Anda di halaman 1dari 20

IT SECURITY, CRIME, COMPLIANCE, AND CONTINUITY

A. Protecting Data and Business Operations


Apa itu keamanan informasi dan jaringan? Kebanyakan orang akan menyebutkan
perangkat keras dan perangkat lunak dalam jawaban mereka; misalnya, firewall, enkripsi,
antivirus, antispam, anti-spyware, anti-phishing, dan sebagainya. Firewall dan sistem deteksi
intrusi ditempatkan di seluruh jaringan untuk memantau dan mengontrol lalu lintas masuk
dan keluar dari jaringan.
Tentu saja, pertahanan teknologi diperlukan, tetapi tidak memadai karena melindungi
data dan operasi bisnis melibatkan semua hal berikut:
 Menyediakan data dan dokumen yang tersedia dan dapat diakses 24/7 sementara
secara bersamaan membatasi akses.
 Menerapkan dan menegakkan prosedur dan kebijakan penggunaan yang dapat
diterima untuk data, perangkat keras, perangkat lunak, dan jaringan milik
perusahaan.
 Mempromosikan pembagian informasi yang aman dan legal di antara orang dan
mitra yang berwenang.
 Memastikan kepatuhan dengan peraturan dan hukum pemerintah.
 Mencegah serangan dengan mempertahankan pertahanan intrusi jaringan.
 Mendeteksi, mendiagnosis, dan bereaksi terhadap insiden dan serangan secara real
time.
 Mempertahankan kontrol internal untuk mencegah manipulasi data dan catatan.
 Pulih dari kerusakan dan gangguan bisnis dengan cepat.

Kebijakan bisnis, prosedur, pelatihan, dan rencana pemulihan bencana serta


teknologi semuanya memainkan peran penting dalam keamanan TI. Keamanan TI mencakup
perlindungan informasi, jaringan komunikasi, dan operasi tradisional dan e-commerce untuk
memastikan kerahasiaan, integritas, ketersediaan, dan penggunaannya yang sah.

Sampai 2002, infosec merupakan sebagian besar masalah teknologi yang ditugaskan
ke departemen TI. Insiden ditangani berdasarkan dasar “cleanup” kasus per kasus alih-alih
dengan mengambil pendekatan pencegahan untuk melindungi sebelum adanya ancaman.
Infosec dipandang sebagai biaya daripada sebagai sumber daya untuk mencegah gangguan
bisnis dan memenuhi tanggung jawab tata kelola. Pandangan berbasis biaya ternyata sangat
tidak memadai dalam mengamankan perusahaan terhadap orang dalam yang tidak jujur dan
jangkauan global kejahatan dunia maya, malware, spyware, dan penipuan.
Selama 2010, penjahat hi-tech meluncurkan lebih dari 100 serangan per detik pada
komputer di seluruh dunia, menurut laporan dari vendor keamanan TI Symantec. Sementara
sebagian besar serangan ini tidak menimbulkan masalah, satu serangan setiap 4,5 detik
memang memengaruhi PC. Symantec mengidentifikasi hampir 2,9 juta item kode berbahaya
selama periode 12 bulan. Peningkatan tajam pada malware sebagian besar didorong oleh
ketersediaan perangkat gratis, mudah digunakan, dan / atau perangkat canggih yang
digunakan penjahat cyber pemula untuk mengembangkannya sendiri. malware. Sebagai
contoh, satu toolkit malware bernama Zeus berharga $ 700 (£ 458), dan banyak yang menjadi
sangat sukses sehingga pencipta mereka menawarkan dukungan telepon bagi mereka yang
tidak bisa mendapatkan cacing atau virus untuk bekerja. Biaya pembersihan setelah satu
insiden sudah mencapai ratusan juta dolar.

Setiap perusahaan memiliki informasi yang diinginkan oleh penjahat bermotivasi


keuntungan (yang mungkin berada di seluruh dunia atau karyawan tepercaya), dan mungkin
benar-benar berusaha untuk, mencuri dan / atau menjual. Kasus pembuka tentang HSBC
Private Bank menunjukkan mengapa risiko keamanan TI risiko bisnis. Risiko tersebut dapat
berasal dari orang dalam, orang luar, organisasi kejahatan dunia maya, atau malware.
Malware adalah kependekan dari perangkat lunak berbahaya, merujuk pada virus, worm,
trojan horse, spyware, dan semua jenis program yang mengganggu, merusak, atau tidak
diinginkan. Ancamannya berkisar dari eksploitasi teknologi tinggi untuk mendapatkan akses
ke jaringan dan basis data perusahaan hingga taktik nonteknis. untuk mencuri laptop dan apa
pun yang tersedia. Karena istilah infosec, seperti ancaman dan eksploitasi, memiliki makna
yang tepat, istilah kunci dan artinya tercantum dalam Tabel 5.1.

Secara umum, langkah-langkah keamanan TI telah berfokus pada perlindungan


terhadap orang luar dan malware. Sementara mengendalikan akses fisik dan jarak jauh ke
database dan jaringan masih menantang, sebagian besar pelanggaran data melibatkan
beberapa jenis kesalahan atau tindakan orang dalam - baik disengaja atau tidak disengaja. ,
risiko infosec terbesar adalah karyawan dan manajer. Perusahaan menderita kerugian luar
biasa dari penipuan yang dilakukan oleh karyawan. Ini masalah luas yang memengaruhi
setiap perusahaan, terlepas dari ukuran, lokasi, atau industri. Anda akan membaca lebih lanjut
tentang penipuan di Bagian 5.3.
Keamanan TI sangat integral dengan tujuan bisnis sehingga tidak dapat diperlakukan
sebagai fungsi yang berdiri sendiri. Kegagalan memiliki dampak langsung pada kinerja
bisnis, pelanggan, mitra bisnis, dan pemangku kepentingan — dan dapat menyebabkan
denda, tindakan hukum, dan penurunan tajam dalam harga saham ketika investor bereaksi
terhadap krisis.

TABLE 5.1 IT Security Terms


Term Definition
Threat Sesuatu atau seseorang yang dapat merusak aset
Risk Kemungkinan ancaman mengeksploitasi kerentanan
Vulnerability Kelemahan yang mengancam kerahasiaan, integritas, atau
ketersediaan (CIA) suatu aset
CIA triad (confidentiality, Tiga prinsip utama keamanan TI
integrity, availability)
Exploit Menggunakan alat atau teknik untuk memanfaatkan kerentanan
Risk management Proses mengidentifikasi, menilai, dan mengurangi risiko ke tingkat
yang dapat diterima
Exposure Perkiraan biaya, kerugian, atau kerusakan yang dapat terjadi jika
ancaman mengeksploitasi kerentanan
Access control Fitur keamanan yang dirancang untuk membatasi siapa yang
memiliki akses ke jaringan, IS, atau data
Countermeasure Safeguard diterapkan untuk mengurangi risiko
Audit Proses menghasilkan, merekam, dan meninjau catatan kronologis
peristiwa sistem untuk menentukan akurasinya
Encryption Transformasi data menjadi kode acak untuk melindunginya agar
tidak dipahami oleh pengguna yang tidak sah
Plaintext or clear-text Teks yang bisa dibaca
Ciphertext Teks terenkripsi
Authentication Metode Otentikasi (biasanya didasarkan pada nama pengguna dan
kata sandi) dimana IS memvalidasi atau memverifikasi bahwa
pengguna adalah benar-benar orang yang dia klaim
Malware (malicious Istilah umum yang merujuk pada virus, worm, Trojan horse,
software) spyware, atau adware
Scareware, juga dikenal Program yang berpura-pura memindai komputer dari virus dan
sebagai rogueware atau kemudian memberi tahu pengguna bahwa komputer tersebut
perangkat lunak antivirus terinfeksi untuk meyakinkan korban untuk secara sukarela
palsu memberikan informasi kartu kredit untuk membayar $ 50 hingga $
80 untuk "membersihkan" PC. Ketika korban membayar biaya, virus
tampaknya menghilang, tetapi mesin tersebut kemudian terinfeksi
oleh program jahat lainnya. Ini adalah salah satu jenis penipuan
Internet yang paling cepat berkembang dan paling umum.
Biometrics Metode untuk mengidentifikasi seseorang berdasarkan fitur biologis,
seperti sidik jari atau retina
Perimeter security Langkah-langkah keamanan untuk memastikan bahwa hanya
pengguna yang berwenang yang mendapatkan akses ke jaringan
Endpoint security Tindakan keamanan untuk melindungi titik akhir, mis., Desktop,
laptop, dan perangkat seluler
Firewall Perangkat lunak atau perangkat keras yang mengontrol akses ke
jaringan pribadi dari jaringan publik (Internet) dengan menganalisis
paket data yang masuk atau keluar
Packet Satuan data untuk transmisi melalui jaringan dengan header yang
berisi sumber dan tujuan paket
IP address (Internet Alamat yang secara unik mengidentifikasi komputer tertentu atau
Protocol address) perangkat lain di jaringan
Public key infrastructure Sistem yang didasarkan pada enkripsi untuk mengidentifikasi dan
(PKI) mengotentikasi pengirim atau penerima pesan atau transaksi Internet
Intrusion detection Alat pertahanan yang digunakan untuk memonitor lalu lintas
jaringan (paket) dan memberikan peringatan ketika ada sistem (IDS)
lalu lintas yang mencurigakan atau untuk mengkarantina lalu lintas
yang mencurigakan
Router Perangkat yang mentransfer paket (rute) antara dua atau lebih
jaringan
Fault tolerance Kemampuan IS untuk terus beroperasi ketika terjadi kegagalan,
tetapi biasanya untuk waktu yang terbatas atau pada tingkat yang
dikurangi
Backup Salinan duplikat data atau program disimpan di lokasi yang aman
Spoofing Serangan dilakukan dengan menggunakan trik, menyamar, menipu,
atau dengan memalsukan data
Denial of service (DoS) Serangan di mana suatu sistem dibombardir dengan begitu banyak
or Distributed denial of permintaan (untuk layanan atau akses) sehingga crash atau tidak
service (DDoS) dapat merespons
Zombie Komputer yang terinfeksi yang dikendalikan dari jarak jauh melalui
Internet oleh pengguna yang tidak sah, seperti spammer, penipu, atau
peretas
Spyware Perangkat lunak stealth yang mengumpulkan informasi tentang
pengguna atau aktivitas online pengguna
Botnet (Bot network) Jaringan komputer yang dibajak yang dikendalikan dari jarak jauh
— biasanya meluncurkan spam atau spyware. Disebut juga robot
perangkat lunak. Botnet ditautkan ke serangkaian aktivitas
berbahaya, termasuk pencurian identitas dan spam.
Cloud Computing and Social Network Risks

Dengan popularitas eReaders, netbook, Google Chrome OS, Facebook, YouTube, Twitter,
LinkedIn, dan jejaring sosial lainnya, bahaya keamanan TI semakin memburuk. Jaringan sosial
dan komputasi awan meningkatkan kerentanan dengan menyediakan satu titik kegagalan dan
serangan untuk jaringan kriminal terorganisir. Informasi penting, sensitif, dan pribadi berisiko,
dan seperti tren TI sebelumnya, seperti jaringan nirkabel, tujuannya adalah konektivitas,
seringkali dengan sedikit perhatian terhadap keamanan. Ketika jejaring sosial meningkatkan
layanan mereka, kesenjangan antara layanan dan infosec juga meningkat. Virus dan malware
email telah menurun selama bertahun-tahun karena keamanan email telah meningkat. Tren ini
berlanjut ketika komunikasi bergeser ke jejaring sosial dan smartphone yang lebih baru.
Sayangnya, malware menemukan jalannya kepada pengguna melalui kerentanan keamanan
dalam layanan dan perangkat baru ini. Penyaringan web, pendidikan pengguna, dan kebijakan
ketat adalah kunci untuk mencegah wabah yang meluas.

Phishing and Web-Based Threats

Perusahaan semakin mengadopsi aplikasi eksternal berbasis Web dan karyawan membawa
aplikasi konsumen ke dalam perusahaan. Perusahaan kriminal mengikuti uang di Internet, di
mana mereka memiliki pasar global yang berpotensi menjadi korban.

Sejak 2007, ancaman berbasis web telah menjadi cara utama untuk mencuri data rahasia dan
menginfeksi komputer. Pada 2008, dua pertiga dari semua malware yang dikenal telah dibuat.
Kemudian pada semester pertama 2009, malware baru melebihi semua malware yang terdeteksi
pada 2008, phishing meningkat 585 persen, dan lebih dari 300 merek korporat menjadi korban.
Phishing adalah upaya menipu untuk mencuri informasi rahasia seseorang dengan berpura-pura
menjadi organisasi yang sah, seperti PayPal, bank, perusahaan kartu kredit, atau kasino. Pesan
phishing termasuk tautan ke situs Web phish palsu yang terlihat seperti aslinya. Ketika pengguna
mengklik tautan ke situs phish, ia diminta nomor kartu kredit, nomor Jaminan Sosial, nomor
Jaminan Sosial, nomor akun, atau kata sandi. Pada 2010 dan 2011, phishing meningkat secara
eksponensial karena pengguna yang tidak sadar masih menyukai tipu daya.

Penjahat menggunakan Internet dan jaringan pribadi untuk membajak sejumlah besar PC
untuk memata-matai pengguna, mengirim spam kepada mereka, menghancurkan bisnis, dan
mencuri identitas. Tetapi mengapa mereka begitu sukses? Forum Keamanan Informasi
(securityforum.org), organisasi swadaya yang mencakup banyak perusahaan Fortune 100,
menyusun daftar masalah informasi utama dan menemukan bahwa sembilan dari sepuluh insiden
teratas adalah hasil dari tiga faktor:
 Mistakes or human error
 Malfunctioning systems
 Kesalahpahaman pada efek dalam menambahkan software yang tidak compatible
pada system yang ada.
Sayangnya, faktor-faktor ini seringkali dapat mengatasi teknologi keamanan TI yang
digunakan perusahaan dan individu untuk melindungi informasi mereka.

Search Engine Manipulation

Manipulasi mesin pencari adalah metode yang digunakan oleh penjahat dunia maya untuk
mengeksploitasi algoritma mesin pencari untuk menempatkan situs Web yang diretas lebih tinggi
dalam hasil pemeringkatan. Manipulasi semacam itu mendorong pengguna ke situs jahat, seperti
halaman umpan yang menawarkan antivirus atau warez palsu (perangkat lunak bajakan, game,
musik, dll.). Malware yang menyebar melalui mesin pencari juga meningkat karena tingginya
tingkat kepercayaan yang diberikan pengguna di mesin pencari dan kemudahan peringkat yang
dapat dimanipulasi.

Multi-Link Attacks

Serangan semakin kompleks dengan dihubungkan bersama. Misalnya, tautan yang


dimanipulasi oleh mesin telusur dapat menyambung ke laman blog yang diretas yang menautkan
ke malware, yang dapat mengunduh tanpa sepengetahuan atau persetujuan pengguna. Serangan
yang tertaut ini dirancang untuk memiliki jalur tertentu; mereka tidak berfungsi jika pengguna
tidak mengikuti jalur itu. Kesadaran jalur ini mempersulit perayap Web tradisional untuk
menemukan dan mengidentifikasi ancaman. Serangan multi-tautan akan menjadi bagian dari
ancaman yang lebih kompleks dan terpadu karena penjahat cyber menggunakan pendekatan yang
lebih berlapis untuk menghindari deteksi.

CompTIA Infosec Survey

Dalam survei keamanan informasi tahun 2008, Asosiasi Industri Teknologi Komputer
(CompTIA, comptia.org), sebuah kelompok perdagangan nirlaba, melaporkan bagaimana
perusahaan-perusahaan di Amerika Serikat, Inggris, Kanada, dan China berupaya meningkatkan
standar infosec mereka. Temuan kunci adalah sebagai berikut:

 Hampir 66 persen perusahaan AS, 50 persen perusahaan AS dan Cina, dan 40 persen
perusahaan Kanada telah menerapkan kebijakan keamanan TI tertulis.

 Persentase anggaran TI yang dikhususkan untuk keamanan perusahaan tumbuh dari tahun
ke tahun. Di Amerika Serikat, perusahaan membelanjakan 12 persen dari anggaran TI
2007 untuk tujuan keamanan, naik dari 7 persen pada 2005. Sebagian besar anggaran
digunakan untuk membeli teknologi yang terkait dengan keamanan.

 Sekitar 33 persen perusahaan AS mengharuskan staf TI disertifikasi dalam keamanan


jaringan dan data; di Cina, 78 persen perusahaan memerlukan sertifikasi keamanan TI.

Keamanan TI tetap menjadi perhatian utama profesional TI di seluruh dunia menurut Tren
Tahunan ke-7 CompTIA dalam Keamanan Informasi: Analisis Keamanan TI dan studi Tenaga
Kerja. Karena peran TI dalam organisasi terus berkembang, demikian juga potensi pelanggaran
keamanan.

Beberapa jenis insiden berada di luar kendali perusahaan. Abu vulkanik dari Islandia pada
2010 menciptakan gangguan dan krisis berkepanjangan yang tidak pernah dialami oleh bisnis.
Peristiwa tidak pasti yang dapat menyebabkan kerusakan IS, seperti dalam insiden berikut,
memerlukan pemulihan bencana dan rencana kesinambungan bisnis.

 Insiden 1. Penjahat dunia maya telah melancarkan serangan untuk memeras uang dari
StormPay, sebuah perusahaan pemrosesan pembayaran online. Serangan menutup
pusat data StormPay dan bisnisnya selama dua hari, menyebabkan kerugian finansial
dan membuat 3 juta pelanggan marah.

 Insiden 2. Lower Manhattan adalah real estat paling intensif komunikasi di dunia.
Banyak perusahaan di sana tidak memiliki rencana kesinambungan bisnis di luar
lokasi dan secara permanen kehilangan data penting tentang karyawan, pelanggan, dan
operasi mereka setelah serangan 11 September 2001. Sistem dan jaringan yang kritis
terhadap misi diturunkan. Mereka juga kehilangan konektivitas jaringan dan telepon
ketika 7 World Trade Center (WTC) runtuh dan kantor pusat Verizon (CO) —yang
terletak tepat di seberang WTC — mengalami kerusakan struktural besar-besaran.
Secara keseluruhan, 300.000 saluran telepon dan 3,6 juta sirkuit data berkapasitas
tinggi yang dilayani oleh CO tidak digunakan.

Insiden ini menggambarkan keragaman masalah infosec dan kerusakan substansial yang
dapat dilakukan pada organisasi di mana pun di dunia sebagai hasilnya.

Defense-in-depth adalah pendekatan berlapis-lapis untuk infosec. Prinsip dasarnya adalah


bahwa ketika satu lapisan pertahanan gagal, lapisan lain memberikan perlindungan. Misalnya,
jika keamanan jaringan nirkabel dikompromikan, maka memiliki data terenkripsi akan tetap
melindungi data dengan ketentuan bahwa pencuri tidak dapat mendekripsi.

Keberhasilan semua jenis proyek TI tergantung pada komitmen dan keterlibatan


manajemen eksekutif, juga disebut sebagai "nada di atas." Hal yang sama berlaku untuk
keamanan TI. Ketika manajemen senior menunjukkan komitmennya terhadap keamanan TI, itu
menjadi juga penting bagi orang lain. Nada infosec ini membuat pengguna sadar bahwa praktik
dan kesalahan yang tidak aman tidak akan ditoleransi. Oleh karena itu, keamanan TI dan model
kontrol internal dimulai dengan komitmen dan dukungan manajemen senior, seperti yang
ditunjukkan pada Gambar 5.3. Model memandang infosec sebagai kombinasi dari orang, proses,
dan teknologi.

Step 1: Komitmen dan dukungan manajemen senior. Pengaruh manajer senior


diperlukan untuk menerapkan dan menjaga keamanan, standar etika, praktik privasi, dan kontrol
internal. Komite Organisasi Sponsoring dari Komisi Treadway (COSO, coso.org/key.htm)
mendefinisikan kontrol internal sebagai proses yang dirancang untuk memberikan jaminan yang
wajar atas operasi yang efektif dan pelaporan keuangan yang andal.

Step 2: Kebijakan penggunaan yang dapat diterima dan pelatihan keamanan TI.
Langkah selanjutnya dalam membangun program keamanan TI yang efektif adalah
mengembangkan kebijakan keamanan dan memberikan pelatihan untuk memastikan bahwa
semua orang mengetahui dan memahaminya. Semakin besar pemahaman tentang bagaimana
keamanan mempengaruhi tingkat produksi, hubungan pelanggan dan pemasok, aliran
pendapatan, dan tanggung jawab manajemen, semakin banyak keamanan akan dimasukkan ke
dalam proyek dan proposal bisnis.

Paling kritis adalah kebijakan penggunaan yang dapat diterima (acceptable use policy /
AUP) yang menginformasikan pengguna tentang tanggung jawab mereka. AUP diperlukan
karena dua alasan: (1) untuk mencegah penyalahgunaan informasi dan sumber daya komputer
dan (2) untuk mengurangi paparan denda, sanksi, dan tanggung jawab hukum. Agar efektif, AUP
perlu mendefinisikan tanggung jawab pengguna, tindakan yang dapat diterima dan tidak dapat
diterima, serta konsekuensi dari ketidakpatuhan. EUP, Internet, dan komputer AUP harus
dianggap sebagai perpanjangan dari kebijakan perusahaan lainnya, seperti kebijakan yang
membahas keamanan fisik, kesetaraan kesempatan, pelecehan, dan diskriminasi.

Step 3: Prosedur dan penegakan keamanan TI. Jika aktivitas pengguna tidak dimonitor
untuk kepatuhan, AUP tidak berguna. Oleh karena itu, langkah selanjutnya adalah menerapkan
prosedur pemantauan, pelatihan, dan penegakan AUP. Bisnis tidak mampu membayar biaya
keamanan sempurna yang tak terbatas, sehingga mereka menghitung tingkat perlindungan yang
tepat. Perhitungan didasarkan pada eksposur risiko aset digital.

Metode penilaian risiko lainnya adalah analisis dampak bisnis (BIA). BIA adalah latihan
yang menentukan dampak dari kehilangan dukungan atau ketersediaan sumber daya. Misalnya,
bagi kebanyakan orang, hilangnya smartphone akan memiliki dampak yang lebih besar daripada
hilangnya kamera digital. BIA membantu mengidentifikasi sumber daya minimum yang
diperlukan untuk memulihkan dan memprioritaskan pemulihan proses dan sistem pendukung.
BIA perlu diperbarui saat ancaman baru terhadap TI muncul. Setelah risiko paparan aset digital
telah diperkirakan, maka keputusan yang diinformasikan tentang investasi dalam infosec dapat
dibuat.
Step 4: Perangkat keras dan perangkat lunak. Langkah terakhir dalam model ini adalah
implementasi perangkat lunak dan perangkat keras yang diperlukan untuk mendukung dan
menegakkan praktik AUP dan aman.

Perlu diingat bahwa keamanan adalah proses yang berkelanjutan dan tak berkesudahan,
bukan masalah yang bisa diselesaikan dengan perangkat keras atau perangkat lunak. Pertahanan
keamanan perangkat keras dan lunak tidak dapat melindungi dari praktik bisnis yang tidak
bertanggung jawab.

B. IS Vulnerabilities and Threats

Salah satu kesalahan terbesar yang dilakukan manajer adalah meremehkan kerentanan dan
ancaman TI. Sebagian besar pekerja menggunakan laptop dan ponsel mereka untuk bekerja dan
bersantai, dan di era multitasking, mereka sering melakukan keduanya sekaligus. Namun
penggunaan perangkat di luar waktu atau di luar kantor tetap berisiko karena, terlepas dari
kebijakan, karyawan terus terlibat dalam kebiasaan daring dan komunikasi yang berbahaya.
Kebiasaan-kebiasaan itu membuat mereka menjadi penghubung lemah dalam upaya keamanan
yang solid dari suatu organisasi. Ancaman ini dapat diklasifikasikan sebagai tidak disengaja atau
disengaja.

Ancaman yang tidak disengaja jatuh ke dalam tiga kategori utama: kesalahan manusia,
bahaya lingkungan, dan kegagalan sistem komputer.

 Kesalahan manusia (Human Errors) dapat terjadi dalam desain perangkat keras atau
sistem informasi. Mereka juga dapat terjadi selama pemrograman, pengujian, atau entri
data. Tidak mengubah kata sandi default pada firewall atau gagal mengelola tambalan
membuat lubang keamanan. Kesalahan manusia juga termasuk pengguna yang tidak
terlatih atau tidak sadar menanggapi phishing atau mengabaikan prosedur keamanan.
Kesalahan manusia berkontribusi pada sebagian besar kontrol internal dan masalah
infosec.

 Bahaya lingkungan termasuk gunung berapi, gempa bumi, badai salju, banjir,
kegagalan daya atau fluktuasi yang kuat, kebakaran (bahaya paling umum), pendingin
udara yang rusak, ledakan, kejatuhan radioaktif, dan kegagalan sistem pendingin air.
Selain kerusakan utama, sumber daya komputer dapat rusak oleh efek samping, seperti
asap dan air. Bahaya seperti itu dapat mengganggu operasi komputer normal dan
menghasilkan periode menunggu yang lama dan biaya selangit saat program komputer
dan file data dibuat kembali.

 Kegagalan sistem komputer dapat terjadi sebagai akibat dari manufaktur yang buruk,
bahan-bahan yang rusak, dan jaringan yang usang atau tidak terawat. Kerusakan yang
tidak disengaja juga dapat terjadi karena alasan lain, mulai dari kurangnya pengalaman
hingga pengujian yang tidak memadai.

Ada banyak jenis serangan, dan yang baru muncul secara teratur. Dua tipe dasar serangan
yang disengaja adalah kerusakan data dan serangan pemrograman.

Perusakan data adalah cara serangan yang umum yang dibayangi oleh jenis serangan
lainnya. Ini mengacu pada serangan di mana seseorang memasukkan data palsu atau penipuan ke
dalam komputer atau mengubah atau menghapus data yang ada. Perusakan data sangat serius
karena mungkin tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang dalam dan
penipu.

Serangan pemrograman sangat populer di kalangan penjahat yang menggunakan teknik


pemrograman untuk memodifikasi program komputer lainnya. Untuk jenis kejahatan ini,
keterampilan pemrograman dan pengetahuan tentang sistem yang ditargetkan diperlukan. Contoh
malware adalah virus, worm, dan Trojan horse. Beberapa metode dirancang untuk sistem
berbasis web. Malware dapat digunakan untuk meluncurkan serangan denial of service (DoS).
Serangan DoS terjadi ketika server atau situs Web menerima banyak lalu lintas — lalu lintas atau
permintaan layanan yang jauh lebih banyak daripada yang bisa ditangani, menyebabkannya
kerusakan.

Metode serangan universal adalah virus, yang merupakan kode komputer (program
perangkat lunak). Ini menerima namanya dari kemampuan program untuk melampirkan dirinya
ke dan menginfeksi program komputer lainnya, tanpa pemilik program menyadari infeksi. Ketika
perangkat lunak yang terinfeksi digunakan, virus menyebar, menyebabkan kerusakan pada
program itu dan mungkin untuk orang lain.

Tidak seperti virus, worm menyebar tanpa campur tangan manusia, seperti memeriksa
email atau mengirim file. Cacing menggunakan jaringan untuk menyebarkan dan menginfeksi
apa pun yang menyertainya — termasuk komputer, perangkat genggam, situs Web, dan server.
Cacing dapat menyebar melalui pesan instan atau teks. Kemampuan cacing untuk melakukan
propagasi sendiri melalui jaringan dapat menyumbat dan menurunkan kinerja jaringan, termasuk
Internet.

Trojan horse disebut sebagai pintu belakang karena memberikan penyerang akses ilegal ke
jaringan atau akun melalui port jaringan. Port jaringan adalah antarmuka fisik untuk komunikasi
antara komputer dan perangkat lain di jaringan. Remote administration Trojans (RATs) adalah
kelas pintu belakang yang memungkinkan kendali jarak jauh atas mesin yang terinfeksi
(terinfeksi). Server kejahatan melibatkan komputer yang terinfeksi RAT untuk pengumpulan data
secara sembunyi-sembunyi. RAT membuka port jaringan pada komputer korban, memberikan
kontrol penyerang atasnya. PC yang terinfeksi juga disebut zombie atau bot.

Trojan menempelkan dirinya sendiri ke OS zombie dan selalu memiliki dua file, file klien
dan file server. Server, seperti namanya, dipasang di mesin yang terinfeksi sementara klien
digunakan oleh penyusup untuk mengontrol sistem yang dikompromikan. Fungsi Trojan horse
meliputi mengelola file pada PC zombie, mengelola proses, mengaktifkan perintah dari jarak
jauh, mencegat penekanan tombol, menonton gambar layar, dan memulai kembali dan menutup
host yang terinfeksi. Trojan umum adalah NetBus, Back Orifice (BO) 2000, SubSeven, dan
Hack'aack.

Targeted Attacks On Enterprises

Rahasia perusahaan dan pemerintah saat ini dicuri oleh ancaman serius yang disebut
ancaman persisten tingkat lanjut (APT). Sebagian besar serangan APT diluncurkan melalui
phishing. Biasanya, jenis serangan ini dimulai dengan beberapa pengintaian di pihak penyerang.
Ini dapat termasuk meneliti informasi yang tersedia untuk umum tentang perusahaan dan
karyawannya, seringkali dari situs jejaring sosial. Informasi ini kemudian digunakan untuk
membuat pesan email phising yang ditargetkan. Serangan yang berhasil dapat memberikan
penyerang akses ke jaringan perusahaan.

APT dirancang untuk spionase jangka panjang. Setelah diinstal pada jaringan, APT
mengirimkan salinan dokumen, seperti file Microsoft Office dan PDF, dalam mode sembunyi-
sembunyi. APT mengumpulkan dan menyimpan file di jaringan perusahaan, mengenkripsi file-
file itu, lalu mengirimkannya secara berurutan ke server, biasanya di China.

Botnets

Botnet adalah kumpulan bot (komputer yang terinfeksi oleh robot perangkat lunak).
Komputer yang terinfeksi itu, yang disebut zombie, dapat dikendalikan dan diatur ke dalam
jaringan zombie berdasarkan perintah botmaster jarak jauh (juga disebut bot herder). Storm
worm, yang disebarkan melalui spam, adalah agen botnet yang tertanam di dalam lebih dari 25
juta komputer. Kekuatan gabungan Storm telah dibandingkan dengan kekuatan pemrosesan
superkomputer, dan serangan yang diorganisir Storm mampu melumpuhkan situs Web mana pun.

Botnet mengekspos komputer yang terinfeksi, serta komputer jaringan lainnya, terhadap
ancaman berikut (Edwards, 2008):

 Spyware: Zombi dapat diperintahkan untuk memantau dan mencuri data pribadi atau
keuangan.

 Adware: Zombies dapat dipesan untuk mengunduh dan menampilkan iklan. Beberapa
zombie bahkan memaksa browser sistem yang terinfeksi untuk mengunjungi situs Web
tertentu.

 Spam: Sebagian besar email sampah dikirim oleh zombie. Pemilik komputer yang
terinfeksi biasanya tidak menyadari bahwa mesin mereka digunakan untuk melakukan
kejahatan.

 Phishing: Zombies dapat mencari server lemah yang cocok untuk meng-hosting situs web
phishing, yang terlihat seperti situs Web yang sah, untuk mengelabui pengguna agar
memasukkan data rahasia.

 Serangan DoS: Dalam penolakan serangan layanan, jaringan atau situs web dibombardir
dengan begitu banyak permintaan layanan (yaitu lalu lintas) yang macet.

Botnet sangat berbahaya karena memindai dan mengkompromikan komputer lain dan
kemudian dapat digunakan untuk setiap jenis kejahatan dan serangan terhadap komputer, server,
dan jaringan.
Malware and Botnet Defenses

Karena malware dan botnet menggunakan banyak metode dan strategi serangan, beberapa
alat diperlukan untuk mendeteksi mereka dan / atau menetralisir efeknya. Tiga pertahanan
penting adalah sebagai berikut:

1) Perangkat lunak antivirus: Alat anti-malware dirancang untuk mendeteksi kode


berbahaya dan mencegah pengguna mengunduhnya. Mereka juga dapat memindai sistem
untuk keberadaan worm, kuda Troya, dan jenis ancaman lainnya. Teknologi ini tidak
memberikan perlindungan lengkap karena tidak dapat bertahan terhadap eksploitasi nol
hari. Zeroday mengacu pada hari eksploitasi menghantam Internet. Anti-malware
mungkin tidak dapat mendeteksi eksploitasi yang sebelumnya tidak diketahui.

2) Sistem deteksi intrusi (IDS): Sesuai namanya, IDS memindai lalu lintas yang tidak biasa
atau mencurigakan. IDS dapat mengidentifikasi awal serangan DoS oleh pola lalu lintas,
memperingatkan administrator jaringan untuk mengambil tindakan defensif, seperti
beralih ke alamat IP lain dan mengalihkan server penting dari jalur serangan.

3) Sistem pencegahan intrusi (IPS): IPS dirancang untuk mengambil tindakan segera —
seperti memblokir alamat IP tertentu — setiap kali anomali arus lalu lintas terdeteksi. IPS
berbasiskan ASIC (aplikasi-integrated integrated circuit) memiliki kekuatan dan
kemampuan analisis untuk mendeteksi dan memblokir serangan DoS, berfungsi agak
seperti pemutus sirkuit otomatis.

C. Fraud, Crimes, and Violations

1. Fraud

Penipuan pekerjaan mengacu pada penyalahgunaan aset yang disengaja oleh seseorang
untuk keuntungan pribadi. Audit internal dan kontrol internal sangat penting untuk
pencegahan dan deteksi penipuan pekerjaan.

Pencegahan dan Deteksi Penipuan Internal

TI memiliki peran penting dalam menunjukkan tata kelola perusahaan yang efektif dan
pencegahan penipuan. Regulator memandang positif perusahaan yang dapat
menunjukkan tata kelola perusahaan yang baik dan praktik manajemen risiko operasional
terbaik. Manajemen dan staf perusahaan semacam itu kemudian dapat menghabiskan
lebih sedikit waktu untuk mengkhawatirkan peraturan dan lebih banyak waktu menambah
nilai pada merek dan bisnis mereka.

Langkah-langkah pencegahan kecurangan internal didasarkan pada kontrol yang sama


yang digunakan untuk mencegah intrusi eksternal — teknologi pertahanan perimeter,
seperti firewall, pemindai e-mail, dan akses biometrik. Mereka juga didasarkan pada
prosedur sumber daya manusia (SDM), seperti penyaringan rekrutmen dan pelatihan.

Banyak dari aktivitas pendeteksian ini dapat ditangani oleh mesin analisis cerdas
menggunakan teknik pergudangan data dan analisis yang canggih. Sistem ini mengambil
jejak audit dari sistem utama dan catatan personel dari departemen SDM dan keuangan.
Data disimpan dalam gudang data, di mana dianalisis untuk mendeteksi pola anomali,
seperti jam kerja yang berlebihan, penyimpangan dalam pola perilaku, menyalin sejumlah
besar data, upaya untuk menimpa kontrol, transaksi yang tidak biasa, dan dokumentasi
yang tidak memadai tentang suatu transaksi. Informasi dari investigasi dimasukkan
kembali ke dalam sistem deteksi sehingga ia belajar. Karena orang dalam mungkin
bekerja dalam kolusi dengan penjahat terorganisir, profil orang dalam penting untuk
menemukan pola jaringan kriminal yang lebih luas.

Pendekatan perusahaan yang menggabungkan risiko, keamanan, kepatuhan, dan spesialis


TI sangat meningkatkan pencegahan dan deteksi penipuan. Pencegahan adalah
pendekatan yang paling hemat biaya, karena biaya deteksi dan penuntutan sangat besar,
di atas dan di luar biaya langsung dari kerugian. Pencegahan dimulai dengan budaya tata
kelola perusahaan dan etika di tingkat atas organisasi.

Pencurian identitas: Salah satu kejahatan terburuk dan paling umum adalah pencurian
identitas. Pencurian seperti itu, di mana Jaminan Sosial individu dan nomor kartu kredit
dicuri dan digunakan oleh pencuri, bukanlah hal baru. Penjahat selalu memperoleh
informasi tentang orang lain — dengan mencuri dompet atau menggali tempat sampah.
Tetapi berbagi dan basis data elektronik yang tersebar luas telah memperburuk kejahatan.
Karena lembaga keuangan, perusahaan pemrosesan data, dan bisnis ritel enggan
mengungkapkan insiden di mana informasi keuangan pribadi pelanggan mereka mungkin
telah dicuri, hilang, atau dikompromikan, hukum terus disahkan untuk memaksakan
pemberitahuan tersebut.

D. Information Assurance and Risk Management

1. Strategi Pertahanan

Strategi dan kontrol pertahanan yang harus digunakan tergantung pada apa yang perlu
dilindungi dan analisis biaya-manfaat. Artinya, perusahaan tidak boleh berinvestasi atau
berinvestasi terlalu rendah. SEC dan FTC memberlakukan denda besar untuk pelanggaran
data untuk mencegah perusahaan berinvestasi dalam perlindungan data yang kurang. Berikut
ini adalah tujuan utama strategi pertahanan:

1) Pencegahan dan pencegahan. Kontrol yang dirancang dengan benar dapat


mencegah terjadinya kesalahan, mencegah penjahat menyerang sistem, dan, lebih
baik lagi, menolak akses ke orang yang tidak berwenang. Ini adalah kontrol yang
paling diinginkan.

2) Deteksi. Seperti halnya kebakaran, semakin cepat suatu serangan terdeteksi,


semakin mudah untuk dilawan dan semakin sedikit kerusakan yang dilakukan.
Deteksi dapat dilakukan dalam banyak kasus dengan menggunakan perangkat
lunak diagnostik khusus, dengan biaya minimal.

3) Penahanan (berisi kerusakan). Penahanan meminimalkan atau membatasi


kerugian setelah kegagalan fungsi terjadi. Ini juga disebut kontrol kerusakan. Ini
dapat dicapai, misalnya, dengan memasukkan sistem toleran kesalahan yang
memungkinkan operasi dalam mode terdegradasi sampai pemulihan penuh
dilakukan. Jika sistem toleransi kesalahan tidak ada, pemulihan cepat dan
mungkin mahal harus dilakukan. Pengguna ingin sistem mereka kembali
beroperasi secepat mungkin.

4) Pemulihan. Rencana pemulihan menjelaskan cara memperbaiki sistem informasi


yang rusak secepat mungkin. Mengganti daripada memperbaiki komponen adalah
salah satu rute menuju pemulihan cepat.
5) Koreksi. Memperbaiki penyebab sistem yang rusak dapat mencegah masalah
terjadi lagi.

6) Kesadaran dan kepatuhan. Semua anggota organisasi harus dididik tentang bahaya
dan harus mematuhi aturan dan peraturan keamanan.

2. General Controls

Kategori utama dari kontrol umum adalah kontrol fisik, kontrol akses, kontrol
biometrik, kontrol administratif, kontrol aplikasi, dan kontrol titik akhir.

Kontrol Fisik. Keamanan fisik mengacu pada perlindungan fasilitas dan sumber daya
komputer. Ini termasuk melindungi properti fisik seperti komputer, pusat data, perangkat
lunak, manual, dan jaringan. Ini memberikan perlindungan terhadap sebagian besar
bahaya alam serta terhadap beberapa bahaya manusia. Keamanan fisik yang tepat dapat
mencakup beberapa kontrol, seperti berikut ini:

 Desain pusat data yang sesuai; misalnya, memastikan bahwa pusat data tidak mudah
terbakar dan tahan air
 Melindungi dari medan elektromagnetik

 Sistem pencegahan, deteksi, dan pemadam kebakaran yang baik, termasuk sistem
sprinkler, pompa air, dan fasilitas drainase yang memadai

 Pematian daya darurat dan baterai cadangan, yang harus dijaga dalam kondisi
operasional

 Sistem pendingin udara yang dirancang, dirawat, dan dioperasikan dengan benar

 Alarm detektor gerakan yang mendeteksi intrusi fisik

Kontrol Akses. Kontrol akses adalah manajemen siapa yang dan tidak berwenang untuk
menggunakan perangkat keras dan perangkat lunak perusahaan. Metode kontrol akses,
seperti firewall dan daftar kontrol akses, membatasi akses ke jaringan, database, file, atau
data.
Ini adalah garis pertahanan utama terhadap orang dalam yang tidak sah maupun orang
luar. Kontrol akses melibatkan otorisasi (memiliki hak untuk mengakses) dan otentikasi,
yang juga disebut identifikasi pengguna (membuktikan bahwa pengguna adalah yang dia
klaim).
Metode otentikasi meliputi:
 Sesuatu yang hanya diketahui pengguna, seperti kata sandi
 Sesuatu yang hanya dimiliki pengguna, seperti kartu pintar atau token
 Sesuatu yang hanya merupakan karakteristik pengguna, seperti pemindaian tanda
tangan, suara, sidik jari, atau retina (mata); diimplementasikan melalui kontrol
biometrik, yang dapat berupa fisik atau perilaku
Kontrol Biometrik. Kontrol biometrik adalah metode otomatis untuk memverifikasi
identitas seseorang, berdasarkan karakteristik fisik atau perilaku. Sebagian besar sistem
biometrik mencocokkan beberapa karakteristik pribadi dengan profil yang disimpan.
Biometrik yang paling umum adalah sebagai berikut:
o Sidik jari atau sidik jari. Setiap kali pengguna menginginkan akses, sidik jari jempol
atau sidik jari (pemindaian jari) dicocokkan dengan templat yang berisi sidik jari
orang yang berwenang untuk mengidentifikasi dirinya.
o Pemindaian retina. Kecocokan dicoba antara pola pembuluh darah di retina yang
sedang dipindai dan gambar retina yang sangat disukai.
o Pemindaian suara. Kecocokan dicoba antara suara pengguna dan pola suara yang
tersimpan di templat.
o Tanda tangan. Tanda tangan dicocokkan dengan tanda tangan otentik prestored.
Metode ini dapat melengkapi sistem ID kartu foto.
Kontrol biometrik sekarang terintegrasi ke banyak produk perangkat keras dan perangkat
lunak e-bisnis. Kontrol biometrik memang memiliki beberapa batasan: Mereka tidak
akurat dalam kasus-kasus tertentu, dan beberapa orang melihatnya sebagai pelanggaran
privasi.
Kontrol Administrasi. Sementara kontrol umum yang dibahas sebelumnya bersifat
teknis, kontrol administratif berurusan dengan menerbitkan pedoman dan memantau
kepatuhan terhadap pedoman.
Kontrol Aplikasi. Serangan canggih ditujukan ke tingkat aplikasi, dan banyak aplikasi
tidak dirancang untuk menahan serangan tersebut. Untuk kemampuan bertahan yang
lebih baik, metodologi pemrosesan informasi diganti dengan teknologi agen. Agen
cerdas, juga disebut softbots atau knowbots, adalah aplikasi yang sangat adaptif. Istilah
ini umumnya berarti aplikasi yang memiliki tingkat reaktivitas, otonomi, dan kemampuan
beradaptasi — sebagaimana diperlukan dalam situasi serangan yang tidak terduga. Agen
mampu menyesuaikan diri berdasarkan perubahan yang terjadi di lingkungannya.
Keamanan dan Kontrol Endpoint. Banyak manajer meremehkan risiko bisnis yang
ditimbulkan oleh perangkat penyimpanan portabel yang tidak dienkripsi, yang merupakan
contoh titik akhir. Data bisnis sering dilakukan pada thumb drive, smartphone, dan kartu
memori yang dapat dilepas tanpa izin, pengawasan, atau perlindungan TI yang memadai
terhadap kehilangan atau pencurian. Perangkat genggam dan penyimpanan portabel
membahayakan data sensitif. Menurut perusahaan riset pasar Applied Research-West, tiga
dari empat pekerja menyimpan data perusahaan pada thumb drive. Menurut penelitian
mereka, 25 persen menyimpan catatan pelanggan, 17 persen menyimpan data keuangan,
dan 15 persen menyimpan rencana bisnis pada thumb drive, tetapi lebih sedikit lebih dari
50 persen bisnis mengenkripsi drive-drive itu secara rutin dan bahkan lebih tidak
konsisten mengamankan data yang disalin ke smartphone.
E. Network Security
Langkah-langkah keamanan jaringan melibatkan tiga jenis pertahanan, yang disebut sebagai
lapisan:
 Lapisan pertama: Keamanan perimeter untuk mengontrol akses ke jaringan. Contohnya
adalah perangkat lunak antivirus dan firewall.
 Lapisan kedua: Otentikasi untuk memverifikasi identitas orang yang meminta akses ke
jaringan. Contohnya adalah nama pengguna dan kata sandi.
 Lapisan ketiga: Otorisasi untuk mengontrol apa yang dapat dilakukan pengguna
terotentikasi setelah mereka diberikan akses ke jaringan. Contohnya adalah izin dan
direktori.

Anda mungkin juga menyukai