CYBERSECURITY DAN MANAJEMEN RESIKO

1.1 Wajah dan Masa Depan cyberthreats

Sejak 2013 jumlah record data yang dicuri oleh hacker telah meningkat pada tingkat yang

mengkhawatirkan, seperti yang ditunjukkan pada Gambar 5.3. Bahkan, 2013 telah dijuluki

“Tahun Pelanggaran tersebut” karena ada 2164 melaporkan pelanggaran data yang terkena

diperkirakan 823 juta catatan. Hampir setengah dari 2.013 pelanggaran terjadi di Amerika

Serikat, di mana jumlah terbesar dari catatan yang dari 540 juta rekaman data atau 66 persen-

lebih terekspos.

Daftar tujuh puncak pelanggaran data terbesar

900 823M

700
800
600

500
413M
400

300 264M
193M
200
95m
100

2009 2010 2011 2012 2013

1
 Terbesar data Pelanggaran Seluruh Dunia, 2013-2014, dalam rangka Nomor
Data Rekaman dilanggar

Jumlah data
Rekaman
Perusahaan dilanggar

eBay

lelang online
Penyerang dikompromikan kredensial log-in beberapa karyawan antara Sampai 145 juta
Februari dan Maret 2014 untuk mendapatkan akses ke jaringan perusahaan dan, melalui
itu, dikompromikan database yang berisi nama pelanggan, password terenkripsi, alamat
email, alamat fisik, nomor telepon, dan tanggal lahir.

toko Michaels

Toko Eceran
Sistem POS di 54 toko Michaels diserang oleh penjahat menggunakan 2,6 juta pembayaran
malware yang sangat canggih antara Mei 2013 dan nomor kartu dan
Januari 2014. tanggal kedaluwarsa

Vendor Adobe

Software

fi dicuri les terkandung akun aktif dan tidak aktif untuk berbagai 150 juta
produk Adobe: Acrobat, Photoshop, ColdFusion, dan CreativeCloud. The fi les terus
Adobe ID, alamat e-mail, password, kredit / nomor kartu debit, tanggal kedaluwarsa, dan
(Information mampu pribadi Identifi) PII lainnya.

Target
2 pengecer diskon terbesar di Amerika Serikat 110 juta

Ubisoft
3 perusahaan game terbesar di Eropa dan Amerika Serikat 58 juta

Pemerintah Turki
Tidak ada perangkat lunak antivirus yang diinstal pada sistem diretas. 54 juta

Evernote

layanan mencatat secara online 50 juta

Living Social
situs daily deals 50 juta

layanan Cupid Media Populer

kencan

Catatan 56 Departemen Keamanan Dalam Negeri karyawan yang 42 juta

dicuri melanggar ini.

2
1.1.1 Rekayasa Sosial dan BYOD

Cyberthreats baru muncul dan menyalip akrab ancaman-virus, disk hilang,

dan serangan DDoS. Para ahli percaya bahaya cybersecurity terbesar selama

beberapa tahun ke depan akan melibatkan ancaman terus-menerus, komputasi

mobile, dan penggunaan media sosial untuk rekayasa sosial. Social engineering

juga dikenal sebagai pengguna menipu hacker-manusia untuk mengungkapkan

identitasnya dan kemudian menggunakan mereka untuk mendapatkan akses ke

jaringan atau rekening. Dari perspektif keamanan IT, rekayasa sosial adalah

pandai menggunakan hacker penipuan atau manipulasi kecenderungan orang

untuk percaya, membantu, atau hanya mengikuti rasa ingin tahu mereka. sistem

keamanan TI yang kuat tidak bisa membela terhadap apa yang tampaknya

berwenang akses.

Manusia mudah hack, membuat mereka dan posting media sosial mereka

serangan berisiko tinggi vektor. Misalnya, sering mudah untuk mendapatkan

pengguna untuk menginfeksi jaringan perusahaan atau ponsel dengan menipu

mereka ke dalam download dan menginstal aplikasi berbahaya atau backdoors.

3
 Lain kerentanan yang lebih baru adalah membawa perangkat Anda sendiri (BYOD).

Tren BYOD didorong oleh karyawan menggunakan perangkat mereka sendiri untuk tujuan

bisnis karena mereka lebih kuat dari yang perusahaan telah disediakan. Faktor lain adalah

mobilitas. Semakin banyak orang yang bekerja dari rumah dan pergi-yang menempatkan

mengakhiri sebelumnya khas 9-5 hari kerja. Karena itu, karyawan tidak ingin menyulap

beberapa perangkat. Dengan BYOD, perusahaan memotong biaya dengan tidak harus membeli

dan memelihara perangkat mobile.

Tentu saja, bila perangkat karyawan hilang, perusahaan dapat menderita pelanggaran data

jika perangkat tidak dienkripsi. Di masa lalu, dan sebelum menekan BYOD. karyawan akan

berada di meja mereka pada garis tanah dan pada komputer dicolokkan ke dinding dengan kabel

jaringan. Perubahan eksposur ini membutuhkan investasi yang lebih besar untuk

mempertahankan terhadap risiko BYOD.

1.1.2 Survey cybercrime

Responden dengan 2013 US Negara Survey Cybercrime menunjukkan bahwa insiden

keamanan meningkat 33 persen meskipun pelaksanaan praktik keamanan. teknologi

cybersecurity saat ini dan kebijakan hanya tidak sejalan dengan ancaman cepat berkembang.

Banyak ancaman dan tantangan yang dihadapi organisasi hari ini adalah tak terbayangkan 10

tahun lalu. Dan ancaman lama seperti penipuan dan pencurian identitas masih tetap. Cyberthreats

akan terus muncul, berkembang, dan memperburuk selama 10 tahun ke depan dan seterusnya. IT

at Work 5.2 menyediakan ringkasan. 2014 Negara global Survey Keamanan Informasi. Hasil

Survey 2014 menunjukkan bahwa eksekutif merespon kebutuhan untuk mendanai kegiatan

keamanan yang ditingkatkan dan telah secara substansial meningkatkan pengamanan teknologi,

proses, dan strategi. Sayangnya, lawan melakukannya lebih baik.

4
 Lanjutan ancaman terus-menerus (APT) penyerang ingin tetap diperhatikan sehingga

mereka dapat terus mencuri data, seperti yang dijelaskan dalam IT di Tempat Kerja 5.2. penjahat

cyber Laba-termotivasi sering beroperasi dalam mode siluman. Sebaliknya, hacker dan

hacktivists dengan agenda pribadi melakukan serangan profil tinggi.

1.1.3 Motivasi hacktivists' dan Pranks Berbahaya

Jenis kriminal di dunia maya tampaknya mengambil pada setiap orang dari Sony dan

perusahaan keamanan RSA ke (Central Intelligence Agency) CIA dan kartel narkoba Meksiko

sepanjang 2011 dan 2012. Selama Musim Semi Arab (revolusi jalan 2013), hacktivists LulzSec

dan Anonim menunjukkan bagaimana kehadiran online rentan siapa pun itu, bahkan pemerintah

utama. Salah satu spesialisasi LulzSec adalah menemukan situs dengan keamanan miskin, dan

kemudian mencuri dan posting informasi dari mereka secara online. Beberapa serangan mereka

mungkin tampak lebih seperti pranks Internet dari cyberwarfare serius, tetapi mereka masih

illegal.

1.1.4Serangan hacktivist dan Korban

Hacker berkomitmen berani pelanggaran data, kompromi, kebocoran data, pencurian,

ancaman, dan invasi privasi pada tahun 2012. Dua kasus tercantum di bawah ini.

• Gabungan Systems, Inc. Bangga menampilkan bendera hacktivist nya, Anonymous

mengambil kredit untuk mengetuk Gabungan Systems, Inc. offline dan mencuri data

pribadi dari klien. Anonymous pergi setelah Gabungan Systems, yang menjual gas air

mata dan kerumunan-kontrol perangkat untuk penegakan hukum dan organisasi

militer, untuk memprotes pencatut perang.

• CIA. Pada bulan Februari 2012, untuk kedua kalinya dalam waktu kurang dari satu

tahun, Anonymous meluncurkan serangan denial of service (DoS) serangan yang

5
 memaksa situs CIA offline. CIA takedown diikuti minggu yang sibuk untuk

hacktivists. Dalam waktu 10 hari, kelompok ini juga pergi setelah produsen

elektronik China Foxconn, kelompok Nazi Amerika, perusahaan antivirus Symantec,

dan kantor presiden Suriah.

Sebagian besar kegiatan hack tidak menjadi headline sampai setelah insiden terdeteksi

dan dilaporkan. Namun, perusahaan korban enggan untuk membahas mereka sehingga statistik

yang langka. Kebanyakan pelanggaran data tidak dilaporkan, menurut para ahli cybersecurity,

karena korban perusahaan takut pengungkapan yang akan merusak harga saham mereka, atau

karena mereka tidak pernah tahu mereka hack di tempat pertama.

1.1.5 Pencurian Rahasia Dagang dan Informasi Rahasia Lain

Pencurian rahasia dagang selalu menjadi ancaman dari tahi lalat perusahaan, karyawan

yang tidak puas, dan orang dalam lainnya. Tentu saja, sekarang lebih mudah untuk mencuri

informasi dari jarak jauh, karena sebagian besar smartphone dan tren BYOD. Hacker modus

operandi yang lebih disukai adalah untuk masuk ke karyawan perangkat mobile dan melompati

ke jaringan pengusaha - mencuri rahasia tanpa jejak.

• Ahli cybersecurity AS dan pejabat pemerintah semakin khawatir

tentang pelanggaran dari negara lain ke jaringan perusahaan baik melalui perangkat

mobile atau cara lain. salah satu “Dalam melihat sistem komputer konsekuensi-dalam

pemerintahan, Kongres, di Departemen Pertahanan, aerospace, perusahaan dengan

rahasia-kita dagang yang bernilai tidak diperiksa: Mike McConnell, mantan direktur

National Security Agency (NSA), memperingatkan namun yang belum terinfeksi oleh

ancaman terus-menerus maju”(Perlroth, 2012b). Sementara itu, perusahaan yang

membocorkan informasi penting, sering tanpa disadari. Scott Aken, mantan agen FBI

6
 yang mengkhususkan diri dalam kontra intelijen dan intrusi komputer, menyatakan,

“Dalam kebanyakan kasus, perusahaan tidak menyadari bahwa mereka telah dibakar

sampai tahun kemudian ketika pesaing asing menempatkan yang sama mereka

produk-satunya mereka membuat itu 30 persen lebih murah”(Perlroth, 2012b).

1.1.6 Jangan-Not-Carry Aturan

Perusahaan-perusahaan AS, instansi pemerintah, dan organisasi sekarang memaksakan

donot-membawa aturan, yang didasarkan pada asumsi bahwa perangkat pasti akan

dikompromikan sesuai dengan Mike Rogers, ketua saat ini Komite Intelijen Dewan. anggota

DPR bisa membawa hanya perangkat “bersih” dan

7
 dilarang menghubungkan ke jaringan pemerintah sementara di luar negeri. Rogers

mengatakan ia melakukan perjalanan “elektronik telanjang” untuk memastikan keamanan

dunia maya selama dan setelah perjalanan. IT di Tempat Kerja menjelaskan alasan berikut

do-tidak-carry aturan.

1.2 Manajemen Risiko Cyber

Setiap perusahaan memiliki data yang ingin penjahat laba-termotivasi. data

pelanggan, jaringan, website, sistem informasi hak milik, dan hak paten adalah contoh

aktiva -hal nilai yang perlu dilindungi. Semakin besar nilai aset untuk perusahaan dan untuk

penjahat, semakin besar keamanan perlu. Strategi cerdas adalah untuk berinvestasi lebih

banyak untuk melindungi aset perusahaan yang paling berharga daripada mencoba untuk

melindungi semua aset sama, seperti yang dibahas dalam IT di Tempat Kerja The keamanan

TI lapangan seperti olahraga dan hukum-memiliki terminologi sendiri, yang diringkas untuk

referensi cepat pada Tabel ini.

RISIKO MENGEKSPLOITASI

Protabilitas dari anacaman memanfaatkan Sebuah program yang memungkin

kerentanan dan biaya yang dihasilkan dari penyerang untuk secara otomatis masuk
kehilangan, kerusakan, gangguan, atau kesistem melalui kerentanan.
perusakan.

.
ANCAMAN

Seseorang atau sesuatu yang dapat

meyebabkan kerugian, kerusakan, atau
perusakan.

KERENTANAN ASET
Sesuatu yang bernilai yang perlu
Kelemahan atau cacat dalam suatu sistem dilindungi.
yang memungkinkan serangan untuk Data pelanggan, rahasia dagang, formula
menjadi sukses. eksklusif dan kekayaan intelektual
lainnya.

8
Definisi Defi dari Syarat IT Security

Istilah Defi nisi

Ancaman Sesuatu atau seseorang yang dapat mengakibatkan kerusakan pada aset

Risiko Probabilitas dari ancaman memanfaatkan kerentanan

Kerentanan Kelemahan yang mengancam kerahasiaan kerahasiaan, integritas, atau ketersediaan (CIA) dari aset

CIA triad (confi kerahasiaan, Tiga kunci integritas prinsip cybersecurity,

ketersediaan)

Mengeksploitasi Alat atau teknik yang mengambil keuntungan dari kerentanan

Manajemen risiko Proses identifikasi, menilai, dan mengurangi risiko ke tingkat yang dapat diterima

pencahayaan Perkiraan biaya, kerugian, atau kerusakan yang dapat terjadi jika ancaman mengeksploitasi kerentanan

Kontrol akses Fitur keamanan yang dirancang untuk membatasi siapa yang memiliki akses ke jaringan, IS, atau data

Audit Prosedur menghasilkan, rekaman, dan meninjau catatan kronologis peristiwa sistem
untuk menentukan akurasi mereka

enkripsi Transformasi data ke dalam kode bergegas untuk melindungi mereka dari yang dipahami oleh

pengguna yang tidak sah

teks plaintext atau yang jelas teks yang dapat dibaca

ciphertext teks terenkripsi

pembuktian keaslian Metode (biasanya didasarkan pada username dan password) dimana IS memvalidasi atau verifi
es bahwa pengguna benar-benar yang ia klaim menjadi

Biometrik Metode untuk mengidentifikasi seseorang berdasarkan fitur biologis, seperti fi ngerprint atau
retina

firewall Perangkat lunak atau perangkat keras yang mengontrol akses ke jaringan pribadi dari jaringan
publik (Internet) dengan menganalisis paket data masuk atau keluar itu

Deteksi gangguan Sebuah alat pertahanan yang digunakan untuk memonitor jaringan traffi c (paket) dan

Sistem (IDS) memberikan alert ketika ada yang mencurigakan traffi c, atau untuk karantina yang mencurigakan traffi
c

Toleransi kesalahan Kemampuan IS untuk terus beroperasi ketika terjadi kegagalan, tetapi biasanya untuk waktu yang
terbatas atau pada tingkat dikurangi

Botnet (kependekan Sebuah jaringan komputer dibajak yang dikendalikan remotely-

jaringan bot) biasanya untuk meluncurkan spam atau spyware. Juga disebut robot perangkat lunak. Botnet terkait
dengan berbagai aktivitas berbahaya, termasuk pencurian identitas dan spam.

9
 Kerahasiaan : Tidak ada data pengungkapan data yang tidak sah

Integritas : Data, dokumen, pesandan file lainnya tidak diubah

dengan cara yang tidak sah.

Tersedianya : Data dapat diakses bila diperlukan oleh mereka yang

berwenang untuk melakukannya.

SEBUAH ancaman adalah sesuatu atau seseorang yang dapat merusak, mengganggu, atau

merusak aset.kerentanan kesenjangan, lubang, kelemahan, atau kelemahan dalam jaringan

perusahaan, IT pertahanan keamanan, pelatihan pengguna, penegakan kebijakan, penyimpanan

data, perangkat lunak, sistem operasi, aplikasi, atau perangkat mobile yang mengekspos

organisasi untuk gangguan atau serangan lainnya. Kerentanan mengancam kerahasiaan,

integritas, atau ketersediaan (CIA) data dan sistem informasi.

Kerentanan ada dalam jaringan, sistem operasi, aplikasi, database, perangkat mobile,

dan lingkungan cloud. kerentanan ini vektor serangan atau titik masuk untuk malware, hacker,

hactivists, dan kejahatan terorganisir.

Syarat mengeksploitasi memiliki lebih dari satu arti. Mengeksploitasi adalah sebuah

program alat hacker atau perangkat lunak yang digunakan untuk masuk ke sistem, database, atau

perangkat. Sebuah serangan atau tindakan yang mengambil keuntungan dari kerentanan juga

disebut mengeksploitasi. kelompok kriminal dan teroris membeli eksploitasi dari lebih dari 25

forum bawah tanah atau broker. Mengeksploitasi sendiri tidak melawan hukum, dan beberapa

perusahaan yang sah juga menjual mereka. Misalnya, pada tahun 2012 berbasis Massachusetts

10
Netragard (netragard.com) terjual lebih dari 50 eksploitasi untuk bisnis dan instansi pemerintah

di Amerika Serikat untuk harga mulai dari $ 20.000 sampai lebih dari $ 250.000.

Risiko adalah probabilitas ancaman berhasil mengeksploitasi kerentanan dan perkiraan

biaya kerugian atau kerusakan. Misalnya, premi asuransi mobil didasarkan pada perhitungan

risiko yang mempertimbangkan kemungkinan kecelakaan dan biaya kerusakan.

1.2.1 Lihat dalam pada Bagaimana Beroperasi Industri Hacking

Hacking adalah industri dengan cara sendiri operasi, tenaga kerja, dan layanan dukungan.

kontrak hacker tersedia untuk menyewa atau serangan hack lengkap bisa dibeli. Hacking bantuan

meja memberikan 24/7 dukungan pengambilan serangan canggih lebih mudah untuk mengatur.

Hacker menggunakan jaringan sosial dan forum bawah tanah untuk berbagi eksploitasi,

username, dan password-mandat yang diperlukan untuk menginfeksi rekening pribadi dan kerja

pengguna. kelompok kejahatan terorganisir cepat belajar bahwa kejahatan dunia maya memiliki

hadiah lebih baik dari perdagangan narkoba dan dengan hampir tidak ada resiko. Mereka

menjadi hampir tak tersentuh oleh penegak hukum karena tidak ada yang melihat kejahatan. Hal

ini tidak mengherankan kemudian bahwa hampir setiap survei mencapai yang sama mengganggu

kesimpulan-biaya dan frekuensi kejahatan dunia maya meningkat. Itu berarti praktik keamanan

yang lebih kuat IT dan pertahanan yang jelas diperlukan. Salah satu kelemahan terbesar adalah

pengguna yang mengabaikan bahaya password yang lemah. manajemen password adalah penting

untuk keamanan.

1..2 Pengguna Mengatur Sendiri untuk Cybermuggings

Pada bulan Juli 2012, kelompok hacker D33Ds Company diterbitkan hampir setengah

juta alamat e-mail dan password di situs bawah tanah yang diduga telah dicuri dari Yahoo.

D33Ds mengklaim hack ke dalam database Yahoo dengan memanfaatkan kerentanan umum

11
yang belum ditambal. Berikut ini adalah rincian dari pengguna yang password diundang

cybermugging a:

• Pengguna 1600 digunakan “1.234.546”

• Pengguna 800 digunakan “password”

• Pengguna 1400 digunakan “mypassword” atau “password” sebagai kata dasar, seperti

“password1”

Password yang lemah jelas berbahaya. Jika password, seperti untuk software Adobe,

menjadi dikenal ke hacker, mereka dapat mencoba kombinasi e-mail / password di semua situs

populer seperti Facebook, Gmail, dan sebagainya dan kompromi bukan hanya satu tapi banyak

dari rekening Anda. Sayangnya, terlalu banyak orang yang malas dan memilih password yang

mudah diterka, pendek, umum, atau kata dalam kamus. password yang kuat mengandung

kombinasi huruf huruf besar dan huruf kecil, angka, dan tanda baca, dan setidaknya delapan

karakter.

1.2.3 Ancaman internal

Ancaman dari karyawan, disebut sebagai ancaman internal, adalah tantangan utama

sebagian besar disebabkan oleh banyak cara seorang karyawan dapat melaksanakan aktivitas

berbahaya. Insiders mungkin dapat melewati keamanan fisik (misalnya, pintu terkunci) dan

keamanan teknis (misalnya, password) langkah-langkah yang organisasi telah dimasukkan ke

dalam tempat untuk mencegah akses yang tidak sah. Mengapa? Karena pertahanan seperti

firewall, sistem deteksi intrusi (IDS), dan pintu terkunci sebagian besar melindungi terhadap

ancaman eksternal. Meskipun tantangan, insiden insider dapat diminimalkan dengan strategi

berlapis pertahanan-mendalam yang terdiri dari prosedur keamanan, kebijakan penggunaan

diterima, dan kontrol teknologi.

12
1.2.4Phishing dan Ancaman berbasis Web

Perusahaan semakin mengadopsi eksternal, aplikasi berbasis Web dan karyawan

membawa aplikasi konsumen ke perusahaan. perusahaan kriminal mengikuti uang di Internet,

pasar global calon korban.

Phishing adalah metode menipu mencuri informasi rahasia dengan berpura-pura menjadi

organisasi yang sah, seperti PayPal, bank, perusahaan kartu kredit, atau sumber terpercaya

lainnya. pesan phishing menyertakan link ke situs web phishing penipuan yang terlihat seperti

yang asli. Ketika pengguna mengklik link ke situs phishing, ia diminta untuk nomor kartu kredit,

nomor jaminan sosial, nomor rekening, atau password. Phishing tetap sukses dan

menguntungkan bagi para penjahat.

Penjahat menggunakan Internet dan jaringan swasta untuk membajak sejumlah besar PC

untuk memata-matai pengguna, spam mereka, memeras bisnis, dan mencuri identitas. Tapi

mengapa mereka begitu sukses? Forum Keamanan Informasi (securityforum.org), sebuah

organisasi swadaya yang mencakup banyak perusahaan Fortune 100, menyusun daftar masalah

informasi atas dan menemukan bahwa sembilan dari sepuluh insiden adalah hasil dari tiga

faktor:

1.Kesalahan atau kesalahan manusia

2.Sistem tidak berfungsi

3. Kesalahpahaman efek penambahan perangkat lunak yang tidak kompatibel untuk

yang sudah ada sistem.

Sayangnya, faktor ini dapat terlalu mudah mengalahkan teknologi cybersecurity bahwa

perusahaan-perusahaan dan individu menggunakan untuk melindungi informasi mereka. Faktor

13
keempat diidentifikasi oleh Forum Keamanan adalah motivasi, seperti yang dijelaskan dalam IT

di Tempat Kerja.

Pertahanan IT harus memenuhi pemerintah selalu ketat dan peraturan internasional.

peraturan utama adalah Amerika Serikat Sarbanes-Oxley Act (SOX), GrammLeach-Bliley Act

(GLB), Undang-Undang Federal Manajemen Keamanan Informasi (FISMA), dan Amerika

Serikat PATRIOT Act; Undang-Undang Perlindungan Informasi Pribadi Jepang; Perlindungan

Kanada Pribadi Informasi dan Dokumen Elektronik Undang-undang (aturan PIPEDA); Federal

Privacy Act Australia; Data Protection Act Britania Raya; dan jasa keuangan global Basel III.

Semua mandat perlindungan informasi pribadi (PII). Direktur Biro Perlindungan Konsumen di

Komisi Perdagangan Federal (FTC) memperingatkan bahwa badan tersebut akan membawa

tindakan penegakan hukum terhadap usaha kecil kurang kebijakan dan prosedur yang memadai

untuk melindungi data konsumen.

Dua model diterima untuk IT governance adalah manajemen risiko perusahaan

(ERM) dan Tujuan pengendalian bagi informasi dan Teknologi terkait (COBIT). ERM adalah

pendekatan berbasis risiko untuk mengelola perusahaan yang terintegrasi pengendalian internal,

mandat Sarbanes-Oxley Act, dan perencanaan strategis. ERM dimaksudkan untuk menjadi

bagian dari proses perencanaan rutin daripada inisiatif yang terpisah. Tempat yang ideal untuk

memulai adalah dengan buy-in dan komitmen dari papan dan kepemimpinan senior.

COBIT, yang digambarkan dalam IT, adalah tata kelola TI dan kontrol kerangka kerja

yang diterima secara internasional untuk menyelaraskan TI dengan tujuan bisnis, memberikan

nilai, dan mengelola risiko yang terkait. Ini menyediakan referensi bagi manajemen, pengguna,

dan IS audit, kontrol, dan praktisi keamanan.

14
 Kelompok industri yang dikenakan standar mereka sendiri untuk melindungi pelanggan

mereka dan anggota mereka merek gambar dan pendapatan. Salah satu contoh adalah Industri

Kartu Pembayaran Standar Keamanan Data (PCI DSS) diciptakan oleh Visa, MasterCard,

American Express, dan Discover. PCI diperlukan untuk semua penyedia anggota, pedagang, atau

layanan yang menyimpan, proses, atau mengirimkan data pemegang kartu. PCI DSS dan

penyedia pembayaran kartu untuk memastikan aplikasi Web mereka aman. Jika dilakukan

dengan benar, ini bisa mengurangi jumlah pelanggaran keamanan yang berhubungan dengan

Web.

Tujuan dari PCI DSS adalah untuk meningkatkan kepercayaan pelanggan dalam e-

commerce, terutama ketika datang ke pembayaran online, dan untuk meningkatkan keamanan

Web dari pedagang online. Untuk memotivasi mengikuti standar ini, hukuman bagi yang

melanggar yang parah. Merek kartu dapat denda pengecer, dan meningkatkan biaya transaksi

untuk setiap transaksi kartu kredit atau debit. Sebuah temuan ketidakpatuhan dapat menjadi

dasar untuk tuntutan hukum.

Pertahanan-mendalam adalah pendekatan berlapis-lapis untuk keamanan informasi.

Prinsip dasarnya adalah bahwa ketika satu lapisan pertahanan gagal, lapisan lain memberikan

perlindungan. Misalnya, jika keamanan jaringan nirkabel itu dikompromikan, maka memiliki

data dienkripsi masih akan melindungi data, asalkan pencuri tidak bisa mendekripsi itu.

Keberhasilan setiap jenis proyek TI tergantung pada komitmen dan keterlibatan

manajemen eksekutif, juga disebut sebagai nada di bagian atas. Hal yang sama berlaku

keamanan IT. Ini nada keamanan informasi membuat pengguna menyadari bahwa praktek-

praktek yang tidak aman dan kesalahan tidak akan ditoleransi. Oleh karena itu, model keamanan

15
TI dimulai dengan komitmen manajemen senior dan dukungan, Model ini memandang

keamanan informasi sebagai kombinasi dari orang, proses, dan teknologi.

Langkah 1: komitmen manajemen senior dan dukungan. pengaruh manajer senior yang

diperlukan untuk melaksanakan dan menjaga keamanan, standar etika, praktik privasi, dan

pengendalian internal. keamanan TI terbaik ketika top-driven. manajer senior memutuskan

bagaimana kebijakan dan praktek infosec ketat harus dalam rangka mematuhi hukum dan

peraturan. Lembaga keuangan tunduk pada keamanan yang ketat dan antimoney laundering

(AML) aturan karena mereka menghadapi berbagai peraturan nasional dan internasional dan

memiliki data bernilai tinggi. biro iklan dan perusahaan kurang diatur cenderung memiliki

aturan yang lebih longgar. Faktor-faktor lain yang mempengaruhi kebijakan infosec adalah

budaya perusahaan dan bagaimana berharga data mereka harus penjahat.

Misalnya, manajemen dapat memutuskan untuk melarang karyawan dari menggunakan

account e-mail perusahaan untuk tujuan nonwork, mengakses media sosial selama jam kerja,

atau mengunjungi situs perjudian. Keputusan ini kemudian akan menjadi aturan yang tercantum

dalam kebijakan perusahaan, diintegrasikan ke dalam prosedur, dan dilaksanakan dengan

pertahanan teknologi. Situs yang dilarang, misalnya, dapat diblokir oleh firewall.

Langkah 2: kebijakan penggunaan diterima dan pelatihan keamanan TI. Organisasi perlu

menerapkan kebijakan yang kuat dan proses yang membuat tanggung jawab dan akuntabilitas

yang jelas kepada seluruh karyawan. Sebuah kebijakan penggunaan diterima (AUP) menjelaskan

apa yang manajemen telah memutuskan adalah kegiatan yang dapat diterima dan tidak dapat

diterima, dan konsekuensi dari ketidakpatuhan. Aturan tentang tweets, SMS, media sosial, e-

mail, aplikasi, dan perangkat keras harus diperlakukan sebagai ekstensi dari kebijakan-seperti

16
perusahaan lain sebagai keselamatan fisik, kesempatan yang sama, pelecehan, dan diskriminasi.

Tidak ada kebijakan dapat mengatasi

Langkah 1 : Komitmen manajeman senior dan

dukungan

Langkah 2 : Kebijakan pengunaan diterima dan pelatihan

keamanan TI

Langkah 3 : Prosedur keamanan IT dan penegakan

Langkah 4 : Perangkat keras dan perangkat lunak

(Terus up-to-date)

setiap situasi masa depan, sehingga aturan perlu dievaluasi, diperbaharui, atau dimodifikasi.

Sebagai contoh, jika sebuah perusahaan menderita infeksi malware dilacak ke seorang karyawan

menggunakan smartphone yang tidak dilindungi terhubung ke jaringan perusahaan, kebijakan

untuk membatasi atau melarang mereka koneksi mungkin dianjurkan.

Langkah 3: IT prosedur keamanan dan penegakan hukum. prosedur aman menentukan

bagaimana kebijakan akan diberlakukan, bagaimana insiden akan dicegah, dan bagaimana

menanggapi insiden. Berikut adalah prosedur aman dasar untuk dimasukkan ke dalam tempat:

1. Defi prosedur penegakan ne. Aturan yang Defi ned di AUP harus en-

Paksa dan prosedur penegakan harus diterapkan secara konsisten. Prosedur untuk Internet

pemantauan karyawan dan penggunaan jaringan yang Defi ned pada tahap ini.

2. Merancang dan memberdayakan tim respon insiden internal yang (IRT). IRT

Biasanya meliputi CISO, penasehat hukum, manajer senior, komunikator yang

berpengalaman, dan operasi kunci staf. Meminimalkan ukuran tim dan birokrasi dapat

mempercepat pengambilan keputusan dan respon. Karena mungkin ada masalah kewajiban tidak

bisa signifi, penasihat hukum perlu terlibat dalam perencanaan respon insiden dan komunikasi.

17
3. Defi ne prosedur kation notifi. Ketika pelanggaran data terjadi, polisi setempat de-

Partment, ce pejabat lokal dari FBI, Securities and Exchange Commission (SEC), US

Secret Service, atau lembaga terkait lainnya perlu ed notifi segera. Federal dan negara hukum

atau peraturan industri mungkin defi ne bagaimana dan ketika orang-orang yang terkena dampak

harus ed notifi.

4. Defi ne pelanggaran komunikasi respon rencana. respon insiden yang efektif.

Rencana komunikasi termasuk personel dan proses dengan daftar, saluran, dan media

sosial yang diperlukan untuk melaksanakan semua komunikasi yang mungkin dibutuhkan.

5. Memonitor informasi dan sumber-sumber media sosial.

Memonitor Twitter, media sosial, dan liputan berita sebagai prosedur standar untuk

memahami bagaimana orang-orang menanggapi insiden tersebut dan mengkritik perusahaan.

prosedur pengendalian kerusakan mungkin diperlukan.

Ketika insiden terjadi, organisasi siap untuk merespon intelligently- memiliki informasi

yang benar jujur, terbuka, dan akuntabel, dan untuk berkomunikasi dengan konsumen dan

khalayak penting lainnya secepat mungkin.

Langkah 4: Perangkat keras dan perangkat lunak. Langkah terakhir dalam model adalah

implementasi dari perangkat lunak dan perangkat keras yang diperlukan untuk mendukung dan

menegakkan AUP dan praktek aman. Pemilihan hardware dan software pertahanan didasarkan

pada risiko, anggaran keamanan, AUP, dan prosedur aman. Setiap perangkat yang terhubung ke

jaringan organisasi; setiap aktivitas online dan aplikasi mobile karyawan; dan setiap file yang

dikirim atau diterima adalah titik akses. mekanisme pertahanan teknologi harus:

• Mampu menyediakan otentikasi dan akses yang kuat kontrol.

• Kelas industri.

18
 • Sesuai untuk jenis jaringan dan sistem operasi.

• Diinstal dan dikonfigurasi dengan benar.

• Diuji ketat.

Perlu diingat bahwa keamanan adalah proses tanpa akhir yang sedang berlangsung, dan

bukan masalah yang dapat diselesaikan dengan perangkat keras atau perangkat lunak. Hardware

dan software pertahanan keamanan tidak dapat melindungi terhadap praktek bisnis yang tidak

bertanggung jawab.

Salah satu kesalahan terbesar manajer buat adalah meremehkan IT kerentanan dan

ancaman. Sebagian besar pekerja menggunakan laptop dan ponsel mereka untuk kerja dan

liburan, dan di era multitasking, mereka sering melakukan keduanya pada saat yang sama.

Untuk terlibat dalam berbahaya kebiasaan online dan komunikasi. Kebiasaan membuat

mereka lemah dalam upaya keamanan sebaliknya padat organisasi. Ancaman ini dapat

diklasifikasikan sebagai tak disengaja atau disengaja.

Ancaman yang tidak disengaja jatuh ke dalam tiga kategori utama: kesalahan

manusia, bahaya lingkungan, dan kegagalan sistem komputer.

• Kesalahan manusia dapat terjadi dalam desain perangkat keras atau sistem informasi.

Hal ini juga dapat terjadi selama pemrograman, pengujian, atau entri data. Tidak

mengubah password default pada firewall atau gagal untuk mengelola patch

menciptakan lubang keamanan. kesalahan manusia juga termasuk pengguna yang

tidak terlatih atau tidak menyadari menanggapi penipuan phishing atau mengabaikan

prosedur keamanan. kesalahan manusia berkontribusi mayoritas pengendalian

internal dan masalah keamanan informasi.

19
 • Bahaya lingkungan termasuk gunung berapi, gempa bumi, badai salju, banjir,

gangguan listrik atau fluktuasi yang kuat, kebakaran (bahaya paling umum), AC

rusak, ledakan, kejatuhan radioaktif, dan kegagalan watercooling-sistem. Selain

kerusakan primer, sumber daya komputer dapat rusak oleh efek samping, seperti

asap dan air. bahaya tersebut dapat mengganggu operasi komputer normal dan

menghasilkan waktu yang lama menunggu dan biaya selangit sementara program

komputer dan file data yang diciptakan.

• kegagalan sistem komputer dapat terjadi sebagai hasil dari manufaktur yang buruk,

bahan yang rusak, dan jaringan usang atau kurang terpelihara. malfungsi tidak

disengaja juga bisa terjadi karena alasan lain, mulai dari kurangnya pengalaman

untuk pengujian tidak memadai.

1.2.5 ANCAMAN disengaja

Contoh ancaman yang disengaja termasuk pencurian data; penggunaan yang tidak data

(misalnya, memanipulasi input); pencurian mainframe waktu komputer; pencurian peralatan dan

atau program; manipulasi yang disengaja dalam penanganan, memasuki, pengolahan,

mentransfer, atau data pemrograman; mogok kerja, kerusuhan, atau sabotase; kerusakan

berbahaya untuk sumber daya komputer; kehancuran dari virus dan serangan serupa; dan

pelanggaran komputer lain-lain dan penipuan internet.

Virus, worm, trojan, rootkit, backdoors, botnet, dan keyloggers adalah jenis malware.

Secara teknis, malware adalah program komputer atau kode yang dapat menginfeksi apapun

yang terkait ke Internet dan mampu memproses kode. Kebanyakan virus, trojan, dan worm

diaktifkan bila lampiran dibuka atau link diklik. Tapi ketika fitur yang otomatis, mereka dapat

memicu malware otomatis, juga. Sebagai contoh:

20
 • Jika klien e-mail, seperti Microsoft Outlook atau Gmail, diatur untuk memungkinkan

scripting, maka infeksi virus terjadi hanya dengan membuka pesan atau lampiran.

• Melihat pesan e-mail dalam HTML, bukan dalam teks biasa, dapat memicu infeksi virus.

Trojan remote-akses, atau TIKUS, membuat backdoor tidak dilindungi ke dalam sistem

melalui mana seorang hacker dari jarak jauh dapat mengontrol sistem itu. Seperti namanya,

backdoor menyediakan akses mudah ke sistem, komputer, atau akun dengan menghilangkan

kebutuhan untuk otentikasi dengan username dan password. Setiap kali Anda Sebuah malware

payload mengacu pada tindakan yang terjadi setelah sistem telah terinfeksi. payload

melaksanakan tujuan dari malware. payload bisa menyebabkan kerusakan yang terlihat atau

beroperasi dalam mode siluman sehingga untuk tetap tidak terdeteksi. SEBUAH vektor adalah

metode khusus yang malware menggunakan untuk menyebarkan, atau menyebar, ke mesin atau

perangkat lain. Malware mungkin juga mengulangi, atau membuat salinan dari dirinya sendiri.

menyimpan username dan password Anda, Anda membuat backdoor ke akun itu.

Malware saat ini dirancang untuk kontrol jangka panjang dari mesin yang terinfeksi.

malware canggih set up saluran komunikasi keluar untuk meng-upload data yang dicuri,

Download muatan, atau melakukan pengintaian.

Pencipta malware menggunakan rekayasa sosial untuk memaksimalkan jangkauan atau

dampak virus mereka, worm, dan lain sebagainya. Sebagai contoh, Aku cinta kamu worm

digunakan rekayasa sosial untuk menarik orang untuk membuka pesan e-mail malware yang

terinfeksi. ILOVEYOU worm menyerang puluhan juta komputer Windows Mei 2000 ketika itu

dikirim sebagai lampiran e-mail dengan baris subjek: ILOVEYOU. Sering keluar dari rasa ingin

tahu, orang membuka lampiran bernama LOVE-LETTER-FORYOU.TXT.vbs-melepaskan

cacing. Dalam sembilan hari, worm telah menyebar di seluruh dunia, jaringan melumpuhkan,

21
menghancurkan file, dan menyebabkan sekitar $ 5,5 miliar dalam kerusakan. Notorious hacker

Kevin Mitnick, yang menjabat waktu di penjara untuk hacking, digunakan rekayasa sosial

sebagai metode utama untuk mendapatkan akses ke jaringan komputer. Dalam kebanyakan

kasus, pidana tidak pernah datang tatap muka dengan korban, tetapi berkomunikasi melalui

telepon atau e-mail.

1.2.6 Malware Reinfeksi, Signatures, Mutasi, dan Varian

Ketika sebuah host komputer terinfeksi, upaya untuk menghapus malware mungkin

gagal-dan malware dapat menginfeksi ulang tuan rumah untuk dua alasan:

1. Malware ditangkap di backup atau arsip. Memulihkan backup yang terinfeksi atau arsip juga

mengembalikan malware.

2. Malware menginfeksi removable media. Bulan atau tahun setelah infeksi awal, removable

media dapat diakses, dan malware bisa mencoba untuk menginfeksi host.

Kebanyakan antivirus (AV) perangkat lunak bergantung pada tanda tangan untuk

mengidentifikasi dan kemudian memblokir malware. Menurut Seluruh Dunia Malware Signature

Counter, pada awal 2013, diperkirakan ada 19 juta tanda tangan malware. Mendeteksi dan

mencegah infeksi tidak selalu kemungkinan. eksploitasi zero-day -malware begitu baru tanda

tangan mereka belum diketahui-adalah contoh. penulis malware juga menghindari deteksi oleh

software AV dan firewall dengan mengubah kode malware untuk membuat varian, yang

memiliki tanda tangan baru. Tapi tidak semua prosedur atau alat AV mampu menghapus setiap

jejak malware. Bahkan jika bagian-bagian berbahaya dari infeksi dapat dibersihkan dari sistem,

sisa potongan kode bisa membuat sistem tidak stabil atau terkena infeksi di masa depan.

Data gangguan adalah sarana umum serangan yang dibayangi oleh jenis-jenis serangan.

Hal ini mengacu pada serangan selama mana seseorang memasukkan data palsu atau penipuan

22
ke komputer, atau perubahan atau menghapus data yang ada. Data gangguan sangat serius karena

mungkin tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang dalam dan

penipu.

Perusahaan dan pemerintah rahasia saat ini sedang dicuri oleh APTs. Serangan yang

paling APT yang diluncurkan melalui phishing. Biasanya, jenis serangan dimulai dengan

beberapa pengintai pada bagian dari penyerang. Hal ini dapat mencakup meneliti informasi

publik yang tersedia tentang perusahaan dan karyawannya, sering dari situs jejaring sosial.

Informasi ini kemudian digunakan untuk membuat pesan phishing e-mail ditargetkan. Sebuah

serangan yang sukses dapat memberikan akses penyerang ke jaringan perusahaan.

APTs dirancang untuk spionase jangka panjang. Setelah diinstal pada jaringan, APTs

mengirimkan salinan dokumen, seperti file Microsoft Office dan PDF, dalam mode siluman.

APTs mengumpulkan dan menyimpan file pada jaringan perusahaan; mengenkripsi mereka;

kemudian mengirim mereka dalam semburan ke server sering di China atau Rusia. Jenis

serangan telah diamati pada pelanggaran data skala besar lain yang terkena jumlah yang

signifikan dari identitas

1. Ditargetkan pengguna 2. Ketika pengguna 3. Donload Browner

menerima link dalam e- mengklik link, website host pengguna dan
mail atau teks dari sumber dibeban Taiwan. Ini berisi mengeksekusi JavaScript,
“terpercaya” Javascript berbahaya. yang mencakup zero-day IE
mengeksploitasi

4. Mengeksploitasi 5. Payload set up backdoor 6. Penyerang sekarang

download biner menyamar dan menghubungkan ke C memiliki akses lengkap
sebagai gambar dan dan C server diTaiwan untuk system internal.
mengeksekusi payload Mereka ancaman terus
berbahaya menerus.

23
1.2.7 Contoh APT: Operasi Aurora

Sebuah serangan bernama operasi Aurora terbukti sangat sukses di penargetan,

mengeksploitasi, mengakses, dan mencuri kekayaan intelektual yang berharga dari database

korbannya. Operasi Aurora diserang dalam enam langkah, seperti yang dijelaskan dalam

Gambar 5.9. Standar teknologi keamanan TI gagal mencegah enam langkah ini dari terjadi dan

pengguna tidak tahu mereka telah hacked. Setelah penyerang mendapatkan akses ke sistem

internal (Langkah 6), mereka dapat mencuri rahasia perusahaan.

1.2.8Botnet

Sebuah botnet adalah kumpulan bots, yang adalah komputer yang terinfeksi malware.

Mereka komputer yang terinfeksi, yang disebut zombie, dapat dikontrol dan diatur dalam

jaringan zombie pada perintah dari botmaster jarak jauh (juga disebut bot gembala). Badai

worm, yang menyebar melalui spam, adalah agen botnet tertanam di dalam lebih dari 25 juta

komputer. kekuatan gabungan badai telah dibandingkan dengan kekuatan pemrosesan

superkomputer, dan serangan badai terorganisir mampu melumpuhkan situs web apapun. Zombie

dapat diperintahkan untuk memantau dan mencuri pribadi atau data keuangan-bertindak sebagai

spyware. Botnet digunakan untuk mengirim spam dan phishing e-mail dan serangan DDoS

peluncuran. Botnet sangat berbahaya karena mereka memindai dan kompromi komputer lain,

yang kemudian dapat digunakan untuk setiap jenis kejahatan dan serangan terhadap komputer,

server, dan jaringan.

1.2.9 Tombak Phishing

Tombak phisher sering menargetkan pilih kelompok orang dengan kesamaan-mereka

bekerja di perusahaan yang sama, bank pada lembaga keuangan yang sama, atau menghadiri

universitas yang sama. Scam e-mail tampaknya dikirim dari organisasi atau orang calon korban

24
biasanya menerima e-mail dari, membuat mereka bahkan lebih menipu. Berikut adalah

bagaimana phishing tombak bekerja:

1. Tombak pencipta phish mengumpulkan informasi tentang perusahaan orang dan

pekerjaan dari media sosial atau mencurinya dari komputer dan perangkat mobile, dan

kemudian menggunakan informasi yang sama untuk menyesuaikan pesan yang menipu

pengguna untuk membuka e-mail yang terinfeksi.

2. Kemudian mereka mengirim e-mail yang terlihat seperti hal yang nyata untuk korban

yang ditargetkan, menawarkan segala macam penjelasan mendesak dan sah-terdengar

seperti mengapa mereka membutuhkan data pribadi Anda.

3. Akhirnya, korban diminta untuk mengklik link dalam e-mail yang membawa mereka ke

situs web palsu tetapi realistis tampak, di mana mereka diminta untuk memberikan

password, nomor, ID pengguna, kode akses, PIN, dan sebagainya rekening

1.2.10 Pertahanan IT

Karena malware dan botnet menggunakan banyak metode serangan dan strategi, beberapa alat

yang diperlukan untuk mendeteksi mereka dan / atau menetralisir efek mereka. Tiga pertahanan

penting adalah sebagai berikut:

1. Software Antivirus: alat antimalware dirancang untuk mendeteksi kode berbahaya dan

mencegah pengguna men-download. Mereka juga dapat memindai sistem untuk

kehadiran worm, trojan, dan jenis-jenis ancaman. Teknologi ini tidak memberikan

perlindungan lengkap karena tidak dapat bertahan melawan eksploitasi zero-day.

Antimalware mungkin tidak dapat mendeteksi sebelumnya tidak diketahui

mengeksploitasi.

25
2. Detection Systems Intrusion (IDSS): Sesuai namanya, IDS memindai un-biasa atau

mencurigakan traffi c. Sebuah IDS dapat mengidentifikasi awal serangan DoS oleh pola

traffi c, memperingatkan administrator jaringan untuk mengambil tindakan defensif,

seperti beralih ke alamat IP lain dan mengalihkan server kritis dari jalur serangan.

3. Intrusion Prevention System (IPSS): Sebuah IPS dirancang untuk mengambil langsung

tindakan-seperti memblokir IP spesifik c alamat-setiap kali traffi c-fl ow anomali

terdeteksi. Aplikasi-spesifik c terpadu berbasis circuit (ASIC) IPS memiliki kekuatan dan

kemampuan analisis untuk mendeteksi dan memblokir serangan DDoS, berfungsi agak

seperti pemutus sirkuit otomatis.

5.3 Mobile, App, dan Cloud Security

Dengan popularitas e-pembaca, netbook, Google Chrome OS, Facebook, YouTube, Twitter,
LinkedIn, dan jaringan sosial lainnya, IT bahaya keamanan semakin buruk.

jaringan sosial dan komputasi awan peningkatan kerentanan dengan menyediakan satu titik kegagalan dan
menyerang jaringan kriminal terorganisir. informasi penting, sensitif, dan swasta yang berisiko, dan seperti tren TI
sebelumnya, seperti jaringan nirkabel, tujuannya adalah konektivitas, seringkali dengan sedikit perhatian untuk
keamanan. Sebagai jaringan sosial meningkatkan pelayanan mereka, kesenjangan antara layanan dan keamanan
informasi juga

26