SISTEM INFORMASI MANAJEMEN

Information Security

disusun oleh :
Fitri Rahmawati

A31113501

Ratih Kusuma Wardhani S.

A31113514

Andi Tenri Dettya Uleng P.

A31113523

Dwi Kartiko Sari

A31113524

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HASANUDDIN
2015

DAFTAR ISI
Daftar isi........................................................................................................1
Bab I : Pendahuluan
1.1 Latar Belakang..........................................................................................3
1.2 Rumusan Masalah.....................................................................................4
Bab II : Pembahasan
2.1 Pengantar Keamanan Informasi........................................................
2.2 Ancaman Tidak Disengaja Untuk Sistem Informasi....................................
2.3 Ancaman Yang Disengaja Untuk Sistem Informasi..........................
2.4 Organisasi Yang Melakukan Perlindungan Sumber Daya Informasi.....
2.5 Kontrol Keamanan Informasi...............................................................

BAB III : Kesimpulan dan Saran

5.1 Kesimpulan...............................................................................................9
5.2 Saran.......................................................................................................10
Daftar Pustaka.............................................................................................11

BAB I
PENDAHULUAN
1.1 Latar Belakang
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem
informasi. Seringkali masalah keamanan berada di urutan terakhir dalam daftar halhal yang dianggap penting. Apabila mengganggu peforma sistem, seringkali
keamanan dikurangi atau bahkan ditiadakan. Informasi pada era ini sudah menjadi
sebuah komoditas yang sangat penting. Bahkan ada yang mengatakan bahwa kita
sudah berada di sebuah information-based society. Kemampuan untuk mengakses
dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi
sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan
tinggi, lembaga pemerintahan, maupun individual. Hal ini memungkinkan dengan
perkembangan pesat di bidang teknologi komputer dan telekomunikasi.
Terhubungnya LAN (Local Area Network) atau komputer ke internet
membuka potensi adanya lubang keamanan (security hole) yang tadinya bias ditutup
dengan mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa
kemudahan mengakses informasi berbanding terbalik dengan tingkat keamanan
system informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin sulit untuk
mengakses informasi. Keamanan informasi adalah bagaimana cara kita dapat
mencegah penipuan (cheating) atau mendekati adanya penipuan di sebuah sistem
berbasis informasi, di mana informasinya sendiri tidak memiliki arti fisik.

1.2 Rumusan Masalah

1. Apakah 5 faktor yang berkontribusi terhadap meningkatnya kerentanan sumber
informasi?
2. Apakah bandingan dan kontras kesalahan manusia dan rekaya social, dan berikan
contoh yang spesifik masing-masing?
3. Apakah 9 jenis serangan yang disengaja?
4. Apakah 3 resiko strategi mitigasi dan berikan contoh masing-masing?
5. Apakah 3 jenis utama dari kontrol organisasi yang dapat digunakan untuk
melindungi sumber informasi?

1.3 Tujuan Penulisan

1. Untuk mengetahui 5 faktor yang berkontribusi terhadap meningkatnya kerentanan
sumber informasi.
2. Untuk mengetahui bandingan dan kontras kesalahan manusia dan rekaya social,
dan berikan contoh yang spesifik masing-masing.
3. Untuk mengetahui 9 jenis serangan yang disengaja.
4. Untuk mengetahui 3 resiko strategi mitigasi dan contohnya masing-masing.
5. Untuk mengetahui 3 jenis utama dari kontrol organisasi yang dapat digunakan
untuk melindungi sumber informasi.

BAB II
PEMBAHASAN
Keamanan Informasi
Keamanan dapat didefinisikan sebagai tingkat proteksi terhadap kegiatan
kriminal, bahaya, kerusakan, dan / atau kerugian. mengikuti definisi yang luas,
keamanan informasi mengacu pada semua proses dan kebijakan yang dirancang untuk
melindungi informasi organisasi dan sistem informasi dari akses yang tidak sah,
penggunaan, pengungkapan, gangguan, modifikasi, atau perusakan.
Lima faktor kunci yang berkontribusi terhadap meningkatnya kerentanan
sumber daya organisasi informasi, sehingga jauh lebih sulit untuk mengamankan
mereka:
1. Hari ini saling berhubungan, saling tergantung, lingkungan bisnis nirkabel jaringan;
2. Lebih kecil, lebih cepat, komputer murah dan perangkat penyimpanan;
3. Penurunan keterampilan yang diperlukan untuk menjadi seorang hacker komputer;
4. Kejahatan terorganisir internasional yang mengambil alih cybercrime;
5. Kurangnya dukungan manajemen.

Faktor pertama
Adalah evolusi dari sumber daya TI dari mainframe-hanya untuk hari ini
sangat kompleks, saling berhubungan, saling tergantung, jaringan nirkabel
lingkungan bisnis. sebuah jaringan terpercaya, secara umum, adalah setiap
jaringan dalam organisasi anda. sebuah jaringan tidak dipercaya, secara
umum, adalah setiap jaringan eksternal untuk organisasi anda.
Faktor kedua
Mencerminkan fakta bahwa komputer modern dan perangkat penyimpanan
terus menjadi lebih kecil, lebih cepat, lebih murah, dan lebih portabel, dengan
kapasitas penyimpanan yang lebih besar. juga, jauh lebih banyak orang yang
mampu membayar komputer kuat dan terhubung murah untuk internet,
sehingga meningkatkan potensi serangan terhadap aset informasi.
Faktor ketiga
Adalah bahwa keterampilan komputer yang diperlukan untuk menjadi seorang
hacker menurun. alasannya adalah bahwa internet berisi informasi dan
program komputer yang disebut script yang pengguna dengan sedikit
keterampilan dapat men-download dan digunakan untuk menyerang sistem
informasi yang terhubung ke internet.
Faktor keempat
Adalah bahwa kejahatan terorganisir internasional mengambil alih cybercrime.
cybercrime adalah kegiatan ilegal yang dilakukan melalui jaringan komputer,
khususnya internet. kejahatan-kejahatan ini biasanya tanpa kekerasan, tapi
cukup menguntungkan. sebagai contoh, kerugian dari perampokan bersenjata
ratusan rata-rata dolar, dan mereka yang berasal dari kejahatan kerah putih
puluhan rata ribu dollars.also, kejahatan komputer dapat dilakukan dari mana
saja di dunia, setiap saat, secara efektif memberikan safe haven internasional
untuk kejahatan dunia maya.
Faktor kelima
Adalah kurangnya dukungan manajemen. untuk seluruh organisasi untuk

mengambil kebijakan
keamanan
dan prosedur serius, manajer
senior harus mengatur nada. para manajer berada dalam kontak dekatdengan
karyawan setiap hari dan dengan demikian berada dalam posisi yang lebih
baik untuk menentukan apakah karyawan mengikuti prosedur keamanan.

Ancaman Tidak Disengaja Untuk Sistem Informasi

sistem informasi rentan terhadap banyak bahaya dan
ancaman potensial, seperti yang Anda lihat pada Gambar 4.1. Dua
kategori utama dari ancaman yang tidak disengaja ancaman dan
ancaman yang disengaja. Bagian ini membahas ancaman yang
tidak disengaja, dan bagian berikutnya membahas ancaman yang
disengaja. Ancaman yang tidak disengaja adalah tindakan yang
dilakukan tanpa niat jahat yang tetap merupakan ancaman serius
bagi keamanan informasi. Sebuah kategori utama dari ancaman
yang tidak disengaja adalah kesalahan manusia.
Kesalahan manusia
Karyawan organisasi span luas dan kedalaman organisasi, dari
surat panitera kepada CEO, dan di semua bidang fungsional. Ada
dua poin penting yang harus dibuat tentang karyawan. Pertama,
semakin tinggi tingkat karyawan, semakin besar ancaman dia pose
untuk keamanan informasi. Hal ini benar karena karyawan-tingkat
yang lebih tinggi biasanya memiliki akses yang lebih besar ke data
perusahaan, dan mereka menikmati hak istimewa yang lebih besar
pada sistem informasi organisasi.
Rekayasa sosial
Social engineering adalah serangan dimana pelaku menggunakan keterampilan
sosial untuk mengelabui atau memanipulasi karyawan yang sah dalam menyediakan
informasi rahasia
perusahaan
seperti paswords. penyerangmengaku lupa pasword dan meminta karyawan yang
sah untuk memberinya pasword untuk digunakan.
dalam
satu perusahaan, pelaku memasuki gedung perusahaan memakai perusahaan
kartu id yang tampak sah.tentu, hal pertama pelaku minta adalah nama pengguna
dan pasword.
dia sekarang memiliki informasi yang diperlukan untuk mengakses sistem
informasi perusahaan.
dua teknik rekayasa sosial lainnya tailgating dan bahu surfing. tailgating adalah
teknik yang
dirancang untuk
memungkinkan pelaku untuk
memasuki daerah
terlarang yang dikendalikan dengan kunci atau kartu masuk.teknik ini sangat sukses di
tempat umum seperti di bandara dan di kereta api komuter dan pesawat terbang.
Ancaman Yang Disengaja Untuk Sistem Informasi
Ancaman yang disengaja untuk Sistem Informasi 4.3 Ada banyak jenis
ancaman yang disengaja untuk sistem informasi. Kami menyediakan daftar sepuluh
comjenis mon untuk kenyamanan Anda.

 Spionase atau pelanggaran

Informationextortion
Sabotase atau vandalisme
Pencurian peralatan atau informasi
Pencurian identitas
Kompromi untuk kekayaan intelektual
Softwareattacks
Aliensoftware
Pengawas kontrol dan data akuisisi (SCADA) serangan
Cyberterrorism dan cyberwarfare
Spionase atau Trespass
Spionase atau pelanggaran terjadi ketika seorang individu yang tidak sah
mencoba untuk mendapatkan akses ilegal ke informasi organisasi. Hal ini penting
untuk membedakan antara intelijen kompetitif dan spionase industri. Intelijen
kompetitif terdiri dari pengumpulan informasi teknik-teknik hukum, seperti
mempelajari situs Web dan siaran pers perusahaan, menghadiri pameran dagang, dan
sebagainya. Sebaliknya, spionase industri melintasi batas hukum.
Informasi Pemerasan
Informasi pemerasan terjadi ketika seorang penyerang baik mengancam untuk
mencuri, atau benar-benar mencuri, informasi yang dari sebuah perusahaan. Pelaku
menuntut pembayaran untuk tidak mencuri informasi, untuk mengembalikan
informasi yang dicuri, atau untuk setuju untuk tidak mengungkapkan informasi
tersebut.
Sabotase atau Vandalisme
Sabotase dan perusakan adalah tindakan yang disengaja yang melibatkan
mengotori situs Web organisasi, Bly-kemungkinan merusak citra organisasi dan
menyebabkan pelanggan untuk kehilangan kepercayaan. Salah satu bentuk
vandalisme online adalah operasi hacktivist atau cyberactivist. Ini adalah kasus
berteknologi tinggi pembangkangan sipil untuk memprotes operasi, kebijakan, atau
tindakan lembaga organisasi atau pemerintah.
Pencurian Peralatan atau Informasi
Perangkat komputasi dan perangkat penyimpanan menjadi lebih kecil namun
lebih kuat dengan sangat meningkat penyimpanan (misalnya, laptop, unit BlackBerry,
asisten pribadi digital, ponsel pintar, kamera digital, thumb drive, dan iPod).
Akibatnya, perangkat ini menjadi lebih mudah untuk mencuri dan lebih mudah bagi
penyerang untuk menggunakan untuk mencuri informasi.
Tabel 4.1 menunjukkan bahwa satu jenis kesalahan manusia kecerobohan dengan
laptop. Bahkan, banyak laptop telah dicuri karena kecerobohan tersebut. Biaya laptop
dicuri termasuk hilangnya data, hilangnya kekayaan intelektual, pengganti laptop,
biaya hukum dan peraturan, biaya investigasi, dan produktivitas kerugian.
Salah satu bentuk pencurian, yang dikenal sebagai tempat sampah menyelam,
melibatkan praktek mengobrak-abrik sampah komersial atau perumahan untuk
menemukan informasi yang telah dibuang. File-file kertas, surat, memo, foto, ID,
password, kartu kredit, dan bentuk lain dari informasi dapat ditemukan di dumpsters.
Sayangnya, banyak orang tidak pernah menganggap bahwa barang sensitif mereka
melemparkan di tempat sampah dapat dipulihkan. Informasi tersebut, ketika pulih,

dapat digunakan untuk tujuan penipuan.

Dumpster diving belum tentu pencurian, karena legalitas tindakan ini bervariasi.
Karena dumpsters biasanya terletak di tempat pribadi, menyelam tempat sampah
adalah ilegal di beberapa bagian Amerika Serikat. Bahkan dalam kasus-kasus ini,
bagaimanapun, hukum-hukum ini ditegakkan dengan berbagai tingkat ketelitian.
Pencurian identitas
Pencurian identitas adalah asumsi sengaja identitas orang lain, biasanya untuk
mendapatkan akses ke informasi keuangan nya atau untuk membingkai dia untuk
kejahatan. Teknik untuk memperoleh informasi pribadi secara ilegal meliputi:
mencuri surat atau menyelam tempat sampah;
mencuri informasi pribadi di database komputer;
menyusup organisasi yang menyimpan sejumlah besar informasi pribadi (misalnya,
data agregat gators seperti Acxiom) (www.acxiom.com);
Meniru organisasi yang terpercaya dalam sebuah komunikasi elektronik
(phishing). Pulih dari pencurian identitas adalah mahal, memakan waktu, dan sulit.
Korban juga melaporkan masalah dalam memperoleh kredit dan mendapatkan atau
memegang pekerjaan, serta efek buruk pada tingkat asuransi atau kredit. Selain itu,
korban menyatakan bahwa seringkali sulit untuk menghapus informasi negatif dari
catatan mereka, seperti laporan kredit mereka.
Informasi pribadi Anda dapat dikompromikan dengan cara lain. Misalnya, identitas
Anda dapat ditemukan hanya dengan memeriksa pencarian Anda di mesin pencari.
Kemampuan untuk menganalisis semua pencarian oleh satu pengguna dapat
mengaktifkan penjahat untuk mengidentifikasi siapa pengguna dan apa yang dia
lakukan. Untuk menunjukkan fakta ini, The New York Times melacak individu
tertentu yang hanya didasarkan pada pencarian AOL nya.
Kompromi untuk Kekayaan Intelektual
Melindungi kekayaan intelektual adalah masalah penting bagi orang-orang
yang memiliki mata pencaharian mereka di bidang pengetahuan. Kekayaan intelektual
adalah properti yang dibuat oleh individu atau perusahaan yang dilindungi di bawah
rahasia dagang, paten, dan hukum hak cipta.
Sebuah rahasia dagang merupakan karya intelektual, seperti rencana bisnis, yang
merupakan rahasia perusahaan dan tidak didasarkan pada informasi publik.
Contohnya adalah formula Coca-Cola. Paten adalah dokumen resmi yang
memberikan hak eksklusif pemegang pada penemuan atau proses untuk jangka waktu
tertentu. Hak Cipta adalah hibah hukum yang menyediakan pencipta atau pemilik
kekayaan intelektual dengan kepemilikan properti, juga untuk jangka waktu yang
ditetapkan. Hukum AS saat penghargaan paten selama 20 tahun dan perlindungan hak
cipta untuk kehidupan pencipta ditambah 70 tahun. Pemilik berhak untuk
mengumpulkan biaya dari siapa saja yang ingin menyalin kreasi mereka. Hal ini
penting untuk dicatat bahwa ini adalah definisi di bawah hukum AS. Ada beberapa
standardisasi internasional hak cipta dan paten, tetapi jauh dari jumlah. Oleh karena
itu, bisa ada perbedaan antara hukum AS dan hukum negara lain.
Kekayaan intelektual yang paling umum berkaitan dengan TI berkaitan dengan
perangkat lunak. Pada tahun 1980, Kongres AS telah diubah UU Hak Cipta untuk
menyertakan perangkat lunak. Perubahan tersebut memberikan perlindungan untuk
kode sumber dan kode objek perangkat lunak komputer, tetapi tidak jelas
mengidentifikasi apa yang memenuhi syarat untuk perlindungan. Misalnya, hukum
hak cipta tidak melindungi konsep dasar, fungsi, dan fitur umum seperti menu pull-

down, warna, dan ikon. Namun, menyalin program perangkat lunak tanpa membuat
pembayaran kepada pemilik-termasuk memberikan disk ke teman untuk diinstal pada
nya komputer-merupakan pelanggaran hak cipta. Tidak mengherankan, praktek ini,
disebut pembajakan, adalah masalah utama bagi vendor perangkat lunak. BSA
(www.bsa.org) global Pembajakan Software Study menemukan bahwa nilai komersial
dari total pencurian software miliaran dolar per tahun. Kasus membuka bab
menunjukkan ukuran masalah ini.
Serangan Software
Serangan perangkat lunak telah berkembang dari tahun-tahun awal era
komputer, ketika penyerang digunakan perangkat lunak berbahaya untuk menginfeksi
banyak komputer di seluruh dunia mungkin, untuk itu, serangan berbasis Web labadriven hari ini. Penjahat cyber modern menggunakan, serangan malware canggih
dicampur, biasanya melalui Web, untuk membuat uang.
Software Alien
Banyak komputer pribadi memiliki perangkat lunak asing, atau pestware,
berjalan pada mereka bahwa ers sendiri- tidak tahu tentang. Software Alien adalah
perangkat lunak klandestin yang diinstal pada komputer anda melalui metode
mendua. Ini biasanya tidak berbahaya seperti virus, worm, atau Trojan horse, tetapi
tidak menggunakan sumber daya sistem yang berharga. Selain itu, dapat melaporkan
kebiasaan surfing Web Anda dan perilaku pribadi lainnya.
Sebagian besar pestware adalah adware-perangkat lunak yang menyebabkan
iklan pop-up muncul di layar Anda. Adware adalah umum karena ia bekerja. Menurut
biro iklan, untuk setiap 100 orang yang menutup iklan pop-up, 3 klik di atasnya. Ini
"hit rate" sangat tinggi untuk iklan Internet.
Spyware adalah perangkat lunak yang mengumpulkan informasi pribadi
tentang pengguna tanpa persetujuan mereka. Dua jenis umum dari spyware adalah
keystroke logger dan pencakar layar.
Keystroke logger, juga disebut keyloggers, rekor kedua keystrokes individu dan
Internet riwayat browsing Web Anda. Tujuan berkisar dari kejahatan-misalnya,
pencurian kata pass dan informasi pribadi yang sensitif seperti nomor kartu kredit ke
contoh mengganggu-untuk, merekam riwayat pencarian internet Anda untuk iklan
bertarget.
Perusahaan telah berusaha untuk melawan keyloggers dengan beralih ke
bentuk-bentuk lain dari identifikasi pengguna. Sebagai contoh, di beberapa titik kita
semua telah dipaksa untuk melihat bergelombang, terdistorsi huruf dan ketik dengan
benar ke dalam kotak. String yang surat disebut CAPTCHA, dan itu adalah ujian.
Titik CAPTCHA adalah bahwa komputer dapat tidak (belum) secara akurat membaca
surat-surat terdistorsi. Oleh karena itu, fakta bahwa Anda dapat menuliskannya berarti
bahwa Anda mungkin tidak program perangkat lunak yang dijalankan oleh orang
yang tidak berhak, seperti spammer. Akibatnya, penyerang telah berpaling ke
pencakar layar, atau tangan-tangan layar. Perangkat lunak ini mencatat terus menerus
"film" isi layar daripada hanya merekam keystrokes.
Spamware adalah pestware yang menggunakan komputer Anda sebagai
landasan peluncuran untuk spammer. Spam adalah unso- e-mail licited, biasanya iklan
untuk produk dan layanan. Ketika komputer Anda terinfeksi dengan spamware, e-mail
dari spammer dikirim ke setiap orang dalam buku alamat e-mail Anda, tetapi mereka
tampaknya datang dari Anda.
Tidak hanya adalah spam gangguan, tapi membuang-buang waktu dan uang. Spam

biaya perusahaan-perusahaan AS miliaran dolar per tahun. Biaya ini berasal dari
kerugian produktivitas, sistem tersumbat e-mail, penyimpanan tambahan, dukungan
pengguna, dan perangkat lunak antispam. Spam juga dapat membawa virus dan
worm, membuatnya bahkan lebih berbahaya.
Cookie adalah sejumlah kecil informasi bahwa situs Web menyimpan di
komputer Anda, Bappenas sifatnya sementara atau lebih atau kurang secara permanen.
Dalam banyak kasus, cookies berguna dan tidak berbahaya. Sebagai contoh, beberapa
cookie password dan ID pengguna yang Anda tidak ingin mengetik ulang setiap kali
Anda mengakses situs Web yang dikeluarkan cookie. Cookies juga diperlukan untuk
belanja online karena pedagang menggunakannya untuk shopping cart Anda.
Pelacakan cookie, bagaimanapun, dapat digunakan untuk melacak jalur Anda
melalui situs web, waktu yang Anda habiskan di sana, apa link yang Anda klik, dan
rincian lain yang perusahaan ingin merekam, biasanya untuk tujuan pemasaran.
Pelacakan cookie juga dapat menggabungkan informasi ini dengan nama Anda,
pembelian, informasi kartu kredit, dan data pribadi lainnya untuk mengembangkan
profil mengganggu kebiasaan belanja Anda.
Kebanyakan cookies hanya dapat dibaca oleh pihak yang menciptakan
mereka. Namun, beberapa perusahaan yang mengelola iklan banner online, cincin
pada dasarnya, kue-sharing. Perusahaan-perusahaan ini dapat melacak informasi
seperti halaman yang Anda memuat dan iklan yang Anda klik. Mereka kemudian
berbagi informasi ini dengan situs Web klien mereka, yang mungkin jumlahnya
ribuan.
Supervisory Control dan Data Acquisition (SCADA)
SCADA mengacu pada skala besar, pengukuran didistribusikan dan sistem
kontrol. Sistem SCADA digunakan untuk memantau atau mengontrol kimia, fisik, dan
proses transportasi seperti yang digunakan di kilang minyak, air dan pengolahan
limbah tanaman, generator listrik, dan pembangkit listrik tenaga nuklir. Pada
dasarnya, sistem SCADA menyediakan link antara dunia fisik dan dunia elektronik.
Sistem SCADA terdiri dari beberapa sensor, komputer induk, dan struktur komunikasi
infrastruktur. Sensor terhubung ke peralatan fisik. Mereka membaca data status seperti
status terbuka / tertutup dari switch atau katup, serta pengukuran seperti tekanan,
aliran, tegangan, dan arus. Mereka mengontrol peralatan dengan mengirimkan sinyal
untuk itu, seperti membuka atau menutup sebuah switch atau katup atau pengaturan
kecepatan pompa.
Sensor yang terhubung dalam jaringan, dan masing-masing sensor biasanya memiliki
alamat Internet (Internet Protocol, atau IP, alamat, dibahas dalam Bab 6). Jika
penyerang mendapatkan akses ke pekerjaan net-, mereka dapat menyebabkan
kerusakan serius, seperti mengganggu jaringan listrik di wilayah yang besar atau
mengganggu operasi dari pabrik kimia atau nuklir besar. Tindakan tersebut bisa
memiliki hasil strophic cata-, seperti yang dijelaskan dalam TI Tentang Bisnis 4.3.
Cyberterrorism dan cyberwarfare
Cyberterrorism dan cyberwarfare merujuk tindakan berbahaya di mana
penyerang menggunakan sistem komputer target, terutama melalui internet,
menyebabkan fisik, dunia nyata bahaya atau gangguan parah, biasanya untuk
melaksanakan agenda politik (lihat TI Tentang Bisnis 4.3). Tindakan ini berkisar dari
mengumpulkan data untuk menyerang infrastruktur penting (misalnya, melalui sistem
SCADA).
Contoh

Beberapa tahun yang lalu dua bekas republik Soviet menjadi sasaran serangan
cyber parah yang tampaknya berasal dari Rusia. Konflik pertama meletus pada tahun
2007, ketika gelombang tiga minggu dis besar tributed denial-of-service serangan
cyber terhadap negara Baltik Estonia dinonaktifkan situs Web kementerian
pemerintah, partai politik, surat kabar, bank, dan bisnis. Salah satu masyarakat yang
paling kabel di Eropa, Estonia adalah pelopor e-government (dibahas dalam Bab 7).
Akibatnya, negara ini sangat rentan terhadap serangan cyber. Pada tahap awal
serangan, analis keamanan Estonia mengidentifikasi beberapa pelaku dengan alamat
Internet Protocol mereka. Banyak dari alamat ini adalah Rusia, dan beberapa dari
mereka berasal dari lembaga negara Rusia.
Tahun berikutnya, pasukan Rusia memasuki provinsi Ossetia Selatan di
Republik Georgia untuk melawan upaya militer Georgia untuk mencegah provinsi
dari melepaskan diri. Serangan DDoS pada situs Web Georgia rupanya disinkronkan
dengan invasi Rusia. Serangan mematikan situs Web dari presiden Georgia, Mikheil
Saakashvili, selama 24 jam, dan mereka dirusak situs Web Parlemen Georgia dengan
gambar Adolf Hitler. Saakashvili menyalahkan Rusia untuk serangan, namun
pemerintah Rusia membantah tuduhan.
Organisasi Yang Melakukan Perlindungan Sumber Daya Informasi
Mengapa kultus diffi sehingga untuk menghentikan penjahat cyber? Tabel 4.3
menggambarkan banyak kesulitan-diffi utama terlibat dalam melindungi informasi.
Karena mengorganisir sebuah sistem pertahanan yang sesuai begitu penting untuk
seluruh perusahaan, itu adalah salah satu tanggung jawab utama dari setiap bijaksana
CIO sebagai serta manajer fungsional yang mengendalikan sumber informasi.
Bahkan, keamanan TI adalah bisnis dari setiap orang dalam organisasi.
Alasan lain mengapa sumber informasi adalah kultus diffi untuk melindungi adalah
bahwa industri perdagangan online tidak terlalu bersedia untuk menginstal
pengamanan yang akan membuat transaksi menyelesaikan kultus diffi lebih atau
rumit. Sebagai salah satu contoh, pedagang bisa menuntut password atau nomor
identifikasi pribadi untuk semua transaksi kartu kredit. Namun, persyaratan ini
mungkin mencegah orang dari belanja on line. Untuk perusahaan kartu kredit, lebih
murah untuk memblokir kartu kredit curian dan melanjutkan dari untuk
menginvestasikan waktu dan uang pada penuntutan.
Meskipun kesulitan, industri keamanan informasi berjuang kembali terhadap
cybercrime. Perusahaan sedang mengembangkan perangkat lunak dan layanan yang
memberikan peringatan dini masalah di internet. Tidak seperti perangkat lunak
antivirus tradisional, yang reaktif, sistem peringatan dini proaktif, pemindaian Web
untuk virus baru dan mengingatkan perusahaan untuk bahaya. Organisasi
menghabiskan banyak waktu dan uang melindungi sumber informasi mereka.
Sebelum melakukannya, mereka melakukan manajemen risiko. Risiko merupakan
probabilitas bahwa ancaman akan berdampak sumber informasi. Tujuan dari risiko
manajemen adalah untuk mengidentifikasi, kontrol, dan meminimalkan dampak dari
ancaman. Dengan kata lain, risiko manajemen berupaya untuk mengurangi risiko ke
tingkat yang dapat diterima. Manajemen risiko terdiri dari tiga proses: analisis risiko,
mitigasi risiko, dan evaluasi kontrol. Organisasi melakukan analisis risiko untuk
memastikan bahwa mereka IS program keamanan yang hemat biaya.
Analisis risiko melibatkan tiga langkah:
1. Menilai nilai setiap aset dilindungi.
2. Memperkirakan probabilitas bahwa setiap aset akan terganggu.

3. Membandingkan biaya kemungkinan aset yang dikompromikan dengan biaya

melindungi aset tersebut.
Organisasi kemudian mempertimbangkan bagaimana untuk mengurangi
risiko. Dalam mitigasi risiko, organisasi mengambil tindakan nyata terhadap
risiko. Mitigasi risiko memiliki dua fungsi:
1. Menerapkan kontrol untuk mencegah ancaman teridentifi kasi dari
terjadi. M
2. engembangkan sarana pemulihan jika ancaman menjadi kenyataan.
Ada
beberapa
mitigasi
risiko
strategi bahwa organisasi dapat mengadopsi.
Tiga yang paling umum adalah penerimaan risiko, risiko batasan, dan
transferensi risiko.
penerimaan Risiko: Terima potensi risiko, terus beroperasi tanpa kontrol, dan
menyerap segala kerusakan yang terjadi.
Keterbatasan Risiko: Batasi risiko dengan menerapkan kontrol yang meminimalkan
dampak ancaman.
transferensi Risiko: Mentransfer risiko dengan menggunakan cara lain untuk
mengkompensasi hilangnya, seperti sebagai dengan membeli asuransi.
Akhirnya, dalam evaluasi kontrol, organisasi meneliti biaya pelaksanaan yang
memadai langkah-langkah pengendalian terhadap nilai dari langkah-langkah
pengendalian. Jika biaya pelaksanaan kontrol yang lebih besar dari nilai aset
dilindungi, kontrol tidak efektif biaya. Pada bagian berikutnya, Anda akan
mempelajari berbagai kontrol yang organisasi gunakan untuk melindungi sumber
informasi mereka.
Kontrol Keamanan Informasi
Untuk melindungi aset informasi mereka, organisasi menerapkan kontrol, atau
mekanisme pertahanan (juga disebut penanggulangan). Kontrol ini dirancang untuk
melindungi semua komponen sistem informasi, termasuk data, perangkat lunak,
perangkat keras, dan jaringan. Karena ada begitu banyak ancaman yang beragam,
organisasi memanfaatkan lapisan kontrol, atau pertahanan-mendalam.
Kontrol dimaksudkan untuk mencegah bahaya kecelakaan, mencegah tindakan yang
disengaja, mendeteksi masalah sedini mungkin, meningkatkan pemulihan kerusakan,
dan memperbaiki masalah. Sebelum Anda mempelajari kontrol secara lebih rinci,
penting untuk menekankan bahwa kontrol yang paling berharga tunggal adalah
pendidikan pengguna dan pelatihan. Pendidikan yang efektif dan berkelanjutan
membuat setiap anggota organisasi menyadari betapa pentingnya keamanan
informasi.
Pada bagian berikutnya, Anda akan belajar tentang tiga jenis utama dari kontrol:
kontrol fisik, kontrol akses, dan kontrol komunikasi.
Kontrol fisik
Kontrol fisik mencegah individu yang tidak sah dari mendapatkan akses ke
fasilitas perusahaan. Kontrol fisik umum termasuk dinding, pintu, pagar, gerbang,
kunci, lencana, penjaga, dan sistem alarm. Kontrol fisik yang lebih canggih termasuk
sensor tekanan, suhu sensor, dan detektor gerakan. Satu kekurangan dari kontrol fisik
adalah bahwa mereka dapat nyaman kepada karyawan.
Penjaga pantas disebutkan secara khusus karena mereka memiliki pekerjaan yang
sangat sulit, untuk setidaknya dua alasan. Pertama, pekerjaan mereka yang
membosankan dan berulang-ulang dan umumnya tidak membayar dengan baik.

Kedua, jika penjaga melakukan pekerjaan mereka secara menyeluruh, karyawan lain
melecehkan mereka, terutama jika mereka memperlambat up proses memasuki
fasilitas. Organisasi juga menerapkan langkah-langkah keamanan fisik yang
membatasi pengguna komputer untuk diterima kali login dan lokasi. Kontrol ini juga
membatasi jumlah gagal Login upaya, dan mereka memerlukan semua karyawan
untuk log off komputer mereka ketika mereka meninggalkan untuk hari. Selain itu,
mereka mengatur komputer karyawan untuk secara otomatis log off pengguna setelah
periode tertentu tidak digunakan.
Kontrol akses
Kontrol akses membatasi individu yang tidak sah dari menggunakan sumber daya
informasi. Kontrol ini melibatkan dua fungsi utama: otentikasi dan otorisasi.
Otentikasi menegaskan identitas orang yang membutuhkan akses. Setelah orang
tersebut dikonfirmasi (diidentifikasi), langkah berikutnya adalah otorisasi. Otorisasi
menentukan tindakan, hak, atau hak orang yang memiliki, berdasarkan identitasnya
diverifikasi. Mari kita periksa fungsi-fungsi ini lebih dekat.
Otentikasi. Mengotentikasi (mengidentifikasi) personil yang berwenang,
organisasi dapat menggunakan satu atau lebih metode berikut: sesuatu pengguna
adalah, sesuatu pengguna memiliki, sesuatu pengguna tidak, dan / atau sesuatu
pengguna tahu.
Sesuatu pengguna adalah, juga dikenal sebagai biometrik, adalah metode
otentikasi yang-contoh ines karakteristik fisik bawaan seseorang. Aplikasi biometric
umum adalah scan sidik jari, scan sawit, scan retina, pengenalan iris, dan pengenalan
wajah. Aplikasi ini, sidik jari, scan retina, dan pengenalan iris memberikan
identifikasi yang paling definitif. Contoh berikut menunjukkan bagaimana biometrik
kuat bisa untuk tujuan identifikasi.
Contoh:
Biometric Identifikasi Proyek India
India memiliki sejumlah besar warga miskin anonim. Untuk mengatasi masalah ini,
bangsa-lembaga tuted yang Unik Identifikasi Proyek, juga dikenal sebagai Aadhaar,
yang berarti "dasar" dalam beberapa bahasa India. Tujuan dari Identifikasi Proyek
Unik adalah untuk mengeluarkan nomor kation identifi- terkait dengan sidik jari dan
iris scan dari setiap orang di India. Proses ini pada akhirnya akan mencakup sekitar
1,2 miliar orang yang berbicara lebih dari 300 bahasa dan dialek. Biometrik dan
nomor identifikasi Aadhaar akan berfungsi sebagai diverifikasi, portabel, dan unik ID
nasional.
Proyek ini berusaha untuk memperbaiki masalah kunci yang berhubungan dengan
orang miskin. Pula pemerintah India tidak resmi mengakui keberadaan banyak warga
miskin karena orang-orang ini tidak memiliki akte kelahiran dan dokumentasi resmi
lainnya. Oleh karena itu, mereka tidak dapat mengakses layanan pemerintah yang
mereka berhak, tidak dapat mereka membuka rekening bank. Misalnya, pada
pertengahan 2012, kurang dari setengah dari rumah tangga India memiliki rekening
bank yang terkait. Sisa rumah tangga yang "tak memiliki rekening bank," yang berarti
mereka harus menyimpan tabungan mereka secara tunai sekitar rumah mereka.
Aadhaar masuk ke dalam operasi pada bulan September 2010, ketika para pejabat
dipersenjatai dengan iris scanner, scanner sidik jari, kamera digital, dan laptop mulai
mendaftarkan beberapa desa pertama serta penghuni kawasan kumuh di ibukota
negara itu, Delhi. Pemerintah berencana untuk memasuki 600 juta orang ke dalam
database biometrik sebesar 2.014.

Setiap record individu mengandung 4-8 megabyte. Akibatnya, database akhirnya akan
menggelar sekitar 20 petabyte. Database skala ini belum pernah terjadi sebelumnya,
dan mengelola itu akan sangat sulit. Salah satu tantangan yang paling menakutkan
yang dihadapi proyek ini adalah untuk memastikan bahwa setiap record dalam
database cocok untuk satu dan hanya satu orang. Untuk proses ini, Aadhaar harus
memeriksa semua 10 sidik jari dan kedua iris setiap orang terhadap orang-orang dari
semua orang di negeri ini. Menggunakan 10 cetakan dan kedua iris meningkatkan
tingkat akurasi 99 persen. Akan tetapi, di negara sebesar India, akurasi 99 persen
berarti bahwa 12 juta orang bisa berakhir dengan catatan yang rusak.
Selain itu, Aadhaar menghadapi tantangan besar fisik dan teknis: mencapai jutaan
orang India buta huruf yang belum pernah melihat komputer, membujuk mereka
untuk memiliki iris mereka dipindai, memastikan bahwa informasi yang dipindai
mereka akurat, dan menjaga jumlah besar yang dihasilkan dari data. Masalah lain
adalah bahwa libertarian sipil keberatan dengan proyek atas dasar privasi.
Sebagai contoh dampak potensial dari proyek ini, pertimbangkan Kiran, warga miskin
India. Dia pikir dia adalah 32, tapi dia tidak yakin. Dia tidak memiliki akte kelahiran
atau ID dari lisensi jenis-ada pengemudi, tidak ada kartu pemilih, tidak ada sama
sekali untuk mendokumentasikan keberadaannya. Ketika dia 24, dia meninggalkan
rumahnya di sebuah desa pertanian miskin dan berakhir di daerah kumuh Delhi. Dia
dan anak-anaknya di antara individu pertama yang memiliki informasi pribadi mereka
dimasukkan ke dalam sistem Aadhaar.
Hal pertama yang Kiran berencana untuk menggunakan nomor Aadhaar nya adalah
untuk mendapatkan kartu pemerintah kota yang akan memberikan dia untuk bahan
makanan bersubsidi. "Saya sudah mencoba sangat keras untuk mendapatkan satu
sebelumnya, tetapi mereka tidak akan memberikannya kepada saya karena saya tidak
bisa membuktikan bahwa aku tinggal di Delhi," jelasnya. Singkatnya, proyek Aadhaar
harus memungkinkan jutaan warga miskin India untuk mengakses layanan pemerintah
yang sebelumnya berada di luar jangkauan mereka.
Kontrol Komunikasi(Communication Control)
Kontrol yang deat dengan pergerakan data melalui jaringan
Jaringan kontrol mengamankan pergerakan data melalui jaringan. komunikasi kontrol
terdiri :
1
2
3

Firewall : sistem (hardware chiter, software, atau kombinasi keduanya) yang

mencegah jenis tertentu informasi dari bergerak antara jaringan yang tidak dipercaya,
seperti internet, dan jaringan pribadi.
Sistem anti-malware: paket (antivirus) atau perangkat lunak yang berusaha
menangkap mengidentifikasi dan menghilangkan virus dan worm (malware) dan
software berbahaya lainnya.
Memperbolehakan Akses (whitelsiting) dan Tidak memperbolehakan Akses
(blacklisting)Whitelisting: sebuah proses di mana sebuah perusahaan mengidentifikasi
perangkat lunak yang dapat diterima dan memungkinkan untuk berjalan, dan baik
mencegah apa pun dari berjalan atau memungkinkan software baru dijalankan dalam
lingkungan quarantinrd sampai perusahaan dapat memverifikasi validitasnya.
Blacklisting: proses di mana sebuah perusahaan mengidentifikasi jenis tertentu dari
perangkat lunak yang tidak diperbolehkan untuk dijalankan dalam lingkungan
perusahaan.
EnkripsiEnkripsi dapat digunakan untuk tujuan keamanan, tetapi teknik lain masih
diperlukan untuk membuat komunikasi yang aman, terutama untuk memastikan

5
6
7

integritas dan autentikasi dari sebuah pesan. Enkripsi telah digunakan untuk
mengamankan komunikasi di berbagai negara, hanya organisasi-organisasi tertentu
dan individu yang memiliki kepentingan yang sangat mendesak akan kerahasiaan
yang menggunakan enkripsi.enkripsi: proses mengubah suatu massa asli menjadi
bentuk yang tidak dapat dibaca oleh siapa pun kecuali berniat penerima. Enkripsi
kunci publik (enkripsi asimetris): jenis enkripsi yang menggunakan dua kunci yang
berbeda, kunci publik dan sebuah kunci pribadi.
Virtual Private Networking (VPN): jaringan pribadi yang menggunakan jaringan
publik untuk secara aman menghubungkan pengguna dengan menggunakan enkripsi.
Secure Socket Layer (SSL): standar enkripsi yang digunakan untuk transaksi yang
aman seperti pembelian kartu kredit dan online.
Employee Monitoring System: sistem yang monitoring komputer karyawan, kegiatan
email, dan kegiatan surfing internet.
Perencanaan Kesinambungan Bisnis
Strategi keamanan penting bagi organisasi adalah harus siap untuk kemungkinan
apapun. Sebuah elemen penting dalam sistem keamanan adalah rencana kelangsungan
bisnis, juga dikenal sebagai rencana pemulihan bencana.
Kelangsungan bisnis adalah rantai peristiwa yang menghubungkan perencanaan untuk
perlindungan dan pemulihan. Tujuan dari rencana kesinambungan bisnis adalah untuk
memberikan bimbingan kepada orang-orang yang menjaga operasi bisnis setelah
bencana terjadi. Karyawan menggunakan rencana ini untuk mempersiapkan, bereaksi
terhadap, dan pulih dari peristiwa yang mempengaruhi keamanan aset informasi.
Tujuannya adalah untuk mengembalikan bisnis untuk operasi yang normal secepat
mungkin menyusul serangan. Rencana ini dimaksudkan untuk memastikan bahwa
fungsi bisnis kritis terus.
Dalam hal terjadi bencana besar, organisasi dapat menggunakan beberapa strategi
untuk kelangsungan bisnis. Strategi ini termasuk situs panas, situs hangat, dan situs
dingin. Sebuah situs panas adalah fasilitas komputer sepenuhnya dikonfigurasi,
dengan semua layanan, komunikasi link, dan operasi pabrik fisik. Sebuah situs panas
duplikat sumber daya komputasi, peripheral, sistem telepon, kation appli-, dan
workstation. Sebuah situs yang hangat menyediakan banyak layanan yang sama dan
pilihan sebagai hot situs.
Namun, biasanya tidak termasuk aplikasi yang sebenarnya dibutuhkan perusahaan.
Sebuah situs yang hangat termasuk peralatan komputasi seperti server, tetapi sering
tidak termasuk workstation pengguna. Sebuah situs dingin menyediakan layanan
hanya dasar dan fasilitas, seperti gedung atau ruangan dengan pemanas, pendingin
udara, dan kontrol kelembaban. Jenis situs menyediakan perangkat keras komputer
atau pengguna workstation.
Titik situs dingin adalah bahwa itu mengurus masalah lead-lama. Membangun, atau
bahkan menyewa, ruang membutuhkan waktu yang lama. Instalasi kecepatan tinggi
com- garis munication, sering dari dua atau lebih operator, membutuhkan waktu yang
lama. Instalasi kabel listrik berkapasitas tinggi membutuhkan waktu yang lama.
Sebagai perbandingan, membeli dan menginstal server tidak harus mengambil waktu
yang sangat lama.
Situs panas mengurangi risiko sejauh terbesar, tapi mereka adalah pilihan yang paling
mahal. Con versely, situs dingin mengurangi risiko sedikit, tetapi mereka adalah
pilihan yang paling mahal.

Sistem Informasi Audit

Perusahaan menerapkan kontrol keamanan untuk memastikan bahwa sistem
informasi bekerja dengan baik. Kontrol ini dapat diinstal dalam sistem yang asli, atau
mereka dapat ditambahkan setelah sistem dalam operasi. Instalasi kontrol diperlukan
tetapi tidak cukup untuk memberikan keamanan yang memadai.
Ada dua jenis auditor dan audit: internal dan eksternal. IS audit biasanya
adalah bagian dari akuntansi audit internal, dan itu sering per- dibentuk oleh auditor
internal perusahaan. Auditor eksternal ulasan temuan audit internal serta masukan,
pengolahan, dan output dari sistem informasi. Audit eksternal dari sistem informasi
yang sering merupakan bagian dari audit eksternal secara keseluruhan yang dilakukan
oleh akuntan publik fied (CPA) perusahaan certi-.
IS audit menganggap semua potensi bahaya dan kontrol dalam sistem
informasi. Ini berfokus pada isu-isu seperti operasi, integritas data, aplikasi perangkat
lunak, keamanan dan privasi, anggaran dan pengeluaran, pengendalian biaya, dan
produktivitas. Pedoman yang tersedia untuk membantu tor audi- dalam pekerjaan
mereka, seperti yang dari Sistem Informasi Audit dan Control Association.

BAB III
KESIMPULAN
Identifikasi lima faktor yang berkontribusi terhadap meningkatnya kerentanan
sumber informasi, dan memberikan contoh yang spesifik masing-masing. Kelima
faktor tersebut adalah:
Hari ini saling berhubungan, saling tergantung, tanpa kabel jaringan
lingkungan bisnis Contoh: Internet
Lebih kecil, lebih cepat, lebih murah komputer dan perangkat penyimpanan
Contoh: Netbook, thumb drive, iPads
Penurunan keterampilan yang diperlukan untuk menjadi seorang hacker
komputer
Sistem informasi hack program yang beredar di internet: Contoh
kejahatan terorganisir Internasional mengambil alih cybercrime
Contoh: Kejahatan terorganisir telah membentuk kartel cybercrime transnasional.
Karena sulit untuk tahu persis di mana serangan cyber berasal, kartel ini sangat sulit
untuk membawa ke pengadilan.
Kurangnya dukungan manajemen
Contoh: Misalkan perusahaan Anda menghabiskan $ 10 juta penanggulangan
keamanan informasi tahun lalu, dan mereka tidak mengalami serangan yang sukses
pada sumber daya mereka informasi. Manajemen cupet mungkin menyimpulkan
bahwa perusahaan dapat menghabiskan lebih sedikit selama tahun depan dan
mendapatkan hasil yang sama. Ide buruk.
Rekayasa sosial adalah serangan di mana pelaku menggunakan keterampilan
sosial untuk mengelabui atau memanipulasi karyawan yang sah dalam memberikan
informasi rahasia perusahaan.
Contoh dari kesalahan manusia Tailgating. Contoh rekayasa sosial adalah ketika
seorang penyerang panggilan karyawan di telepon dan impersonates atasan di
perusahaan.
Terdapat sepuluh jenis serangan yang disengaja adalah:
Spionase atau pelanggaran terjadi ketika seorang individu yang tidak sah
mencoba untuk mendapatkan illegal akses ke informasi organisasi.
Informasi pemerasan terjadi ketika seorang penyerang baik mengancam untuk
mencuri, atau benar-benar mencuri, informasi dari sebuah perusahaan. Pelaku
menuntut pembayaran untuk tidak mencuri informasi, untuk mengembalikan
informasi yang dicuri, atau untuk setuju untuk tidak mengungkapkan
informasi tersebut. Sabotase dan perusakan adalah tindakan yang disengaja
yang melibatkan mengotori situs Web organisasi, mungkin menyebabkan
organisasi kehilangan citra dan mengalami hilangnya kepercayaan oleh
pelanggan.
Pencurian peralatan dan informasi menjadi masalah yang lebih besar karena
komputasi perangkat dan perangkat penyimpanan menjadi lebih kecil namun
lebih kuat dengan jauh meningkat penyimpanan, membuat perangkat ini lebih
mudah dan lebih berharga untuk mencuri.
Pencurian identitas adalah asumsi sengaja identitas orang lain, biasanya untuk
mendapatkan akses ke informasi keuangan nya atau untuk membingkai dia
untuk kejahatan.
Mencegah kompromi untuk kekayaan intelektual adalah masalah penting bagi
orang-orang yang memiliki mata pencaharian mereka di bidang pengetahuan.

Melindungi kekayaan intelektual sangat sulit ketika properti yang dalam

bentuk digital.
Serangan perangkat lunak terjadi ketika perangkat lunak berbahaya menembus
sistem komputer organisasi. Hari ini, serangan ini biasanya laba-driven dan
berbasis Web.
Software Alien adalah perangkat lunak klandestin yang diinstal pada komputer
Anda melalui metode tous duplici-. Ini biasanya tidak berbahaya seperti virus,
worm, atau Trojan horse, tetapi tidak menggunakan sumber daya sistem yang
berharga.
Kontrol pengawasan dan akuisisi data mengacu pada skala besar, pengukuran
didistribusikan dan sistem kontrol. Sistem SCADA digunakan untuk
memantau atau mengontrol proses kimia, fisik, dan transportasi. Sebuah
serangan SCADA mencoba untuk kompromi sistem tersebut untuk
menyebabkan kerusakan pada dunia nyata proses bahwa kontrol sistem.
Dengan kedua cyberterrorism dan cyberwarfare, penyerang menggunakan
sistem komputer target, terutama melalui internet, menyebabkan fisik, dunia
nyata bahaya atau gangguan parah, biasanya untuk melaksanakan agenda
politik.
Mengenai Strategi mitigasi terdapat risiko tiga,
1. Penerimaan risiko, di mana organisasi menerima potensi risiko, terus operasi
tanpa kontrol, dan menyerap segala kerusakan yang terjadi. Jika Anda
memiliki rumah, Anda mungkin memutuskan untuk tidak memastikan itu.
Dengan demikian, Anda berlatih penerimaan risiko. Jelas, ini adalah ide yang
buruk.
2. Batasan risiko, di mana organisasi membatasi risiko dengan menerapkan
kontrol yang meminimalkan dampak ancaman. Sebagai pemilik rumah, Anda
berlatih pembatasan risiko dengan menempatkan dalam sistem alarm atau
menebang pohon yang lemah dekat rumah Anda.
3. Transferensi risiko, di mana organisasi mentransfer risiko dengan
menggunakan cara lain untuk mengkompensasi kerugian, seperti dengan
membeli asuransi. Sebagian besar eowners hom- berlatih transferensi risiko
dengan membeli asuransi atas rumah mereka dan harta benda lainnya.
Tiga jenis utama dari kontrol yang organisasi dapat digunakan untuk melindungi
sumber informasi mereka, dan memberikan contoh masing-masing.
1. Kontrol fisik mencegah individu yang tidak sah dari mendapatkan akses ke
fasilitas perusahaan. Kontrol fisik umum termasuk dinding, pintu, pagar,
gerbang, kunci, lencana, penjaga, dan sistem alarm. Kontrol fisik yang lebih
canggih termasuk sensor tekanan, sensor suhu, dan detektor gerakan.
2. Kontrol akses membatasi individu yang tidak sah dari menggunakan sumber
daya informasi. Kontrol ini melibatkan dua fungsi utama: otentikasi dan
otorisasi. Tication melakukan otentikasi menegaskan identitas orang yang
membutuhkan akses. Contohnya adalah biometrik. Setelah orang tersebut
dikonfirmasi (diidentifikasi), langkah berikutnya adalah otorisasi. Otorisasi
menentukan tindakan, hak, atau hak orang yang memiliki, berdasarkan
identitasnya diverifikasi. Otorisasi umumnya didasarkan pada setidaknya hak
istimewa.
3. Komunikasi (jaringan) kontrol mengamankan pergerakan data di jaringan.
Kontrol komunikasi terdiri dari firewall, sistem anti-malware, membolehkan
akses dan daftar hitam, enkripsi, jaringan virtual private, secure socket layer,
dan sistem manajemen kerentanan.

DAFTAR PUSTAKA
Rayner, Prince, Cegielski,. Introduction To Information Systems.