OLEH
(A062181017)
1
CYBERSECURITY, COMPLIANCE, AND BUSINESS CONTINUITY
Setiap perusahaan memiliki catatan data, file, komunikasi, dan bisnis yang profit
penjahat termotivasi (yang mungkin di seluruh dunia atau menjadi karyawan dipercaya)
inginkan. Risiko-risiko dapat berasal dari orang dalam, luar, organisasi kriminal, atau
malware. Malware adalah virus, worm, trojan horse, spyware, dan jenis lainnya tive disrup-
, merusak, atau program yang tidak diinginkan. Ancaman berkisar dari eksploitasi teknologi
tinggi untuk mendapatkan akses ke jaringan perusahaan dan database untuk taktik non-tech
untuk mencuri laptop dan apa pun yang tersedia Karena hal keamanan, seperti ancaman dan
eksploitasi, memiliki arti yang tepat, istilah kunci dan artinya tercantum pada Tabel berikut:
2
TABEL Cybersecurity Ketentuan
Istilah Definisi
Ancaman Sesuatu atau seseorang yang dapat mengakibatkan kerusakan pada aset
Risiko Probabilitas dari ancaman memanfaatkan kerentanan
Vulnerability Kelemahan yang mengancam kerahasiaan, integritas, atau ketersediaan (CIA) dari
asset
CIA triad (Kerahasiaan, Tiga prinsip cybersecurity kunci
integritas, ketersediaan)
Mengeksploitasi Alat atau teknik yang mengambil keuntungan dari kerentanan
Manajemen risiko Proses identifikasi, menilai, dan mengurangi risiko ke tingkat yang dapat diterima
Pencahayaan Perkiraan biaya, kerugian, atau kerusakan yang dapat terjadi jika ancaman
mengeksploitasi kerentanan
Kontrol akses Fitur keamanan yang dirancang untuk membatasi siapa yang memiliki akses ke
jaringan, IS, atau data.
Audit Proses menghasilkan, merekam, dan meninjau catatan kronologis peristiwa sistem
untuk menentukan akurasi mereka
enkripsi Transformasi data ke dalam kode bergegas untuk melindunginya dari yang
dipahami oleh pengguna yang tidak sah
Plaintext atau clear-text teks yang dapat dibaca
Ciphertext teks terenkripsi
Pembuktian keaslian Metode (biasanya didasarkan pada username dan password) dimana IS
memvalidasi atau memverifikasi bahwa pengguna benar-benar yang ia klaim
menjadi
Biometrik Metode untuk mengidentifikasi seseorang berdasarkan fitur biologis, seperti sidik
jari atau retina
Firewall Perangkat lunak atau perangkat keras yang mengontrol akses ke jaringan pribadi
dari jaringan publik (Internet) dengan menganalisis paket data masuk atau keluar
itu
Deteksi gangguan Sebuah alat pertahanan yang digunakan untuk memonitor lalu lintas jaringan
(paket) dan memberikan alert ketika ada
Sistem (IDS) lalu lintas yang mencurigakan, atau untuk karantina lalu lintas yang mencurigakan
Toleransi kesalahan Kemampuan IS untuk terus beroperasi ketika terjadi kegagalan, tetapi biasanya
untuk waktu yang terbatas atau pada tingkat dikurangi
Botnet (Singkat Untuk Sebuah jaringan komputer dibajak yang dikendalikan dari jarak jauh-biasanya
Jaringan Bot) untuk meluncurkan spam atau spyware. Juga disebut robot perangkat lunak. Botnet
terkait dengan berbagai aktivitas berbahaya, termasuk pencurian identitas dan
spam.
3
C. DEFENDING AGAINTS FRAUD
Kejahatan terbagi dalam dua kategori tergantung pada taktik penjahat: kekerasan dan
tanpa kekerasan. Fraud (penipuan) adalah kejahatan tanpa kekerasan karena sebagai ganti
senjata api atau pisau, penipu menggunakan tipu daya, kepercayaan diri, dan tipu daya —
semuanya adalah jenis rekayasa sosial.
Penipu melakukan kejahatan mereka dengan menyalahgunakan kekuatan posisi mereka
atau dengan mengambil keuntungan dari kepercayaan, ketidaktahuan, atau kemalasan orang
lain.
INSIDER FRAUD
Insider Fraud atau penipuan internal adalah istilah yang mengacu pada berbagai
perilaku kriminal yang dilakukan oleh karyawan organisasi sendiri atau kontraktor. istilah
lain untuk kejahatan ini antar- nal, pekerjaan, atau penipuan kerja. penipuan internal yang
mengacu pada penggunaan mis-sengaja aset majikan seseorang untuk keuntungan pribadi.
audit internal dan pengendalian internal sangat penting untuk pencegahan dan deteksi
penipuan kependudukan.
Cerdas Analisis, Jalur Audit, dan Anomaly Detection. Banyak kegiatan tion detec- ini
4
dapat ditangani oleh mesin analisis cerdas menggunakan maju data warehousing dan
analisis teknik. Sistem ini mengambil audit dari sistem kunci dan catatan personil dari HR
dan keuangan departemen. Data disimpan dalam gudang data di mana mereka dianalisis
untuk mendeteksi pola anomali, seperti jam berlebihan bekerja, penyimpangan dalam pola
perilaku, menyalin data dalam jumlah besar, mencoba untuk menimpa kontrol, transaksi
yang tidak biasa, dan dokumentasi yang tidak memadai tentang transaksi. Informasi dari
investigasi diumpankan kembali ke dalam sistem deteksi sehingga belajar. Sejak orang
dalam mungkin bekerja dalam kolusi dengan penjahat terorganisir, insider profil adalah
penting untuk menemukan pola-pola yang lebih luas dari jaringan kriminal.
Pencurian identitas. Salah satu yang terburuk dan paling lazim kejahatan adalah
pencurian identitas. pencurian tersebut di mana nomor Jaminan Sosial dan kartu kredit
individu yang dicuri dan digunakan oleh pencuri tidak baru. Penjahat selalu
memperoleh informasi tentang ple-oleh peo- lain mencuri dompet atau tempat sampah
penggalian. Tapi berbagi elektronik meluas dan database telah membuat kejahatan itu
buruk. Karena lembaga keuangan, data proses-ing perusahaan, dan bisnis ritel enggan
untuk mengungkapkan insiden di mana informasi keuangan pribadi tomers cus- mereka
mungkin telah dicuri, hilang, atau dikompromikan, hukum terus berlalu yang memaksa
pemberitahuan tersebut.
STRATEGI PERTAHANAN
Strategi pertahanan dan kontrol yang harus digunakan tergantung pada apa yang
perlu dilindungi dan analisis biaya-manfaat. Artinya, perusahaan harus tidak kurang
berinvestasi atau over-investasi. SEC dan FTC mengenakan denda besar bagi
pelanggaran data untuk mencegah perusahaan dari bawah-investasi dalam
perlindungan data. Berikut ini adalah tujuan utama dari strategi pertahanan:
5
1. Pencegahan dan penangkalan.kontrol yang dirancang dengan baik dapat
mencegah kesalahan dari terjadi, mencegah penjahat dari menyerang sistem, dan, lebih
baik lagi, menolak akses ke orang yang tidak berhak. Ini adalah kontrol yang paling
diinginkan.
2. Deteksi. Seperti api, sebelum serangan terdeteksi, semakin mudah untuk memerangi,
dan sedikit kerusakan dilakukan. Deteksi dapat dilakukan dalam banyak kasus dengan
menggunakan perangkat lunak diagnostik dengan spesialisasi resmi, dengan biaya minimal.
5. Koreksi. Mengoreksi penyebab sistem yang rusak dapat mencegah masalah dari
terjadi lagi.
KONTROL UMUM
Kategori utama dari kontrol umum kontrol fisik, kontrol akses, kontrol keamanan
data, kontrol jaringan komunikasi, dan kontrol administratif.
Kontrol akses. Kontrol akses adalah manajemen yang ada dan tidak author- terwujud
menggunakan hardware dan software perusahaan. metode kontrol akses, seperti
dinding dengan kebakaran hutan dan daftar kontrol akses, membatasi akses ke jaringan,
database, file, atau data.
6
Kontrol administratif. Sementara dibahas sebelumnya kontrol umum tech- rmasi di alam,
kontrol administratif berurusan dengan menerbitkan pedoman dan memantau kepatuhan
dengan pedoman.
E. NETWORK SECURITY
Tujuan utama dari keamanan perimeter adalah kontrol akses. Teknologi yang
digunakan untuk melindungi terhadap malware (misalnya, firewall, IDS, dan IDP) juga
melindungi perimeter. Firewall memberlakukan kebijakan akses kontrol antara dua
jaringan. Firewall perlu dikonfigurasi untuk menegakkan prosedur keamanan
perusahaan dan kebijakan.
7
diperlukan. Ada dua faktor otentikasi (juga disebut otentikasi multifaktor) dan
otentikasi dua-tier. Dengan otentikasi dua faktor, informasi lain digunakan untuk
memverifikasi identitas pengguna, seperti biometrik.
Wireless jaringan lebih sulit untuk melindungi dari yang kabel. Semua ities
vulnerabil- yang ada dalam jaringan kabel konvensional berlaku untuk titik akses
nirkabel technologies.Wireless (AP nirkabel atau WAP) di belakang firewall dan
perlindungan keamanan lainnya dapat menjadi backdoor ke dalam jaringan. data
sensitif yang dalam teks yang jelas (tidak dienkripsi) atau yang dienkripsi dengan
teknik kriptografi lemah mudah dilanggar.
Pelanggaran data utama diprakarsai oleh penyerang yang memperoleh akses
nirkabel untuk organisasi dari parkir atau dengan melewati keamanan organisasi
perime- ters dengan menghubungkan kabel ke AP dalam organisasi. perangkat nirkabel
yang digunakan oleh manajer saat bepergian terinfeksi melalui eksploitasi terpencil
selama perjalanan udara atau di kafe-kafe cyber. Sistem ini dimanfaatkan kemudian
digunakan sebagai backdoors ketika mereka menghubungkan kembali ke jaringan
organisasi sasaran. Karena mereka tidak memerlukan koneksi fisik langsung, perangkat
nirkabel adalah vektor nyaman bagi penyerang untuk memelihara akses jangka panjang
ke dalam infrastruktur TI organisasi target.SANS Institute (2012) menganjurkan kontrol
berikut untuk jaringan nirkabel.
• Efisiensi operasional
• Pengamanan aset
Sarbanes-Oxley Act (SOX) adalah hukum antifraud. Hal ini memaksa busi- lebih
akurat ness pelaporan dan pengungkapan GAAP (prinsip akuntansi yang berlaku
8
umum) pelanggaran, sehingga membuatnya diperlukan untuk menemukan dan
membasmi penipuan. Sebuah sistem kontrol internal yang kuat sangat penting untuk
mencegah penipuan.
Penipuan insider dilaksanakan dengan baik atau pencucian uang operasi dapat
merusak sektor resmi dalam hal keuangan, pasar modal, dan, sebagai akibat, ekonomi
suatu bangsa. Sebuah pasar modal adalah setiap pasar di mana pemerintah atau
perusahaan dapat mengumpulkan uang untuk membiayai tions opera- dan investasi
jangka panjang. Contohnya adalah pasar saham dan obligasi.
Mencegah penipuan internal tinggi pada agenda politik, dengan Otoritas Jasa
Keuangan (FSA) di Inggris dan SEC di AS kedua yang mewajibkan perusahaan untuk
menangani masalah ini.
Mengelola risiko telah menjadi masalah yang paling penting bagi regulator dan
lembaga keuangan. Selama bertahun-tahun, lembaga-lembaga ini telah menderita biaya
tinggi untuk mengabaikan eksposur mereka terhadap risiko. Namun, penelitian yang
berkembang dan perbaikan dalam IT telah meningkatkan pengukuran dan manajemen
risiko.
Bencana dapat terjadi tanpa peringatan, sehingga pertahanan terbaik adalah untuk
dipersiapkan. Sebuah elemen penting dalam sistem keamanan adalah rencana
kesinambungan bisnis, juga dikenal sebagai rencana pemulihan bencana. rencana
tersebut menguraikan proses dimana bisnis harus pulih dari bencana besar.
Penghancuran semua (atau sebagian besar) dari fasilitas puting com- dapat
menyebabkan kerusakan yang signifikan. Sulit bagi banyak organisasi untuk
mendapatkan asuransi untuk komputer dan sistem informasi tanpa menunjukkan
pencegahan dan pemulihan bencana pabrik rencana satis-. manajer TI perlu
memperkirakan berapa banyak pengeluaran yang sesuai untuk tingkat risiko sebuah
organisasi bersedia menerima.
9
• Tujuan dari rencana kesinambungan bisnis adalah untuk menjaga bisnis berjalan
setelah aster dis terjadi. Setiap fungsi dalam bisnis harus memiliki rencana kemampuan
pemulihan valid.
• perencanaan pemulihan adalah bagian dari perlindungan aset. Setiap organisasi
harus menetapkan tanggung jawab untuk manajemen untuk mengidentifikasi dan
melindungi aset dalam lingkup mereka kontrol fungsional.
• Perencanaan harus fokus pertama pada pemulihan dari kerugian total dari semua
kemampuan.
• Bukti kemampuan biasanya melibatkan beberapa jenis apa-jika analisis yang
menunjukkan bahwa rencana pemulihan saat ini.
• Semua aplikasi kritis harus diidentifikasi dan prosedur pemulihan mereka dibahas
dalam rencana.
• Rencana harus ditulis sehingga akan efektif dalam kasus bencana, bukan hanya
untuk memenuhi auditor.
• Rencananya harusdisimpan di tempat yang aman; salinan harus diberikan kepada
semua manajer kunci, atau harus tersedia di intranet. Rencana tersebut harus diaudit
secara berkala.
Perencanaan pemulihan bencana bisa sangat kompleks, dan mungkin diperlukan waktu
beberapa bulan untuk menyelesaikan. Menggunakan software khusus, pekerjaan
perencanaan dapat dipercepat.
Menghindari bencana adalah sebuah pendekatan berorientasi pencegahan. Idenya
adalah untuk meminimalkan kemungkinan bencana dihindari (seperti kebakaran atau
ancaman yang disebabkan manusia lainnya). Sebagai contoh, banyak perusahaan
menggunakan alat yang disebut terganggu power supply (UPS), yang memberikan
kekuatan dalam kasus pemadaman listrik
Audit merupakan bagian penting dari setiap sistem kontrol. Audit dapat dilihat
sebagai lapisan tambahan kontrol atau pengamanan. Hal ini dianggap sebagai pencegah
untuk tindakan kriminal, terutama untuk orang dalam. Auditor berusaha untuk
menjawab pertanyaan-pertanyaan seperti ini:
• Apakah ada kontrol yang cukup di dalam sistem? daerah yang tidak tercakup oleh
kontrol?
• Kontrol yang tidak perlu?
10
• Adalah kontrol yang efektif? Artinya, apakah mereka memeriksa output dari sistem?
• Apakah ada prosedur untuk memastikan pelaporan dan tindakan korektif dalam kasus
pelanggaran kontrol?
11