Sampai 2002, infosec merupakan sebagian besar masalah teknologi yang ditugaskan
ke departemen TI. Insiden ditangani berdasarkan dasar “cleanup” kasus per kasus alih-alih
dengan mengambil pendekatan pencegahan untuk melindungi sebelum adanya ancaman.
Infosec dipandang sebagai biaya daripada sebagai sumber daya untuk mencegah gangguan
bisnis dan memenuhi tanggung jawab tata kelola. Pandangan berbasis biaya ternyata sangat
tidak memadai dalam mengamankan perusahaan terhadap orang dalam yang tidak jujur dan
jangkauan global kejahatan dunia maya, malware, spyware, dan penipuan.
Selama 2010, penjahat hi-tech meluncurkan lebih dari 100 serangan per detik pada
komputer di seluruh dunia, menurut laporan dari vendor keamanan TI Symantec. Sementara
sebagian besar serangan ini tidak menimbulkan masalah, satu serangan setiap 4,5 detik
memang memengaruhi PC. Symantec mengidentifikasi hampir 2,9 juta item kode berbahaya
selama periode 12 bulan. Peningkatan tajam pada malware sebagian besar didorong oleh
ketersediaan perangkat gratis, mudah digunakan, dan / atau perangkat canggih yang
digunakan penjahat cyber pemula untuk mengembangkannya sendiri. malware. Sebagai
contoh, satu toolkit malware bernama Zeus berharga $ 700 (£ 458), dan banyak yang menjadi
sangat sukses sehingga pencipta mereka menawarkan dukungan telepon bagi mereka yang
tidak bisa mendapatkan cacing atau virus untuk bekerja. Biaya pembersihan setelah satu
insiden sudah mencapai ratusan juta dolar.
Dengan popularitas eReaders, netbook, Google Chrome OS, Facebook, YouTube, Twitter,
LinkedIn, dan jejaring sosial lainnya, bahaya keamanan TI semakin memburuk. Jaringan sosial
dan komputasi awan meningkatkan kerentanan dengan menyediakan satu titik kegagalan dan
serangan untuk jaringan kriminal terorganisir. Informasi penting, sensitif, dan pribadi berisiko,
dan seperti tren TI sebelumnya, seperti jaringan nirkabel, tujuannya adalah konektivitas,
seringkali dengan sedikit perhatian terhadap keamanan. Ketika jejaring sosial meningkatkan
layanan mereka, kesenjangan antara layanan dan infosec juga meningkat. Virus dan malware
email telah menurun selama bertahun-tahun karena keamanan email telah meningkat. Tren ini
berlanjut ketika komunikasi bergeser ke jejaring sosial dan smartphone yang lebih baru.
Sayangnya, malware menemukan jalannya kepada pengguna melalui kerentanan keamanan
dalam layanan dan perangkat baru ini. Penyaringan web, pendidikan pengguna, dan kebijakan
ketat adalah kunci untuk mencegah wabah yang meluas.
Perusahaan semakin mengadopsi aplikasi eksternal berbasis Web dan karyawan membawa
aplikasi konsumen ke dalam perusahaan. Perusahaan kriminal mengikuti uang di Internet, di
mana mereka memiliki pasar global yang berpotensi menjadi korban.
Sejak 2007, ancaman berbasis web telah menjadi cara utama untuk mencuri data rahasia dan
menginfeksi komputer. Pada 2008, dua pertiga dari semua malware yang dikenal telah dibuat.
Kemudian pada semester pertama 2009, malware baru melebihi semua malware yang terdeteksi
pada 2008, phishing meningkat 585 persen, dan lebih dari 300 merek korporat menjadi korban.
Phishing adalah upaya menipu untuk mencuri informasi rahasia seseorang dengan berpura-pura
menjadi organisasi yang sah, seperti PayPal, bank, perusahaan kartu kredit, atau kasino. Pesan
phishing termasuk tautan ke situs Web phish palsu yang terlihat seperti aslinya. Ketika pengguna
mengklik tautan ke situs phish, ia diminta nomor kartu kredit, nomor Jaminan Sosial, nomor
Jaminan Sosial, nomor akun, atau kata sandi. Pada 2010 dan 2011, phishing meningkat secara
eksponensial karena pengguna yang tidak sadar masih menyukai tipu daya.
Penjahat menggunakan Internet dan jaringan pribadi untuk membajak sejumlah besar PC
untuk memata-matai pengguna, mengirim spam kepada mereka, menghancurkan bisnis, dan
mencuri identitas. Tetapi mengapa mereka begitu sukses? Forum Keamanan Informasi
(securityforum.org), organisasi swadaya yang mencakup banyak perusahaan Fortune 100,
menyusun daftar masalah informasi utama dan menemukan bahwa sembilan dari sepuluh insiden
teratas adalah hasil dari tiga faktor:
Mistakes or human error
Malfunctioning systems
Kesalahpahaman pada efek dalam menambahkan software yang tidak compatible
pada system yang ada.
Sayangnya, faktor-faktor ini seringkali dapat mengatasi teknologi keamanan TI yang
digunakan perusahaan dan individu untuk melindungi informasi mereka.
Manipulasi mesin pencari adalah metode yang digunakan oleh penjahat dunia maya untuk
mengeksploitasi algoritma mesin pencari untuk menempatkan situs Web yang diretas lebih tinggi
dalam hasil pemeringkatan. Manipulasi semacam itu mendorong pengguna ke situs jahat, seperti
halaman umpan yang menawarkan antivirus atau warez palsu (perangkat lunak bajakan, game,
musik, dll.). Malware yang menyebar melalui mesin pencari juga meningkat karena tingginya
tingkat kepercayaan yang diberikan pengguna di mesin pencari dan kemudahan peringkat yang
dapat dimanipulasi.
Multi-Link Attacks
Dalam survei keamanan informasi tahun 2008, Asosiasi Industri Teknologi Komputer
(CompTIA, comptia.org), sebuah kelompok perdagangan nirlaba, melaporkan bagaimana
perusahaan-perusahaan di Amerika Serikat, Inggris, Kanada, dan China berupaya meningkatkan
standar infosec mereka. Temuan kunci adalah sebagai berikut:
Hampir 66 persen perusahaan AS, 50 persen perusahaan AS dan Cina, dan 40 persen
perusahaan Kanada telah menerapkan kebijakan keamanan TI tertulis.
Persentase anggaran TI yang dikhususkan untuk keamanan perusahaan tumbuh dari tahun
ke tahun. Di Amerika Serikat, perusahaan membelanjakan 12 persen dari anggaran TI
2007 untuk tujuan keamanan, naik dari 7 persen pada 2005. Sebagian besar anggaran
digunakan untuk membeli teknologi yang terkait dengan keamanan.
Keamanan TI tetap menjadi perhatian utama profesional TI di seluruh dunia menurut Tren
Tahunan ke-7 CompTIA dalam Keamanan Informasi: Analisis Keamanan TI dan studi Tenaga
Kerja. Karena peran TI dalam organisasi terus berkembang, demikian juga potensi pelanggaran
keamanan.
Beberapa jenis insiden berada di luar kendali perusahaan. Abu vulkanik dari Islandia pada
2010 menciptakan gangguan dan krisis berkepanjangan yang tidak pernah dialami oleh bisnis.
Peristiwa tidak pasti yang dapat menyebabkan kerusakan IS, seperti dalam insiden berikut,
memerlukan pemulihan bencana dan rencana kesinambungan bisnis.
Insiden 1. Penjahat dunia maya telah melancarkan serangan untuk memeras uang dari
StormPay, sebuah perusahaan pemrosesan pembayaran online. Serangan menutup
pusat data StormPay dan bisnisnya selama dua hari, menyebabkan kerugian finansial
dan membuat 3 juta pelanggan marah.
Insiden 2. Lower Manhattan adalah real estat paling intensif komunikasi di dunia.
Banyak perusahaan di sana tidak memiliki rencana kesinambungan bisnis di luar
lokasi dan secara permanen kehilangan data penting tentang karyawan, pelanggan, dan
operasi mereka setelah serangan 11 September 2001. Sistem dan jaringan yang kritis
terhadap misi diturunkan. Mereka juga kehilangan konektivitas jaringan dan telepon
ketika 7 World Trade Center (WTC) runtuh dan kantor pusat Verizon (CO) —yang
terletak tepat di seberang WTC — mengalami kerusakan struktural besar-besaran.
Secara keseluruhan, 300.000 saluran telepon dan 3,6 juta sirkuit data berkapasitas
tinggi yang dilayani oleh CO tidak digunakan.
Insiden ini menggambarkan keragaman masalah infosec dan kerusakan substansial yang
dapat dilakukan pada organisasi di mana pun di dunia sebagai hasilnya.
Step 2: Kebijakan penggunaan yang dapat diterima dan pelatihan keamanan TI.
Langkah selanjutnya dalam membangun program keamanan TI yang efektif adalah
mengembangkan kebijakan keamanan dan memberikan pelatihan untuk memastikan bahwa
semua orang mengetahui dan memahaminya. Semakin besar pemahaman tentang bagaimana
keamanan mempengaruhi tingkat produksi, hubungan pelanggan dan pemasok, aliran
pendapatan, dan tanggung jawab manajemen, semakin banyak keamanan akan dimasukkan ke
dalam proyek dan proposal bisnis.
Paling kritis adalah kebijakan penggunaan yang dapat diterima (acceptable use policy /
AUP) yang menginformasikan pengguna tentang tanggung jawab mereka. AUP diperlukan
karena dua alasan: (1) untuk mencegah penyalahgunaan informasi dan sumber daya komputer
dan (2) untuk mengurangi paparan denda, sanksi, dan tanggung jawab hukum. Agar efektif, AUP
perlu mendefinisikan tanggung jawab pengguna, tindakan yang dapat diterima dan tidak dapat
diterima, serta konsekuensi dari ketidakpatuhan. EUP, Internet, dan komputer AUP harus
dianggap sebagai perpanjangan dari kebijakan perusahaan lainnya, seperti kebijakan yang
membahas keamanan fisik, kesetaraan kesempatan, pelecehan, dan diskriminasi.
Step 3: Prosedur dan penegakan keamanan TI. Jika aktivitas pengguna tidak dimonitor
untuk kepatuhan, AUP tidak berguna. Oleh karena itu, langkah selanjutnya adalah menerapkan
prosedur pemantauan, pelatihan, dan penegakan AUP. Bisnis tidak mampu membayar biaya
keamanan sempurna yang tak terbatas, sehingga mereka menghitung tingkat perlindungan yang
tepat. Perhitungan didasarkan pada eksposur risiko aset digital.
Metode penilaian risiko lainnya adalah analisis dampak bisnis (BIA). BIA adalah latihan
yang menentukan dampak dari kehilangan dukungan atau ketersediaan sumber daya. Misalnya,
bagi kebanyakan orang, hilangnya smartphone akan memiliki dampak yang lebih besar daripada
hilangnya kamera digital. BIA membantu mengidentifikasi sumber daya minimum yang
diperlukan untuk memulihkan dan memprioritaskan pemulihan proses dan sistem pendukung.
BIA perlu diperbarui saat ancaman baru terhadap TI muncul. Setelah risiko paparan aset digital
telah diperkirakan, maka keputusan yang diinformasikan tentang investasi dalam infosec dapat
dibuat.
Step 4: Perangkat keras dan perangkat lunak. Langkah terakhir dalam model ini adalah
implementasi perangkat lunak dan perangkat keras yang diperlukan untuk mendukung dan
menegakkan praktik AUP dan aman.
Perlu diingat bahwa keamanan adalah proses yang berkelanjutan dan tak berkesudahan,
bukan masalah yang bisa diselesaikan dengan perangkat keras atau perangkat lunak. Pertahanan
keamanan perangkat keras dan lunak tidak dapat melindungi dari praktik bisnis yang tidak
bertanggung jawab.
Salah satu kesalahan terbesar yang dilakukan manajer adalah meremehkan kerentanan dan
ancaman TI. Sebagian besar pekerja menggunakan laptop dan ponsel mereka untuk bekerja dan
bersantai, dan di era multitasking, mereka sering melakukan keduanya sekaligus. Namun
penggunaan perangkat di luar waktu atau di luar kantor tetap berisiko karena, terlepas dari
kebijakan, karyawan terus terlibat dalam kebiasaan daring dan komunikasi yang berbahaya.
Kebiasaan-kebiasaan itu membuat mereka menjadi penghubung lemah dalam upaya keamanan
yang solid dari suatu organisasi. Ancaman ini dapat diklasifikasikan sebagai tidak disengaja atau
disengaja.
Ancaman yang tidak disengaja jatuh ke dalam tiga kategori utama: kesalahan manusia,
bahaya lingkungan, dan kegagalan sistem komputer.
Kesalahan manusia (Human Errors) dapat terjadi dalam desain perangkat keras atau
sistem informasi. Mereka juga dapat terjadi selama pemrograman, pengujian, atau entri
data. Tidak mengubah kata sandi default pada firewall atau gagal mengelola tambalan
membuat lubang keamanan. Kesalahan manusia juga termasuk pengguna yang tidak
terlatih atau tidak sadar menanggapi phishing atau mengabaikan prosedur keamanan.
Kesalahan manusia berkontribusi pada sebagian besar kontrol internal dan masalah
infosec.
Bahaya lingkungan termasuk gunung berapi, gempa bumi, badai salju, banjir,
kegagalan daya atau fluktuasi yang kuat, kebakaran (bahaya paling umum), pendingin
udara yang rusak, ledakan, kejatuhan radioaktif, dan kegagalan sistem pendingin air.
Selain kerusakan utama, sumber daya komputer dapat rusak oleh efek samping, seperti
asap dan air. Bahaya seperti itu dapat mengganggu operasi komputer normal dan
menghasilkan periode menunggu yang lama dan biaya selangit saat program komputer
dan file data dibuat kembali.
Kegagalan sistem komputer dapat terjadi sebagai akibat dari manufaktur yang buruk,
bahan-bahan yang rusak, dan jaringan yang usang atau tidak terawat. Kerusakan yang
tidak disengaja juga dapat terjadi karena alasan lain, mulai dari kurangnya pengalaman
hingga pengujian yang tidak memadai.
Ada banyak jenis serangan, dan yang baru muncul secara teratur. Dua tipe dasar serangan
yang disengaja adalah kerusakan data dan serangan pemrograman.
Perusakan data adalah cara serangan yang umum yang dibayangi oleh jenis serangan
lainnya. Ini mengacu pada serangan di mana seseorang memasukkan data palsu atau penipuan ke
dalam komputer atau mengubah atau menghapus data yang ada. Perusakan data sangat serius
karena mungkin tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang dalam dan
penipu.
Metode serangan universal adalah virus, yang merupakan kode komputer (program
perangkat lunak). Ini menerima namanya dari kemampuan program untuk melampirkan dirinya
ke dan menginfeksi program komputer lainnya, tanpa pemilik program menyadari infeksi. Ketika
perangkat lunak yang terinfeksi digunakan, virus menyebar, menyebabkan kerusakan pada
program itu dan mungkin untuk orang lain.
Tidak seperti virus, worm menyebar tanpa campur tangan manusia, seperti memeriksa
email atau mengirim file. Cacing menggunakan jaringan untuk menyebarkan dan menginfeksi
apa pun yang menyertainya — termasuk komputer, perangkat genggam, situs Web, dan server.
Cacing dapat menyebar melalui pesan instan atau teks. Kemampuan cacing untuk melakukan
propagasi sendiri melalui jaringan dapat menyumbat dan menurunkan kinerja jaringan, termasuk
Internet.
Trojan horse disebut sebagai pintu belakang karena memberikan penyerang akses ilegal ke
jaringan atau akun melalui port jaringan. Port jaringan adalah antarmuka fisik untuk komunikasi
antara komputer dan perangkat lain di jaringan. Remote administration Trojans (RATs) adalah
kelas pintu belakang yang memungkinkan kendali jarak jauh atas mesin yang terinfeksi
(terinfeksi). Server kejahatan melibatkan komputer yang terinfeksi RAT untuk pengumpulan data
secara sembunyi-sembunyi. RAT membuka port jaringan pada komputer korban, memberikan
kontrol penyerang atasnya. PC yang terinfeksi juga disebut zombie atau bot.
Trojan menempelkan dirinya sendiri ke OS zombie dan selalu memiliki dua file, file klien
dan file server. Server, seperti namanya, dipasang di mesin yang terinfeksi sementara klien
digunakan oleh penyusup untuk mengontrol sistem yang dikompromikan. Fungsi Trojan horse
meliputi mengelola file pada PC zombie, mengelola proses, mengaktifkan perintah dari jarak
jauh, mencegat penekanan tombol, menonton gambar layar, dan memulai kembali dan menutup
host yang terinfeksi. Trojan umum adalah NetBus, Back Orifice (BO) 2000, SubSeven, dan
Hack'aack.
Rahasia perusahaan dan pemerintah saat ini dicuri oleh ancaman serius yang disebut
ancaman persisten tingkat lanjut (APT). Sebagian besar serangan APT diluncurkan melalui
phishing. Biasanya, jenis serangan ini dimulai dengan beberapa pengintaian di pihak penyerang.
Ini dapat termasuk meneliti informasi yang tersedia untuk umum tentang perusahaan dan
karyawannya, seringkali dari situs jejaring sosial. Informasi ini kemudian digunakan untuk
membuat pesan email phising yang ditargetkan. Serangan yang berhasil dapat memberikan
penyerang akses ke jaringan perusahaan.
APT dirancang untuk spionase jangka panjang. Setelah diinstal pada jaringan, APT
mengirimkan salinan dokumen, seperti file Microsoft Office dan PDF, dalam mode sembunyi-
sembunyi. APT mengumpulkan dan menyimpan file di jaringan perusahaan, mengenkripsi file-
file itu, lalu mengirimkannya secara berurutan ke server, biasanya di China.
Botnets
Botnet adalah kumpulan bot (komputer yang terinfeksi oleh robot perangkat lunak).
Komputer yang terinfeksi itu, yang disebut zombie, dapat dikendalikan dan diatur ke dalam
jaringan zombie berdasarkan perintah botmaster jarak jauh (juga disebut bot herder). Storm
worm, yang disebarkan melalui spam, adalah agen botnet yang tertanam di dalam lebih dari 25
juta komputer. Kekuatan gabungan Storm telah dibandingkan dengan kekuatan pemrosesan
superkomputer, dan serangan yang diorganisir Storm mampu melumpuhkan situs Web mana pun.
Botnet mengekspos komputer yang terinfeksi, serta komputer jaringan lainnya, terhadap
ancaman berikut (Edwards, 2008):
Spyware: Zombi dapat diperintahkan untuk memantau dan mencuri data pribadi atau
keuangan.
Adware: Zombies dapat dipesan untuk mengunduh dan menampilkan iklan. Beberapa
zombie bahkan memaksa browser sistem yang terinfeksi untuk mengunjungi situs Web
tertentu.
Spam: Sebagian besar email sampah dikirim oleh zombie. Pemilik komputer yang
terinfeksi biasanya tidak menyadari bahwa mesin mereka digunakan untuk melakukan
kejahatan.
Phishing: Zombies dapat mencari server lemah yang cocok untuk meng-hosting situs web
phishing, yang terlihat seperti situs Web yang sah, untuk mengelabui pengguna agar
memasukkan data rahasia.
Serangan DoS: Dalam penolakan serangan layanan, jaringan atau situs web dibombardir
dengan begitu banyak permintaan layanan (yaitu lalu lintas) yang macet.
Botnet sangat berbahaya karena memindai dan mengkompromikan komputer lain dan
kemudian dapat digunakan untuk setiap jenis kejahatan dan serangan terhadap komputer, server,
dan jaringan.
Malware and Botnet Defenses
Karena malware dan botnet menggunakan banyak metode dan strategi serangan, beberapa
alat diperlukan untuk mendeteksi mereka dan / atau menetralisir efeknya. Tiga pertahanan
penting adalah sebagai berikut:
2) Sistem deteksi intrusi (IDS): Sesuai namanya, IDS memindai lalu lintas yang tidak biasa
atau mencurigakan. IDS dapat mengidentifikasi awal serangan DoS oleh pola lalu lintas,
memperingatkan administrator jaringan untuk mengambil tindakan defensif, seperti
beralih ke alamat IP lain dan mengalihkan server penting dari jalur serangan.
3) Sistem pencegahan intrusi (IPS): IPS dirancang untuk mengambil tindakan segera —
seperti memblokir alamat IP tertentu — setiap kali anomali arus lalu lintas terdeteksi. IPS
berbasiskan ASIC (aplikasi-integrated integrated circuit) memiliki kekuatan dan
kemampuan analisis untuk mendeteksi dan memblokir serangan DoS, berfungsi agak
seperti pemutus sirkuit otomatis.
1. Fraud
Penipuan pekerjaan mengacu pada penyalahgunaan aset yang disengaja oleh seseorang
untuk keuntungan pribadi. Audit internal dan kontrol internal sangat penting untuk
pencegahan dan deteksi penipuan pekerjaan.
TI memiliki peran penting dalam menunjukkan tata kelola perusahaan yang efektif dan
pencegahan penipuan. Regulator memandang positif perusahaan yang dapat
menunjukkan tata kelola perusahaan yang baik dan praktik manajemen risiko operasional
terbaik. Manajemen dan staf perusahaan semacam itu kemudian dapat menghabiskan
lebih sedikit waktu untuk mengkhawatirkan peraturan dan lebih banyak waktu menambah
nilai pada merek dan bisnis mereka.
Banyak dari aktivitas pendeteksian ini dapat ditangani oleh mesin analisis cerdas
menggunakan teknik pergudangan data dan analisis yang canggih. Sistem ini mengambil
jejak audit dari sistem utama dan catatan personel dari departemen SDM dan keuangan.
Data disimpan dalam gudang data, di mana dianalisis untuk mendeteksi pola anomali,
seperti jam kerja yang berlebihan, penyimpangan dalam pola perilaku, menyalin sejumlah
besar data, upaya untuk menimpa kontrol, transaksi yang tidak biasa, dan dokumentasi
yang tidak memadai tentang suatu transaksi. Informasi dari investigasi dimasukkan
kembali ke dalam sistem deteksi sehingga ia belajar. Karena orang dalam mungkin
bekerja dalam kolusi dengan penjahat terorganisir, profil orang dalam penting untuk
menemukan pola jaringan kriminal yang lebih luas.
Pencurian identitas: Salah satu kejahatan terburuk dan paling umum adalah pencurian
identitas. Pencurian seperti itu, di mana Jaminan Sosial individu dan nomor kartu kredit
dicuri dan digunakan oleh pencuri, bukanlah hal baru. Penjahat selalu memperoleh
informasi tentang orang lain — dengan mencuri dompet atau menggali tempat sampah.
Tetapi berbagi dan basis data elektronik yang tersebar luas telah memperburuk kejahatan.
Karena lembaga keuangan, perusahaan pemrosesan data, dan bisnis ritel enggan
mengungkapkan insiden di mana informasi keuangan pribadi pelanggan mereka mungkin
telah dicuri, hilang, atau dikompromikan, hukum terus disahkan untuk memaksakan
pemberitahuan tersebut.
1. Strategi Pertahanan
Strategi dan kontrol pertahanan yang harus digunakan tergantung pada apa yang perlu
dilindungi dan analisis biaya-manfaat. Artinya, perusahaan tidak boleh berinvestasi atau
berinvestasi terlalu rendah. SEC dan FTC memberlakukan denda besar untuk pelanggaran
data untuk mencegah perusahaan berinvestasi dalam perlindungan data yang kurang. Berikut
ini adalah tujuan utama strategi pertahanan:
6) Kesadaran dan kepatuhan. Semua anggota organisasi harus dididik tentang bahaya
dan harus mematuhi aturan dan peraturan keamanan.
2. General Controls
Kategori utama dari kontrol umum adalah kontrol fisik, kontrol akses, kontrol
biometrik, kontrol administratif, kontrol aplikasi, dan kontrol titik akhir.
Kontrol Fisik. Keamanan fisik mengacu pada perlindungan fasilitas dan sumber daya
komputer. Ini termasuk melindungi properti fisik seperti komputer, pusat data, perangkat
lunak, manual, dan jaringan. Ini memberikan perlindungan terhadap sebagian besar
bahaya alam serta terhadap beberapa bahaya manusia. Keamanan fisik yang tepat dapat
mencakup beberapa kontrol, seperti berikut ini:
Desain pusat data yang sesuai; misalnya, memastikan bahwa pusat data tidak mudah
terbakar dan tahan air
Melindungi dari medan elektromagnetik
Sistem pencegahan, deteksi, dan pemadam kebakaran yang baik, termasuk sistem
sprinkler, pompa air, dan fasilitas drainase yang memadai
Pematian daya darurat dan baterai cadangan, yang harus dijaga dalam kondisi
operasional
Sistem pendingin udara yang dirancang, dirawat, dan dioperasikan dengan benar
Kontrol Akses. Kontrol akses adalah manajemen siapa yang dan tidak berwenang untuk
menggunakan perangkat keras dan perangkat lunak perusahaan. Metode kontrol akses,
seperti firewall dan daftar kontrol akses, membatasi akses ke jaringan, database, file, atau
data.
Ini adalah garis pertahanan utama terhadap orang dalam yang tidak sah maupun orang
luar. Kontrol akses melibatkan otorisasi (memiliki hak untuk mengakses) dan otentikasi,
yang juga disebut identifikasi pengguna (membuktikan bahwa pengguna adalah yang dia
klaim).
Metode otentikasi meliputi:
Sesuatu yang hanya diketahui pengguna, seperti kata sandi
Sesuatu yang hanya dimiliki pengguna, seperti kartu pintar atau token
Sesuatu yang hanya merupakan karakteristik pengguna, seperti pemindaian tanda
tangan, suara, sidik jari, atau retina (mata); diimplementasikan melalui kontrol
biometrik, yang dapat berupa fisik atau perilaku
Kontrol Biometrik. Kontrol biometrik adalah metode otomatis untuk memverifikasi
identitas seseorang, berdasarkan karakteristik fisik atau perilaku. Sebagian besar sistem
biometrik mencocokkan beberapa karakteristik pribadi dengan profil yang disimpan.
Biometrik yang paling umum adalah sebagai berikut:
o Sidik jari atau sidik jari. Setiap kali pengguna menginginkan akses, sidik jari jempol
atau sidik jari (pemindaian jari) dicocokkan dengan templat yang berisi sidik jari
orang yang berwenang untuk mengidentifikasi dirinya.
o Pemindaian retina. Kecocokan dicoba antara pola pembuluh darah di retina yang
sedang dipindai dan gambar retina yang sangat disukai.
o Pemindaian suara. Kecocokan dicoba antara suara pengguna dan pola suara yang
tersimpan di templat.
o Tanda tangan. Tanda tangan dicocokkan dengan tanda tangan otentik prestored.
Metode ini dapat melengkapi sistem ID kartu foto.
Kontrol biometrik sekarang terintegrasi ke banyak produk perangkat keras dan perangkat
lunak e-bisnis. Kontrol biometrik memang memiliki beberapa batasan: Mereka tidak
akurat dalam kasus-kasus tertentu, dan beberapa orang melihatnya sebagai pelanggaran
privasi.
Kontrol Administrasi. Sementara kontrol umum yang dibahas sebelumnya bersifat
teknis, kontrol administratif berurusan dengan menerbitkan pedoman dan memantau
kepatuhan terhadap pedoman.
Kontrol Aplikasi. Serangan canggih ditujukan ke tingkat aplikasi, dan banyak aplikasi
tidak dirancang untuk menahan serangan tersebut. Untuk kemampuan bertahan yang
lebih baik, metodologi pemrosesan informasi diganti dengan teknologi agen. Agen
cerdas, juga disebut softbots atau knowbots, adalah aplikasi yang sangat adaptif. Istilah
ini umumnya berarti aplikasi yang memiliki tingkat reaktivitas, otonomi, dan kemampuan
beradaptasi — sebagaimana diperlukan dalam situasi serangan yang tidak terduga. Agen
mampu menyesuaikan diri berdasarkan perubahan yang terjadi di lingkungannya.
Keamanan dan Kontrol Endpoint. Banyak manajer meremehkan risiko bisnis yang
ditimbulkan oleh perangkat penyimpanan portabel yang tidak dienkripsi, yang merupakan
contoh titik akhir. Data bisnis sering dilakukan pada thumb drive, smartphone, dan kartu
memori yang dapat dilepas tanpa izin, pengawasan, atau perlindungan TI yang memadai
terhadap kehilangan atau pencurian. Perangkat genggam dan penyimpanan portabel
membahayakan data sensitif. Menurut perusahaan riset pasar Applied Research-West, tiga
dari empat pekerja menyimpan data perusahaan pada thumb drive. Menurut penelitian
mereka, 25 persen menyimpan catatan pelanggan, 17 persen menyimpan data keuangan,
dan 15 persen menyimpan rencana bisnis pada thumb drive, tetapi lebih sedikit lebih dari
50 persen bisnis mengenkripsi drive-drive itu secara rutin dan bahkan lebih tidak
konsisten mengamankan data yang disalin ke smartphone.
E. Network Security
Langkah-langkah keamanan jaringan melibatkan tiga jenis pertahanan, yang disebut sebagai
lapisan:
Lapisan pertama: Keamanan perimeter untuk mengontrol akses ke jaringan. Contohnya
adalah perangkat lunak antivirus dan firewall.
Lapisan kedua: Otentikasi untuk memverifikasi identitas orang yang meminta akses ke
jaringan. Contohnya adalah nama pengguna dan kata sandi.
Lapisan ketiga: Otorisasi untuk mengontrol apa yang dapat dilakukan pengguna
terotentikasi setelah mereka diberikan akses ke jaringan. Contohnya adalah izin dan
direktori.