TUGAS RMK.

SISTEM TEKNOLOGI INFORMASI MANAJEMEN

CYBERSECURITY, COMPLIANCE, AND

BUSINESS CONTINUITY

OLEH

ADITYA BAHAR PALILI

(A062181017)

MAGISTER AKUNTANSI PASCASARJANA

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS HASANUDDIN
MAKASSAR
2019

1
 CYBERSECURITY, COMPLIANCE, AND BUSINESS CONTINUITY

A. UP CLOSE LOOK AT CYBERCRIMES, CRIMINAL AND MOTIVATIONS

Serangan terhadap infrastruktur secara kritis signifikan dapat mengganggu fungsi

pemerintah dan bisnis serta memicu efek cascading jauh melampaui sektor yang
ditargetkan dan lokasi fisik kejadian. Bahaya cybersecurity baru muncul dan menyalip akrab
ancaman-virus, disk hilang, dan serangan DoS. Para ahli percaya bahaya cybersecurity terbesar
dalam beberapa tahun ke depan melibatkan ancaman persisten, ponsel, computing dan
penggunaan media sosial untuk rekayasa sosial. Taktik rekayasa sosial yang digunakan oleh
hacker dan mata-mata perusahaan untuk mengelabui orang untuk mengungkapkan
informasi atau akses kode login. Dua metode social engineering adalah:

1. Pretexting adalah penggunaan cerita yang meyakinkan seseorang untuk mengungkapkan

informasi rahasia. Misalnya, seorang hacker menggunakan nomor telepon tersedia dan
nama untuk memanggil seorang pekerja mengaku sebagai administrator sistem yang
membutuhkan untuk me-reset password untuk melindungi perusahaan dari hacking. Hacker
memiliki karyawan kembali log-ke jaringan mengatakan semuanya dia mengetik untuk
mendapatkan username dan password.
2. Baiting adalah penggunaan insentif untuk mendapatkan pengguna untuk melakukan
tindakan yang tidak aman. Sebuah umpan yang umum adalah untuk menawarkan aplikasi
gratis atau video untuk mengklik link dalam pesan teks dan suara untuk video game terbaik.

B. IS VULNERABILITIES AND THREATS

Setiap perusahaan memiliki catatan data, file, komunikasi, dan bisnis yang profit
penjahat termotivasi (yang mungkin di seluruh dunia atau menjadi karyawan dipercaya)
inginkan. Risiko-risiko dapat berasal dari orang dalam, luar, organisasi kriminal, atau
malware. Malware adalah virus, worm, trojan horse, spyware, dan jenis lainnya tive disrup-
, merusak, atau program yang tidak diinginkan. Ancaman berkisar dari eksploitasi teknologi
tinggi untuk mendapatkan akses ke jaringan perusahaan dan database untuk taktik non-tech
untuk mencuri laptop dan apa pun yang tersedia Karena hal keamanan, seperti ancaman dan
eksploitasi, memiliki arti yang tepat, istilah kunci dan artinya tercantum pada Tabel berikut:

2
TABEL Cybersecurity Ketentuan

Istilah Definisi
Ancaman Sesuatu atau seseorang yang dapat mengakibatkan kerusakan pada aset
Risiko Probabilitas dari ancaman memanfaatkan kerentanan
Vulnerability Kelemahan yang mengancam kerahasiaan, integritas, atau ketersediaan (CIA) dari
asset
CIA triad (Kerahasiaan, Tiga prinsip cybersecurity kunci
integritas, ketersediaan)
Mengeksploitasi Alat atau teknik yang mengambil keuntungan dari kerentanan
Manajemen risiko Proses identifikasi, menilai, dan mengurangi risiko ke tingkat yang dapat diterima
Pencahayaan Perkiraan biaya, kerugian, atau kerusakan yang dapat terjadi jika ancaman
mengeksploitasi kerentanan
Kontrol akses Fitur keamanan yang dirancang untuk membatasi siapa yang memiliki akses ke
jaringan, IS, atau data.
Audit Proses menghasilkan, merekam, dan meninjau catatan kronologis peristiwa sistem
untuk menentukan akurasi mereka
enkripsi Transformasi data ke dalam kode bergegas untuk melindunginya dari yang
dipahami oleh pengguna yang tidak sah
Plaintext atau clear-text teks yang dapat dibaca
Ciphertext teks terenkripsi
Pembuktian keaslian Metode (biasanya didasarkan pada username dan password) dimana IS
memvalidasi atau memverifikasi bahwa pengguna benar-benar yang ia klaim
menjadi
Biometrik Metode untuk mengidentifikasi seseorang berdasarkan fitur biologis, seperti sidik
jari atau retina
Firewall Perangkat lunak atau perangkat keras yang mengontrol akses ke jaringan pribadi
dari jaringan publik (Internet) dengan menganalisis paket data masuk atau keluar
itu
Deteksi gangguan Sebuah alat pertahanan yang digunakan untuk memonitor lalu lintas jaringan
(paket) dan memberikan alert ketika ada
Sistem (IDS) lalu lintas yang mencurigakan, atau untuk karantina lalu lintas yang mencurigakan
Toleransi kesalahan Kemampuan IS untuk terus beroperasi ketika terjadi kegagalan, tetapi biasanya
untuk waktu yang terbatas atau pada tingkat dikurangi
Botnet (Singkat Untuk Sebuah jaringan komputer dibajak yang dikendalikan dari jarak jauh-biasanya
Jaringan Bot) untuk meluncurkan spam atau spyware. Juga disebut robot perangkat lunak. Botnet
terkait dengan berbagai aktivitas berbahaya, termasuk pencurian identitas dan
spam.

3
C. DEFENDING AGAINTS FRAUD

Kejahatan terbagi dalam dua kategori tergantung pada taktik penjahat: kekerasan dan
tanpa kekerasan. Fraud (penipuan) adalah kejahatan tanpa kekerasan karena sebagai ganti
senjata api atau pisau, penipu menggunakan tipu daya, kepercayaan diri, dan tipu daya —
semuanya adalah jenis rekayasa sosial.
Penipu melakukan kejahatan mereka dengan menyalahgunakan kekuatan posisi mereka
atau dengan mengambil keuntungan dari kepercayaan, ketidaktahuan, atau kemalasan orang
lain.

INSIDER FRAUD
Insider Fraud atau penipuan internal adalah istilah yang mengacu pada berbagai
perilaku kriminal yang dilakukan oleh karyawan organisasi sendiri atau kontraktor. istilah
lain untuk kejahatan ini antar- nal, pekerjaan, atau penipuan kerja. penipuan internal yang
mengacu pada penggunaan mis-sengaja aset majikan seseorang untuk keuntungan pribadi.
audit internal dan pengendalian internal sangat penting untuk pencegahan dan deteksi
penipuan kependudukan.

PENCEGAHAN DAN DETEKSI INSIDER FRAUD

Teknik pencegahan penipuan tunggal yang paling efektif adalah persepsi deteksi dan
hukuman. Jika suatu perusahaan menunjukkan karyawan yang dapat mengetahui segala
sesuatu yang setiap karyawan tidak dan akan menuntut sejauh siapa pun penuh yang
melakukan penipuan, maka perasaan bahwa “saya bisa lolos dengan itu” turun secara
drastis. Catch-22 adalah bahwa perusahaan mungkin memiliki sumber daya terbatas yang
menghambat diagnosis penipuan yang tepat atau investigasi akuntansi forensik, meskipun
mereka tidak mampu kerugian dipulihkan baik.

Tata kelola perusahaan. IT memiliki peran penting untuk bermain dalam

menunjukkan pemerintahan porate cor- efektif untuk mencegah penipuan. Regulator
terlihat baik pada perusahaan-perusahaan jasa yang dapat menunjukkan tata kelola
perusahaan yang baik dan manajemen risiko operasional praktek terbaik. Manajemen
dan staf perusahaan tersebut maka akan menghabiskan lebih sedikit waktu
mengkhawatirkan tentang peraturan dan lebih banyak waktu menambahkan nilai merek
dan bisnis mereka.langkah-langkah pencegahan penipuan internal didasarkan pada kontrol
yang sama digunakan untuk mencegah agar gangguan-perimeter eksternal teknologi pertahanan,
seperti firewall, scanner e-mail, dan akses biometrik. Mereka juga didasarkan pada sumber daya
manusia (SDM) prosedur, seperti pemeriksaan perekrutan dan pelatihan.

Cerdas Analisis, Jalur Audit, dan Anomaly Detection. Banyak kegiatan tion detec- ini

4
 dapat ditangani oleh mesin analisis cerdas menggunakan maju data warehousing dan
analisis teknik. Sistem ini mengambil audit dari sistem kunci dan catatan personil dari HR
dan keuangan departemen. Data disimpan dalam gudang data di mana mereka dianalisis
untuk mendeteksi pola anomali, seperti jam berlebihan bekerja, penyimpangan dalam pola
perilaku, menyalin data dalam jumlah besar, mencoba untuk menimpa kontrol, transaksi
yang tidak biasa, dan dokumentasi yang tidak memadai tentang transaksi. Informasi dari
investigasi diumpankan kembali ke dalam sistem deteksi sehingga belajar. Sejak orang
dalam mungkin bekerja dalam kolusi dengan penjahat terorganisir, insider profil adalah
penting untuk menemukan pola-pola yang lebih luas dari jaringan kriminal.

Pencurian identitas. Salah satu yang terburuk dan paling lazim kejahatan adalah
pencurian identitas. pencurian tersebut di mana nomor Jaminan Sosial dan kartu kredit
individu yang dicuri dan digunakan oleh pencuri tidak baru. Penjahat selalu
memperoleh informasi tentang ple-oleh peo- lain mencuri dompet atau tempat sampah
penggalian. Tapi berbagi elektronik meluas dan database telah membuat kejahatan itu
buruk. Karena lembaga keuangan, data proses-ing perusahaan, dan bisnis ritel enggan
untuk mengungkapkan insiden di mana informasi keuangan pribadi tomers cus- mereka
mungkin telah dicuri, hilang, atau dikompromikan, hukum terus berlalu yang memaksa
pemberitahuan tersebut.

D. INFORMATION ASSURANCE AND RISK MANAGEMENT

Praktik objektif manajemen keamanan IT adalah untuk mempertahankan semua

komponen dari suatu sistem informasi, khususnya data, aplikasi perangkat lunak,
perangkat keras, dan karya net-. Sebelum mereka membuat keputusan mengenai
pertahanan, orang yang bertanggung jawab atas keamanan harus memahami
persyaratan dan operasi bisnis, yang merupakan dasar untuk strategi pertahanan
disesuaikan. Pada bagian berikutnya, kita menggambarkan strategi pertahanan utama

STRATEGI PERTAHANAN

Strategi pertahanan dan kontrol yang harus digunakan tergantung pada apa yang
perlu dilindungi dan analisis biaya-manfaat. Artinya, perusahaan harus tidak kurang
berinvestasi atau over-investasi. SEC dan FTC mengenakan denda besar bagi
pelanggaran data untuk mencegah perusahaan dari bawah-investasi dalam
perlindungan data. Berikut ini adalah tujuan utama dari strategi pertahanan:

5
1. Pencegahan dan penangkalan.kontrol yang dirancang dengan baik dapat
mencegah kesalahan dari terjadi, mencegah penjahat dari menyerang sistem, dan, lebih
baik lagi, menolak akses ke orang yang tidak berhak. Ini adalah kontrol yang paling
diinginkan.

2. Deteksi. Seperti api, sebelum serangan terdeteksi, semakin mudah untuk memerangi,
dan sedikit kerusakan dilakukan. Deteksi dapat dilakukan dalam banyak kasus dengan
menggunakan perangkat lunak diagnostik dengan spesialisasi resmi, dengan biaya minimal.

3. Mengandung kerusakan.IniTujuan adalah untuk meminimalkan atau

membatasi kerugian sekali tion malfunc- telah terjadi. Proses ini juga disebut
pengendalian kerusakan. Hal ini dapat plished accom-, misalnya, dengan termasuk
sistem fault-tolerant yang memungkinkan operasi dalam modus terdegradasi sampai
pemulihan penuh dibuat. Jika sistem fault-tolerant tidak ada, pemulihan cepat dan
mungkin mahal harus terjadi. Pengguna ingin sistem mereka kembali beroperasi
secepat mungkin.

4. Pemulihan. Sebuah rencana pemulihan menjelaskan cara untuk memperbaiki sistem

informasi yang rusak secepat mungkin. Mengganti daripada komponen perbaikan
adalah salah satu rute ke pemulihan yang cepat.

5. Koreksi. Mengoreksi penyebab sistem yang rusak dapat mencegah masalah dari
terjadi lagi.

6. Kesadarandan kepatuhan. Semua anggota organisasi harus dididik tentang bahaya

dan harus sesuai dengan aturan dan peraturan keamanan.

KONTROL UMUM
Kategori utama dari kontrol umum kontrol fisik, kontrol akses, kontrol keamanan
data, kontrol jaringan komunikasi, dan kontrol administratif.

Kontrol fisik.Keamanan fisik mengacu pada perlindungan fasilitas komputer dan

sumber daya. Ini termasuk melindungi properti fisik seperti komputer, data yang ters-
abad, software, manual, dan jaringan.

Kontrol akses. Kontrol akses adalah manajemen yang ada dan tidak author- terwujud
menggunakan hardware dan software perusahaan. metode kontrol akses, seperti
dinding dengan kebakaran hutan dan daftar kontrol akses, membatasi akses ke jaringan,
database, file, atau data.

Kontrol biometrik. Sebuah kontrol biometrik adalah metode otomatis memverifikasi

identitas seseorang, berdasarkan karakteristik fisik atau perilaku. Misalnya, scanner sidik
jari yang digunakan untuk identifikasi

6
 Kontrol administratif. Sementara dibahas sebelumnya kontrol umum tech- rmasi di alam,
kontrol administratif berurusan dengan menerbitkan pedoman dan memantau kepatuhan
dengan pedoman.

E. NETWORK SECURITY

Sebagai pertahanan, perusahaan perlu menerapkan kontrol akses jaringan (NAC)

ucts-produk. alat NAC berbeda dari teknologi keamanan tradisional dan praktek-
praktek yang fokus pada akses file. Sementara keamanan file-level berguna untuk
melindungi data, tidak menyimpan pengguna yang tidak sah dari jaringan di tempat
pertama. teknologi NAC, di sisi lain, membantu bisnis mengunci jaringan mereka
melawan penjahat.
Langkah-langkah keamanan jaringan melibatkan tiga jenis pertahanan, yang disebut
sebagai lapisan.

1. Lapisan pertama: keamanan Perimeteruntuk mengontrol akses ke jaringan.

Contohnya adalah perangkat lunak antivirus dan firewall.
2. Lapisan kedua: Authentication untuk memverifikasi identitas orang yang meminta akses
ke jaringan. Contohnya adalah username dan password.
3. Lapisan ketiga: Otorisasi untuk mengontrol apa yang pengguna otentik dapat
lakukan setelah mereka diberikan akses ke jaringan. Contohnya adalah perizinan dan
direktori.

PERIMETER KEAMANAN DAN FIREWALL

Tujuan utama dari keamanan perimeter adalah kontrol akses. Teknologi yang
digunakan untuk melindungi terhadap malware (misalnya, firewall, IDS, dan IDP) juga
melindungi perimeter. Firewall memberlakukan kebijakan akses kontrol antara dua
jaringan. Firewall perlu dikonfigurasi untuk menegakkan prosedur keamanan
perusahaan dan kebijakan.

JARINGAN OTENTIKASI DAN OTORISASI

Seperti yang diterapkan ke Internet, sebuah penjaga sistem otentikasi terhadap

upaya akses yang tidak sah. Tujuan utama dari otentikasi adalah bukti identitas. Upaya
sini adalah untuk mengidentifikasi pengguna yang sah dan menentukan tindakan dia
diperbolehkan untuk melakukan.
Karena phishing dan pencurian identitas memangsa otentikasi yang lemah, dan
username dan password tidak menawarkan otentikasi yang kuat, metode lain yang

7
 diperlukan. Ada dua faktor otentikasi (juga disebut otentikasi multifaktor) dan
otentikasi dua-tier. Dengan otentikasi dua faktor, informasi lain digunakan untuk
memverifikasi identitas pengguna, seperti biometrik.

MENGAMANKAN JARINGAN WIRELESS

Wireless jaringan lebih sulit untuk melindungi dari yang kabel. Semua ities
vulnerabil- yang ada dalam jaringan kabel konvensional berlaku untuk titik akses
nirkabel technologies.Wireless (AP nirkabel atau WAP) di belakang firewall dan
perlindungan keamanan lainnya dapat menjadi backdoor ke dalam jaringan. data
sensitif yang dalam teks yang jelas (tidak dienkripsi) atau yang dienkripsi dengan
teknik kriptografi lemah mudah dilanggar.
Pelanggaran data utama diprakarsai oleh penyerang yang memperoleh akses
nirkabel untuk organisasi dari parkir atau dengan melewati keamanan organisasi
perime- ters dengan menghubungkan kabel ke AP dalam organisasi. perangkat nirkabel
yang digunakan oleh manajer saat bepergian terinfeksi melalui eksploitasi terpencil
selama perjalanan udara atau di kafe-kafe cyber. Sistem ini dimanfaatkan kemudian
digunakan sebagai backdoors ketika mereka menghubungkan kembali ke jaringan
organisasi sasaran. Karena mereka tidak memerlukan koneksi fisik langsung, perangkat
nirkabel adalah vektor nyaman bagi penyerang untuk memelihara akses jangka panjang
ke dalam infrastruktur TI organisasi target.SANS Institute (2012) menganjurkan kontrol
berikut untuk jaringan nirkabel.

F. INTERNAL CONTROL AND COMPLIANCE

Lingkungan pengendalian internal adalah suasana kerja yang perusahaan menetapkan

bagi karyawannya. pengendalian internal merupakan proses yang dirancang untuk
mencapai:

• Keandalan pelaporan keuangan

• Efisiensi operasional

• Kepatuhan terhadap Hukum

• Peraturan dan kebijakan

• Pengamanan aset

KONTROL INTERNAL DIPERLUKAN UNTUK PEMENUHAN

Sarbanes-Oxley Act (SOX) adalah hukum antifraud. Hal ini memaksa busi- lebih
akurat ness pelaporan dan pengungkapan GAAP (prinsip akuntansi yang berlaku

8
 umum) pelanggaran, sehingga membuatnya diperlukan untuk menemukan dan
membasmi penipuan. Sebuah sistem kontrol internal yang kuat sangat penting untuk
mencegah penipuan.

PERATURAN WORLDWIDE ANTI PENIPUAN

Penipuan insider dilaksanakan dengan baik atau pencucian uang operasi dapat
merusak sektor resmi dalam hal keuangan, pasar modal, dan, sebagai akibat, ekonomi
suatu bangsa. Sebuah pasar modal adalah setiap pasar di mana pemerintah atau
perusahaan dapat mengumpulkan uang untuk membiayai tions opera- dan investasi
jangka panjang. Contohnya adalah pasar saham dan obligasi.

Mencegah penipuan internal tinggi pada agenda politik, dengan Otoritas Jasa
Keuangan (FSA) di Inggris dan SEC di AS kedua yang mewajibkan perusahaan untuk
menangani masalah ini.
Mengelola risiko telah menjadi masalah yang paling penting bagi regulator dan
lembaga keuangan. Selama bertahun-tahun, lembaga-lembaga ini telah menderita biaya
tinggi untuk mengabaikan eksposur mereka terhadap risiko. Namun, penelitian yang
berkembang dan perbaikan dalam IT telah meningkatkan pengukuran dan manajemen
risiko.

G. BUSINESS CONTINUITY AND AUDITING

Bencana dapat terjadi tanpa peringatan, sehingga pertahanan terbaik adalah untuk
dipersiapkan. Sebuah elemen penting dalam sistem keamanan adalah rencana
kesinambungan bisnis, juga dikenal sebagai rencana pemulihan bencana. rencana
tersebut menguraikan proses dimana bisnis harus pulih dari bencana besar.
Penghancuran semua (atau sebagian besar) dari fasilitas puting com- dapat
menyebabkan kerusakan yang signifikan. Sulit bagi banyak organisasi untuk
mendapatkan asuransi untuk komputer dan sistem informasi tanpa menunjukkan
pencegahan dan pemulihan bencana pabrik rencana satis-. manajer TI perlu
memperkirakan berapa banyak pengeluaran yang sesuai untuk tingkat risiko sebuah
organisasi bersedia menerima.

PERENCANAAN KONTINUITAS BISNIS

Pemulihan bencana adalah rantai peristiwa yang menghubungkan rencana

kesinambungan bisnis untuk pro tection dan pemulihan. Berikut ini adalah beberapa
pemikiran penting tentang proses:

9
• Tujuan dari rencana kesinambungan bisnis adalah untuk menjaga bisnis berjalan
setelah aster dis terjadi. Setiap fungsi dalam bisnis harus memiliki rencana kemampuan
pemulihan valid.
• perencanaan pemulihan adalah bagian dari perlindungan aset. Setiap organisasi
harus menetapkan tanggung jawab untuk manajemen untuk mengidentifikasi dan
melindungi aset dalam lingkup mereka kontrol fungsional.
• Perencanaan harus fokus pertama pada pemulihan dari kerugian total dari semua
kemampuan.
• Bukti kemampuan biasanya melibatkan beberapa jenis apa-jika analisis yang
menunjukkan bahwa rencana pemulihan saat ini.
• Semua aplikasi kritis harus diidentifikasi dan prosedur pemulihan mereka dibahas
dalam rencana.
• Rencana harus ditulis sehingga akan efektif dalam kasus bencana, bukan hanya
untuk memenuhi auditor.
• Rencananya harusdisimpan di tempat yang aman; salinan harus diberikan kepada
semua manajer kunci, atau harus tersedia di intranet. Rencana tersebut harus diaudit
secara berkala.

Perencanaan pemulihan bencana bisa sangat kompleks, dan mungkin diperlukan waktu
beberapa bulan untuk menyelesaikan. Menggunakan software khusus, pekerjaan
perencanaan dapat dipercepat.
Menghindari bencana adalah sebuah pendekatan berorientasi pencegahan. Idenya
adalah untuk meminimalkan kemungkinan bencana dihindari (seperti kebakaran atau
ancaman yang disebabkan manusia lainnya). Sebagai contoh, banyak perusahaan
menggunakan alat yang disebut terganggu power supply (UPS), yang memberikan
kekuatan dalam kasus pemadaman listrik

SISTEM INFORMASI AUDIT

Audit merupakan bagian penting dari setiap sistem kontrol. Audit dapat dilihat
sebagai lapisan tambahan kontrol atau pengamanan. Hal ini dianggap sebagai pencegah
untuk tindakan kriminal, terutama untuk orang dalam. Auditor berusaha untuk
menjawab pertanyaan-pertanyaan seperti ini:

• Apakah ada kontrol yang cukup di dalam sistem? daerah yang tidak tercakup oleh
kontrol?
• Kontrol yang tidak perlu?

• Apakah kontrol diterapkan dengan benar?

10
• Adalah kontrol yang efektif? Artinya, apakah mereka memeriksa output dari sistem?

• Apakah ada pemisahan yang jelas tugas karyawan?

• Apakah ada prosedur untuk memastikan kepatuhan dengan kontrol?

• Apakah ada prosedur untuk memastikan pelaporan dan tindakan korektif dalam kasus
pelanggaran kontrol?

BIAYA ANALISIS MANFAAT

Biaya analisis manfaat biasanya tidak ekonomis untuk mempersiapkan

perlindungan terhadap setiap kemungkinan ancaman. Oleh karena itu, program
keamanan TI harus menyediakan suatu proses untuk menilai ancaman dan memutuskan
mana yang untuk mempersiapkan dan mana yang mengabaikan atau memberikan
perlindungan yang berkurang.

Risiko-Manajemen Analisis. Analisis manajemen risiko dapat ditingkatkan dengan

menggunakan paket perangkat lunak DSS. Jumlah kerugian tergantung pada durasi
sistem berada di luar asi oper-. Oleh karena itu, beberapa menambahkan durasi untuk
analisis.

Isu etis. Melaksanakan program keamanan menimbulkan banyak masalah etika.

Pertama, beberapa orang terhadap pemantauan kegiatan individu. Memaksakan Trols
con tertentu dipandang oleh beberapa sebagai pelanggaran kebebasan berbicara atau
hak-hak sipil lainnya. Penanganan privasi vs dilema keamanan sulit. Ada etika dan
hukum gations obli- lain yang mungkin memerlukan perusahaan untuk “menyerang
privasi” karyawan dan memantau tindakan mereka. Secara khusus, IT langkah-langkah
keamanan yang diperlukan untuk melindungi terhadap kerugian, kewajiban, dan litigasi.
Kerugian tidak hanya keuangan, tetapi juga termasuk hilangnya informasi, pelanggan,
mitra dagang, citra merek, dan kemampuan untuk melakukan ness busi-, karena
tindakan hacker, malware, atau karyawan.

11