CHAPTER 8

SECURING INFORMATION SYSTEM

(MENGAMANKAN SISTEM INFORMASI)

A. PENDAHULUAN

Sistem informasi adalah suatu alur yang berupaya untuk mengubah sekumpulan data
menjadi informasi, biasanya berupa analisa suatu masalah dengan mengumpulkan data
mentahannya dan selanjutnya akan diolah lebih lanjut dengan metode tertentu sehingga
menghasilkan keterangan yang menggambarkan keadaan nyata berdasarkan data yang
dianalisa sebelumnya, selanjutnya hasilnya biasanya akan digunakan untuk mengambil
keputusan.

Sistem informasi berbasis ilmu teknologi saat ini digunakan oleh hampir seluruh
perusahaan-perusahaan global. Keunggulan dari sistem informasi berbasis ilmu teknologi
adalah cepat dan mudah digunakan untuk melakukan proses bisnis maupun menganalisis
suatu persoalan dan hasilnya yang akurat. Tidak bisa dipungkiri memang hal semacam ini
sangat dibutuhkan untuk mengambil sebuah keputusan yang harus segera diambil oleh
seorang manajer atau sebuah perusahaan.

Dalam dunia teknologi, seberapa canggih pun sebuah sistem tetap terdapat
kekurangan, salah satunya berhubungan dengan peretasan. Aplikasi merupakan salah satu
jenis cara yang digunakan dalam sistem informasi. Sejauh mana pengendalian aplikasi
mempunyai peran dalam mencegah dan mendeteksi adanya kesalahan-kesalahan. Sebuah
pengendalian dikatakan berhasil ketika kesalahan-kesalahan yang ada dapat diminimalisir
sehingga kejadian yang tidak diinginkan dapat diredam bahkan dihilangkan.

Betapa pentingnya informasi dalam kehidupan manusia, sehingga informasi yang

datang tidak boleh terlambat , tidak boleh bias(berat sebelah) harus bebas dari kesalahan-
kesalahan dan relevan dengan penggunanya, sehingga informasi tersebut menjadi informasi
yang berkualitas dan berguna bagi pemakainya. Untuk mendapatkan informasi yang
berkualitas perlu dibangun sebuah sistem informasi sebagai media pembangkitnya. Sistem
informasi merupakan cara menghasilkan informasi yang berguna . informasi yang berguna
akan mendukung sebuah keputusan bagi pemakainya.

B. PENDEKATAN SISTEM

Pendekatan sistem adalah suatu prosedur langkah yang digunakan dalam

memecahkan masalah. Tiap langkah mencakup satu keputusan atau lebih, dan untuk tiap
keputusan diperlukan informasi. Pengendalian umum dirancang untuk menjamin bahwa
seluruh sistem computer dapat berfungsi secara optimal dan pengolahan data dapat dilakukan
secara lancar sesuai dengan yang direncanakan.

Sistem Informasi Rentan terhadap Kerusakan, Kesalahan, dan Pelanggaran

Dalam dunia bisnis global, sebuah perusahaan pasti memiliki saingan, atau masyarakat
yang merasa terganggu akan keberadaan perusahaan tersebut. Upaya-upaya penyadapan,
peretasan atau usaha untuk mengetahui privasi sebuah perusahaan sangat mungkin terjadi.
Hal tersebut terjadi karena beberapa alasan, diantaranya perusahaan yang meretas ingin
mengetahui tentang rahasia-rahasia dari perusahaan yang diretas, selain itu jika dari
masyarakat yang tidak suka dengan keberadaan perusahaan memiliki motif untuk merusak
sistem informasi didalam perusahaan atau membocorkan rahasia perusahaan kepada publik,
dll.

Data digital rentan terhadap kerusakan, penyalahgunaan, kesalahan, penipuan, dan

perangkat keras atau perangkat lunak kegagalan. Internet dirancang untuk menjadi sistem
terbuka dan membuat sistem internal perusahaan lebih rentan tindakan dari pihak luar.
Hacker dapat melancarkan serangan denial-of-service (DoS) atau menembus perusahaan
jaringan, menyebabkan gangguan sistem yang serius. jaringan Wi-Fi dapat dengan mudah
ditembus oleh penyusup menggunakan program sniffer untuk mendapatkan alamat untuk
mengakses sumber daya jaringan. virus komputer dan cacing dapat menonaktifkan sistem dan
situs Web. Sifat tersebar komputasi awan membuatnya sulit untuk melacak aktivitas yang
tidak sah atau menerapkan kontrol dari jauh. Software menyajikan masalah karena bug
software mungkin mustahil untuk menghilangkan dan karena kerentanan perangkat lunak
dapat dieksploitasi oleh hacker dan perangkat lunak berbahaya.

Keamanan dan Kontrol

Keamanan adalah kebijakan prosedur dan langkah teknis yang digunakan untuk mencegah
akses yang tidak sah, perubahan, pencurian, atau kerusakan fisik terhadap sistem informasi
yang digunakan. Sedangkan kontrol adalah metode, kebijakan, dan prosedur organisasi yang
memastikan keamanan aset organisasi: akurasi dan keandalan catatan akuntansi, dan
kepatuhan operasional standar manajemen. Berikut merupakan beberapa kemungkinan dari
alasan sebuah sistem dapat diretas, antara lain :

1. Aksesibilitas jaringan
2. Masalah Hardware (kerusakan, konfigurasi kesalahan, kerusakan dari penyalahgunaan
atau kejahatan)
3. Masalah software (pemrograman kesalahan, instalasi kesalahan, perubahan tidak sah)
4. Bencana
5. Penggunaan jaringan / komputer di luar kendali perusahaan
6. Kehilangan dan pencurian perangkat portabel

Tantangan keamanan kontemporer dan kerentanan

 Arsitektur aplikasi berbasis web biasanya termasuk klien Web, server, dan sistem
informasi perusahaan terkait dengan database. Masing-masing komponen ini menyajikan
tantangan keamanan dan kerentanan. Banjir, kebakaran, gangguan listrik, dan masalah listrik
lainnya dapat menyebabkan gangguan pada setiap titik dalam jaringan. Selain sistem yang
diretas, kerentanan internet pun juga menjadi penyebab terjadinya peretasan, antara lain :

1. Jaringan terbuka bagi siapa saja

2. Ukuran internet berarti pelanggaran dapat memiliki dampak yang luas
3. Penggunaan alamat Internet tetap dengan modem kabel atau DSL menciptakan target
hacker tetap terenkripsi VOIP
4. E-mail, P2P, IM
- Penangkapan
- Lampiran dengan perangkat lunak berbahaya
- Mengirimkan rahasia dagang

Tantangan Keamanan Nirkabel

1. Pita Frekuensi Radio udah untuk Memindai

2. SSIDs (service set identifiers / seperangkat layanan pengenal)
- Identify access points / Mengidentifikasi Titik Akses
- Broadcast multiple times / Disiarkan Beberapa Kali
- War driving
3. Penyadap drive oleh bangunan dan mencoba untuk mendeteksi SSID dan
mendapatkan akses ke jaringan dan sumber daya WEP (Wired Equivalent Privacy)
- Standar keamanan untuk 802.11; Penggunaannya opsional
- Menggunakan sandi bersama bagi pengguna dan titik akses
- Pengguna sering gagal untuk menerapkan WEP atau lebih kuat system

Perangkat Lunak Berbahaya : Virus, Worms, Trojan Horse, dan Spyware

1. Tantangan Keamanan Wi-Fi

Tentang Keamanan Wi-Fi

Banyak jaringan Wi-Fi dapat ditembus dengan mudah oleh penyusup menggunakan
program sniffer untuk mendapatkan alamat untuk mengakses sumber daya jaringan tanpa
otorisasi.
Sistem Kerentanan dan Penyalahgunaan

a. Malware (malicious software/perangkat lunak berbahaya)

1. Virus
Program perangkat lunak nakal yang menempel pada program perangkat lunak
lain atau file data untuk dieksekusi
2. Worms
Program komputer independen yang menyalin diri dari satu komputer ke
komputer lain melalui jaringan.
3. Trojan horses
Program perangkat lunak yang tampaknya jinak tapi kemudian melakukan sesuatu
yang lain dari yang diharapkan.
4. SQL injection attacks
Hacker mengirimkan data ke bentuk Web yang mengeksploitasi perangkat lunak
terlindungi situs dan mengirimkan nakal query SQL ke database
5. Spyware
Program kecil menginstal sendiri diam-diam pada komputer untuk memantau
aktivitas pengguna web surfing dan melayani sampai iklan
6. Key loggers
Merekam setiap keystroke pada komputer untuk mencuri nomor seri, password,
memulai serangan Internet

Hacker dan Kejahatan Komputer

Hackers vs. crackers

Kegiatannya Meliputi :
a. Sebuah. Sistem Intrusi
b. Kerusakan Sistem
c. Vandalisme Cyber
Gangguan disengaja, perusakan, penghancuran situs Web atau sistem informasi
perusahaan

1. Spoofing dan Sniffer

Spoofing merupakan tindakan keliru diri dengan menggunakan alamat e-mail
palsu atau menyamar sebagai orang lain mengarahkan link Web untuk mengatasi
berbeda dari yang dimaksudkan satu, dengan situs yang menyamar sebagai tujuan
yang dimaksud.
Sniffer Program Menguping yang memonitor informasi perjalanan melalui
jaringan. Memungkinkan hacker untuk mencuri informasi rahasia seperti e-mail, file
perusahaan, dll.
 1. Denial-of-service attacks (DoS)
Banjir server dengan ribuan permintaan palsu untuk kecelakaan jaringan. Distributed
denial-of-service attacks (DDoS) merupkan penggunaan banyak komputer untuk
meluncurkan serangan DoS
Sedangkan Botnets adalah :
a. Jaringan "zombie" PC disusupi oleh malware bot
b. Di seluruh dunia, 6-24000000 komputer berfungsi sebagai PC zombie dalam
ribuan botnet

2. Kejahatan Komputer
Didefinisikan sebagai "pelanggaran hukum pidana yang melibatkan pengetahuan
teknologi komputer untuk perbuatan mereka, penyidikan, atau penuntutan". Komputer
dapat menjadi sasaran kejahatan, misalnya:
a. Melanggar kerahasiaan data terkomputerisasi yang dilindungi
b. Mengakses sistem komputer tanpa otoritas
c. Komputer mungkin alat kejahatan, misalnya:
- Pencurian rahasia dagang
- Menggunakan e-mail untuk ancaman atau pelecehan

3. Pencurian Identitas
Pencurian Informasi pribadi (id jaminan sosial, lisensi atau nomor kartu kredit
pengemudi) untuk meniru orang lain.
a. Phishing
Menyiapkan situs Web palsu atau mengirim pesan e-mail yang terlihat seperti
bisnis yang sah untuk meminta pengguna untuk data pribadi rahasia.
b. Evil Twins
Jaringan nirkabel yang berpura-pura menawarkan dipercaya Wi-Fi koneksi ke
Internet
c. Pharming
Pengalihan pengguna ke halaman Web palsu, bahkan ketika jenis individu yang
benar alamat halaman Web ke browser-nya
d. Click Penipuan
Terjadi ketika individu atau program komputer curang mengklik iklan online tanpa
niat untuk belajar lebih banyak tentang pengiklan atau melakukan pembelian
e. Cyberterrorism and Cyberwarfare

Ancaman Internal : Karyawan

1. Ancaman keamanan sering berasal di dalam sebuah organisasi

2. Didalam pengetahuan

3. Prosedur Keamanan Ceroboh, kurangnya pengetahuan pengguna

4. Social engineering:
 Menipu karyawan untuk mengungkapkan password mereka dengan berpura-pura
menjadi anggota yang sah dari perusahaan yang membutuhkan informasi

Kelemahan Software

Perangkat lunak komersial mengandung kelemahan yang menciptakan kerentanan

keamanan

a. Bug tersembunyi(Cacat Kode Program)

Nol cacat tidak dapat dicapai karena pengujian lengkap tidak mungkin dengan
program besar
b. Cacat dapat membuka jaringan untuk penyusup
c. Patches
Vendor melepaskan potongan-potongan kecil dari perangkat lunak untuk
memperbaiki kelemahan
Namun eksploitasi sering dibuat lebih cepat dari patch akan dirilis dan
diimplementasikan

Nilai Bisnis Keamanan dan Kotrol

Kurangnya keamanan dan kontrol suatu sistem informasi dapat menyebabkan perusahaan
mengandalkan sistem komputer untuk meminimalisir terjadinya kehilangan konsumen,
penurunan penjualan dan menurunnya produktivitas perusahaan. Aset informasi, seperti
karyawan, rahasia catatan, rahasia dagang, atau rencana bisnis, kehilangan banyak nilai jika
mereka diturunkan diluar atau jika mereka mengekspose perusahaan sebagai tanggung jawab
hukum. Undang-undang baru, seperti HIPAA, Sarbanes-Oxley, dan Gramm-Leach-Bliley
Act, mengharuskan perusahaan untuk melakukan praktek manajemen catatan elektronik yang
ketat dan mematuhi standar yang ketat untuk keamanan, privasi, dan kontrol. Tindakan
hukum membutuhkan bukti elektronik dan forensik komputer juga menuntut perusahaan
untuk lebih memperhatikan catatan keamanan dan pengelolaan elektronik.

a. Sistem komputer gagal dapat menyebabkan kerugian yang signifikan atau total dari
fungsi bisnis

b. Perusahaan sekarang lebih rentan daripada sebelumnya

- Data pribadi dan rahasia keuangan

- Rahasia dagang, produk baru, strategi
c. Sebuah pelanggaran keamanan dapat dipotong menjadi nilai pasar perusahaan segera

d. Keamanan dan kontrol yang tidak memadai juga mendatangkan masalah kewajiban

e. Persyaratan hukum dan peraturan untuk manajemen catatan elektronik dan

perlindungan privasi :

- HIPAA: peraturan dan prosedur keamanan medis dan privasi

- Gramm-Leach-Bliley Act: Membutuhkan lembaga keuangan untuk menjamin
keamanan dan kerahasiaan data pelanggan
 -Sarbanes-Oxley Act: Memberlakukan tanggung jawab pada perusahaan dan
manajemen mereka untuk menjaga akurasi dan integritas informasi keuangan
yang digunakan secara internal dan eksternal dirilis
f. Bukti Elektronik
- Evidence for white collar crimes often in digital form
Data on computers, e-mail, instant messages, e-commerce transactions
- Kontrol yang tepat dari data yang dapat menghemat waktu dan uang ketika
menanggapi penemuan permintaan hukum
g. Computer forensics:
- Koleksi ilmiah, pemeriksaan, otentikasi, pelestarian, dan analisis data dari media
penyimpanan komputer untuk digunakan sebagai bukti di pengadilan hukum
- Termasuk recovery of ambient and hidden data

Komponen dari suatu organisasi kerangka kerja untuk keamanan dan kontrol

Perusahaan perlu membangun baik set baik umum dan aplikasi kontrol untuk sistem
informasi mereka. Sebuah resiko penilaian mengevaluasi aset informasi, mengidentifikasi
titik kontrol dan kelemahan kontrol, dan menentukan set paling hemat biaya kontrol.
Perusahaan juga harus mengembangkan perusahaan yang koheren kebijakan keamanan dan
rencana untuk melanjutkan operasi bisnis di terjadi bencana atau gangguan. Itu kebijakan
keamanan mencakup kebijakan untuk penggunaan diterima dan manajemen identitas.
komprehensif dan sistematis audit sistem informasi membantu organisasi menentukan
efektivitas keamanan dan kontrol untuk sistem informasi mereka

Jenis Pengendalian Umum

1. Kontrol perangkat lunak

2. Kontrol hardware
3. Kontrol operasi komputer
4. Kontrol keamanan data
5. Kontrol implementasi
6. Kontrol administrative

Pengendalian Aplikasi

1. Kontrol tertentu yang unik untuk setiap aplikasi komputerisasi, seperti gaji atau
pemrosesan order,
2. Sertakan kedua prosedur otomatis dan manual
3. Memastikan bahwa data hanya berwenang benar-benar akurat dan diproses oleh
aplikasi
4. Memasukan:
- Input controls
- Processing controls
- Output controls
1. Penilaian risiko: Menentukan tingkat risiko untuk perusahaan jika aktivitas atau
proses tertentu yang tidak dikontrol dengan baik
 - Jenis ancaman
- Kemungkinan terjadinya selama tahun
- Potensi kerugian, nilai ancaman
- Kerugian tahunan diperkirakan

2. Kebijakan Keamanan
Peringkat risiko informasi, mengidentifikasi tujuan keamanan yang dapat diterima,
dan mengidentifikasi mekanisme untuk mencapai tujuan-tujuan ini

3. Mengatur Kebijakan Lain

- Mengatur Kebijakan Penggunaan (Acceptable use policy -AUP)

- Mendefinisikan penggunaan diterima sumber daya perusahaan informasi dan
peralatan komputasi
4. Authorization policies
Tentukan tingkat yang berbeda dari akses pengguna ke aset informasi
5. Manajemen Identitas
6. Proses bisnis dan alat untuk mengidentifikasi pengguna yang valid dari sistem dan
mengontrol akses :
- Mengidentifikasi dan kewenangan berbagai kategori pengguna
- Menentukan bagian mana dari pengguna sistem dapat mengakses
- Otentikasi pengguna dan melindungi identitas
7. Sistem Manajemen Identitas
Menangkap aturan akses untuk berbagai tingkat pengguna
8. Kontrol Sistem Informasi
- Kontrol manual dan otomatis
- Pengendalian umum dan aplikasi
9. Mengatur desain, keamanan, dan penggunaan program komputer dan keamanan file
data secara umum di seluruh infrastruktur teknologi informasi organisasi.
- Terapkan untuk semua aplikasi komputerisasi
- Kombinasi hardware, software, dan prosedur manual untuk menciptakan
lingkungan pengendalian secara keseluruhan

Alat dan Teknologi yang Paling Penting untuk Menjaga Informasi Sumber Daya

Firewall mencegah pengguna yang tidak sah mengakses jaringan pribadi ketika terkait
dengan Internet. sistem deteksi intrusi memonitor jaringan pribadi dari lalu lintas jaringan
yang mencurigakan dan mencoba untuk mengakses sistem perusahaan. Password, token,
smart card, dan otentikasi biometrik yang digunakan untuk otentikasi pengguna sistem.
Perangkat lunak antivirus memeriksa sistem komputer untuk infeksi oleh virus dan cacing
dan sering menghilangkan perangkat lunak berbahaya, sementara software antispyware
memerangi mengganggu dan spyware program berbahaya. Enkripsi, coding dan berebut
pesan, adalah banyak digunakan teknologi untuk mengamankan transmisi elektronik melalui
jaringan yang tidak dilindungi. sertifikat digital dikombinasikan dengan enkripsi kunci publik
memberikan perlindungan lebih lanjut dari transaksi elektronik dengan authenti-cating
identitas pengguna. Perusahaan dapat menggunakan sistem komputer toleransi kegagalan
untuk memastikan bahwa mereka Sistem informasi selalu tersedia. Penggunaan metrik
perangkat lunak dan perangkat lunak yang ketat pengujian bantuan meningkatkan kualitas
perangkat lunak dan kehandalan.

Perangkat Lunak Manajemen Identitas

1. Mengotomatiskan melacak semua pengguna dan hak istimewa

2. Mengotentikasi pengguna, melindungi identitas, mengendalikan akses pembuktian
keaslian sistem sandi, token, smart card, otentikasi biometrik/

Firewall:

Kombinasi hardware dan software yang mencegah pengguna yang tidak sah mengakses
jaringan pribadi

Teknologi meliputi:

1. Filtering Paket Statis

2. Terjemahan Alamat Jaringan (Nat)
3. Aplikasi Proxy Filtering

A Corporate Firewall

Firewall ditempatkan antara jaringan pribadi perusahaan dan internet publik atau
jaringan tidak dipercaya lagi untuk melindungi terhadap lalu lintas yang tidak sah.

Sistem Deteksi Intrusi

1. Memantau hot spot pada jaringan perusahaan untuk mendeteksi dan mencegah
penyusup
2. Meneliti peristiwa seperti yang terjadi untuk menemukan serangan berlangsung
3. Antivirus dan antispyware software:
 4. Cek komputer untuk kehadiran malware dan sering dapat menghilangkan itu juga
5. Membutuhkan memperbarui terus-menerus
6. Manajemen ancaman terpadu (UTM) sistem

Mengamankan Jaringan Nirkabel

Keamanan WEP dapat memberikan beberapa keamanan dengan cara :

1. Menetapkan nama unik untuk SSID jaringan dan tidak menyiarkan SSID
2. Menggunakannya dengan teknologi VPN
3. Wi-Fi Alliance diselesaikan spesifikasi WAP2, menggantikan WEP dengan standar
kuat
4. Terus berubah kunci

Sistem Otentikasi Terenkripsi Dengan Server Pusat

Transformasi teks atau data ke dalam teks cipher yang tidak dapat dibaca oleh
penerima yang tidak disengaja. Dua metode untuk enkripsi pada jaringan :

1. Secure Sockets Layer (SSL) dan penggantinya Transport Layer Security (TLS)
2. Aman Hypertext Transfer Protocol (S-HTTP)

Dua metode enkripsi

1. Enkripsi Kunci Simetris

2. Pengirim dan Penggunaan Penerima Tunggal, Kunci Bersama

Enkripsi Kunci Publik

1. Menggunakan Dua, Kunci Terkait Matematis: Kunci Publik dan Kunci Pribadi
2. Pengirim Mengenkripsi Pesan Dengan Kunci Publik Penerima
3. Penerima Mendekripsi dengan Kunci Pribadi

Public Key Encryption

Sebuah sistem enkripsi kunci publik dapat dilihat sebagai rangkaian kunci publik dan
swasta yang mengunci data saat mereka ditransmisikan dan membuka data ketika mereka
diterima. Pengirim menempatkan kunci publik penerima dalam direktori dan
menggunakannya untuk mengenkripsi pesan. pesan dikirim dalam bentuk terenkripsi melalui
Internet atau jaringan pribadi. Ketika pesan terenkripsi tiba, penerima menggunakan nya
kunci privat untuk mendekripsi data dan membaca pesan.

Sertifikat Digital
 File data yang digunakan untuk menentukan identitas pengguna dan aset elektronik
untuk perlindungan transaksi online menggunakan pihak ketiga yang terpercaya, otoritas
sertifikasi (CA), untuk memvalidasi identitas pengguna CA memverifikasi identitas
pengguna, menyimpan informasi di CA server, yang menghasilkan sertifikat digital
terenkripsi yang berisi informasi pemilik ID dan salinan pemilik kunci publik Infrastruktur
Kunci Publik (IKP). Penggunaan kriptografi kunci publik bekerja dengan otoritas sertifikat
banyak digunakan dalam e-commerce. Sertifikat digital membantu menentukan identitas
orang atau aset elektronik. Mereka melindungi transaksi online dengan menyediakan,
terenkripsi, komunikasi online aman.

Ketersediaan sistem menjamin pemrosesan transaksi online membutuhkan%

ketersediaan 100, tidak ada downtime sistem komputer toleran untuk ketersediaan
berkelanjutan, misalnya pasar saham mengandung komponen hardware, software, dan power
supply berlebihan yang menciptakan lingkungan yang menyediakan terus menerus, tanpa
gangguan layanan komputasi ketersediaan tinggi membantu cepat sembuh dari kecelakaan
meminimalkan, tidak menghilangkan downtime. Komputasi pemulihan berorientasi
merancang sistem yang sembuh dengan cepat dengan kemampuan untuk membantu operator
menentukan dan benar dari kesalahan dalam sistem multi-komponen, lalu lintas jaringan
pengendali Pemeriksaan Paket Dalam, Video dan musik blocking, keamanan
outsourcing/dikelola penyedia layanan keamanan (MSSPs).

Tanggung Jawab untuk Keamanan

Tinggal dengan perusahaan yang memiliki data perusahaan harus memastikan

penyedia memberikan perlindungan yang memadai. Perjanjian Tingkat Layanan
mengamankan platform mobile kebijakan keamanan harus mencakup dan mencakup
persyaratan khusus untuk perangkat mobile misalnya. memperbarui ponsel pintar dengan
patch keamanan terbaru, dll.