BAB 5

CYBERSECURITY, RISK MANAGEMENT, AND

FINANCIAL CRIME

1. I Gede Sujana (140421567)

2. Kristoporus Eldwin (140421113)

3. Feliks Janudiatama. K (130420438)

SISTEM INFORMASI MANAJEMEN

FAKULTAS EKONOMI UNIVERSITAS ATMAJAYA YOGYAKARTA
CYBERSECURITY, RISK MANAGEMENT, AND FINANCIAL CRIME

5.1 Data Breaches and Cybersecurity Challenges

Data Breach : Insiden dimana data sensitive atau sebuah rahasia

yang dilindungi telah dilihat, dicuri atau digunakan oleh seseorang
yang tidak sah

Cyber Security : Upaya untuk melindungi informasi dari adanya

cyber attack. Cyber attack dalam operasi informasi adalah semua
jenis tindakan yang sengaja dilakukan untuk mengganggu
kerahasiaan (confidentiality), integritas (integrity), dan ketersedian
(availability) informasi.

Penyebab utama dari data breach adalah hacking (peretasan).

Hacktivist (Hacker Activist) adalah seseorang yang melakukan

hacking dengan atau untuk suatu alasan. Terlepas dari motifnya,
hacking adalah suatu kejahatan

Hukum internasional maupun nasional serta peraturan dalam industri

memberi mandat untuk perusahaan berinvestasi dalam pertahanan
keamanan cyber, audit, serta melindungi dari penipuan dan transaksi
yang tidak sah seperti pencucian uang.

DDoS (Distributed Denial of Service) menyerang secara gerilya

suatu jaringan atau situs dengan mengacaukan lalu lintas data,
kemudian menghancurkannya dan meninggalkannya agar rentan
terhadap ancaman lain

APT (Advanced Persistant Threats) adalah serangan dengan tidak

terlihat, dimana suatu entitas yang tidak sah mendapat akses ke
sebuah jaringan dan tidak terdeteksi untuk waktu yang lama.

Social Engineering juga dikenal dengan human hacking bekerja

dengan menipu pengguna untuk mengungkapkan informasi login
mereka atau informasi rahasia lainnya agar mendapat akses untuk
menggunakan informasi tersebut.

Cybercrime Survey
 1. Defending yesterday

2. Bigger Attack Surface

3. Implementing Before Securing

4. Not Ready for Next Generation Cyberthreats

5. Unsafe Cloud

6. Unprepared for APT

Corporate Espionage

Pencurian rahasia dalam bisnis selalu menjadi ancaman bagi perusahaan,

karyawan yang tidak puas, dan insider lainnya. Saat ini lebih mudah untuk
mencuri informasi dari jarak jauh, karena adanya smartphone dan praktek
BYOD (Bring Your Own Devices). Hacker lebih memilih untuk masuk ke
perangkat mobile karyawan dan melompat ke jaringan pengusaha untuk
mencuri rahasia tanpa terdeteksi

5.2 IT Risk Management

Asset adalah sesuatu dari nilai yang perlu untuk di lindungi. Kerentanan
atau cacat dalam sistem menyebabkan serangan pada jaringan menjadi
sukses.

Internal Threat adalah ancaman yang berasal dari karyawaan dan

ancaman ini merupakan tantangan utama

Phishing adalah tindakan memperoleh informasi pribadi seperti User

ID, Password dan data-data sensitif lainnya dengan menyamar
sebagai orang atau organisasi yang berwenang melalui sebuah
email.

Ada 3 faktor yang membuat Phishing berjalan dengan sangat

sukses antara lain adalah

Kesalahan atau Human Error

Kegagalan sistem

Efek kesalahpahaman karena menambahkan software

yang tidak cocok ke dalam sistem yang telah ada
 IT Governance adalah suatu cabang dari tata kelola perusahaan
yang terfokus pada sistem teknologi informasi (TI) serta manajemen
kinerja dan risikonya.

COBIT adalah Control Objective for Information & Related

Technology (COBIT) yang merupakan sekumpulan dokumentasi best
practice untuk IT Governance yang dapat membantu auditor,
pengguna (user), dan manajemen, untuk menjembatani gap antara
resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT

Pertahanan keamanan IT dalam perusahaan

1. Komitmen dan dukungan Senior Manajemen

Pengaruh senior manajer sangat diperlukan untuk
menerapkan dan mempertahankan keamanan, standar,
privasi, dan pengendalian internal

2. Kebijakan yang dapat diterima dan pelatihan keamanan

Organisasi perlu menempatkan kebijakan dan proses yang kuat yang membuat
tanggung jawab dan akuntabilitas jelas bagi semua karyawan
3. Hardware and Software (Menjaga untuk tetap Up-to-date)
Prosedur yang aman menjelaskan bagaimana kebijakan akan ditegakkan,
bagaimana insiden akan dicegah, dan bagaimana merespon sebuah insiden
4. Hardware and Software (Menjaga untuk tetap Up-to-date)
Mekanisme pertahanan teknologi harus:
a. Mampu menyediakan autentifikasi yang kuat dan control akses
b. Mutu industri
c. Layak untuk tipe jaringan dan sistem operasi
d. Diinstal dan dikonfigurasi dengan benar
e. Teruji ketat
f. Terawat secara rutin

Untuk mendeteksi dan menetralisir efek dari malware diperlukan 3

pertahanan penting

1. Software Antivirus

2. Intrusion Detection Systems (IDSs)

3. Intrusion Prevention System (IPSs)

Ketika komputer terinfeksi oleh Malware, upaya untuk menghilangkan
malware bisa gagal dan malware bisa menginfeksi kembali komputer
untuk 2 alasan:

1. Malware berada di file backup atau archive

2. Malware menginfeksi media yang dapat dihilangkan

Botnets adalah sekumpulan program yang saling terhubung melalui

Internet yang berkomunikasi dengan program-program sejenis untuk
melakukan tugas tertentu.

5.3 Mobile, App, and Cloud Security Challenges

Resiko Cloud Computing dan Jaringan Sosial

1. Ditemukannya malware yang dapat merusak sistem operasi

computer

2. Banyak ditemukannya Fake AV(antivirus)

3. Adanya Spyware yaitu software atau perangkat lunak yang dapat

menginstal sendiri dalam system komputer untuk mencuri data atau
memantau pengguna komputer tersebut.

Mobile Attack Vector

Attack Vector adalah metode atau teknik yang menggunakan hacker

untuk mendapatkan akses ke perangkat komputasi lain atau jaringan
untuk menyuntikkan buruk kode(istilah dalam program)vektor ini
membantu hacker untuk mengeksploitasi kerentanan system.

5.4 Kejahatan Finansial dan Fraud Defenses

Kecurangan dan penggelapan

1. Penyalahgunaan wewenang/jabatan kecurangan yang dilakukan oleh individu-

individu yang bekerja dalam suatu organisasi untuk mendapatkan keuntungan pribadi.
 2. Kecurangan Organisatoris kecurangan yang dilakukan oleh organisasi itu sendiri demi
kepentingan/ keuntungan organisasi itu.
3. Skema Kepercayaan Dalam kategori ini, pelaku membuat suatu skema kecurangan
dengan menyalahgunakan kepercayaan korban.

Internal Fraud Prevention and Detection

Untuk mencegahnya adalah dengan membuat karyawan mengetahui

bahwa kecurangan akan dapat terdeteksi oleh sistem monitoring IT dan
diberi hukuman kepada pelaku kecurangan dengan kemungkinan
dilaporkan kepada pihak berwajib.

Kasus
LinkedIn adalah perusahaan publik yang mempunyai model bisnis
beragam dengan berbagai sumber penghasilan seperti langganan
premium, penjualan iklan, dan solusi perekrutan.

Misi LinkedIn adalah untuk menghubungkan profesional sedunia agar

mereka menjadi lebih produktif dan sukses. Dengan bergabung dengan
LinkedIn, akan mendapatkan akses ke professional, lowongan pekerjaan,
berita, update, dan wawasan yang akan membantu karier.

Pada Juni 2012, hacker membobol situs LinkedIn dan sebanyak 6,5 juta
password dan alamat email dicuri, dimana metode enkripsi LinkedIn telah
outdated. Password pengguna LinkedIn yang telah dihack diposting di
forum underground online Rusia.

Lebih dari $1 juta biaya yang dikeluarkan terkait dengan pekerjaan

forensik, investigasi, dan melakukan pengulangan alamat email yang
telah dibobol.

1. LinkedIn does not collect the credit card or other financial account information of its
members. Why then would profit-motivated hackers be interested in stealing
LinkedIns stored data? What data would they be most interested in?
 Karena LinkedIn menyimpan data yang berharga milik pengguna seperti email
dan password.
Email menjadi salah satu acuan untuk mengakses beberapa akun sosial media,
akses perbankan dan yang lainnya sehingga hal tersebut menimbulkan
ketertarikan hacker untuk melakukan hack tersebut.
2. Companies are often slow to self-detect data breaches so a cyberattack can occur
without a company even knowing it has a problem. What effect do you think
LinkedIns failure to self-detect its massive data breach had on its popularity and
credibility?
Pengaruh kegagalan LinkedIn menyebabkan turunnya popularitas dan
kepercayaan user dalam menggunakan akun tersebut. Hal tersebut
menimbulkan biaya yang besar untuk memperbaiki kondisi tersebut sehingga
mengurangi keuntungan.
3. Most corporate security incidents are uncovered by a third party, like a security firm,
that picks up on evidence of malicious activity. Why do you think IT security experts
and not LinkedIn discovered the data breach?
Karena metode enkripsi yang digunakan LinkedIn sudah outdated atau tidak
diperbarui, sehingga hacker dapat dengan mudah meretas database pengguna.
LinkedIn baru menyadari bahwa database perusahaan diretas oleh hacker, 2
hari setelah kejadian. Dengan kata lain, kondisi manajemen LinkedIn
mengenai keamaan data saat itu buruk karena LinkedIn tidak mengetahui
insiden tersebut.

4. LinkedIns lax approach to members information security and weak passwords was
very surprising to members and information security professionals. Why?
Data merupakan asset yang paling berharga bagi perusahaan LinkedIn
LinkedIn memiliki laba bersih yang cukup besar
Bisnis model LinkedIn adalah hasil dan keuntungan yang diperoleh dari data
Dengan teknologi yang tinggi, membentuk perusahaan publik dengan citra
merek.

5. Identify and evaluate the actual and potential business risks and damages from
LinkedIns data breach.
Pemindahan anggota dikarenakan akunnya dihack
Hacker mengetahui data pengguna dan digunakan kembali untuk melakukan
kejahatan
 LinkedIn mengalami kerusakan dengan iklan bisnisnya serta menurunkan
popularitas LinkedIn tersebut
Mendapatkan sanksi karena tidak dapat menjaga data penggunanya
Muncul biaya perbaikkan akibat dari peretasan dan ditambah biaya untuk
pembaharuan keamanan

6. Why is data encryption an important information security defense?

Karena data pengguna hanya boleh diketahui oleh pihak LinkedIn dengan
penggunanya, maka enkripsi terhadap informasi penting untuk dilakukan.
7. Discuss why information security is a concern of senior managers.
Karena keputusan untuk meningkatkan keamanan data perusahaan dibuat oleh
top management. Keamanan data ini penting karena mempengaruhi
operasional perusahaan, reputasi dan kepercayaan konsumen yang
berpengaruh pada pemasukan profit dan keunggulan kompetitif

8. Explain why someone who used the same password for several sites would need to
change all those passwords. In your opinion, was LinkedIn negligent in protecting its
main asset? Explain
Supaya hacker tidak mudah meretas seluruh data pengguna, maka pengguna
sebaiknya mengganti beberapa situs yang digunakan dengan kombinasi
password yang berbeda, dan dari pihak LinkedIn juga melakukan peningkatan
proteksi dengan cara-cara menyarankan penggantian password secara berkala.
Menurut kelompok, LinkedIn lalai dalam melindungi asset utamanya, karena
mereka tidak melakukan pembaharuan keamanan data penggunanya.