Anda di halaman 1dari 30

Bab 8

Mengamankan Sistem Informasi

Tujuan Pembelajaran
1. Mengapa sistem informasi rentan terhadap kerusakan, kesalahan, dan penyalahgunaan?
2. Berapakah nilai bisnis Sistem Keamanan dan Pengendalian ?
3. Apa sajakah komponen dari sebuah kerangka organisasi untuk Sistem Keamanan dan
Pengendalian ?
4. Apa sajakah alat-alat dan teknologi terpenting untuk melindungi sumber-sumber informasi?

Garis besar bab


8.1 Sistem Kerentanan dan Penyalahgunaan
Mengapa Sistem Rentan?
Perangkat Lunak Berbahaya: Virus, Worms, Trojan Horses, dan Spyware, Hacker dan Kejahatan
Komputer
Ancaman Internal: Karyawan/cloud, Perangkat Lunak yang rentan/mudah diserang
8.2 Nilai Bisnis Sistem Keamanan dan Pengendalian
Persyaratan Hukum dan Regulasi untuk Manajemen Rekaman Elektronik
Bukti Elektronik dan Forensik Komputer
8.3 Membentuk Kerangka untuk Sistem Keamanan dan Pengendalian
Pengendalian Sistem Informasi
Tugas beresiko
Kebijakan keamanan
Perencanaan Pemulihan Bencana dan Perencanaan Bisnis Berkesinambungan
Peraturan-Peraturan Audit
8.4 Teknologi dan Alat untuk Melindungi Sumber Informasi
Manajemen dan Otentikasi Identitas
Firewall, Sistem Pendeteksi Gangguan, dan Perangkat Lunak Antivirus
Mengamankan Jaringan Nirkabel
Enkripsi dan Infrastruktur Kunci Publik
Memastikan Ketersediaan Sistem
Masalah Keamanan untuk Cloud Computing dan Mobile Digital Platform
Memastikan Kualitas Perangkat Lunak

Persyaratan Utama
Berikut daftar abjad mengidentifikasi istilah kunci yang dibahas dalam bab ini. Nomor halaman
untuk setiap istilah kunci disediakan.
Acceptable use policy (AUP), 312 Identify theft, 302
Antivirus software, 318 Intrusion detection systems, 318
Application controls, 310 Key loggers, 300
Authentication, 316 Malware, 298
Biometric authentication, 316 Managed security service providers (MSSPs), 322
Botnet, 301 MIS audit, 314
Bugs, 305 Online transaction processing, 321
Business continuity planning, 314 Password, 316
Click fraud, 304 Patches, 307
Computer crime, 302 Pharming, 303
Computer forensics, 309 Phishing, 303
Computer virus, 298 Public key encryption, 320
Controls, 295 Public key infrastructure (PKI), 320
Cybervandalism, 300 Recovery-oriented computing, 321
Cyberwarfare, 304 Risk assessment, 311
Deep packet inspection, 322 Sarbanes-Oxley Act, 309
Denial-of-service (DoS) attack, 301 Secure Hypertext Transfer Protocol (S-HTTP), 319
Digital certificates, 320 Secure Sockets Layer (SSL), 319
Disaster recovery planning, 314 Security, 295
Distributed denial-of-service (DDos) attack, Security policy, 312
301
Downtime, 321 Smart card, 316
Drive-by download, 298 Sniffer, 301
Encryption, 319 Social engineering, 305
Evil twin, 303 Spoofing, 301
Fault tolerant computer systems, 321 Spyware, 300
Firewall, 317 SQL injection attack, 300
General controls, 310 Token, 316
Gramm-Leach-Bliley Act, 309 Trojan Horse, 299
Hacker, 300 Unified threat management (UTM), 319
High-availability computing, 321 War driving, 297
HIPAA, 308 Worms, 298
Identity management, 312

Saran Pengajaran
Kasus awal, "Anda di LinkedIn? Hati-hati !, "kasus ini menjelaskan ada beberapa cara berbeda
yang dapat membuat sistem informasi menjadi rentan terserang oleh perangkat lunak berbahaya,
pengguna komputer perorangan, komputer teman-teman mereka, dan komputer peserta dari bisnis
LinkedIn. Karena basis pengguna yang sangat besar, situs Web yang mudah digunakan, dan
komunitas pengguna yang mudah dihubungkan dengan puluhan atau ratusan pengguna lainnya, situs
jaringan bisnis yang populer telah menjadi risiko keamanan yang sangat besar bagi individu dan
bisnis.

Kasus ini juga menunjukkan bahwa tidak ada satu pendekatan untuk mengamankan sistem
informasi yang memadai. Bisnis harus terus mengupgrade perangkat lunak keamanan mereka dan
mencoba selangkah lebih maju dari peretas dan penjahat komputer. Mengamankan sistem informasi
dari akses yang tidak sah, penyalahgunaan, penghancuran, atau gangguan aset memerlukan
kombinasi antara pelatihan, prosedur, dan berbagai macam teknologi. Biaya dan kesulitan dalam
menggunakan semua ini harus diimbangi dengan keuntungan bersih yang mereka berikan kepada
bisnis melalui cara bentuk kepercayaan pelanggan yang lebih besar, operasi yang tidak terganggu,
kepatuhan terhadap peraturan pemerintah, dan perlindungan aset keuangan. Bagaimanapun juga,
sesuai dengan wacana tersebut, pengembangan sistem kata kunci/password yang aman hanya akan
menambah biaya/pengeluaran bagi perusahaan dengan jumlah uang minimal, biaya itu paling
minimal dalam enam angka. Disaat insiden hacking terjadi, perusahaan ini akan mendapat gugatan 5
juta dolar.

Bagian 8.1, Sistem Kerentanan dan Penyalahgunaan Dengan data yang terkonsentrasi dalam
bentuk elektronik dan banyak prosedur yang tidak terlihat melalui otomasi, sistem informasi
terkomputerisasi rentan terhadap kerusakan, penyalahgunaan, kesalahan, kecurangan, dan
kegagalan perangkat keras atau perangkat lunak. Sistem perusahaan yang menggunakan Internet
sangat rentan karena Internet dirancang untuk menjadi sebuah sistem yang terbuka. Seperti sistem
nirkabel menjadi lebih popular saat ini, maka tantangan keamanan yang terkait dengan mereka
meningkat secara besar-besaran. Sistem internal perusahaannya rentan terhadap tindakan jahat dari
orang dalam karena mereka adalah orang-orang dari luar sistem keamanan.

Mintalah siswa Anda untuk meneliti beberapa ancaman virus terbaru.


Mereka dapat menemukan informasi tentang virus dengan mengunjungi salah satu situs web berikut
atau hanya menggunakan mesin pencari seperti Google untuk penelitian permintaan ini.
www.symantec.com/index.htm, www.mcafee.com, www.pandasecurity.com
Sesi Interaktif: Organisasi-organisasi: Stuxnet (virus) dan Perubahan Wajah dari Perang dunia maya
(Cyberwarfare).

Pertanyaan Studi Kasus:


1. Apakah Perang dunia maya merupakan masalah serius? Ya atau Tidak, Mengapa?
Perang dunia maya menjadi masalah yang sangat serius. Serangan telah menjadi jauh lebih luas,
canggih, dan berpotensi menghancurkan. Jaringan Departemen Pertahanan AS mengalami
250.000 serangan setiap jam dan serangan cyber pada agen federal A.S. pada umumnya
meningkat 150 persen sejak 2008.

Perang dunia maya hadir dalam bentuk serangan denial-of-service (DoS) terdistribusi yang
telah menurunkan situs Web di Gedung Putih, Departemen Keuangan, Komisi Perdagangan
Federal, Departemen Pertahanan, Dinas Rahasia dan banyak lainnya. Serangan tersebut
memperlambat sebagian besar situs A.S. dan memaksa beberapa situs di luar negeri untuk
berhenti beroperasi sama sekali. Tahun-tahun lainnya, peretas telah mencuri rencana untuk
sistem pelacakan rudal, perangkat navigasi satelit, drone pengawasan, dan jet tempur mutakhir.
Pada bulan April 2009, cyberspies menggunakan titik lemah di grid listrik A.S. untuk
menanamkan program perangkat lunak yang tujuannya masih belum jelas.

2. Penilaian faktor manajemen, organisasi, dan teknologi yang telah menciptakan masalah ini.
Manajemen: Sebagian besar serangan adalah pekerjaan oleh profesional yang sangat terampil.
"Saya melihat Stuxnet sebagai sistem pengiriman senjata, seperti B-2 Bomber," kata Michael
Assante, Presiden dan CEO di National Board of Information Security Examiners.

Organisasi: Ada dugaan bahwa beberapa serangan cyberwarfare (perang dunia maya) telah
diatur oleh pemerintah, termasuk worm Stuxnet yang diluncurkan dengan dukungan negara-
negara (mungkin dari Israel dan Amerika Serikat). Dalam setiap insiden cyberwarfare,
pemerintah yang diduga bertanggung jawab telah membantah tuduhan tersebut tanpa akibat.
Organisasi, publik dan swasta, terus-menerus tidak merencanakan keamanan secara memadai
sebelum membangun sistem komputer apa pun sehingga membuka jalan bagi serangan cyber.

Teknologi: Menelusuri identitas penyerang spesifik melalui dunia maya hampir tidak mungkin
dilakukan. Kerusakan dari worm Stuxnet tidak dapat diperbaiki dan diyakini telah menunda
kemampuan Iran untuk membuat senjata nuklir sebanyak lima tahun. Beberapa ahli yang
memeriksa kode perangkat lunak Stuxnet percaya bahwa itu berisi benih untuk versi dan
serangan yang lebih banyak.

3. Apa yang membuat Stuxnet (virus) berbeda dengan serangan cyberwarfare lainnya? Seberapa
serius ancaman teknologi ini?
Sampai saat ini, Stuxnet adalah cyberweapon/senjata dunia cyber paling canggih yang
pernah digunakan. Misi Stuxnet adalah mengaktifkan hanya komputer yang mengoperasikan
perangkat lunak Pengendalian Pengawasan dan Akuisisi Data yang digunakan di sentrifugal
Siemens untuk memperkaya uranium. Worm berbasis Windows memiliki "hulu ledak ganda."
Satu bagian dirancang untuk terbengkalai dalam waktu lama, lalu mempercepat sentrifugal nuklir
Iran sehingga mereka berputar tanpa kendali. Yang lain diam-diam mencatat operasi normal apa
dan kemudian memainkan rekaman itu kembali ke operator pabrik sehingga akan terlihat bahwa
sentrifugal beroperasi normal saat mereka benar-benar merobek diri mereka sendiri.

4. Solusi apa yang telah diajukan untuk masalah ini? Apakah menurut anda akan efektif? Ya atau
tidak, Mengapa ?
Amerika Serikat tidak memiliki strategi yang jelas tentang bagaimana negara tersebut akan
menanggapi berbagai tingkat serangan cyber. Mike McConnell, mantan direktur intelijen
nasional, menyatakan bahwa jika bahkan satu bank besar Amerika berhasil diserang, "akan
berdampak pada dampak ekonomi global" dari pada serangan World Trade Center, dan bahwa "
kemampuan untuk mengancam pasokan uang AS setara dengan senjata nuklir saat ini. "

Banyak pakar keamanan percaya bahwa cybersecurity A.S. tidak terorganisir dengan baik.
Cybercom telah diaktifkan pada bulan Mei 2010 dengan harapan dapat menyelesaikan
kekacauan organisasi dari badan-badan yang berjuang untuk menjadi agen terkemuka dalam
upaya untuk memerangi cyberwarfare/perang dunia maya.

Bagian 8.2, "Nilai Bisnis Sistem Keamanan dan Pengendalian " Sistem Keamanan dan Pengendalian
penting namun sering diabaikan untuk investasi sistem informasi. Mayoritas perusahaan saat ini naif
tentang seberapa rentan aset mereka. Saat mengembangkan dan mengelola sistem keamanan
informasi, perhatian utama organisasi adalah memperoleh senjata baru untuk bertarung dan
memenangkan pertarungan untuk keamanan sistem. Ingatkan siswa Anda bahwa pengetahuan
adalah baris pertama pertahanan terbaik melawan/cloud tentara hacker, penipuan, penipu,
penyabot, dan pencuri yang mengancam sumber informasi berharga organisasi.
Kebanyakan siswa dan profesor sama-sama pernah mengalami dampak pada satu sama lain dengan
virus perangkat lunak. Tanyakan kepada siswa tentang virus apa yang mungkin mereka miliki pada
sistem komputer mereka, masalah apa yang diciptakan untuk mereka, dan bagaimana mereka bisa
mengatasinya.

Bagian 8.3, "Membangun Kerangka untuk Sistem Keamanan dan Pengendalian " Perusahaan harus
menggunakan teknologi yang tepat untuk secara efektif melindungi sumber informasi mereka.
Tempat terbaik untuk memulai adalah dengan menetapkan seperangkat kendali umum dan aplikasi
yang didefinisikan dengan baik. Mintalah siswa Anda untuk meneliti jenis metode Sistem Keamanan
dan Pengendalian apa yang dipekerjakan oleh universitas atau tempat kerja mereka. Dalam
kelompok, mintalah mereka untuk mempresentasikan temuan mereka di kelas.

Kebijakan keamanan dan kebijakan penggunaan yang dapat diterima hanya sebaik penegakannya.
Banyak organisasi, termasuk universitas, memiliki kebijakan penggunaan yang dapat diterima namun
sayangnya, tidak banyak orang tahu mereka ada, membacanya, atau mematuhi mereka. Mintalah
siswa mempelajari kebijakan penggunaan yang dapat diterima untuk universitas Anda dan jelaskan
kepada siswa lainnya. Diskusikan implikasi berikut atau tidak mengikuti kebijakan.

Audit keamanan, baik internal maupun eksternal, lebih penting daripada sebelumnya dalam
membantu mengamankan sistem informasi perusahaan. Skandal Enron / Anderson, dan undang-
undang federal yang dihasilkan, telah menghasilkan perubahan positif dalam bagaimana eksekutif
dan manajer melihat keamanan. Tekankan ini sepanjang bab saat Anda mendiskusikannya dengan
para siswa.

Sesi Interaktif: Teknologi: Seberapa Amankah Smartphone Anda?

Pertanyaan Studi Kasus


1. Dikatakan bahwa smartphone adalah "komputer mikro di tangan Anda." Diskusikan implikasi
keamanan dari pernyataan ini.

Smartphone memiliki banyak fitur dan kemampuan komputasi yang sama seperti jaringan komputasi
laptop, desktop, atau klien / server manapun, menjadikannya rentan terhadap malware. Hampir
tidak ada yang menganggap tidak melindungi komputer "khas" dari ancaman keamanan namun tidak
memikirkan melakukan hal yang sama untuk sebuah smartphone.

Dengan 116 juta pengguna smartphone di Amerika Serikat, 122 juta orang mengakses Internet dari
perangkat mobile, perusahaan bisnis semakin mengalihkan karyawan/cloud mereka ke platform
mobile, konsumen menggunakan ponsel mereka untuk transaksi keuangan, membayar tagihan, dan
belanja, ukuran dan kekayaan target smartphone untuk hacker berkembang.

2. Faktor manajemen, organisasi, dan teknologi apa yang harus ditangani oleh keamanan
smartphone?

Manajemen: Apple tidak dapat secara efektif meninjau aplikasi baru sebelum penggunaannya.
Ribuan aplikasi datang setiap minggu di Apple. IPhone tidak memberi tahu pengguna aplikasi
informasi apa yang digunakan, namun membatasi informasi yang dapat dikumpulkan oleh aplikasi
apa pun. Google melakukan langkah-langkah pencegahan untuk mengurangi aplikasi perangkat lunak
perusak seperti memeriksa latar belakang pengembang, dan mengharuskan pengembang untuk
mendaftar dengan layanan pembayaran Checkout-nya.

Organisasi: Aturan aplikasi Apple iTunes membuat beberapa informasi pengguna tersedia untuk
semua program aplikasi secara default, termasuk posisi dan nama GPS pengguna. Keamanan pada
platform Android jauh lebih sedikit di bawah kendali Google karena memiliki model aplikasi terbuka.
Google menghapus dari Android Market resminya setiap aplikasi yang melanggar peraturannya
terhadap aktivitas berbahaya.

Teknologi: Kode botnet mudah dibungkus di dalam kode aplikasi sehingga lebih sulit untuk dideteksi.
Apple, Google dan RIM (BlackBerry) menawarkan lebih dari 1,25 juta aplikasi secara kolektif. Apple
telah menghapus ratusan aplikasi karena masalah keamanan. Google mengandalkan rintangan teknis
untuk membatasi dampak kode berbahaya, serta masukan pakar pengguna dan keamanan. Google
dapat melakukan penghapusan jauh dari aplikasi yang menyinggung dari semua ponsel Android
tanpa campur tangan pengguna. Itu bagus tapi bisa jadi ancaman keamanan itu sendiri jika hacker
mendapatkan akses ke kemampuan menghapus jarak jauh di Google.
3. Masalah apa saja yang mempengaruhi bisnis yang ditimbulkan oleh keamanan yang lemah pada
smartphone?
Smartphone dari semua jenis rentan terhadap malware berbasis browser yang memanfaatkan
kerentanan di semua browser. Selain itu, sebagian besar smartphone, termasuk iPhone, mengizinkan
produsen untuk mendownload file konfigurasi dari jarak jauh untuk memperbarui sistem operasi dan
perlindungan keamanan. Sayangnya, ahli kriptologi pada tahun 2010 menemukan kekurangan dalam
prosedur enkripsi kunci publik yang memungkinkan akses server jauh ke iPhone. Hasilnya: "Sama
sekali tidak ada alasan untuk iPhone / iPod untuk mempercayai Sertifikat Otoritas yang merupakan
kunci dasar untuk enkripsi publik atas file-file yang didownload dengan perantaraan radio konfigurasi
mobile."

Phishing (pencurian data) juga merupakan masalah smartphone yang sedang berkembang. Pengguna
ponsel diyakini tiga kali lebih mungkin jatuh untuk penipuan yang memikat mereka ke situs Web
palsu yang membuat mereka mengungkapkan data pribadi : Mengapa? Karena perangkat mobile
diaktifkan setiap saat, dan format layar kecil membuat kecurangan lebih sulit dideteksi.

4. Langkah apa yang bisa dilakukan individu dan pebisnis agar smartphone mereka lebih aman?

Semua pengguna dan bisnis smartphone harus memperlakukan smartphone dan yang sekarang
disebut tablet diperlakukan seperti sistem komputer yang lengkap dan cukup melindunginya dari
malware dan gangguan. Dianjurkan mendownload perangkat lunak perlindungan keamanan yang
sesuai dan memadai dan tetap terupdate. Bagi para analis keamanan, serangan smartphone skala
besar hanyalah bencana yang menunggu untuk terjadi

Bagian 8.4, "Teknologi dan Alat untuk Melindungi Sumber Informasi"


Meskipun para pelajar atau kaum pekerja juga mengatakan mereka menginginkan kualitas perangkat
lunak atau sistem informasi terkendali yang bagus, tetapi hanya sedikit yang bersedia memberikan
waktu mereka untuk mengambil langkah ekstra untuk menjamin kualitas, atau dalam waktu luang
mereka, dana, dan waktu tambahan yang diperlukan untuk menginstal Sistem Pengendalian dan
keamanan.

Diskusikan seperti apa system biometrik itu dengan para pelajar, seperti penggunaan pencitraan sidik
jari, pemindaian retina, atau peta suara untuk mengotentikasi pengguna, yaitu system yang dapat
meningkatkan keamanan. Mintalah para pelajar Anda untuk menyelidiki sistem itu dan seperti apa
perangkat biometrik terbaru. Para pelajar dapat memulai pencarian mereka dengan perusahaan
seperti Sense Technologies Inc., Ethentica Inc., dan Siemens Inc.

Membentuk kerangka kerja yang baik untuk Sistem Keamanan dan Pengendalian memerlukan
keseimbangan yang terampil antara risiko, penghargaan, dan kemampuan operasional perusahaan.
Merancang sistem yang tidak terkendali terlalu dalam dan tidak dikendalikan dan menerapkan
kebijakan keamanan yang efektif merupakan tantangan manajemen utama. Solusi prioritas
manajemen yang lebih tinggi yang mencakup Sistem Keamanan dan Pengendalian dan kesadaran
akan menginstal keamanan di seluruh perusahaan. Keputusan merupakan kunci manajemen meliputi
penentuan tingkat pengendalian yang tepat untuk organisasi dan menetapkan standar untuk
keakuratan dan keandalan sistem. Mintalah para pelajar Anda untuk membaca informasi tentang
pengembangan kebijakan keamanan di situs Web di bawah ini:
www.sun.com/blueprints/1201/secpolicy.pdf

Pertanyaan ulasan
1. Mengapa sistem informasi rentan terhadap kerusakan, kesalahan, dan penyalahgunaan?

Buat daftar dan jelaskan ancaman yang paling umum terhadap sistem informasi kontemporer.

Ancaman yang paling umum terhadap sistem informasi kontemporer meliputi : faktor teknis,
organisasi, dan lingkungan yang ditambah dengan keputusan manajemen yang buruk. Gambar 8-1
meliputi:
Teknis: Akses tidak sah, memperkenalkan kesalahan
Komunikasi: Mengetuk, mengendus, mengganti pesan, pencurian dan kecurangan, radiasi
Server korporat: Hacking, virus dan worm, pencurian dan penipuan, vandalisme, penolakan
serangan layanan
Sistem perusahaan: Pencurian data, penyalinan data, perubahan data, kegagalan perangkat
keras, dan kegagalan perangkat lunak. Kegagalan daya, banjir, kebakaran, atau bencana
alam lainnya juga dapat mengganggu sistem komputer.
Keputusan manajemen yang buruk: Proteksi yang dirancang dengan buruk yang melindungi
data berharga dari kehilangan, hancur, atau jatuh ke tangan yang salah.

Jelaskan apa itu malware dan bedakan antara virus, worm, dan Trojan horse.
Perangkat lunak jahat (untuk perangkat lunak berbahaya) adalah program atau file apa pun yang
berbahaya bagi pengguna komputer. Dengan demikian, malware mencakup virus komputer, worm,
trojan horse, dan juga program spyware yang mengumpulkan informasi tentang pengguna komputer
tanpa izin.
Virus: Program atau kode pemrograman yang mereplikasi dirinya dengan disalin atau
memulai penyalinannya ke program lain, sektor boot komputer atau dokumen.
Worm: Virus replikasi diri yang tidak mengubah file namun berada dalam memori aktif dan
menduplikat dirinya sendiri tanpa campur tangan manusia.
Trojan horse: Program di mana kode berbahaya atau berbahaya terkandung di dalam
program atau data yang tampaknya tidak berbahaya. Kuda Trojan bukan virus karena tidak
mereplikasi namun sering menjadi jalan bagi virus atau kode berbahaya lainnya untuk
diperkenalkan ke sistem komputer.

Jelaskan apa itu seorang hacker dan jelaskan bagaimana hacker menciptakan masalah keamanan
dan sistem kerusakan.

Seorang hacker adalah individu yang memperoleh akses tidak sah ke sistem komputer dengan
menemukan kelemahan dalam perlindungan keamanan yang digunakan oleh situs Web dan sistem
komputer. Hacker tidak hanya mengancam keamanan sistem komputer, tapi juga mencuri barang dan
informasi, serta merusak sistem dan melakukan cybervandalism. Mereka mungkin sengaja
mengganggu, merusak, atau bahkan menghancurkan situs Web atau sistem informasi perusahaan.

Jelaskan apa itu kejahatan komputer. Berikan dua contoh kejahatan di mana komputer menjadi
target dan dua contoh di mana komputer digunakan sebagai instrumen kejahatan.

Departemen Kehakiman mendefinisikan kejahatan komputer sebagai "setiap pelanggaran hukum


pidana yang melibatkan pengetahuan tentang teknologi komputer untuk tindakan, investigasi, atau
penuntutan mereka." Kejahatan komputer didefinisikan sebagai tindakan ilegal melalui penggunaan
komputer atau terhadap sistem komputer. Tabel 8-2 memberikan contoh kejahatan komputer.

Komputer sebagai target kejahatan:


Melanggar kerahasiaan data terkomputerisasi yang dilindungi
Mengakses sistem komputer tanpa otoritas
Mengakui mengakses komputer yang dilindungi untuk melakukan kecurangan
Secara sengaja mengakses komputer yang terlindungi dan menyebabkan kerusakan, lalai
atau sengaja
Secara sadar mentransmisikan sebuah program, kode program, atau perintah yang secara
sengaja menyebabkan kerusakan pada komputer yang terlindungi
Mengancam menyebabkan kerusakan pada komputer yang terlindungi

Komputer sebagai alat kejahatan:


Pencurian rahasia dagang
Penggandaan perangkat lunak atau hak cipta intelektual yang tidak sah, seperti artikel, buku,
musik, dan video
Skema untuk menipu
Menggunakan email untuk ancaman atau pelecehan
Secara internasional mencoba untuk mencegat komunikasi elektronik
Secara ilegal mengakses komunikasi elektronik tersimpan, termasuk email dan pesan suara
Mengirimkan atau memproses pornografi anak menggunakan komputer

Jelaskan apa itu pencurian identitas dan phishing dan jelaskan mengapa pencurian identitas
adalah masalah besar saat ini.

Pencurian identitas adalah kejahatan di mana penipu memperoleh potongan informasi pribadi,
seperti nomor identifikasi jaminan sosial, nomor SIM, atau nomor kartu kredit, untuk meniru
identitas orang lain. Informasi tersebut dapat digunakan untuk mendapatkan kredit, barang
dagangan, atau layanan atas nama korban atau memberikan kredensial palsu kepada si pencuri.

Ini adalah masalah besar saat ini karena Internet telah mempermudah pencuri identitas untuk
menggunakan informasi curian karena barang dapat dibeli secara online tanpa adanya interaksi
pribadi. File kartu kredit merupakan target utama hacker situs Web. Selain itu, situs e-commerce
adalah sumber informasi pelanggan pribadi yang luar biasa yang dapat digunakan oleh penjahat
untuk membangun identitas dan kredit baru untuk tujuan mereka sendiri.

Phishing melibatkan penyiapan situs web palsu atau mengirim pesan email yang mirip dengan bisnis
sah untuk meminta data rahasia pribadi kepada pengguna. Email menginstruksikan penerima untuk
memperbarui atau mengkonfirmasi catatan dengan memberikan nomor jaminan sosial, informasi
bank dan kartu kredit, dan data rahasia lainnya baik dengan menanggapi pesan email atau dengan
memasukkan informasi di situs Web palsu. Teknik phishing baru seperti si kembar jahat dan
pharming sangat sulit dideteksi.

Jelaskan masalah keamanan dan masalah sistem yang timbul oleh karyawan/cloud.

Ancaman finansial terbesar bagi institusi bisnis berasal adalah dari karyawan/cloud. Beberapa
gangguan terbesar terhadap layanan, penghancuran situs e-commerce, dan pengalihan data kredit
pelanggan dan informasi pribadi berasal dari orang dalam. Karyawan/cloud memiliki akses terhadap
informasi istimewa, dan dengan adanya prosedur keamanan internal yang ceroboh, mereka sering
dapat berkeliaran di seluruh sistem organisasi tanpa meninggalkan jejak.

Banyak karyawan/cloud lupa password mereka untuk mengakses sistem komputer atau mengizinkan
rekan kerja lain menggunakannya, yang membahayakan sistem. Penyusup berbahaya yang mencari
akses sistem terkadang mengelabui karyawan/cloud untuk mengungkapkan kata sandinya dengan
berpura-pura menjadi anggota sah perusahaan yang membutuhkan informasi (teknik sosial).
Karyawan/cloud dapat mengenalkan kesalahan dengan memasukkan data yang salah atau dengan
tidak mengikuti petunjuk yang tepat untuk memproses data dan menggunakan peralatan komputer.
Pakar informasi juga dapat membuat kesalahan perangkat lunak saat merancang dan
mengembangkan perangkat lunak baru atau mempertahankan program yang ada.

Jelaskan bagaimana cacat perangkat lunak mempengaruhi keandalan dan keamanan sistem.

Perangkat lunak tersebut dapat gagal, tampil tidak menentu, atau memberikan hasil yang keliru
karena bug yang tidak terdeteksi. Sistem Pengendalian yang gagal dilakukan dapat berarti peralatan
medis yang gagal atau telepon yang tidak membawa pesan atau mengizinkan akses ke Internet.
Sistem bisnis yang gagal berarti kekurangan pelanggan atau kelebihan pembayaran. Atau, itu bisa
berarti bahwa bisnis lebih banyak pesanan daripada yang dibutuhkannya. Atau bisa diibaratkan
sebuah mobil yang memiliki sistem pengereman yang gagal.

Masalah kualitas utama adalah bug atau cacat yang disebabkan oleh desain yang salah. Masalah
lainnya adalah pemeliharaan program lama yang disebabkan oleh perubahan organisasi, kelemahan
desain sistem, dan kompleksitas perangkat lunak. Bug dalam program yang agak rumit sekalipun
tidak mungkin ditemukan dalam pengujian, sehingga membuat hal itu sebagai bom tersembunyi.
2. Apa nilai bisnis dari produk Sistem Sistem Keamanan dan Pengendalian ?

Jelaskan bagaimana Sistem Sistem Keamanan dan Pengendalian memberikan nilai bagi bisnis.

Keamanan mengacu pada kebijakan, prosedur, dan tindakan teknis yang digunakan untuk mencegah
akses tidak sah, perubahan, pencurian, atau kerusakan fisik pada sistem informasi.

Pengendalian terdiri dari semua metode, kebijakan, dan prosedur organisasi yang memastikan
keamanan aset organisasi; akurasi dan keandalan catatan akunnya; dan ketaatan operasional
terhadap standar manajemen.

Nilai bisnis Sistem Sistem Keamanan dan Pengendalian :


Perusahaan yang mengandalkan sistem komputer untuk fungsi bisnis inti mereka dapat
kehilangan penjualan dan produktivitas.
Aset informasi, seperti catatan karyawan/cloud rahasia, rahasia dagang, atau rencana bisnis,
kehilangan sebagian besar nilainya jika diturunkan ke pihak luar atau jika perusahaan tersebut
mengungkapkan tanggung jawab hukumnya.

Jelaskan hubungan antara Sistem Keamanan dan Pengendalian dan peraturan peraturan
pemerintah A.S. dan forensik komputer saat ini.

Tindakan hukum yang memerlukan bukti elektronik dan forensik komputer juga mengharuskan
perusahaan untuk lebih memperhatikan pengelolaan catatan keamanan dan elektronik. Forensik
komputer adalah pengumpulan, pemeriksaan, otentikasi, pelestarian, dan analisis data yang
tersimpan atau diambil dari media penyimpanan komputer sedemikian rupa sehingga informasi
tersebut dapat digunakan sebagai bukti di pengadilan. Hal tersebut berkaitan dengan masalah
berikut:
Memulihkan data dari komputer sambil menjaga integritas evolusioner.
Penyimpanan dan penanganan data elektronik dengan aman.
Menemukan informasi penting dalam sejumlah besar data elektronik.
Menyajikan informasi ke pengadilan.

Persyaratan peraturan pemerintah A.S. yang terakhir meliputi:


Asuransi Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA)
Gramm-Leach-Bliley Act
Sarbanes-Oxley Act

Undang-undang ini mengharuskan perusahaan untuk menerapkan pengelolaan catatan elektronik


yang ketat dan mematuhi standar keamanan, privasi, dan Pengendalian yang ketat.

3. Apa komponen kerangka organisasi untuk Sistem Keamanan dan Pengendalian ?

Tentukan Pengendalian umum dan deskripsikan masing-masing jenis Pengendalian umum.

Pengendalian umum mengatur perancangan, keamanan, dan penggunaan program komputer dan
keamanan file data secara umum di seluruh infrastruktur teknologi informasi organisasi. Mereka
berlaku untuk semua aplikasi terkomputerisasi dan terdiri dari kombinasi perangkat keras, perangkat
lunak, dan prosedur manual yang menciptakan lingkungan Pengendalian secara keseluruhan.

Pengendalian umum mencakup Pengendalian perangkat lunak, Pengendalian perangkat keras fisik,
Pengendalian operasi komputer, Pengendalian keamanan data, Pengendalian atas implementasi
proses sistem, dan Pengendalian administratif. Tabel 8-3 menjelaskan masing-masing jenis
Pengendalian umum.

Tentukan Pengendalian aplikasi dan jelaskan setiap jenis Pengendalian aplikasi.

Pengendalian aplikasi adalah Pengendalian khusus yang unik untuk setiap aplikasi terkomputerisasi.
Ini termasuk prosedur otomatis dan manual yang memastikan bahwa hanya data resmi yang benar-
benar dan diproses secara akurat oleh aplikasi tersebut.

Pengendalian aplikasi dapat diklasifikasikan sebagai :


Pengendalian input : Periksa data untuk akurasi dan kelengkapan saat memasuki sistem.
Ada Pengendalian masukan khusus untuk otorisasi masukan, konversi data, pengeditan
data, dan penanganan kesalahan.
Pengendalian pemrosesan : Tetapkan data yang lengkap dan akurat saat memperbarui.
Pengendalian output : Pastikan hasil pengolahan komputer akurat, lengkap, dan terdistribusi
dengan baik.

Jelaskan fungsi penilaian risiko dan jelaskan bagaimana hal itu dilakukan untuk sistem informasi.

Penilaian risiko menentukan tingkat risiko perusahaan jika aktivitas atau proses tertentu tidak
dikendalikan dengan benar. Manajer bisnis yang bekerja dengan spesialis sistem informasi dapat
menentukan nilai aset informasi, titik kerentanan, kemungkinan frekuensi masalah, dan potensi
kerusakan. Pengendalian dapat disesuaikan atau ditambahkan untuk fokus pada area risiko terbesar.
Suatu organisasi tidak ingin menguasai area dimana risiko rendah dan area yang kurang
terPengendalian dimana risiko tinggi.

Analisis risiko keamanan melibatkan penentuan apa yang Anda butuhkan untuk melindungi, apa yang
Anda butuhkan untuk melindunginya, dan bagaimana melindunginya. Ini adalah proses untuk
memeriksa semua risiko perusahaan, dan menentukan tingkat risiko tersebut berdasarkan tingkat
keparahannya. Proses ini melibatkan pengambilan keputusan yang hemat biaya atas apa yang ingin
Anda lindungi. Pepatah keamanan lama mengatakan bahwa Anda seharusnya tidak menghabiskan
lebih banyak untuk melindungi sesuatu daripada yang sebenarnya layak. Dua elemen analisis risiko
yang harus diperhatikan adalah: (1) mengidentifikasi aset dan (2) mengidentifikasi ancaman. Untuk
setiap aset, tujuan dasar keamanan adalah ketersediaan, kerahasiaan, dan integritas. Setiap ancaman
harus diperiksa dengan memperhatikan bagaimana ancaman tersebut dapat mempengaruhi area ini.
Salah satu langkah dalam analisis risiko adalah mengidentifikasi semua hal yang perlu dilindungi.
Beberapa hal yang jelas, seperti semua berbagai perangkat keras, namun ada beberapa yang
terlewatkan, seperti orang yang benar-benar menggunakan sistem. Poin penting adalah
mencantumkan semua hal yang dapat dipengaruhi oleh masalah keamanan.

Tentukan dan jelaskan hal berikut: kebijakan keamanan, kebijakan penggunaan yang dapat
diterima, dan pengelolaan identitas.
Kebijakan keamanan terdiri dari informasi risiko peringkat laporan, mengidentifikasi tujuan
keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan ini.
Kebijakan keamanan mendorong kebijakan yang menentukan penggunaan sumber daya informasi
perusahaan yang dapat diterima dan anggota perusahaan memiliki akses terhadap aset
informasinya.

Kebijakan penggunaan yang dapat diterima (AUP) mendefinisikan penggunaan sumber informasi dan
peralatan komputasi perusahaan yang dapat diterima, termasuk komputer desktop dan laptop,
perangkat nirkabel, telepon, dan Internet. Kebijakan tersebut harus mengklarifikasi kebijakan
perusahaan mengenai privasi, tanggung jawab pengguna, dan penggunaan pribadi peralatan dan
jaringan perusahaan. AUP yang baik mendefinisikan tindakan yang tidak dapat diterima dan dapat
diterima untuk setiap pengguna dan menentukan konsekuensi untuk ketidakpatuhan.

Manajemen identitas terdiri dari proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna
sistem yang valid dan mengendalikan akses mereka terhadap sumber daya sistem. Ini termasuk
kebijakan untuk mengidentifikasi dan memberi otorisasi pada berbagai kategori pengguna sistem,
menentukan sistem atau bagian sistem yang memungkinkan akses pengguna, dan proses dan
teknologi untuk mengotentikasi pengguna dan melindungi identitas mereka.

Jelaskan bagaimana audit MIS mempromosikan Sistem Keamanan dan Pengendalian .

Organisasi audit MIS yang komprehensif dan sistematis menentukan keefektifan Sistem Keamanan
dan Pengendalian untuk sistem informasinya. Audit MIS mengidentifikasi semua Pengendalian yang
mengatur sistem informasi individual dan menilai keefektifannya. Kendalikan kelemahan dan
kemungkinan terjadinya kejadian akan dicatat. Hasil audit dapat digunakan sebagai pedoman untuk
memperkuat Pengendalian, jika diperlukan.

4. Apa alat dan teknologi terpenting untuk melindungi sumber informasi?

Beri nama dan jelaskan tiga metode otentikasi.


Otentikasi mengacu pada kemampuan untuk mengetahui bahwa seseorang adalah siapa yang
diklaimnya. Beberapa metode dijelaskan di bawah ini:
Apa yang Anda ketahui: Sandi hanya diketahui oleh pengguna yang berwenang.
Apa yang Anda miliki:
Token adalah perangkat fisik yang dirancang untuk memberikan identitas satu pengguna.
o Smart card adalah perangkat yang berisi chip yang diformat dengan izin akses dan data
lainnya.
Apa meurut Anda: Biometrik didasarkan pada pengukuran sifat fisik atau perilaku yang
membuat setiap individu unik.

Jelaskan peran firewall, sistem deteksi intrusi, dan perangkat lunak antivirus dalam
mempromosikan keamanan.

Firewall adalah kombinasi perangkat keras dan perangkat lunak yang mengendalikan arus lalu lintas
jaringan masuk dan keluar. Firewall mencegah pengguna yang tidak sah mengakses jaringan internal.
Mereka melindungi sistem internal dengan memonitor paket untuk sumber atau tujuan yang salah,
atau dengan menawarkan server proxy tanpa akses ke dokumen dan sistem internal, atau dengan
membatasi jenis pesan yang bisa diakses, misalnya email. Selanjutnya, banyak Pengendalian
otentikasi telah ditambahkan untuk halaman Web sebagai bagian dari firewall.

Sistem deteksi intrusi memantau titik paling rentan atau "titik panas" dalam jaringan untuk
mendeteksi dan mencegah penyusup yang tidak berwenang. Sistem ini sering juga memantau
kejadian saat mereka mencari serangan keamanan yang sedang berlangsung. Terkadang mereka
dapat diprogram untuk mematikan bagian jaringan yang sangat sensitif jika menerima lalu lintas yang
tidak sah.

Perangkat lunak antivirus dirancang untuk memeriksa sistem komputer dan drive untuk mengetahui
adanya virus komputer dan worm dan sering kali menghilangkan perangkat lunak berbahaya
tersebut, sementara perangkat lunak antispyware memerangi program spyware yang mengganggu
dan berbahaya. Seringkali perangkat lunak bisa menghilangkan virus dari daerah yang terinfeksi. Agar
efektif, perangkat lunak antivirus harus terus diperbarui.

Jelaskan bagaimana enkripsi melindungi informasi.

Enkripsi, pengkodean dan pengacakan pesan, adalah teknologi yang banyak digunakan untuk
mengamankan transmisi elektronik melalui Internet dan jaringan wi-fi. Enkripsi menawarkan
perlindungan dengan menyimpan pesan atau paket yang tersembunyi dari pandangan pembaca yang
tidak diotorisasi. Enkripsi sangat penting untuk memastikan keberhasilan perdagangan elektronik
antara organisasi dan pelanggannya dan antara organisasi dan vendornya.

Jelaskan peran enkripsi dan sertifikat digital dalam kunci publik infrastruktur.
Sertifikat digital dikombinasikan dengan enkripsi kunci publik memberikan perlindungan lebih lanjut
terhadap transaksi elektronik dengan mengautentikasi identifikasi pengguna. Sertifikat digital adalah
bidang data yang digunakan untuk menentukan identitas pengirim dan memberi penerima sarana
untuk mengkodekan balasan. Mereka menggunakan pihak ketiga tepercaya yang dikenal sebagai
otoritas sertifikat untuk memvalidasi identitas pengguna. Kedua tanda tangan digital dan sertifikat
digital berperan dalam otentikasi. Otentikasi mengacu pada kemampuan masing-masing pihak untuk
mengetahui bahwa pihak lain adalah siapa yang mereka klaim.

Yang membedakan antara komputasi dengan toleransi kegagalan dan ketersediaan tinggi, dan
antara perencanaan pemulihan bencana dan perencanaan kesinambungan bisnis.

Sistem komputer yang toleran terhadap kesalahan mengandung komponen perangkat keras,
perangkat lunak, dan power supply yang berlebihan yang dapat mengembalikan sistem dan
mempertahankannya agar tidak terjadi kegagalan sistem. Beberapa sistem tidak dapat diijinkan
untuk berhenti, seperti sistem pasar saham atau beberapa sistem di rumah sakit. Komputer yang
toleran terhadap kesalahan mengandung chip memori tambahan, prosesor, dan perangkat
penyimpanan disk untuk membuat cadangan sistem dan tetap menjalankannya. Mereka juga dapat
menggunakan rangkaian perangkat lunak khusus atau logika pengecekan mandiri yang terpasang di
sirkuit mereka untuk mendeteksi kegagalan perangkat keras dan secara otomatis beralih ke
perangkat cadangan.

Komputasi dengan ketersediaan tinggi, meski juga dirancang untuk memaksimalkan ketersediaan
aplikasi dan sistem, membantu perusahaan pulih dengan cepat dari sebuah kecelakaan. Toleransi
kesalahan menjanjikan ketersediaan berkelanjutan dan penghapusan waktu pemulihan sama sekali.
Lingkungan komputasi dengan ketersediaan tinggi merupakan persyaratan minimum bagi
perusahaan dengan persyaratan pemrosesan perdagangan elektronik berat atau untuk perusahaan
yang bergantung pada jaringan digital untuk operasi internal mereka.

Perencanaan pemulihan bencana merencanakan rencana pemulihan layanan komputasi dan


komunikasi setelah mereka terganggu oleh sebuah peristiwa seperti gempa bumi, banjir, atau
serangan teroris. Rencana pemulihan bencana berfokus terutama pada masalah teknis yang terkait
dalam menjaga agar sistem tetap berjalan, seperti file yang akan dibuat cadangan dan pemeliharaan
sistem komputer cadangan atau layanan pemulihan bencana.
Perencanaan kesinambungan bisnis berfokus pada bagaimana perusahaan dapat memulihkan
operasi bisnis setelah terjadi bencana. Rencana kesinambungan bisnis mengidentifikasi proses bisnis
yang penting dan menentukan rencana tindakan untuk menangani fungsi mission-critical jika sistem
turun.

Yang mengidentifikasi dan menggambarkan masalah keamanan yang ditimbulkan oleh komputasi
awan/cloud.

Akuntabilitas dan tanggung jawab untuk melindungi data sensitif berada pada perusahaan yang
memiliki data meskipun tersimpan di luar kantor. Perusahaan perlu memastikan datanya terlindungi
pada tingkat yang memenuhi persyaratan perusahaan. Perusahaan harus menetapkan kepada
penyedia awan/cloud bagaimana datanya disimpan dan diproses di yurisdiksi tertentu sesuai dengan
peraturan privasi yurisdiksi tersebut. Perusahaan perlu memverifikasi dengan penyedia awan/cloud
bagaimana data perusahaan dipisahkan dari data milik perusahaan lain dan meminta bukti bahwa
mekanisme enkripsi itu masuk akal. Perusahaan perlu memverifikasi bagaimana penyedia
awan/cloud akan merespons jika terjadi bencana. Akankah penyedia awan/cloud bisa benar-benar
mengembalikan data perusahaan dan berapa lama waktu yang dibutuhkan? Akankah penyedia
awan/cloud tunduk pada audit eksternal dan sertifikasi keamanan?

Jelaskan langkah-langkah untuk meningkatkan kualitas dan keandalan perangkat lunak.

Menggunakan metrik perangkat lunak dan pengujian perangkat lunak yang ketat adalah dua ukuran
untuk meningkatkan kualitas dan keandalan perangkat lunak.

Metrik perangkat lunak adalah penilaian yang obyektif terhadap sistem dalam bentuk pengukuran
kuantitatif. Metrik memungkinkan departemen sistem informasi dan pengguna akhir untuk
mengukur kinerja sistem secara bersama dan mengidentifikasi masalah saat terjadi. Metrik harus
dirancang secara hati-hati, formal, obyektif, dan digunakan secara konsisten. Contoh metrik
perangkat lunak meliputi:
Jumlah transaksi yang dapat diproses dalam satuan waktu tertentu.
Waktu respon online.
Jumlah bug yang dikenal per seratus baris kode program.
Pengujian awal, teratur, dan menyeluruh akan memberikan kontribusi yang signifikan terhadap
kualitas sistem. Pengujian bisa membuktikan kebenaran pekerjaan tapi juga mengungkap kesalahan
yang selalu ada pada perangkat lunak. Pengujian dapat dilakukan melalui penggunaan:
Walkthroughs : Suatu tinjauan terhadap spesifikasi atau dokumen desain oleh sekelompok
kecil orang.
Petunjuk penggunaan kode : Setelah pengembang mulai menulis perangkat lunak, ini dapat
digunakan untuk meninjau kode program.
Debugging : Bila ditemukan kesalahan, sumbernya ditemukan dan dieliminasi.

Pertanyaan Diskusi

1. Sistem Keamanan bukan hanya masalah teknologi, ini masalah bisnis. Diskusikanlah.
Sistem komputer, tentu saja, terdiri dari sejumlah keajaiban teknologi. Seperti halnya aset dalam
suatu organisasi, mereka harus tetap aman. Kemampuan inti dan proses bisnis perusahaan sangat
penting di dunia digital saat ini. Teknologi memainkan peran penting dan semakin meningkat dalam
kehidupan sehari-hari dan perusahaan kita perlu membuat sistem ini aman. Mengamankan sistem ini
mengacu pada kebijakan, prosedur, dan tindakan teknis yang digunakan untuk mencegah akses tidak
sah, perubahan, pencurian, atau kerusakan fisik pada sistem informasi. Di sisi lain, teknologi
bukanlah isu utama dalam Sistem Keamanan dan Pengendalian sistem informasi. Teknologi ini
memberikan fondasi, namun dengan tidak adanya kebijakan manajemen yang cerdas, bahkan
teknologi terbaik pun bisa dengan mudah dikalahkan. Perlindungan sumber informasi membutuhkan
kebijakan keamanan yang baik dan serangkaian Pengendalian. Kebijakan bisnis menentukan praktik
terbaik dalam Sistem Keamanan dan Pengendalian sistem informasi, termasuk kebijakan keamanan,
perencanaan kesinambungan bisnis, keamanan fisik, pengendalian akses, kepatuhan, dan
menciptakan fungsi keamanan di dalam organisasi. Tanpa sistem yang aman, bisnis tidak akan
berfungsi lama.

2. Jika Anda mengembangkan rencana kesinambungan bisnis untuk perusahaan Anda, kemana
Anda akan mulai? Aspek bisnis apa yang akan rencana rancang?

Para Manajer bisnis dan spesialis teknologi informasi perlu bekerja sama untuk menentukan sistem
dan proses bisnis mana yang paling penting bagi perusahaan. Mereka harus melakukan analisis
dampak bisnis untuk mengidentifikasi sistem perusahaan yang paling kritis dan dampak pemadaman
sistem terhadap bisnis. Manajemen harus menentukan jumlah maksimum waktu bisnis dapat
bertahan dengan sistemnya dan bagian mana dari bisnis yang harus dipulihkan terlebih dahulu.

Siswa harus didorong untuk mencari di Internet contoh-contoh rencana kesinambungan bisnis.
Contoh topik apa yang perlu dibahas dalam mengembangkan rencana kesinambungan bisnis dapat
ditemukan di situs Web berikut ini:
www.yourwindow.to/business-continuity/bcpindex.htm
3. Misalkan bisnis Anda memiliki situs Web e-commerce tempat ia menjual barang dan menerima
pembayaran kartu kredit. Diskusikan ancaman keamanan utama terhadap situs Web ini dan
dampak potensial mereka. Apa yang bisa dilakukan untuk meminimalkan ancaman ini?

Ancaman besar pertama terhadap situs web e-commerce adalah hacker yang bisa menyusup ke
sistem melalui Internet. Hacker bisa mencuri kartu kredit dan informasi pribadi pelanggan yang
menggunakan situs tersebut. Tidak hanya akan mahal untuk menciptakan kembali catatan dan data,
namun perusahaan juga bisa menghadapi litigasi mahal untuk pemaparan data pencurian. Peritel, T.J.
Maxx, menghabiskan lebih dari $ 200 juta untuk biaya hukum dan masalah lainnya setelah
pelanggaran keamanannya.

Ancaman utama kedua terhadap situs Web e-commerce berasal dari cacing, virus, dan infeksi kuda
Trojan. Seorang hacker bisa menanam salah satu dari ini di perangkat lunak yang mengarsipkan situs
Web dan siapa pun yang mengunjungi situs tersebut pada akhirnya dapat terinfeksi. Jika situs
menggunakan aplikasi Web 2.0, maka itu menjadi rentan terhadap malware dan spyware. Tidak
hanya masalah ini dapat menginfeksi komputer di dalam perusahaan tetapi juga mempengaruhi
komputer orang yang mengunjungi atau menggunakan situs ini.

Ancaman malware ketiga dan mungkin terbesar berasal dari serangan injeksi SQL. Serangan ini
memanfaatkan kelemahan dalam perangkat lunak aplikasi Web kode yang buruk untuk mengenalkan
kode program jahat ke dalam sistem dan jaringan perusahaan. Kerentanan terjadi ketika aplikasi Web
gagal untuk benar memvalidasi atau menyaring data yang dimasukkan oleh pengguna di halaman
Web. Seorang penyerang menggunakan kesalahan validasi masukan untuk mengirim query SQL nakal
ke database yang mendasarinya untuk mengakses database, menanam kode berbahaya, atau
mengakses sistem lain di jaringan.
Menggunakan alat keamanan yang tepat, seperti perangkat lunak antivirus, sistem deteksi spyware,
sistem manajemen identitas, Pengendalian umum dan aplikasi, dan pengkodean halaman Web yang
benar adalah garis pertahanan pertama yang melawan/cloud masalah ini. Karyawan/cloud yang
waspada dan staf TI juga penting.

Proyek MIS Hands-On

Masalah Keputusan Manajemen


1. K2 Network : Mengoperasikan situs game online yang menampung jutaan pemain sekaligus dan
dimainkan secara bersamaan oleh orang-orang di seluruh dunia. Siapkan analisis keamanan untuk
bisnis berbasis internet ini. Ancaman macam apa yang harus diantisipasi? Apa dampaknya terhadap
bisnis ini? Langkah apa yang bisa dilakukan untuk mencegah kerusakan pada situs Web-nya dan
melanjutkan operasinya?

Ancaman meliputi:
Hacker dan cracker
Berbagi file melalui jaringan peer-to-peer
Malware termasuk worm dan trojan horse
Serangan denial-of-service (DoS)
Serangan botnet pada server jaringan

Perusahaan harus menentukan dampaknya terhadap bisnisnya dengan melakukan penilaian risiko.
Manajer bisnis yang bekerja dengan spesialis sistem informasi harus menentukan nilai aset informasi,
titik kerentanan, frekuensi kemungkinan masalah, dan potensi kerusakan.

Langkah yang bisa dilakukan perusahaan untuk mencegah kerusakan meliputi:


Pengendalian akses: Mencegah akses yang tidak semestinya ke semua sistem organisasi oleh
orang dalam dan orang luar yang tidak berwenang.
Firewall: Mencegah pengguna yang tidak sah mengakses jaringan pribadi.
Sistem deteksi intrusi: Alat pemantau penuh waktu ditempatkan pada titik paling rentan atau
"titik panas" untuk mendeteksi dan mencegah penyusup.
Antivirus / antispyware: Periksa sistem komputer dan drive untuk mengetahui adanya virus
dan spyware komputer.
Sistem manajemen ancaman terpadu: Menggabungkan semua alat ini ke dalam satu alat.
Meskipun ini tampaknya merupakan perusahaan yang relatif kecil, sistem UTM akan
membuat manajemen keamanan menjadi lebih mudah.
Komputasi berorientasi pemulihan: Merancang sistem untuk pulih dengan cepat dan
menerapkan kemampuan dan alat untuk membantu operator menentukan sumber
kesalahan dalam sistem multi-komponen.

2. Analisis statistik keamanan : Menganalisis risiko tinggi, risiko menengah, dan kerentanan berisiko
rendah menurut jenis platform komputasi.

KERENTANAN KEAMANAN MENURUT JENIS PLATFORM KOMPUTER


PLATFORM JUMLAH RESIK RESIKO RESIK TOTAL
KOMPUTER O SEDAN O KERENTANAN
TINGG G REND
I AH
Windows Server (aplikasi 1 11 37 19 67
perusahaan)

Windows Vista Ultimate (high- 3 56 242 87 1155


level administrators)

Linux (email and printing 1 3 154 98 255


services)

Sun Solaris (UNIX) (e-commerce 2 12 299 78 778


and Web servers)

Windows Vista Ultimate user 195 14 16 1,237 247,065


desktops and laptops with office
productivity tools that can also
be linked to the corporate
network running corporate
applications

and intranet

1. Hitung jumlah total kerentanan untuk setiap platform. Apa dampak potensial dari masalah
keamanan untuk setiap platform komputasi pada organisasi?

Jumlah total kerentanan untuk setiap platform ditunjukkan di kolom paling kanan dari tabel.
Potensi dampak dari masalah keamanan untuk setiap platform komputasi
Kerentanan berisiko tinggi: Penyalahgunaan password memungkinkan hacker, cracker, dan
karyawan/cloud mengakses sistem dan file tertentu dan mencuri data atau mengubah
program aplikasi; pengguna yang tidak berwenang dapat mengubah aplikasi atau
memasukkan data yang rusak atau rusak; program yang tidak sah bisa merusak data atau
program.
Risiko kerentanan sedang: Jelas bukan hal yang baik bagi pengguna untuk dapat mematikan
sistem - yang harus dibatasi pada administrator tingkat tinggi; kata sandi dan screen saver
dapat memungkinkan virus, worm, dan trojan horse masuk ke sistem; Versi perangkat lunak
usang membuat lebih sulit untuk menjaga agar program perangkat lunak terkini tetap up-to-
date dan memberikan lubang di mana pengguna yang tidak sah dapat memasuki sistem.
Kerentanan berisiko rendah: Pengguna yang kurang pengetahuan adalah penyebab terbesar
pelanggaran keamanan jaringan. Sistem password yang terlalu mudah atau terlalu sulit
kompromi keamanan sistem dan bisa menciptakan kerentanan yang tidak disengaja dari
ancaman internal maupun eksternal.

2. Jika Anda hanya memiliki satu spesialis sistem informasi yang bertanggung jawab atas keamanan,
platform mana yang harus Anda bahas dulu dalam upaya menghilangkan kerentanan ini? Kedua?
Ketiga? Terakhir? Mengapa?

Platform pertama yang harus dilindungi: Windows Vista Ultimate (administrator tingkat
tinggi) -ministrator biasanya memiliki akses ke area yang tidak dimiliki pengguna lain.
Tugas yang dilakukan administrator mempengaruhi operasi inti sebuah sistem.
Platform kedua untuk melindungi: Windows Server (aplikasi perusahaan) -jika aplikasi
perusahaan rusak atau rusak, seluruh organisasi tidak dapat menjalankan bisnis.
Platform ketiga untuk melindungi: Sun Solaris (UNIX) (server e-commerce dan Web)
-setelah memastikan bahwa operasi internal aman dan aman, area berikutnya yang harus
dilindungi berfokus pada kemampuan menjangkau pelanggan dan menjangkau
perusahaan tersebut.
Platform keempat untuk melindungi: Windows Vista Ultimate pengguna desktop dan
laptop - area ini mungkin memiliki lebih sedikit aplikasi penting, file, dan data daripada
area aplikasi korporat.
Platform terakhir untuk melindungi: Linux (layanan email dan percetakan) - walaupun
mungkin sangat penting bagi beberapa pengguna, kemungkinan besar organisasi tersebut
akan mengalami kerusakan atau kerugian besar jika layanan email dan cetak turun untuk
sementara waktu.
3. Identifikasi jenis masalah Pengendalian yang digambarkan oleh kerentanan ini dan jelaskan
langkah-langkah yang harus diambil untuk menyelesaikannya.

Pengendalian umum: Tetapkan perancangan, keamanan, dan penggunaan program komputer dan
keamanan file data secara umum di seluruh infrastruktur teknologi informasi organisasi.
Pengendalian umum berlaku untuk semua aplikasi terkomputerisasi dan terdiri dari kombinasi
perangkat keras, perangkat lunak, dan prosedur manual yang menciptakan lingkungan pengendalian
keseluruhan.
o Windows Vista Ultimate (administrator tingkat tinggi)
o Sun Solaris (UNIX) (server e-commerce dan Web)

Pengendalian aplikasi: Pengendalian khusus unik untuk setiap aplikasi terkomputerisasi, seperti
pemrosesan gaji atau pemrosesan pesanan. Ini termasuk prosedur otomatis dan manual yang
memastikan bahwa hanya data resmi yang benar-benar dan diproses secara akurat oleh aplikasi
tersebut. Pengendalian aplikasi dapat diklasifikasikan sebagai Pengendalian input, Pengendalian
pemrosesan, dan Pengendalian output.
o Windows Server (aplikasi perusahaan)
o Linux (layanan email dan percetakan)
o Sun Solaris (UNIX) (server e-commerce dan Web)
o Windows Vista Ultimate pengguna desktop dan laptop

Langkah-langkah yang harus diambil untuk menyelesaikannya meliputi:


o Buat kebijakan keamanan dan kebijakan penggunaan yang dapat diterima.
o Gunakan sistem manajemen otorisasi.
o Buat rencana kesinambungan bisnis.
o Lengkapi audit MIS yang mencakup audit keamanan.
o Terapkan Pengendalian akses, firewall, antivirus / antispyware ke sistem.
o Instal sistem manajemen deteksi intrusi.
o Tentukan apakah komputasi dengan toleransi kegagalan atau ketersediaan tinggi
diperlukan.

4. Apa risiko perusahaan Anda dengan mengabaikan kerentanan keamanan yang teridentifikasi?
Sistem informasi rentan terhadap ancaman teknis, organisasi, dan lingkungan dari sumber
internal dan eksternal. Manajer di semua tingkatan harus membuat keamanan sistem dan keandalan
prioritas nomor satu mereka. Mereka juga harus mengesankan semua karyawan/cloud betapa
pentingnya keamanan di seluruh sistem. Ada beberapa cara agar nilai bisnis Sistem Keamanan dan
Pengendalian bisa diukur:
Uang yang dikeluarkan perusahaan untuk mengamankan sistem.
Jumlah uang yang dihabiskan untuk pulih dari kecurangan dan penyalahgunaan sistem.
Hilangnya pendapatan dari downtime sistem.
Jumlah uang yang dikeluarkan untuk klaim hukum terhadap perusahaan jika mengalami
pelanggaran keamanan.
Kerusakan yang terjadi pada reputasi perusahaan.

Meningkatkan Pengambilan Keputusan: Menggunakan Perangkat Lunak Spreadsheet untuk


Melakukan Penilaian Risiko Keamanan

Keterampilan perangkat lunak: Formula dan diagram spreadsheet


Keterampilan bisnis: Penilaian risiko

Ingatkan siswa bahwa menetapkan kebijakan dan prosedur keamanan benar-benar berarti
mengembangkan rencana bagaimana menangani keamanan komputer. Salah satu cara untuk
mendekati tugas ini adalah:
Lihatlah apa yang ingin Anda lindungi.
Lihatlah apa yang Anda butuhkan untuk melindunginya
Tentukan seberapa besar kemungkinan ancamannya
Melaksanakan langkah-langkah yang akan melindungi aset Anda dengan biaya yang
efektif
Kaji ulang prosesnya secara terus menerus, dan perbaiki segala sesuatunya setiap saat
ditemukan kelemahan.

Laporan harus paling fokus pada dua langkah terakhir, namun tiga yang pertama sangat penting
untuk membuat keputusan efektif mengenai keamanan. Salah satu kesalahan dalam keamanan
adalah bahwa biaya melindungi diri dari ancaman harus kurang dari biaya pemulihan jika ancaman
tersebut menyerang Anda. Tanpa sepengetahuan Anda tentang apa yang Anda lindungi dan ancaman
yang mungkin terjadi, mengikuti peraturan ini bisa jadi sulit.
Jawaban untuk pertanyaan dapat ditemukan dalam contoh solusi yang ditemukan dalam file
Microsoft Excel bernama MIS13ch08solutionfile.xls.
Meningkatkan Pengambilan Keputusan: Mengevaluasi Jasa Outsourcing Keamanan

Keterampilan perangkat lunak: Web browser dan perangkat lunak presentasi


Keterampilan bisnis: Mengevaluasi layanan bisnis outsourcing

Hadirkan ringkasan singkat argumen untuk dan melawan/cloud keamanan komputer


outsourcing untuk perusahaan Anda.
Pilih dua perusahaan yang menawarkan layanan outsourcing keamanan komputer, dan
bandingkan layanan mereka.
Siapkan presentasi elektronik untuk manajemen yang merangkum temuan Anda.
Presentasi Anda harus memberi kesempatan pada apakah perusahaan Anda harus melakukan
outsourcing keamanan komputer atau tidak. Jika Anda yakin perusahaan Anda harus melakukan
outsourcing, presentasi harus mengidentifikasi layanan pengalihan keamanan mana yang harus
dipilih dan membenarkan pilihan Anda.

Siswa Anda akan memberikan beberapa pro dan kontra untuk outsourcing. Kebanyakan dari mereka
akan menyimpulkan bahwa pro utama adalah penghematan finansial. Sebagai con, mereka mungkin
mengatakan bahwa menemukan kontraktor yang andal tidak selalu mudah dilakukan. Empat
perusahaan yang terbukti sebagai pemimpin bisnis adalah: Ansotech, Inc., Foundstone Enterprise,
Counterpane Internet Security, dan Panurgy.

Kasus Video
Anda akan menemukan kasus video yang menggambarkan beberapa konsep dalam bab ini di Laudon
Situs web di www.pearsonhighered.com/laudon beserta pertanyaan untuk membantu Anda
menganalisis kasus-kasus tersebut.

Kolaborasi dan Kerja Tim: Mengevaluasi Perangkat Lunak Perangkat Lunak

Dengan sekelompok tiga atau empat siswa, gunakan Web untuk meneliti dan mengevaluasi produk
keamanan dari dua vendor yang bersaing, seperti perangkat lunak antivirus, firewall, atau
perangkat lunak antispyware. Untuk setiap produk, jelaskan kemampuannya, untuk jenis bisnis
apa yang paling sesuai, dan biaya untuk membeli dan memasangnya. Mana produk terbaik?
Mengapa? Jika memungkinkan, gunakan Google Sites untuk mengirim tautan ke halaman Web,
pengumuman komunikasi tim, dan tugas kerja; untuk melakukan brainstorming; dan bekerja sama
dalam dokumen proyek. Cobalah untuk menggunakan Google Documents untuk mengembangkan
presentasi temuan Anda untuk kelas.

Ada puluhan produk dari berbagai vendor yang bisa diteliti dalam menjawab pertanyaan
ini. Berikut adalah beberapa tautan ke beberapa vendor yang lebih populer dan
penawaran produk mereka.
http://antivirus-software.6starreviews.com/?Refer=Goog&Keyword=antivirus%20software
www.symantecstore.com
www.mcafee.com
www.pandasecurity.com
www.trendmicro.com

Studi Kasus : Sony : Pelanggaran Data Terbesar di Dunia


1. Buat daftar dan jelaskan kelemahan Sistem Keamanan dan Pengendalian pada Sony yang
dibahas dalam kasus ini.

Hacker merusak server Sony, menyebabkan mereka melakukan reboot secara misterius. Program
menghapus semua file log untuk menyembunyikan operasinya. Begitu berada di dalam server Sony,
perangkat lunak nakal mentransfer informasi kartu kredit pribadi dan jutaan pengguna PlayStation.

Sebagian besar pelanggaran keamanan komputer adalah hasil dari taktik yang cukup sederhana,
kegagalan manajemen untuk mengantisipasi risiko keamanan yang terkenal, keengganan untuk
menghabiskan sumber daya pada langkah-langkah keamanan yang mahal, prosedur yang ceroboh,
kurangnya pelatihan, kecerobohan, dan perangkat lunak usang. Banyak serangan hacking
menggunakan pendekatan sederhana dan terkenal yang tampak jelas.

2. Faktor manajemen, organisasi, dan teknologi apa yang berkontribusi terhadap masalah ini?

Manajemen : Pelanggaran data Sony tampaknya merupakan hasil dari "pembalasan dendam,"
penggunaan Internet untuk menghancurkan atau mengganggu lawan/cloud politik, atau untuk
menghukum organisasi karena perilaku publik mereka. Menurut Sony, hacker meninggalkan sebuah
file teks bernama Anonymous di server Sony dengan tulisan "We are legion." Anonymous adalah
nama kolektif Internet dari hacker dan warga yang moto adalah "We are Anonymous. Kami adalah
legiun Kami tidak memaafkan. Kami tidak lupa. Mengharapkan kita."

Organisasi : Sony rupanya memilih untuk tidak mengenkripsi data pengguna dan kartu pribadinya
karena harganya terlalu mahal dan akan menurunkan kecepatan teknologinya dan pengalaman
penggunanya. Kelompok yang meluncurkan serangan kedua di Sony Pictures mengklaim keamanan
loyo perusahaan mengizinkan serangan injeksi SQL standar ke lubang keamanan primitif yang
memungkinkan para hacker mengakses informasi apa pun yang mereka inginkan. Fakta bahwa
puluhan situs Web dan server Sony telah dilanggar merupakan tanda pasti masalah perusahaan.

Teknologi : Jaringan Sony PlayStation menggunakan perangkat lunak server Web Apache versi lama
yang memiliki masalah keamanan yang terkenal. Selain itu, situs Web Sony memiliki perlindungan
firewall yang sangat buruk. Begitu hacker berada di dalam, informasi pribadi dan informasi kredit
yang penting biasanya tidak dienkripsi.

3. Apa dampak bisnis dari kerugian Sony pada Sony dan pelanggannya?

Enkripsi data dari jenis yang dibutuhkan untuk operasi seperti Sony bisa dengan mudah
membutuhkan dua kali lipat kapasitas komputasi di Sony. Itu akan berdampak signifikan terhadap
keuntungan perusahaan. Namun, merek Sony dipertaruhkan dan masalah keamanannya bisa
memakan waktu bertahun-tahun untuk diperbaiki, yang berpotensi menelan biaya lebih banyak
dalam jangka panjang daripada yang seharusnya. Total pelanggaran data Sony sekarang berjumlah
lebih dari 100 juta pelanggan. Perusahaan mengantisipasi bahwa mereka harus membayar $ 170 juta
pada tahun anggaran 2011 untuk semua hal yang harus dilakukan setelah hack keamanan ditambah
biaya hukum terkait.

4. Solusi apa yang akan Anda sarankan untuk mencegah masalah ini?

Karena data pelanggaran meningkat signifikansi dan frekuensi, administrasi dan Kongres Obama
mengusulkan undang-undang baru yang mengharuskan perusahaan melaporkan pelanggaran data
dalam kerangka waktu tertentu, dan menetapkan standar untuk keamanan data. Akuntabilitas Data
dan Undang-Undang Pertanggungjawaban tahun 2011 yang dipertimbangkan oleh Kongres
mengharuskan perusahaan menetapkan persyaratan dan kebijakan keamanan, memberi tahu calon
korban kehilangan data "tanpa penundaan yang tidak masuk akal," dan memberitahukan outlet
media utama dan semua agen pelaporan kredit utama dalam waktu 60 hari jika data kartu kredit
pada lebih dari 5.000 individu beresiko. Saat ini, 46 negara memiliki undang-undang tersebut. Di
masa lalu, banyak organisasi gagal melaporkan pelanggaran data karena takut melukai citra merek
mereka. Tidak jelas apakah undang-undang yang diusulkan akan mengurangi kejadian pelanggaran
data.

Ada tindakan lain yang dapat dilakukan setiap organisasi, publik dan swasta dan untuk mengamankan
sistem dan informasi mereka. Bagian 7.4, Teknologi dan Alat untuk Melindungi Sumber Informasi,
pada bab ini berisi daftar:

Gunakan prosedur dan proses pengelolaan dan otentikasi identitas yang sesuai.
Gunakan firewall yang memadai, sistem deteksi intrusi, dan perangkat lunak antivirus
Amankan jaringan nirkabel.
Gunakan enkripsi dan infrastruktur kunci publik yang memadai-ini saja akan membuat Sony sangat
sedih dan duka.
Pengendalian Traffic Jaringan dengan teknologi Deep Packet Inspection.