Keamanan Sistem Informasi

1. Kerentanan dan Penyalahgunaan Sistem

Ketika sejumlah besar data yang disimpan dalam bentuk elektronik, mereka rentan
terhadap banyak jenis ancaman daripada ketika mereka ada dalam bentuk manual. Melalui
jaringan komunikasi, sistem informasi di lokasi yang berbeda saling berhubungan. Potensi akses
yang tidak sah, penyalahgunaan, atau penipuan tidak terbatas pada satu lokasi tetapi dapat terjadi
pada setiap titik akses dalam jaringan.

Gambar 8.1 Ancaman paling umum sistem informasi kontemporer

Mereka bisa berasal dari faktor teknis, organisasi, dan lingkungan diperparah dengan
keputusan manajemen yang buruk. Dalam multi-tier client / server lingkungan komputasi
yang digambarkan di sini, kerentanan ada pada setiap lapisan dan dalam komunikasi antara
lapisan. Pengguna pada lapisan klien dapat menyebabkan kerusakan dengan memperkenalkan
kesalahan atau dengan mengakses sistem tanpa otorisasi. Hal ini dimungkinkan untuk
mengakses data yang mengalir melalui jaringan, mencuri data berharga selama transmisi, atau
mengubah pesan tanpa otorisasi. Radiasi dapat mengganggu jaringan di berbagai titik juga.
Penyusup dapat memulai penolakan-serangan layanan atau perangkat lunak berbahaya untuk
mengganggu pengoperasian situs web. Mereka mampu menembus sistem perusahaan dan
dapat merusak atau mengubah data perusahaan yang disimpan dalam database atau file.

 Program Perangkat Lunak Berbahaya:virus, worms, trojan horse, dan spyware

 Program perangkat lunak berbahaya yang disebut sebagai malware dan
meliputi berbagai ancaman, seperti virus komputer, worm, dan trojan horse. Sebuah
virus komputer adalah sebuah program perangkat lunak jahat yang menempel lain
program perangkat lunak atau file data untuk dieksekusi, biasanya tanpa
sepengetahuan pengguna atau izin. Kebanyakan virus komputer memberikan
“muatan.” Payload mungkin relatif jinak, seperti petunjuk untuk menampilkan pesan
atau gambar, atau mungkin sangat merusak-merusak program atau data, menyumbat
memori komputer, memformat hard drive komputer, atau program menyebabkan
untuk menjalankan benar. Virus biasanya menyebar dari komputer ke komputer
ketika manusia mengambil tindakan, seperti mengirim lampiran e-mail atau menyalin
file yang terinfeksi. Kebanyakan serangan baru-baru ini datang dari worms, yang
merupakan program komputer independen yang menyalin diri dari satu komputer ke
komputer lain melalui jaringan. (Tidak seperti virus, mereka dapat beroperasi sendiri
tanpa melampirkan file program komputer lain dan kurang mengandalkan perilaku
manusia untuk menyebar dari komputer ke komputer. Hal ini menjelaskan mengapa
worms komputer menyebar jauh lebih cepat daripada virus komputer.) Worms
menghancurkan data dan program serta mengganggu atau bahkan menghentikan
pengoperasian jaringan komputer.

Sebuah Trojan horse adalah program perangkat lunak yang tampaknya

menjadi jinak tetapi kemudian melakukan sesuatu yang lain dari yang diharapkan,
seperti Zeus Trojan yang dijelaskan dalam kasus bab pembukaan. Trojan horse tidak
sendiri virus karena tidak meniru, tetapi sering merupakan cara untuk virus atau kode
berbahaya lainnya yang akan dimasukkan ke dalam sistem komputer. Istilah Trojan
horse didasarkan pada kuda kayu besar yang digunakan oleh orang Yunani untuk
mengelabui Trojan untuk membuka gerbang ke kota mereka dibentengi selama
Perang Troya. Setelah di dalam tembok kota, tentara Yunani yang tersembunyi di
kuda mengungkapkan diri mereka sendiri dan merebut kota. Pada saat ini, serangan
injeksi SQL adalah ancaman malware terbesar. Serangan injeksi SQL memanfaatkan
kerentanan dalam kode buruk perangkat lunak aplikasi web untuk memperkenalkan
kode program berbahaya ke dalam sistem perusahaan dan jaringan. Kerentanan ini
terjadi ketika aplikasi Web gagal untuk benar memvalidasi atau data filter
dimasukkan oleh pengguna pada halaman Web, yang mungkin terjadi ketika
memesan sesuatu secara online. Penyerang menggunakan masukan ini kesalahan
validasi untuk mengirim query SQL nakal ke database untuk mengakses database,
tanaman kode berbahaya, atau akses sistem lain pada jaringan. Aplikasi Web besar
memiliki ratusan tempat untuk memasukkan data pengguna, yang masing-masing
menciptakan kesempatan bagi serangan injeksi SQL.

 Hacker dan Kejahatan Komputer

Seorang hacker adalah seorang individu yang bermaksud untuk mendapatkan

akses tidak sah ke sistem komputer. Dalam komunitas hacker, istilah cracker biasanya
digunakan untuk menunjukkan seorang hacker dengan maksud kriminal, meskipun
dalam pers umum, istilah hacker dan cracker digunakan secara bergantian. Hacker
dan cracker mendapatkan akses tidak sah dengan mencari kelemahan dalam
perlindungan keamanan yang dipekerjakan oleh situs Web dan sistem komputer,
sering mengambil keuntungan dari berbagai fitur Internet yang membuatnya sistem
terbuka yang mudah digunakan.

 Spoofing dan Sniffing

Hacker mencoba untuk menyembunyikan identitas mereka yang sebenarnya

sering spoof, atau menggambarkan, diri mereka sendiri dengan menggunakan alamat
e-mail palsu atau menyamar sebagai orang lain. Spoofing mungkin juga melibatkan
mengarahkan link Web ke alamat yang berbeda dari yang dimaksudkan, dengan situs
yang menyamar sebagai tujuan. Sebagai contoh, jika hacker mengarahkan pelanggan
ke situs web palsu yang terlihat hampir persis seperti situs yang benar, mereka dapat
kemudian mengumpulkan dan proses order, efektif mencuri bisnis serta informasi
pelanggan yang sensitif dari situs yang benar. Sebuah sniffer adalah jenis program
penyadapan yang memonitor informasi bepergian melalui jaringan. Ketika digunakan
secara sah, sniffer membantu mengidentifikasi potensi titik masalah jaringan atau
kegiatan kriminal pada jaringan, tetapi bila digunakan untuk tujuan kriminal, mereka
dapat merusak dan sangat sulit untuk dideteksi. Sniffer memungkinkan hacker untuk
mencuri informasi hak milik dari mana saja pada jaringan, termasuk pesan e-mail, file
perusahaan, dan laporan rahasia.

 Denial of Service Attack

 Dalam denial-of-service (DoS) serangan, hacker banjir server jaringan
atau server Web dengan ribuan komunikasi palsu atau permintaan untuk layanan
untuk kecelakaan jaringan. Jaringan menerima begitu banyak permintaan yang
tidak dapat bersaing dengan mereka dan dengan demikian tidak tersedia untuk
melayani permintaan yang sah. Didistribusikannya denial-of-service (DDoS)
serangan menggunakan banyak komputer untuk menggenangi dan membanjiri
jaringan dari berbagai titik peluncuran.

 Computer Crime

Sebagian besar kegiatan hacker adalah tindak pidana, dan kerentanan

sistem yang telah kami jelaskan membuat mereka menargetkan untuk jenis lain
kejahatan komputer juga. Misalnya, pada awal Juli 2009, US agen federal
menangkap Sergey Aleynikov, seorang programmer komputer di perusahaan
perbankan investasi Goldman Sachs, untuk mencuri program komputer
proprietary yang digunakan dalam membuat keuntungan perdagangan cepat di
pasar keuangan. Perangkat lunak ini membawa keuntungan bagi Goldman jutaan
dolar per tahun dan, di tangan yang salah, bisa digunakan untuk memanipulasi
pasar keuangan dengan cara yang tidak adil. Kejahatan komputer didefinisikan
oleh Departemen Kehakiman AS sebagai “pelanggaran hukum pidana yang
melibatkan pengetahuan teknologi komputer untuk persiapan mereka,
penyelidikan, atau penuntutan.”

 Identity Theft (Pencurian identitas)

Dengan pertumbuhan internet dan perdagangan elektronik, pencurian

identitas telah menjadi sangat mengganggu. Pencurian identitas adalah kejahatan
di mana seorang penipu memperoleh potongan kunci informasi pribadi, seperti
nomor jaminan sosial identifikasi, nomor SIM, atau nomor kartu kredit, untuk
menyamar orang lain. Informasi yang dapat digunakan untuk memperoleh kredit,
barang, atau jasa atas nama korban atau untuk memberikan pencuri dengan
 mandat palsu. Menurut Javelin Strategy dan Penelitian, kerugian dari pencurian
identitas naik menjadi $ 54 miliar pada tahun 2009, dan lebih dari 11 juta orang
dewasa AS adalah korban penipuan identitas (Javelin Strategy & Research,
2010).

 Click Fraud(klik Penipuan)

Ketika Anda mengklik pada iklan yang ditampilkan oleh mesin pencari,
pengiklan biasanya membayar biaya untuk setiap klik, yang seharusnya
mengarahkan calon pembeli untuk produk-produknya. Klik penipuan terjadi
ketika program individu atau komputer curang mengklik iklan online tanpa niat
belajar lebih banyak tentang pengiklan atau melakukan pembelian. Klik penipuan
telah menjadi masalah serius di Google dan situs lainnya yang menampilkan
bayar per-klik iklan online.

 Ancaman Internal: Karyawan

Kita cenderung berpikir ancaman keamanan untuk bisnis berasal dari luar
organisasi. Bahkan, orang dalam perusahaan menimbulkan masalah keamanan
serius. Karyawan memiliki akses ke informasi rahasia, dan dengan adanya
prosedur keamanan internal ceroboh, mereka sering mampu menjelajah seluruh
sistem organisasi tanpa meninggalkan jejak. Studi telah menemukan bahwa
kurangnya pengguna pengetahuan adalah penyebab tunggal terbesar dari
pelanggaran keamanan jaringan. Banyak karyawan lupa password mereka untuk
mengakses sistem komputer atau memungkinkan rekan kerja untuk
menggunakannya, yang terdiri sistem. Penyusup berbahaya mencari akses sistem
kadang-kadang menipu karyawan untuk mengungkapkan password mereka
dengan berpura-pura menjadi anggota yang sah dari perusahaan yang
membutuhkan informasi. Praktek ini disebut social engineering.

 Kerentanan Software

Kesalahan perangkat lunak menimbulkan ancaman konstan untuk sistem

informasi, menyebabkan kerugian yang tak terhitung dalam produktivitas.
Tumbuh kompleksitas dan ukuran program perangkat lunak, ditambah dengan
 tuntutan untuk pengiriman tepat waktu ke pasar, telah memberikan kontribusi
untuk peningkatan kelemahan perangkat lunak atau kerentanan Misalnya,
kesalahan yang berhubungan dengan database software dicegah jutaan JP Morgan
Chase ritel dan usaha kecil pelanggan mengakses bank online mereka
menyumbang dua hari pada bulan September 2010 (Dash, 2010).

2. Nilai Bisnis dari Pengamanan dan Pengendalian

 Persyaratan dan Peraturan untuk hukum Electronic Records Management

Peraturan pemerintah AS baru-baru ini memaksa perusahaan untuk

mengambil keamanan dan kontrol yang lebih serius oleh mandat perlindungan data
dari penyalahgunaan, paparan, dan akses yang tidak sah. Perusahaan menghadapi
kewajiban hukum baru untuk retensi dan penyimpanan catatan elektronik serta untuk
perlindungan privasi, yaitu:

a) ERM
b) HIPAA
c) Gramm-Leach-Bliley
d) Sarbanes-Oxley
 Bukti Elektronik dan Forensik Komputer

Sebuah kebijakan retensi dokumen elektronik yang efektif memastikan

bahwa dokumen elektronik, e-mail, dan catatan lainnya yang terorganisasi dengan
baik, dapat diakses, dan tidak ditahan terlalu lama atau terlalu cepat dibuang. Hal ini
juga mencerminkan kesadaran tentang bagaimana untuk menyimpan bukti potensi
forensik komputer. Forensik komputer adalah koleksi ilmiah, pemeriksaan, otentikasi,
pelestarian, dan analisis data dilaksanakan pada atau diambil dari media penyimpanan
komputer sedemikian rupa bahwa informasi yang dapat digunakan sebagai bukti
dalam pengadilan. Ini berkaitan dengan masalah berikut:

 Memulihkan data dari komputer sambil menjaga integritas bukti

 Aman menyimpan dan penanganan data elektronik pulih
 Mencari informasi yang signifikan dalam volume besar data elektronik
 Menyajikan informasi untuk pengadilan

Bukti elektronik mungkin berada pada media penyimpanan komputer dalam

bentuk file komputer dan sebagai data ambien, yang tidak terlihat oleh pengguna rata-
rata. Sebuah contoh mungkin file yang telah dihapus pada PC hard drive. Data yang
 pengguna komputer mungkin telah dihapus pada media penyimpanan komputer dapat
dipulihkan melalui berbagai teknik. Ahli forensik komputer mencoba untuk
memulihkan data tersembunyi seperti untuk presentasi sebagai bukti.

3. Menetapkan Kerangka Kerja untuk Pengamanan dan Pengendalian

 Pengendalian Sistem Informasi

Kontrol sistem informasi yang baik manual dan otomatis dan terdiri dari
kedua kontrol umum dan pengendalian aplikasi. Kontrol umum mengatur desain,
keamanan, dan penggunaan program komputer dan keamanan file data secara umum
seluruh infrastruktur teknologi informasi organisasi. Secara keseluruhan, kontrol
umum berlaku untuk semua aplikasi komputerisasi dan terdiri dari kombinasi
hardware, software, dan prosedur manual yang menciptakan lingkungan kontrol
secara keseluruhan. Kontrol umum mencakup kontrol perangkat lunak, kontrol fisik
perangkat keras, kontrol operasi komputer, kontrol keamanan data, kontrol atas
pelaksanaan proses sistem, dan kontrol administratif. Kontrol aplikasi yaitu kontrol
khusus yang unik untuk masing-masing aplikasi terkomputerisasi, seperti gaji atau
perintah pengolahan. Mereka mencakup prosedur otomatis dan manual yang
memastikan bahwa data hanya berwenang yang lengkap dan akurat diproses oleh
aplikasi tersebut. Kontrol aplikasi dapat diklasifikasikan sebagai (1) kontrol input, (2)
kontrol pengolahan, dan (3) kontrol output.

 2. Perkiraan Resiko

Sebuah penilaian risiko menentukan tingkat risiko ke perusahaan jika

kegiatan atau proses tertentu tidak terkontrol dengan baik. Tidak semua risiko bisa
diantisipasi dan diukur, tetapi sebagian besar bisnis akan dapat memperoleh beberapa
pemahaman tentang risiko yang mereka hadapi. Manajer bisnis bekerja dengan
spesialis sistem informasi harus mencoba untuk menentukan nilai aset informasi, poin
kerentanan, frekuensi kemungkinan masalah, dan potensi kerusakan.

 Kebijakan Keamanan

Setelah Anda mengidentifikasi risiko utama untuk sistem Anda, perusahaan

Anda perlu mengembangkan kebijakan keamanan untuk melindungi aset perusahaan.
Sebuah kebijakan keamanan terdiri dari laporan peringkat risiko informasi,
 mengidentifikasi tujuan keamanan diterima, dan mengidentifikasi mekanisme untuk
mencapai tujuan-tujuan ini. Manajemen harus memperkirakan berapa banyak biaya
untuk mencapai tingkat risiko yang dapat diterima.

 Perencanaan Pemulihan Bencana dan Perencanaan Kontinuitas Usaha

Jika kita menjalankan bisnis, kita perlu merencanakan sebuah solusi untuk
suatu masalah, seperti listrik padam, banjir, gempa bumi, atau serangan teroris yang
akan mencegah sistem informasi dan bisnis Anda dari masalah ini. Perangkat
perencanaan pemulihan bencana berencana untuk pemulihan komputasi dan
komunikasi jasa setelah mereka terganggu. Rencana pemulihan bencana terfokus
pada masalah teknis yang terlibat dalam menjaga sistem agar berjalan seperti
biasanya, seperti membuat cadangan file dan pemeliharaan sistem komputer
cadangan atau layanan pemulihan bencana.

 Peran Audit

Audit MIS (Management Information System) meneliti lingkungan

keamanan secara keseluruhan perusahaan serta kontrol yang mengatur sistem
informasi individu. Auditor harus melacak aliran transaksi sampel melalui sistem dan
melakukan tes, menggunakan, jika sesuai, perangkat lunak audit otomatis. Audit MIS
juga dapat memeriksa kualitas data.

4. Teknologi dan Alat untuk Melindungi Sumber Informasi

a) Management Identitas dan Otentikasi

Perusahaan besar dan menengah memiliki infrastruktur TI yang kompleks dan

sistem yang berbeda, masing-masing dengan mengatur sendiri pengguna. Perangkat
lunak manajemen identitas mengotomatisasi proses melacak semua pengguna ini dan
hak istimewa sistem mereka, menetapkan setiap pengguna identitas digital yang unik
untuk mengakses setiap sistem. Hal ini juga mencakup perangkat untuk otentikasi
pengguna, melindungi identitas pengguna, dan mengendalikan akses ke sumber daya
sistem.

b) Firewall, Intrusion Detection Systems, dan Antivirus Software

Tanpa perlindungan terhadap malware dan penyusup, terhubung ke Internet akan
sangat berbahaya. Firewall, sistem deteksi intrusi, dan perangkat lunak antivirus
merupakan alat bisnis yang penting.
Firewall
Firewall mencegah pengguna yang tidak sah mengakses jaringan
pribadi. Firewall adalah kombinasi dari hardware dan software yang
mengontrol arus lalu lintas jaringan masuk dan keluar.
Intrusion Detection Systems
Selain firewall, vendor keamanan komersial sekarang menyediakan
alat-alat deteksi intrusi dan layanan untuk melindungi lalu lintas jaringan
yang mencurigakan yang berupaya untuk mengakses file dan database.
Sistem deteksi intrusi merupakan fitur alat pemantauan penuh waktu yang
ditempatkan pada titik-titik yang paling rentan atau “hot spot” pada jaringan
perusahaan untuk mendeteksi dan mencegah penyusup. Sistem ini akan
menghasilkan alarm jika menemukan peristiwa atau anomali yang
mencurigakan. Scanning software mencari pola untuk menunjukkan metode
yang dikenal serangan komputer, seperti password yang buruk, memeriksa
apakah file penting telah dihapus atau diubah, dan mengirimkan peringatan
vandalisme atau sistem administrasi kesalahan.

Antivirus and Antispyware Software

Rencana teknologi defensif yang kedua untuk individu dan bisnis
harus mencakup perlindungan antivirus pada setiap komputer. Perangkat
lunak antivirus dirancang untuk memeriksa sistem komputer dan drive
terhadap kehadiran virus komputer. Seringkali perangkat lunak
menghilangkan virus dari daerah yang terinfeksi. Namun, antivirus hanya
efektif terhadap virus yang sudah dikenal ketika perangkat lunak dibuat.
Untuk tetap efektif, antivirus harus terus diperbarui.

Unified Threat Management System

Untuk membantu bisnis mengurangi biaya dan meningkatkan

pengelolaan, vendor keamanan telah digabungkan menjadi satu kesatuan alat
keamanan, termasuk firewall, jaringan pribadi virtual, sistem deteksi intrusi,
dan konten Web penyaringan dan software antispam. Produk manajemen
keamanan yang komprehensif ini disebut sistem manajemen ancaman terpadu
(UTM). Meskipun awalnya ditujukan untuk bisnis kecil dan menengah,
 produk UTM tersedia untuk semua ukuran jaringan. Vendor terkemuka UTM
termasuk palang, Fortinent, dan Check Point, dan vendor jaringan seperti
Cisco Systems dan Juniper Networks menyediakan beberapa kemampuan
UTM dalam peralatan mereka
c) Mengamankan Jaringan Wireless

WEP menyediakan beberapa margin keamanan jika pengguna Wi-Fi ingat untuk
mengaktifkannya. Langkah pertama yang sederhana untuk menggagalkan hacker adalah
untuk menetapkan nama unik untuk SSID jaringan Anda dan menginstruksikan router
Anda tidak menyiarkannya. Perusahaan dapat lebih meningkatkan keamanan Wi-Fi
dengan menggunakannya dalam hubungannya dengan virtual private network (VPN)
teknologi saat mengakses data internal perusahaan.

d) Enkripsi dan Infrastruktur Kunci Publik

Banyak bisnis menggunakan enkripsi untuk melindungi informasi digital yang

mereka menyimpan, mentransfer secara fisik, atau mengirim melalui Internet. Enkripsi
adalah proses transformasi teks biasa atau data ke dalam teks cipher yang tidak dapat
dibaca oleh orang lain selain pengirim dan penerima yang dimaksudkan. Data yang
dienkripsi dengan menggunakan kode numerik rahasia, disebut kunci enkripsi, yang
mengubah data biasa ke dalam teks cipher. Pesan harus didekripsi oleh penerima.

Dua metode untuk mengenkripsi lalu lintas jaringan di Web adalah SSL dan S-
HTTP. Secure Socket Layer (SSL) dan Transport Layer Security penerus nya (TLS)
memungkinkan klien dan server komputer untuk mengelola kegiatan enkripsi dan dekripsi
karena mereka berkomunikasi satu sama lain selama sesi Web aman. Aman Hypertext
Transfer Protocol (S-HTTP) adalah protokol lain yang digunakan untuk mengenkripsi data
yang mengalir melalui Internet, tetapi terbatas untuk pesan individu, sedangkan SSL dan
TLS dirancang untuk membuat sambungan aman antara dua komputer.

Sebuah sistem enkripsi kunci publik dapat dilihat sebagai rangkaian kunci publik
dan swasta yang mengunci data ketika mereka ditransmisikan dan membuka data ketika
mereka diterima. Pengirim menempatkan kunci publik penerima dalam sebuah direktori
dan menggunakannya untuk mengenkripsi pesan. Pesan dikirim dalam bentuk terenkripsi
melalui Internet atau jaringan pribadi. Ketika pesan terenkripsi tiba, penerima
menggunakan kunci pribadi nya untuk mendekripsi data dan membaca pesan.
e) Memastikan Sistem Ketersediaan

Sebagai perusahaan semakin bergantung pada jaringan digital untuk pendapatan

dan operasi, mereka perlu mengambil langkah-langkah tambahan untuk memastikan
bahwa sistem dan aplikasi mereka selalu tersedia.

f) Memastikan Kualitas Software

Selain menerapkan keamanan dan kontrol yang efektif, organisasi dapat

meningkatkan kualitas dan keandalan sistem dengan menggunakan metrik perangkat lunak
dan pengujian perangkat lunak yang ketat. Metrik perangkat lunak adalah penilaian
obyektif dari sistem dalam bentuk pengukuran kuantitatif. Penggunaan berkelanjutan
metrik memungkinkan pengguna sistem informasi departemen dan akhir untuk bersama-
sama mengukur kinerja sistem dan mengidentifikasi masalah yang terjadi. Contoh metrik
perangkat lunak meliputi jumlah transaksi yang dapat diproses di unit waktu tertentu,
waktu respon online, jumlah cek gaji yang dicetak per jam, dan jumlah bug yang dikenal
per seratus baris kode program. Untuk metrik menjadi sukses, mereka harus hati-hati
dirancang, formal, objektif, dan digunakan secara konsisten.