunakan
program-program sniffer dan spoofing untuk mendapatkan alamat
untuk mengakses tanpa izin, yang memungkinkan hacker mampu
mencuri informasi berharga dari jaringan manapun, termasuk pesan email, file serta laporan penting perusahaan.
Kerusakan sistem informasi juga bisa terjadi karena adanya peranti
lunak yang berbahaya, seperti virus komputer yang menempelkan diri
ke program lainnya tanpa sepengetahuan dan seizin pengguna.
Ancaman lainnya yatu worm (cacing) yang mengakibatkan kehancuran
data dan program serta bisa menghentikan kerja jaringan komputer.
Trojan Horse adalah program peranti lunak yang dianggap tidak terlalu
berbahaya, tetapi bisa menjadi jalan bagi virus lainnya untuk masuk ke

dalam sistem komputer, dan spyware adalah peranti lunak berbahaya

yang memasang diri secara sembunyi-sembunyi di komputer untuk
memantau kegiatan penelusuran web oleh pengguna komputer.
Kejahatan dalam sistem informasi juga meliputi pencurian identitas,
seperti yang dilakukan oleh pelaku phishing, yang membuat situs palsu
atau mengirim pesan e-mail yang mirip dengan pesan yang berasal dari
perusahaan yang sah. Dengan maksud untuk meminta pengguna
mengisi data pribadi mereka yang sangat rahasia, seperti no rekening
pribadi pengguna. Selain itu, pengguna akhir dalam sistem informasi
juga dapat melakukan kesalahan. Kita cenderung berpikir bahwa
ancaman keamanan data dalam perusahaan hanyan berasal dari luar,
tetapi pada kenyataannya, ada pihak internal perusahaan yang bisa
mengancam keamanan, yaitu karyawan, mereka pada umumnya
mempunyai

akses

informasi

yang

istimewa,

karena

kesalahan

memasukkan data dan prosedur keamanan internal yang buruk dalam

perusahaan, mereka dapat menjelajahi sistem perusahaan tanpa
meninggalkan jejak.
Kerentanan Internet
Jaringan publik yang besar seperti internet, lebih rentan jaringan
internal karena terbika bagi siapapun. Internet begitu besar dan begitu
cepat sehingga ketika penyalahgunaan terjadi, dampaknya tersebar
sagat luas hanya dengan hitungan menit. Ketika jaringan perusahaan
terhubung ke internet, sistem informasi perusahaan rentan serangan
dari luar.
Tantangan Pengamanan Nirkabel.

Teknologi pengiriman wifi dirancang untuk memudahkan para

pengguna untuk menerima ataupun memancarkan signal. Servis set
identifiers (SSID) yang mengidentifikasi titik akses dalam jaringan
wifi.

Standard keaamanan mula-mula yang dikembangkan untuk wifi,

yang disebut wired equivalen privasi (WEP) sangat tidak efisien. WEP

dipasang dalam suatu produk berstandar 802.11, akan tetapi

penggunaannya obsional. Banyak pengguna lalai dalam penggunaan
fitur WEB sehingga tidak terlindungi.

Figure 10-2
Tantangan Bagi Keamanan Wi-Fi
Piranti Lunak Berbahaya: Virus, Worm, Trojan Horse, Dan
Spyware
1 Virus computer adalah program peranti lunak berbahaya yang
menempel dirinya keprogram lainnya atau file data untuk dieksekusi,
biasanya tanpa sepengetahuan dan seizin pengguna.
2 Trojan horse (kuda troya) adalah program peranti lunak yang
tampaknya tidak berbahaya tetapi justru berbuat sesuatu yang tidak
diperkirakan.
3 Beberapa spyware juga bertindak sebagai peranti lunak berbahaya
program

kerja

ini

memasang

diri

secara

tersembunyi

untuk

memantau kegiatan penulusaran WEB oleh pengguna computer dan

untuk memunculkan iklan
Hacker Dan Vandalisme Maya
Seorang hacker adalah seseorang yang ingin

mendapatkan akses

tidak sah ke dalam sistem computer. Aktivitas hacker telah meluas tidak
hanya sekedar menyusup kedalam sistem tetapi

juga meliputi

pencurian barang dan informasi, begitu pula dengan merusak sistem

dan

melakukan

vandalisme

maya

yaitu

gangguan,

kerusakan,

penghancuran situs atau sistem perusahaan secara sengaja.

Spoofing dan Sniffing
Hecker yang mencoba menyembunyikan identitas aslinya sering kali
memalsukan identitas dengan menggunakan alamat e-mail palsu atau
menyamar sebagai orang lain. Spoofing juga dapat berupa pengalihan
jalur situs WEB kesebuah alamat yang berbeda dari yang diinginkan,
dengan situs yang disamarkan dengan tujuan yang disamarkan.
Contohnya jika hacker mengalihkan pelanggan pada sebuah situs palsu
yang kelihatannya hampir mirip sekali dengan situs yang asli, ia
kemudian dapat mengumpulkan dan memproses perintah, dan efektif
mencuri bisnis selain juga dengan informasi sensitif pelanggan dari situs
aslinya. Sedangkan Sniffer adalah jenis program pencuri informasi
yang memantau informasi dalam sebuah jaringan. Terdapat juga
aktivitas hacker dalam serangan penolakan layanan (Denial of ServiceDOS attack), hacker membanjiri server jaringan web dengan ribuan
komunikasi palsu atau permohonan layanan palsu untuk menyusup
kedalam jaringan server. Serangan penolakan layanan terdidtribusi
menggunakan ratusan , ribuan computer untuk membanjiri jaringan
sasaran dari banyak peluncuran.
Kejahatan Komputer dan Terorisme Maya
Tidak satu seorang pun yang mengetahui besarnya masalah kejahatan
computer berapa banyak sistem yang diserbu, berapa banyak pihak
yang terlibat atau total kerusakan ekonomi. yang paling berbahaya dari
segi ekonomis serangan DoS, virus pencurian layanan, gangguan sistem
komputer.

Bentuk

kejahatan

tersebut

diataranya

(1)pencurian

identitas, erupakan kejahatan sorang penipu mendapatkan informasi

pribadi

yang

menyamarkan

penting,
sebagai

seperti
orang

nomer
lain.

jaminan

Pencurian

social,

indentitas

untuk
telah

berkembang di internet, file kartu kredit adalah sasaran utama hacker

dalam situs web, situe e-comerce, dan e-mail berupa spam. Pencurian

identitas dilakukan dengan Pharming, adalah kegiatan mengalihkan

pengguna kehalaman web palsu, bahkan ketika seseorang mengetikkan
alamat web yang benar pada aplikasi penjajahnya. (2) Click Fraud yaitu
penipuan lewat klik terjadi ketia seseorang ingin curang mengklik

sebuah iklan on-line tanpa maksud mempelajari lebih lanjut tentang

pemsang iklannya atau melakukan pembelian.

8.2 NILAI BISNIS DARI PENGAMANAN DAN PENGENDALIAN

Kebanyakan perusahaan memiliki aset informasi yang sangat penting
untuk dilindungi, seperti informasi aset keuangan atau mengenai
rahasia perdagangan, dan keengganan perusahaan menghabiskan
anggarannya untuk keamanan, karena dinilai tidak secara langsung
berhubungan dengan pendapatan penjualan. Padahal keamanan sebuah
perusahaan bisa terancam dan perusahaan bisa menderita kerugiaan
yang lebih besar dari yang diperkirakan. Perusahaan harus melindungi
tidak hanya aset informasinya sendiri, tetapi juga milik pelanggan,
karyawan dan mitra bisnisnya.
Kegagalan dalam melakukan hal ini akan membuat perusahaan tersebut
dapat dituntut dalam proses pengadilan, karena mengekpos data atau
melakukan pencurian data. Undang-undang baru seperti HIPAA (Health
Insurance Portability and Accountability Act), undang-undang GrammLeach-Bliley (undang-undang Modernisasi Jasa Keuangan), undangundang

Sarbanes-Oxley

(undang-undang

Reformasi

Akuntansi

Perusahaan Publik dan Perlindungan Terhadap Investor), mengharuskan

perusahaan untuk mempraktikkan manajemen catatan elektronik yang
ketat

dan

mematuhi

standar-standar

yang

tegas

dalam

hal

pengamanan, privasi dan kontrol. Tindakan hukum yang membutuhkan

bukti-bukti elektronik dan ilmu forensik komputer juga mengharuskan
perusahaan memberikan perhatiaan lebih pada masalah pengamanan
manajeman catatan elektronik.

8.3 MERANCANG KERANGKA KERJA ORGANISASIONAL DALAM

PENGAMANAN DAN PENGENDALIAAN
Teknologi bukan hal utama yang harus mendapatkan perhatiaan khusus
dalam pengamanan dan pengendalian, tetapi apabila tidak adanya
kebijakan manajemen yang cerdas, bakan teknologi yang secanggih
apapun juga akan dikalahkan dengan mudah. Adanya kebijakan
manajemen

yang

cerdas

pengorganisasian

dan

dengan

menetapkan

pengelolaan

dalam

suatu

kerangka

pengamanan

dan

pengendalian untuk menggunakan teknologi dengan efektif untuk

melindungi sumber informasi perusahaan. Dalam menentukan kebijakan
dalam hal pengamanan, perusahaan harus terlebih dahulu mengetahui
aset-aset mana saja yang membutuhkan perlindungan data dan sejauh
mana akses-akses tersebut terancam.
Penilaian

resiko

membantu

menjawab

pertanyaan

tersebut

dan

menentukan perangkat pengendalian mana yang paling efektif dari segi

biaya

untuk

melindungi

mengidentifikasi
Selanjutnya

resiko

perlu

aset

utama

perusahaan.
bagi

membangun

dan

sistem

Setelah
dalam

berhasil

perusahaan.

mengembangkan

kebijakan

keamanan dengan merencanakan keberlangsungan bisnis pada saat

terjadi bencana atau kekacauan untuk melindungi aset perusahaan,
yang

terdiri

dari

kebijakan

penggunaan

yang

diterima,

yaitu

penggunaan sumber-sumber informasi perusahaan dan perangkat

komputasi yang diizinkan, kebijakan otorisasi, yang menentukan tingkat
akses yang berbeda ke aset informasi untuk tingkat pengguna yang
berbeda pula.

Figure 10-5
Profil Keamanan Sistem Personalia
Rencana pemulihan bencana, merancang cara-cara merestorasi layanan
komputasi dan komunikasi setelah terganggu oleh suatu peristiwa
seperti gempa bumi, fokus utamanya adalah menjaga agar sistem tetap
baik dan berjalan. Perencanaan keberlangsungan bisnis, terfokus pada
bagaimana perusahaan dapat mengembalikan operasi bisnis setelah
dilanda bencana. Mengidentifikasikan proses

-proses bisnis yang

penting dan menentukan rencana tindakan untuk menangani fungsifungsi kritis jika sistemnya mati.
8.4 MENGEVALUASI BERBAGAI PERANGKAT DAN TEKNOLOGI
YANG PALING PENTING UNTUK MELINDUNGI SUMBER-SUMBER
INFORMASI.
Perusahaan memerlukan upaya khusus untuk melindungi sistem dan
data, sehingga mendukung dalam proses bisnis, apalagi perusahaan
digital. Sejumlah aturan dan teknologi tersedia untuk mengamankan
sistem dan data, di antaranya:

1. Perangkat autentikasi seperti token, kartu pintar dan autentikasi

biometrik, biasa digunakan untuk mengetahui pengguna sistem.
2. Firewall yang digunakan untuk menjaga agar pengguna tidak sah
tidak masuk ke jaringan pribadi.
3. Sistem deteksi gangguan, melakukan pemantauan yang diletakkan di
titik-titik yang paling rentan dalam jaringan perusahaan untuk secara
kontinyu mendeteksi dan menghalangi para penyusup.
4.Peranti lunak anti virus dirancang untuk memeriksa adanya virus
komputer dalam sistem dan drive komputer.
5. Ekripsi, pengodean dan pengacauan pesan, merupakan teknologi
yang biasa digunakan untuk pengamanan dalam mengirim data melalui
internet dan jaringan Wi-Fi.
6. Tanda tangan digital dan sertifikat digital, digunakan untuk
membantu proses autentikasi lebih jauah lagi pada saat transaksi
elektronik.

Figure 10-7
Firewall Perusahaan

Enkripsi dan Infrastruktur Kunci Publik

Banyak perusahaan menggunakan enkripsi untuk melindungi informasi digital

yang disimpan, ditransfer secara fisik, atau dikirim melalui internet. Enkripsi
adalh proses mengubah teks atau data menjadi bersandi rahasia (cipher) yang
tidak dapat dibaca oleh siapapun selain pengirim dan penerima yang
dimaksudkan. Data dienkripsi menggunakan kode numerik rahasia, yang
dinamakan kunci enkripsi, yang mengubah data biasa menjadi teks bersandi
rahasia. Pesan harus dideskripsi oleh penerima.

Figure 10-8
Enkripsi Kunci Publik