Anda di halaman 1dari 104

Keamanan Sistem Informasi

Catur Iswahyudi
Tujuan Belajar
1. Mahasiswa mampu menguraikan pendekatan umum
untuk menganalisis kerawanan dan ancaman-ancaman di
dalam sistem informasi
2. Mahasiswa mampu mengidentifikasi ancaman-ancaman
pasif dan aktif sistem informasi
3. Mahasiswa mampu mengidentifikasi aspek kunci sistem
keamanan informasi
4. Mahasiswa mampu membahas kontingensi perencanaan
dan praktek pengelolaan risiko bencana lainnya.
Computer Security is preventing
attackers from achieving
objectives through unauthorized
access or unauthorized use of
computers and networks.
[John D. Howard]
Pendahuluan
Masalah keamanan merupakan salah satu aspek
penting dari sebuah sistem informasi.
Masalah keamanan ini seringkali kurang mendapat
perhatian dari para pemilik dan pengelola sistem
informasi.
Informasi saat ini sudah menjadi sebuah komoditi
yang sangat penting. Bahkan ada yang mengatakan
bahwa kita sudah berada di sebuah information-
based society.
Kemampuan untuk mengakses dan menyediakan
informasi secara cepat dan akurat menjadi sangat
esensial bagi sebuah organisasi, baik yang berupa
organisasi komersial (perusahaan), perguruan tinggi,
lembaga pemerintahan, maupun individual (pribadi).
Sangat pentingnya nilai sebuah informasi menyebabkan
seringkali informasi diinginkan hanya boleh diakses
oleh orang-orang tertentu.
Jatuhnya informasi ke tangan pihak lain (misalnya pihak
lawan bisnis) dapat menimbulkan kerugian bagi pemilik
informasi.
A computer is secure if you
can depend on it and its
software to behave as you
expect
(Garfinkel & Spafford)
Pendahuluan
Sistem Keamanan Informasi adalah sub-sistem
organisasi yang mengendalikan resiko-resiko
khusus yang berhubungan dengan sistem informasi
berbasis komputer
Sistem keamanan komputer mempunyai unsur-
unsur dasar setiap sistem informasi, seperti
perangkat keras, database, prosedur, dan laporan.
Ruang Lingkup Keamanan Komputer
Pengantar
Keamanan
Komputer

Pengamanan Hacker dan


Sistem Cracker
Basis Data

KEAMANAN
Pengamanan KOMPUTER
Jaringan Kriptografi
Komputer

Pengamanan Pengamanan
Sistem Operasi Program
Rendahnya Kesadaran Keamanan
(Lack of Security Awarenes)

Manajemen:
nyambung dulu (online dulu),

Timbul Masalah Security


security belakangan
Sekarang kan belum ada masalah!
Bagaimana ROI?

Praktisi:
Pinjam password admin, dong

Rendahnya kesadaran akan masalah


keamanan!
The Security Lifecycle
Information Security Lifecycle
App Data Sec Lifecycle
Security Lifecycle
Sistem keamanan komputer dikembangkan dengan
menerapkan metoda-metoda yang telah mapan yang
terdiri dari : analisis sistem; desain; implementasi;
operasi, evaluasi, dan kendali.
Sistim keamanan informasi diatur oleh seorang kepala
petugas keamanan (Chief Security Officer).
Untuk menjaga independensinya, CSO
bertanggungjawab secara langsung kepada dewan
direktur.
Laporan-laporan CSO meliputi semua tahap siklus daur
hidup.
Security Lifecycle
Analisis Sistem
Analisis kerentanan
sistem informasi
terutama yang
berhubungan dengan
hambatan dan kerugian
yang mungkin timbul

Operasi, evaluasi,
dan pengendalian Perancangan Sistem
sistem
Perancangan
Operasi sistem dan pengukuran keamanan
penilaian efektifitas dan dan rencana kontigensi
efisiensi. untuk mengatasi
Perubahan sesuai kerugian
dengan kondisi yang
dibutuhkan

Implementasi
Sistem
Implementasi ukuran
keamanan seperti
rancangan
Kejahatan Dunia Maya
Industries
affected by
data
security
incidents
Attack Traffic 2011
Angka pasti, sulit

Kejahatan Cyber 2013 ditampilkan karena


kendala bisnis.
Negative publicity.

China (34%) Hampir 68% berasal dari


Indonesia (21%) kawasan Asia Pasifik
AS (8,3%) Eropa menyumbang 19%,
Turki (4,5%) Amerika Utara dan Selatan
Rusia (2,7%), di angka 13% secara
gabungan.
India (2,6%),
Taiwan (2,5%),
Akamai mencatat terjadi
lonjakan 4% pada wilayah
Brasil (2,2%), yang miliki kecapatan
Rumania (2,0%), koneksi rata-rata hingga 3,1
Hong Kong (1,6%). Mbps.
Koneksi Internet
Statistik
1996. FBI National Computer Crime Squad, kejahatan
komputer yang terdeteksi kurang dari 15%, dan hanya 10%
dari angka itu yang dilaporkan.
1996. American Bar Association: dari 1000 perusahaan, 48%
telah mengalami computer fraud dalam kurun 5 tahun
terakhir.
1996. Di Inggris, NCC Information Security Breaches Survey:
kejahatan komputer naik 200% dari 1995 ke 1996.
1997. FBI: kasus persidangan yang berhubungan dengan
kejahatan komputer naik 950% dari tahun 1996 ke 1997,
dan yang convicted di pengadilan naik 88%.
Statistik (sambungan)
1988. Sendmail dieksploitasi oleh R.T. Morris sehingga
melumpuhkan Internet. Diperkirakan kerugian mencapai
$100 juta. Morris dihukum denda $10.000.
10 Maret 1997. Seorang hacker dari Massachusetts berhasil
mematikan sistem telekomunikasi sebuah airport lokal
(Worcester, Mass.) sehingga memutuskan komunikasi di
control tower dan menghalau pesawat yang hendal
mendarat
7 Februari 2000 s/d 9 Februari 2000. Distributed Denial of
Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon,
ZDNet, E-Trade. Diduga penggunaan program Trinoo, TFN.
Statistik (sambungan)
Jumlah kelemahan (vulnerabilities) sistem informasi yang
dilaporkan ke Bugtraq meningkat 4 kali sejak 1998 sd 2000.
Dari 20 laporan perbulan menjadi 80 laporan perbulan.
1999. Common Vulnerabilities and Exposure cve.mitre.org
mempublikasikan lebih dari 1000 kelemahan sistem. CVE
terdiri dari 20 security entities.
2000. Ernst & Young survey menunjukkan bahwa 66%
responden menganggap security & privacy menghambat
(inhibit) perkembangan e-commerce
2001. Virus SirCam mengirimkan file dari harddisk korban.
File rahasia bisa tersebar. Worm Code Red menyerang
sistem IIS kemudian melakukan port scanning dan
menyusup ke sistem IIS yang ditemukannya.
Terlupakan dari dalam!
1999. Computer Security Institute (CSI) / FBI
Computer Crime Survey menunjukkan beberapa
statistik yang menarik, seperti misalnya ditunjukkan
bahwa disgruntled worker (orang dalam)
merupakan potensi attack / abuse.
Disgruntled workers 86%
Independent hackers 74%
US Competitors 53%
Foreign corp 30%
Forign gov. 21%
Fakta
79% eksekutif senior terjebak dalam kesalahan
berfikir bahwa ancaman terbesar terhadap
keamanan sistem berasal dari luar (eksternal)

Walaupun kebanyakan responden sudah


memikirkan tentang hacker, kurangnya atau bahkan
tidak adanya implementasi security policy dan
kurangnya kesadaran karyawan adalah ancaman
terbesar bagi sistem online mereka
Statistik di Indonesia
September 2000. Mulai banyak penipuan transaksi di
ruangan lelang (auction) dengan tidak mengirimkan
barang yang sudah disepakati
24 Oktober 2000. Dua Warnet di Bandung digrebeg
karena menggunakan account dialup curian
Banyak situs web Indonesia (termasuk situs Bank) yang
diobok-obok (defaced)
Akhir tahun 2000, banyak pengguna Warnet yang
melakukan kegiatan carding
Statistik di Indonesia (sambungan)
Juni 2001. Situs plesetan kilkbca.com muncul dan menangkap PIN
pengguna klikbca.com
Seorang operator komputer di sebuah rumah sakit mencuri obat-
obatan dengan mengubah data-data pembelian obat
Oktober 2001. Jaringan VSAT BCA terputus selama beberapa jam
sehingga mesin ATM tidak dapat digunakan untuk transaksi. Tidak
diberitakan penyebabnya.
3 April 2002. Pada siang hari (jam 14:34 WIB), sistem BEJ macet
sehingga transaksi tidak dapat dilakukan sampai tutup pasar (jam
16:00). Diduga karena ada transaksi besar (15 ribu saham TLKM
dibeli oleh Meryll Lynch). Padahal ada perangkat (switch) yang tidak
berfungsi
Oktober 2002. Web BRI diubah (deface)
Koran Tempo, 26 September 2003
KEJAHATAN DI ATM

Sumber:
Surat Pembaca, Kompas, 2003
Mungkinkah aman?
Sangat sulit mencapai 100% aman
Ada timbal balik antara keamanan vs. kenyamanan
(security vs convenience)
Semakin tidak aman, semakin nyaman
Peningkatan Kejahatan Komputer
Aplikasi bisnis yang berbasis komputer / Internet
meningkat
Desentralisasi server
Transisi dari single vendor ke multi-vendor
Pemakai makin melek teknologi dan kemudahan
mendapatkan software.
Kesulitan penegak hukum untuk mengejar
kemajuan dunia telekomunikasi dan komputer.
Meningkatnya kompleksitas sistem (teknis & bisnis)
Peningkatan Kejahatan Komputer

Aplikasi bisnis yang berbasis komputer / Internet


meningkat.
Internet mulai dibuka untuk publik tahun 1995
Electronic commerce (e-commerce)
Statistik e-commerce yang semakin meningkat.
Semakin banyak yang terhubung ke jaringan dan
Internet
Peningkatan Kejahatan Komputer
Desentralisasi server.
Terkait dengan langkanya SDM yang handal
Lebih banyak server yang harus ditangani dan
butuh lebih banyak SDM dan tersebar di
berbagai lokasi. Server remote seringkali tidak
terurus
Serangan terhadap server remote lebih susah
ditangani (berebut akses dan bandwidth dengan
penyerang)
Peningkatan Kejahatan Komputer
Transisi dari single vendor ke multi-vendor.
Banyak jenis perangkat dari berbagai vendor yang harus
dipelajari. Contoh:
Untuk router: Cisco, Bay Networks, Nortel, 3Com,
Juniper, Linux-based router,
Untuk server: Solaris, Windows NT/2000/XP, SCO
UNIX, Linux, *BSD, AIX, HP-UX,
Mencari satu orang yang menguasai semuanya sangat
sulit. Apalagi jika dibutuhkan SDM yang lebih banyak
Peningkatan Kejahatan Komputer
Pemakai makin melek teknologi dan kemudahan
mendapatkan software.
Ada kesempatan untuk mencoba. Dengan mudah
download software dari Internet.
(Script kiddies)
Sistem administrator harus selangkah di depan.
Peningkatan Kejahatan Komputer
Kesulitan penegak hukum untuk mengejar
kemajuan dunia telekomunikasi dan komputer.
Cyberlaw belum matang
Tingkat awareness masih rendah
Technical capability masih rendah
Peningkatan Kejahatan Komputer
Meningkatnya kompleksitas sistem (teknis &
bisnis)
Program menjadi semakin besar. Megabytes. Gigabytes.
Pola bisnis berubah: partners, alliance, inhouse
development, outsource,
Potensi lubang keamanan juga semakin besar.
Contoh peningkatkan kompleksitas
Operating system Year Lines of
Code
Windows 3.1 1992 3 million
Windows NT 1992 4 million
Windows 95 1995 15 million
Wndows NT 4.0 1996 16.5 million
Windows 98 1998 18 millions
Windows 2000 2000 35-60
millions
Klasifikasi Keamanan SI
[menurut David Icove]
Fisik (physical security)

Manusia (people / Biasanya orang


personel security) terfokus kepada
masalah data,
Data, media, teknik media, teknik
komunikasi komunikasi.
Padahal kebijakan
(policy) sangat
Kebijakan dan prosedur
penting!
(policy and procedures)
Potensi Lubang Keamanan
Network
ISP sniffed,
Holes
attacked

1. System (OS)
2. Network
Internet 3. Applications (db)

Network Network
sniffed, attacked sniffed,
attacked
Users Web Site
Trojan horse - Applications
(database,
Web server)
hacked
Userid, Password, -OS hacked
PIN, credit card # www.bank.co.id
Pilar Keamanan e-Commerce
Privacy / confidentiality
Integrity
Authenticity
Availability
Non-repudiation
Access control
Privacy / confidentiality
Proteksi data [hak pribadi] yang sensitif
Nama, tempat tanggal lahir, agama, hobby, penyakit
yang pernah diderita, status perkawinan
Data pelanggan
Sangat sensitif dalam e-commerce, healthcare
Serangan: sniffer, SOP tidak jelas
Proteksi: enkripsi
Electronic Privacy Information Center http://www.epic.org
Electronic Frontier Foundation http://www.eff.org
Integrity
Informasi tidak berubah tanpa ijin (tampered,
altered, modified)
Serangan: spoof, virus, trojan horse, man in the
middle attack
Proteksi: signature, certificate, hash
Authenticity
Meyakinkan keaslian data, sumber data, orang yang
mengakses data, server yang digunakan
penggunaan digital signature, biometrics
Serangan: password palsu, terminal palsu, situs
web palsu
Proteksi: certificates
On the Internet nobody knows youre a dog
Availability
Informasi harus dapat tersedia ketika dibutuhkan
Serangan terhadap server: dibuat hang, down, crash,
lambat
Serangan: Denial of Service (DoS) attack
Proteksi: backup, IDS, filtering router, firewall
Non-repudiation
Tidak dapat menyangkal (telah melakukan
transaksi)
menggunakan digital signature / certificates
perlu pengaturan masalah hukum (bahwa digital
signature sama seperti tanda tangan konvensional)
Access Control
Mekanisme untuk mengatur siapa boleh melakukan
apa
biasanya menggunakan password, token
adanya kelas / klasifikasi pengguna dan data
Security Attack Model
Interruption: Interupsi Layanan. Perangkat sistem menjadi rusak
atau tidak tersedia. Serangan ditujukan kepada ketersediaan
(availability) dari sistem. Contoh serangan adalah denial of
service attack.
Interception: Pengalihan Layanan. Pihak yang tidak berwenang
berhasil mengakses asset atau informasi. Contoh dari serangan ini
adalah penyadapan (wiretapping).
Modification: Pengubahan. Pihak yang tidak berwenang tidak
saja berhasil mengakses, akan tetapi dapat juga mengubah
(tamper) aset. Contoh dari serangan ini antara lain adalah
mengubah isi dari web site dengan pesan-pesan yang merugikan
pemilik web site.
Fabrication: Produksi pemalsuan. Pihak yang tidak berwenang
menyisipkan objek palsu ke dalam sistem. Contoh dari serangan
jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail
palsu ke dalam jaringan komputer.
Normal Communication
Interruption
Suatu aset sistem dihancurkan, sehingga tidak lagi tersedia
atau tidak dapat digunakan
Misalnya : perusakan terhadap suatu item hardware,
pemutusan jalur komunikasi, disable sistem manajemen file.
Serangan terhadap layanan availability sistem.
Interruption Attack
Denial of Service (DoS) attack
Menghabiskan bandwidth, network flooding
Memungkinkan untuk spoofed originating address
Tools: ping broadcast, smurf, synk4, macof, various flood
utilities
Proteksi:
Sukar jika kita sudah diserang
Filter at router for outgoing packet, filter attack
orginiating from our site
Interception
Pengaksesan asset informasi oleh orang yang tidak berhak.
Misalnya oleh seseorang, program, atau komputer.
Contoh serangan ini pencurian data pengguna kartu kredit.
Penyerangan terhadap layanan confidentiality.
Interception Attack
Sniffer to capture password and other sensitive
information
Tools: tcpdump, ngrep, linux sniffer, dsniff, trojan
(BO, Netbus, Subseven)
Protection: segmentation, switched hub,
promiscuous detection (anti sniff)
Modification
Pengaksesan data oleh orang yang tidak berhak, kemudian
ditambah, dikurangi, atau diubah setelah itu baru dikirimkan
pada jalur komunikasi.
Contoh pengubahan suatu nilai file data. Merupakan jenis
serangan terhadap layanan integrity.
Modification Attack
Modify, change information/programs
Examples: Virus, Trojan, attached with email or web
sites
Protection: anti virus, filter at mail server, integrity
checker (eg. tripwire)
Fabrication
Seorang user yang tidak berhak mengambil data, kemudian
menambahkannya dengan tujuan untuk dipalsukan.
Merupakan serangan terhadap layanan authentication.
Fabrication Attack
Spoofing address is easy
Examples:
Fake mails: virus sends emails from fake users (often
combined with DoS attack)
spoofed packets
Tools: various packet construction kit
Protection: filter outgoing packets at router
Pengamanan Menyeluruh
holistic approach

PEOPLE awareness, skill


...

PROCESS security as part of


business process
...

implementation
TECHNOLOGY ...
Pengamanan Berlapis
IDS
detect
Customer intrusions
(with authentication device)

core
banking
Internet applications

Internet
Firewal Web server(s) Firewall banking
gateway
protect access protect access
to web server to SQL
Analisa Kerentanan dan Ancaman
Dua pendekatan dasar yang dipakai untuk meneliti
kerentanan dan ancaman sistem informasi:
1. Pendekatan kuantitatif untuk penaksiran risiko
2. Pendekatan kualitatif

Pendekatan kuantitatif untuk penaksiran risiko, setiap


kemungkinan kerugian dihitung sesuai hasil biaya
kerugian perorangan dikalikan dengan kemungkinan
munculnya.
Pendekatan kwalitatif untuk penaksiran risiko
dilakukan dengan mengurutkan kerentanan dan
ancaman sistim, dan menyusun secara subyektif menurut
sumbangan mereka terhadap kemungkinan total
kerugian perusahaan.
Analisa Kerentanan dan Ancaman
Kesulitan dalam menerapkan pendekatan kuantitatif
untuk menaksir kerugian.
1. Kesulitan mengidentifikasi biaya relevan per
kerugian dan kemungkinan-kemungkinan yang
terkait.
2. Kesulitan menaksir kemungkinan dari suatu
kegagalan yang memerlukan peramalan masa
depan.
Analisa Kerentanan dan Ancaman
Setiap analisa harus mencakup kemungkinan
kerugian untuk masalah berikut ini:
1. gangguan bisnis
2. kehilangan perangkat lunak
3. kehilangan data
4. kehilangan perangkat keras
5. kehilangan fasilitas-fasilitas
6. kehilangan layanan dan pegawai.
Kerentanan dan Ancaman
Apa yang dimaksud dengan kerentanan?
Kerentanan adalah suatu kelemahan di suatu
sistem.

Apa yang dimaksud dengan ancaman?


Ancaman adalah suatu eksploitasi potensial
kerentanan sistem.
Kerentanan dan Ancaman
Dua kategori ancaman sistem:
1. Ancaman-ancaman aktif
2. Ancaman-ancaman pasif
Contoh ancaman aktif adalah penipuan komputer
dan sabotase komputer.
Contoh ancaman pasif adalah sistim bermasalah,
seperti karena bencana alam. Sistem bermasalah
juga karena kegagalan-kegagalan peralatan dan
komponen.
Individu yang Menimbulkan
Ancaman Sistem Informasi
Suatu serangan yang sukses di satu sistem
informasi memerlukan akses ke perangkat keras,
file data sensitif, atau program kritis.
Tiga kategori individu yang bisa menimbulkan
serangan ke sistem informasi:
1. Karyawan
2. Para pemakai
3. Pengganggu
Individu yang Menimbulkan
Ancaman Sistem Informasi
Karyawan sistim informasi meliputi:
1. Karyawan pemeliharaan komputer
2. Programmer
3. Operator komputer dan jaringan
4. Karyawan administrasi sistim informasi
5. Karyawan pengendalian data
Para pemakai terdiri dari kelompok orang yang
beragam dan satu sama lain dapat dibedakan
berdasarkan kegiatan fungsional mereka tanpa
memandang pengolahan data.
Individu yang Menimbulkan
Ancaman Sistem Informasi
Pengganggu adalah setiap orang yang mengakses
peralatan, data elektronik, atau mengambil file
tanpa otorisasi yang tepat.

Siapakah hacker?
Hacker adalah seorang pengganggu yang
menyerang suatu sistem untuk iseng dan
tantangan.
Ancaman Aktif Sistim Informasi
Metoda-metoda yang biasa dipakai untuk melakukan
penipuan sistim informasi :
manipulasi masukan
gangguan program
gangguan file secara langsung
pencurian data
sabotase
penggelapan atau pencurian sumber daya informasi
Dalam banyak kasus penipuan komputer, manipulasi
masukan adalah metoda yang paling banyak digunakan.
Metoda ini memerlukan paling sedikit kecakapan teknis
Ancaman-ancaman Aktif
Sistim Informasi
Gangguan program barangkali metoda yang paling
sedikit digunakan untuk melakukan penipuan
komputer.
Metoda ini memerlukan ketrampilan-ketrampilan
programming yang hanya dikuasai hanya oleh
beberapa orang.
Apa yang dimaksud trapdoor?
Ancaman-ancaman Aktif
Sistim Informasi
Trapdoor adalah suatu bagian program komputer
yang mengizinkan (membiarkan) seseorang untuk
mengakses program dengan melewati pengamanan
normal program tersebut.
Gangguan file secara langsung terjadi ketika
seseorang menemukan jalan untuk membypass
proses normal untuk pemasukan data ke program
komputer.
Ancaman-ancaman Aktif
Sistim Informasi
Pencurian data adalah masalah yang serius di
dalam bisnis sekarang ini.
Di dalam industri yang sangat kompetitif, informasi
kwalitatif dan kwantitatif tentang pesaing nya terus
menerus dicari.
Sabotase komputer adalah suatu bahaya yang
sangat serius bagi semua sistem informasi.
Ancaman-ancaman Aktif
Sistim Informasi
Karyawan yang tidak puas, bisa menjadi para
pelaku sabotase sistem komputer.
Beberapa metoda dari sabotase:
Logic bomb
Trojan horse
virus program virus
Ancaman-ancaman Aktif
Sistim Informasi
Apa yang dimaksud Worm?
Worm adalah suatu jenis dari virus komputer yang
menyebar dengan sendirinya di atas suatu jaringan
komputer.

Salah satu jenis penggelapan sumber daya


komputer adalah ketika penggunaan sumber daya
komputer-komputer perusahaan digunakan
karyawan untuk urusan bisnis mereka sendiri.
Sistim Keamanan Informasi
Pengendalian ancaman-ancaman dapat tercapai
dengan menerapkan pengukuran keamanan dan
rencana darurat.
Pengukuran keamanan berfokus pada pencegahan
dan pendeteksian ancaman-ancaman.
Rencana kontingensi berfokus pada perbaikan
dampak dari ancaman-ancaman.
Pengendalian Ancaman-ancaman
Aktif
Cara utama untuk mencegah penggelapan dan
sabotase adalah menerapkan jenjang memadai
pada pengendalian akses.
Tiga jenjang pengendalian akses:
1. Site-access controls
2. System-access controls
3. File-access controls
Pengendalian Ancaman-ancaman
Aktif
1 Site-Access Controls
Tujuan pengendalian akses fisik adalah untuk
memisahkan secara fisik, individu yang tidak memiliki
otorisasi dari sumberdaya komputer yang ada.
Pemisahan fisik ini harus diterapkan pada perangkat
keras, area masukan, keluaran dan librari data, dan
kabel kabel komunikasi
Seluruh pemakai diharuskan menggunakan kartu
identitas keamanan.
Tempat pengolahan data harus berada dalam gedung
tertutup yang dikelilingi pagar.
Suatu sistim masukan sangat tegas harus digunakan.
Pengendalian Ancaman-ancaman
Aktif

TV Telephone Locked Door


Monitor
Locked Door
(opened from
inside vault) LOBBY
Service
Locked Door
Window
(entrance)
Intercom Data
to vault Archives
Magnet
Scanner Detector INNER
VAULT
Pengendalian Ancaman-ancaman
Aktif
2 System-Access Controls
Pengendalian akses sistem adalah pengendalian yang
berbentuk perangkat lunak, yang dirancang untuk
mencegah pemanfaatan sistem oleh orang yang tidak
berhak.
Pengendali ini membuktikan keaslian pemakai dengan ID
pemakai, kata sandi, alamat protokol internet, dan alat-
alat perangkat keras.
Pengendalian Ancaman-ancaman
Aktif
3 File-Access Controls
Pengendalian akses file mencegah akses yang tidak
sah ke file data dan file-file program.
Pengendalian akses file paling pokok adalah
penetapan petunjuk otorisasi dan prosedur-
prosedur untuk mengakses dan mengubah file-file.
Pengendalian Ancaman-ancaman
Pasif
Ancaman-ancaman pasif termasuk permasalahan
kegagalan tenaga dan perangkat keras.
Pengendalian untuk ancaman pasif dapat bersifat
preventif atau korektif.
1. Pengendalian Preventive
Sistem Toleransi Kesalahan menggunakan pemonitoran dan
pencadangan.
Jika salah satu bagian sistem gagal, bagian cadangan akan
segera mengambil alih dan sistem akan melanjutkan operasi
dengan sedikit atau tanpa interupsi.
2. Pengendalian korektif
File backup digunakan untuk memperbaiki kesalahan.
Pengendalian Ancaman-ancaman
Pasif
Tiga tipe backup:
1. Full backups
2. Incremental backups
3. Differential backups
Manajemen Resiko Bencana
Manajemen resiko bencana sangat penting untuk
memastikan kesinambungan operasi dalam hal
terjadi suatu bencana.
Manajemen resiko bencana berhubungan dengan
pencegahan dan perencanaan kontingensi.
Pencegahan bencana merupakan langkah awal
dalam managemen resiko bencana.
Manajemen Resiko Bencana
Hasil penelitian menunjukkan frekwensi bencana
dari berbagai sebab:
Bencana alam 30%
Tindakan yang disengaja 45%
Kesalahan manusia 25%
Data ini menunjukkan bahwa prosentase besar dari
bencana-bencana itu dapat dikurangi atau
dihindarkan.
Manajemen Resiko Bencana
Rencana pemulihan bencana harus diterapkan di
tingkatan yang paling tinggi di perusahaan.
Langkah pertama untuk mengembangkan rencana
pemulihan bencana harus memperoleh dukungan
dari manager senior dan menyiapkan suatu komite
perencanaan.
Manajemen Resiko Bencana
Perancangan rencana pemulihan bencana meliputi
tiga komponen utama:
1. Menilai kebutuhan-kebutuhan penting
perusahaan.
2. Membuat daftar prioritas daftar pemulihan.
3. Menetetapkan strategi dan prosedur pemulihan.
Manajemen Resiko Bencana
Rancangan strategi pemulihan perlu
mempertimbangkan hal-hal:
pusat respons darurat
prosedur-prosedur ekskalasi dan perubahan
pelaksanaan pemrosesan
rencana relokasi dan penggantian pegawai
rencana penyediaan cadangan, dan rencana pengujian
dan pemeliharaan sistem.
Pengamanan dalam membangun
e-commerce
1. Metode Enkripsi

2. Metode Virtual Private Network (VPN)


Metode Enkripsi
Metode enkripsi atau kriptografi adalah metode penyandian
suatu pesan atau data yang terkirim melalui jaringan publik
dengan menggunakan kunci-kunci (keys) tertentu. Beberapa
teknologi enkripsi yang cukup populer adalah:

1. Kombinasi Public Key dan Private Key

2. Certificate Authority/Digital Signature

3. Secure Electronic Transaction (SET)


1. Kombinasi Public Key / Private key
dengan cara meng-enkripsi nomor kartu kredit di
server perusahaan, jadi pada saat pengiriman data,
data telah di-enkripsi dengan menggunakan
teknologi public key dan private key
2.Certification Authority/Digital Signature
keterlibatan pihak ketiga yang dapat dipercaya
(yang menjamin keabsahan dari suatu public key).
Sertifikasi yang diberikan kepada public key
seseorang ini dikenal sebagai Digital Signature.
3.Secure Electronic Transaction (SET)
SET merupakan gabungan antara teknologi enkripsi
dengan teknologi digital signature. Secure
Electronic Transaction ( SET ) tersebut akan
mengenkripsi kode nomor kartu kredit yang ada di
server vendor di internet dan yang dapat membaca
nomor kartu kredit tersebut hanya BANK &
Perusahaan kartu kredit, artinya pegawai vendor /
merchant tidak bisa membaca sama sekali sehingga
kemungkinan terjadi pencurian oleh vendor
menjadi tidak mungkin
Virtual Private Network (VPN)
Virtual Private Network, dimana satu jaringan
komputer suatu perusahaan di suatu daerah atau
negara terhubung dengan jaringan komputer dari
satu grup perusahaan yang sama di daerah atau
negara lain, media penghubungnya adalah Internet.
Konsep VPN inilah yang diadopsi kedalam E-
Commerce. Karena user yang melakukan transaksi
di Internet pada suatu situs Web telah membentuk
suatu VPN antara user dan situs Web tersebut,
segala informasi atau data yang terkirim diantara
keduanya tidak dapat disadap atau dibuka oleh
user lain yang tidak berhak
End of Slide
Tugas3
Tujuan:
Mahasiswa memahami bagaimana implementasi
sistem informasi dalam meningkatkan kinerja
organisasi serta bagaimana strategi keamanan
informasi untuk memastikan keamanan aplikasi
bisnis.
Petunjuk:
Buatlah kelompok dengan anggota 3 orang
Carilah contoh implementasi sistem informasi dalam meningkatkan
kinerja operasional bisnis perusahaan
Berdasar contoh tersebut:
Jelaskan sejarah singkat perusahaan
Jelaskan kinerja perusahaan sebelum menggunakan sistem informasi
Jelaskan bagaimana implementasi sistem informasi dalam perusahaan
Jelaskan kinerja perusahaan setelah menggunakan sistem informasi
Jelaskan strategi perusahaan dalam mengelola keamanan sistem informasi
Susunlah menjadi materi presentasi dalam bentuk PPT/PPTX
Materi dipresentasikan pada kuliah 2 minggu depan (19 Desember
2016)