TEKNOLOGI INFORMASI DAN MANAJEMEN AKUNTANSI

“CYBERSECURITY AND RISK MANAGEMENT”

ANGGOTA KELOMPOK :

DEWI JUNITA 1810247041

HARRY SETIADI

JURUSAN MAGISTER AKUNTANSI

FAKULTAS EKONOMI DANN BISNIS

UNIVERSITAS RIAU

2019
 KATA PENGANTAR

Puji syukur kami panjatkan kehadirat Allah SWT. Atas segala rahmat dan kuasaNya
mempermudah kami dalam pengerjaan tugas ini. Shalawat serta salam selalu tercurah kepada
Nabi Muhammad SAW, yang berkatnya lah manusia terlepas dari jaman jahiliah ke jaman
ilmu pengetahuan seperti saat ini.
Makalah ini dibuat dalam rangka pemenuhan tugas mata kuliah Manajemen
Keuangan yang diampu oleh Bapak Dr. Emrinaldi Nur DP, SE.,M.Si.,Ak.,CA. Makalah ini
memuat tentang Keamanan Sistem Informasi dan Dunia Maya serta Manajemen Risiko
khususnya membahas mengenai pengertian dan hal –hal yang berkaitan dengan Sistem
Informasi, Ancaman Keamanan Informasi dan Dunia Maya, dan Manajemen Risiko. Hal ini
kami lakukan untuk dapat menambah wawasan dan pengetahuan pembaca tentang tentang
Keamanan Sistem Informasi dan Manajemen Risiko.
Semoga makalah yang telah kami susun ini dapat memberikan banyak manfaat
kepada pembaca. Dan kami juga berharap segala bentuk kritik dan saran yang membangun
dari dosen kami tercinta dan para pembaca. Terima kasih.

Pekanbaru, Oktober 2019

KELOMPOK V
 BAB I

PENDAHULUAN

Informasi saat ini sudah menjadi sebuah kebutuhan penting. Kemampuan untuk
mengakses dan menyediakan informasi secara tepat dan akurat menjadi sangat esensial bagi
sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun
individual. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi
diinginkan hanya boleh diakses oelh orang-orang tertentu. Informasi yang ada sangat dijaga
keamanannya agar tidak dapat diketahui oleh orang lain yang tidak berkepentingan sehingga
dapat meminimalisir kerugian bagi pemilik informasi. Banyak informasi dalam sebuah
perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu didalam
perusahaan tersebut. untuk itu keamanan dari sistem informasi yang digunakan harus terjamin
dalam batas yang dapat diterima.

Masalah keamanan menjadi aspek utama dari sebuah sistem informasi. Semua
organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi tetap aman. Jika
semua informasi dapat diakses oleh orang yang tidak berhak dan tidak bertangguungjawab,
maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah informasi
yang menyesatkan. Kalangan industry telah lama menyadari akan pentingnya menjaga
keamanan dari para krminal computer , dan sekarang pemerintah telah mempertinggi tingkat
keamanan sebagai salah satu cara untuk memerangi terorisme. Ketika organisasi-organisasi
ini mampu mengimplementasika pengendalian keamanan yang ada mampu teratasi.

Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta

integritas pada semua sumber daya informasi. Pada kalangan industry mulai menyadari
kebutuhan untuk mengamankan sumber daya informasi mereka, sehingga sangat terfokus
secara spesifik dan eksklusif terhadap suatu perlindungan baik pada peranti keras dan data
maka keamanan sistem memiliki peran yang sangat penting.

Berdasarkan penjelasan diatas, tentang pentingnya keamanan informasi, maka pada

makalah ini penulis akan memaparkan tentang sistem keamanan informasi dan keamana
dunia maya serta manajemen risiko yang muncul dalam penanganan suatu informasi.
 BAB II

PEMBAHASAN

2.1. KEAMANAN SISTEM INFORMASI

a. Pengertian Keamanan Sistem Informasi

Security atau keamanan dapat didefinisikan sebagai keadaan bebas dari bahaya dan tidak
terkena kerusakan dari serangan atau kecelakaanm atau dapat didefinisikan sebagai proses
untuk mencapai keadaan yang diinginkan.

Menurur G.J.Simons, keamanan sistem informasi adalah cara untuk dapat mencegah
penipuan atau juga dapat mendeteksi adanya penipuan disuatu sistem yang memiliki basis
informasi dimana informasi ini sendiri tidak memiliki makna fisik. Sedangkan Sarno dan
Iffano mengartikan keamanan sistem informasi sebagai upaya dalam suatu ancaman yang
timbul dengan mengamankan aset-aset informasi serta sistem yang ada.

ISO/IEC 17799:2005 tentang information security management system menyatakan

bahwa keamanan informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan
peralatan-peralatan untuk dapat mengamankan perangkat keras dan lunak computer, jaringan
komunikasi serta data-data. Keamanan informasi menggambarkan usaha untuk melindungi
computer dan non peralatan computer, fasilitas, data, dan informasi dari penyalahgunaan oleh
orang yang tidak bertanggungjawab. Keamanan informasi dimaksudakna untuk mencapai
kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu
perusahaan. Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah
sistem informasi.

Tidak hanya pada keamanan sistem informasi, aspek lainnya yang perlu dilakukan
perlindungan yaitu pada keamanan jaringan internet. Keamanan jaringan internet ini
merupakan pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi
berbagai sistem informasi dari resiko terjadinya suatu tindakan secara illegal missal
penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang
dimiliki.

Resiko terhadap keamanaan pada sistem informasi meliputi dua hal penting didalamnya
yakni suatu ancaman terhadap keamanan sistem informasi dan kelemahan keamanan suatu
sistem informasi. Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat
memiliki criteria dengan baik. Adapun criteria yang perlu diperhatikan dalam hal keamanan
sistem informasi ini memerlukan 10 hal keamanan yang perlu diperhatikan yaitu :

1. Akses control sistem yang digunakan

2. Telekomunikasi dan jaringan yang digunakan
3. Manajemen praktis yang digunakan
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitek dari sistem informasi yang terapkan
7. Pengoperasian yang ada
 8. Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada

Dari 10 hal diatas timbul isu pada keamanan sistem informasi yang dapat diklarifikasi
berdasarkan ancaman dan kelemahan sistem yang ada.

b. Tujuan Keamanan Sistem Informasi

Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu : kerahasiaan,
ketersediaan dan integritas. Berikut dijelaskan mengenai tujuan utamanya:

1. Kerahasiaan
Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan
kepada orang-orang yang tidak berwenang. Sistem informasi eksekutif, sistem
informasi sumber daya manusia, sistem informasi kepegawaian (SDM) dan sistem
pemrosesan transaksi seperti penggajian, piutang dagang, pembelian, dan utang
dagang amat penting dalam hal ini.
2. Ketersediaan
Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan
informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Tujuan
ini penting, khususnya bagi sistem berorientasi informasi seperti informasi sumber
daya manusia, sistem informasi eksekutif dan sistem pakar (ES).
3. Integritas
Semua sistem dan subsistem yang dibangun harus mampu memberikan gambaran
yang lengkap dan akurat dari sistem fisik yang diwakilinya.

c. Aspek keamanan sistem informasi

Terdapat 8 aspek yang jika semua dapat dipenuhi dan dijalankan dengan maka keamanan
pada sistem informasi dapat terjaga dengan baik pula. Berikut 8 aspek-aspek penting
didalamnya, yakni :

1. Authentication
Aspek ini dimana agar penerima informasi dapat memastikan keaslian pesan tersebut
dating dari orang yang dimintai informasi. Artinya informasi yang diterima benar dari
orang yang dikehendaki
2. Integrity
Keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan pesan yang
dikirim tidak dapat dimodifikasi oleh orang yang tidak berhak dalam perjalan
pengiriman informasi tersebut.
3. Non Repudiation
Aspek yang merupakan hal yang bersangkutan dengan pengirim informasi. Pengirim
tidak dapat mengelak dialah yang mengirimkan informasi tersebut.
4. Authority
Informasi yang berada pada sistem jaringan yang tidak dapat dimodifikasi oleh orang
yang tidak berhak.
5. Confidentiality
 Aspek yang merupakan usaha untuk menjaga informasi dari orang yang tidak berhak
mengakses. Aspek ini biasanya berhubungan dengan informasi yang diberikan kepada
pihak lain.
6. Privacy
Suatu aspek yang lebih kearah data-data yang memiliki sifat private.
7. Availability
Aspek dimana ketersediaan hubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau
meniadakan akses keinformasi.
8. Access Control

Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Aspek ini
berhubungan dengan aspek Authentication dan Privacy. Access control seringkali dilakukan
dengan kombinasi user id dan password atau dengan mekanisme lainnya.

d. Wajah dan Masa Depan Ancaman Dunia Maya

Sejak 2013 jumlah catatan data yang dicuri oleh peretas telah meningkat pada tingkat
yang mengkhawatirkan, seperti yang ditunjukkan pada Gambar 5.3. Bahkan, 2013 telah
dijuluki "Tahun Pelanggaran" karena ada 2.164 pelanggaran data yang dilaporkan yang
mengekspose sekitar 823 juta catatan. Hampir setengah dari pelanggaran 2013 terjadi di
Amerika Serikat, di mana jumlah terbesar dari catatan terpapar — lebih dari 540 juta catatan
data atau 66 persen. Tabel 5.1 mencantumkan tujuh pelanggaran data terbesar di dunia pada
tahun 2013.

Konsekuensi dari lemahnya keamanan dunia maya termasuk rusaknya reputasi, hukuman
keuangan, denda pemerintah federal dan negara bagian, kehilangan pangsa pasar, jatuhnya
harga saham, dan reaksi konsumen. Penyebab utama dari pelanggaran data adalah peretasan,
tetapi alasan peretasan itu begitu sukses adalah kelalaian — manajemen tidak melakukan
upaya yang cukup untuk mempertahankan diri terhadap ancaman dunia maya. Bahkan
perusahaan teknologi tinggi dan pemimpin pasar, seperti yang ditunjukkan pada Tabel 5.1,
tampaknya terlepas dari nilai data rahasia yang mereka simpan dan ancaman bahwa peretas
yang bermotivasi tinggi akan mencoba mencuri mereka. Seperti yang akan Anda baca di
bagian ini, keamanan data yang kuat bukanlah tanggung jawab TI semata, tetapi tugas
berkelanjutan dari semua orang di suatu organisasi.
 Hacks perusahaan teknologi tinggi seperti LinkedIn, Google, Amazon, eBay, dan Sony,
dan agen keamanan top seperti CIA dan FBI adalah bukti bahwa tidak ada yang aman.
Prajurit maya didanai dan dimotivasi dengan baik. Melawan ancaman dunia maya menuntut
ketekunan, tekad, dan investasi.

e. Rekayasa Sosial dan BYOD

Ancaman dunia maya baru muncul dan menyusul ancaman yang sudah dikenalnya —
virus, disk yang hilang, dan serangan DDoS. Para ahli percaya bahaya keamanan cyber
terbesar selama beberapa tahun ke depan akan dihadapkan oleh ancaman yang terus-menerus,
komputasi mobile, dan penggunaan media sosial untuk rekayasa sosial. Rekayasa sosial juga
dikenal sebagai peretasan manusia — menipu pengguna agar mengungkapkan kredensial
mereka dan kemudian menggunakannya untuk mendapatkan akses ke jaringan atau akun.
Dari sudut pandang keamanan IT, rekayasa sosial adalah penipuan yang digunakan hacker
atau manipulasi kecenderungan orang untuk mempercayai, membantu, atau sekadar
mengikuti keingintahuan mereka. Sistem keamanan IT yang kuat tidak dapat bertahan
melawan apa yang tampak sebagai akses yang diizinkan.

Manusia mudah diretas, dengan membuat mereka dan media sosial mereka memposting
vektor serangan berisiko tinggi. Misalnya, seringkali mudah untuk membuat pengguna
menginfeksi jaringan korporat atau ponsel mereka dengan mengelabui mereka agar
mengunduh dan memasang aplikasi jahat atau pintu belakang.

Kerentanan lain yang lebih baru adalah bawa perangkat Anda sendiri (BYOD). Tren
BYOD didorong oleh karyawan yang menggunakan perangkat mereka sendiri untuk tujuan
bisnis karena mereka lebih kuat daripada yang disediakan perusahaan. Faktor lain adalah
mobilitas. Semakin banyak orang yang bekerja dari rumah dan di perjalanan - mengakhiri
hari kerja sebelumnya yang biasanya 9 sampai 5 hari. Karena itu, karyawan tidak ingin
menyulap beberapa perangkat. Dengan BYOD, perusahaan memangkas biaya dengan tidak
harus membeli dan memelihara perangkat seluler.

Tentu saja, ketika perangkat karyawan hilang, perusahaan dapat menderita jangkauan data
jika perangkat tidak dienkripsi. Di masa lalu, dan sebelum dorongan BYOD, karyawan akan
berada di meja mereka di garis tanah dan pada komputer yang terhubung ke dinding dengan
kabel jaringan. Perubahan dalam paparan ini membutuhkan investasi yang lebih besar untuk
bertahan terhadap risiko BYOD.

f. Motivasi Hacktivis dan Pranks Berbahaya

Jenis-jenis penjahat dunia maya ini tampaknya membawa semua orang dari Sony dan
perusahaan keamanan RSA ke CIA (Central Intelligence Agency) dan kartel narkoba
Meksiko sepanjang 2011 dan 2012. Selama Musim Semi Arab (revolusi jalanan tahun 2013),
peretas LulzSec dan Anonymous menunjukkan bagaimana para peretas rentan keberadaan
online siapa pun, bahkan oleh pemerintah besar. Salah satu spesialisasi LulzSec adalah
menemukan situs web dengan keamanan yang buruk, dan kemudian mencuri dan
memposting informasi dari mereka secara online.

Beberapa serangan mereka mungkin tampak lebih seperti lelucon Internet daripada
perang cyber yang serius, tetapi mereka masih ilegal.

g. Serangan dan Korban Peretas

Peretas berkomitmen melakukan pelanggaran data yang berani, kompromi, kebocoran

data, pencurian, ancaman, dan invasi privasi pada 2012. Dua kasus tercantum di bawah ini.

Combined Systems, Inc. Dengan bangga menampilkan bendera hacktivist-nya,

Anonymous mengambil kredit karena mengetuk Combined Systems, Inc. offline dan mencuri
data pribadi dari kliennya. Anonymous mengejar Combined Systems, yang menjual gas air
mata dan alat kendali massa kepada penegak hukum dan organisasi militer, untuk memprotes
pencatut perang.

CIA. Pada Februari 2012, untuk kedua kalinya dalam waktu kurang dari setahun,
Anonymous meluncurkan serangan penolakan layanan (DoS) yang memaksa situs web CIA
offline. Penghapusan CIA mengikuti minggu yang sibuk bagi para peretas. Dalam 10 hari,
kelompok itu juga mengejar produsen elektronik Cina Foxconn, kelompok Nazi Amerika,
perusahaan antivirus Symantec, dan kantor presiden Suriah. Sebagian besar aktivitas
peretasan tidak menjadi berita utama sampai setelah insiden terdeteksi dan dilaporkan.
Namun, perusahaan yang menjadi korban enggan membahasnya sehingga statistiknya langka.
Sebagian besar pelanggaran data tidak dilaporkan, menurut para pakar keamanan dunia maya,
karena para korban korporat khawatir bahwa pengungkapan akan merusak harga saham
mereka, atau karena mereka tidak pernah tahu bahwa mereka diretas sejak awal.

h. Pencurian Rahasia Dagang dan Informasi Rahasia Lainnya

Pencurian rahasia dagang selalu menjadi ancaman dari tikus tanah perusahaan, karyawan
yang tidak puas, dan orang dalam lainnya. Tentu saja, sekarang lebih mudah untuk mencuri
informasi dari jarak jauh, terutama karena ponsel pintar dan tren BYOD. Modus operasi yang
disukai peretas adalah membobol perangkat seluler karyawan dan melompati jaringan
pengusaha - mencuri rahasia tanpa jejak. Pakar keamanan cyber AS dan pejabat pemerintah
semakin khawatir tentang pelanggaran dari negara lain ke jaringan perusahaan baik melalui
perangkat seluler atau cara lain. Mike McConnell, mantan direktur Badan Keamanan
Nasional (NSA), memperingatkan: “Dalam melihat sistem komputer yang konsekuen — di
pemerintahan, Kongres, di Departemen Pertahanan, kedirgantaraan, perusahaan dengan
rahasia dagang yang berharga — kami belum pernah memeriksa satu pun. namun itu belum
terinfeksi oleh ancaman persisten tingkat lanjut ”(Perlroth, 2012b). Sementara itu, perusahaan
membocorkan informasi penting, seringkali tanpa disadari. Scott Aken, seorang mantan agen
FBI yang berspesialisasi dalam kontra intelijen dan intrusi komputer, menyatakan, “Dalam
kebanyakan kasus, perusahaan tidak menyadari bahwa mereka telah dibakar sampai
bertahun-tahun kemudian ketika pesaing asing mengeluarkan produk mereka yang sama —
hanya mereka membuat harganya 30 persen lebih murah”(Perlroth, 2012b).

i. Do Not Carry - Rules

Perusahaan, agen pemerintah, dan organisasi AS sekarang memberlakukan Do Not Carry

- Rules, yang didasarkan pada asumsi bahwa perangkat pasti akan dikompromikan menurut
Mike Rogers, ketua saat ini Komite Intelijen Dewan. Anggota DPR hanya dapat membawa
perangkat "bersih" dan dilarang menghubungkan ke jaringan pemerintah saat berada di luar
negeri. Rogers mengatakan dia melakukan perjalanan "telanjang secara elektronik" untuk
memastikan keamanan dunia maya selama dan setelah perjalanan.

Kamar Dagang AS tidak mengetahui bahwa mereka dan organisasi anggotanya adalah
korban pencurian cyber selama berbulan-bulan sampai FBI memberi tahu Kamar Dagang
bahwa server di China mencuri data dari empat pakar kebijakan Asia, individu yang sering
bepergian ke Asia (Perlroth, 2012a). Kemungkinan besar, perangkat seluler para ahli telah
terinfeksi malware yang mengirimkan informasi dan file kembali ke peretas. Pada saat Kamar
mengeraskan (mengamankan) jaringannya, peretas telah mencuri setidaknya enam minggu e-
mail, yang sebagian besar adalah komunikasi dengan perusahaan-perusahaan AS terbesar.
Bahkan kemudian, Kamar itu mengetahui bahwa printer kantor dan termostat di salah satu
apartemen korporatnya berkomunikasi dengan alamat Internet di Cina. Kamar itu tidak
mengungkapkan bagaimana peretas telah menyusup ke sistemnya, tetapi langkah pertamanya
adalah menerapkan aturan jangan-bawa.

Hal-hal yang perlu dilakukan untuk mencapai keamanan cyber :

• Menyediakan data dan dokumen yang tersedia dan dapat diakses 24/7 sementara secara
bersamaan membatasi akses.
• Menerapkan dan menegakkan prosedur dan kebijakan penggunaan yang dapat diterima
(AUP) untuk data, jaringan, perangkat keras, dan perangkat lunak yang dimiliki oleh
perusahaan atau karyawan, sebagaimana dibahas dalam kasus pembuka.
• Mempromosikan pembagian informasi yang aman dan legal di antara orang dan mitra
yang berwenang.
• Pastikan kepatuhan dengan peraturan dan hukum pemerintah.
• Mencegah serangan dengan mempertahankan pertahanan intrusi jaringan.
• Mendeteksi, mendiagnosis, dan merespons insiden dan serangan secara real time.
• Pertahankan kontrol internal untuk mencegah perubahan data dan catatan yang tidak sah.
• Sembuh dari bencana bisnis dan gangguan dengan cepat.
Kebijakan bisnis, prosedur, pelatihan, dan rencana pemulihan bencana serta perangkat
keras dan perangkat lunak adalah keamanan cyber yang kritis.

j. Manajemen keamanan Informasi

Aktifitas dalam melindungi sumber daya informasi tetap aman dan jauh dari pengetahuan
pihak-pihak tidak berwenang disebut manajemen keamanan informasi (information security
management – ISM), sedangkan aktivitas dalam melindungi suatu organisasi/perusahaan dan
sumber daya informasi yang dimiliki tetap berfungsi ketika telah terjadi masalah seperti
adanya bencana ataupun kebocoran informasi disebut dengan manajemen keberlangsungan
hidup (Business Contribuity Management – BCM).

Manajemen keamanan informasi menjadi penting diterapkan agar informasi yang beredar
diperusahaan dapat dikelola dengan benar sehingga perusahaan dapat mengambil keputusan
berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan layanan yang
terbaik kepada pelanggan.

Pada bentuk yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap
yakni:

1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi suatu
perusahaan.
2. Mendefinisikan resiko dari ancaman yang dapat memaksakan
3. Penetapan kebijakan keamanan informasi
4. Menerapkan pengendalian yang tertuju pada risiko

Manajemen keamanan informasi juga dimanfaatkan untuk perllindungan aset disuatu

perusahaan atau organisasi. Adapun dasar-dasar manajemen informasi sebagai aset yaitu :

1. Informasi merupakan salah satu aset penting bagi sebuah perusahaan atau organisasi
dengan memiliki nilai tertentu bagi perusahaan ataupun organisasi.
 2. Kerahasiaan dan integritas informasi dapat menjamin kelangsungan bisnis perusahaan
atau organisasi tersebut.
3. Perlindungan terhadap informasi dapat meminimalisir kerusakan karena kebocoran
sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas
peluang usaha.

2.2. MANAJEMEN RISIKO

Risiko merupakan kemungkinan untuk terjadinya beberapa ancaman yang bisa saja
datang dan mudah menyerang. Risiko dapat dianalisa dan diperkirakan. Proses dalam
menganalisa serta memperkirakan timbulnya suatu risiko yang akan terjadi dalam suatu
kegiatan dikenal dengan sebutan Manajemen Risiko. Manajemen risiko dapat pula diartikan
sebagai pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko yang ada pada
suatu perusahaan.

Pada dasarnya risiko memiliki factor-faktor dalam suatu perencanaan sistem informasi,
hal ini dapat diklasifikasi ke dalam 4 bagian kategori dalam suatu risiko yaitu :

1. Catastrophic (bencana)
2. Critical (Kritis)
3. Marginal (kecil)
4. Negligible (dapat diabaikan)

Suatu risiko perlu diartikan dalam suatu pendekatan yang sistematis, sehingga pengaruh
dari risiko yang timbul ata pengembangan teknologi informasi pada suatu organisasi dapat
diantisipasi dan diidentifikasi sebelumnya. Untuk itu manajemen risiko berusaha
mengoptimalkan alokasi sumber daya pada keamanan sistem informasi. Manajemen risiko
memiliki 3 bagian yakni :

1. Identifikasi risiko secara material

2. Pemilihan dan pelaksanaan langkah-langkah untuk mengurangi risiko
3. Melakukan pelacakan dan mengevaluasi risiko kerugian yang dialami dalam rangka
untuk memvalidasi pada bagian nomor 1 dan 2 dari suatu proses.

Baik untuk risiko yang parah maupun signifikan, analisis kelemahan harus dilakukan.
Ketika analisis tersebut mengindikasikan kelemahan tingkat tinggi yang dimana terdapat
kelemahan substansial didalam suatu sistem, maka pengendalian sebaiknya
diimplementasikan. Jika kelemahan bersifat rendah dimana sistem tersebut terkonstruksi
dengan baik dan beroperasi dengan benar, maka pengendalian yang ada harus tetap dijaga.

a. Manajemen Risiko Cyber

Setiap perusahaan memiliki data yang diinginkan penjahat yang bermotivasi keuntungan.
Data pelanggan, jaringan, situs web, sistem informasi hak milik, dan paten adalah contoh aset
— hal-hal bernilai yang perlu dilindungi. Semakin besar nilai aset bagi perusahaan dan bagi
penjahat, semakin besar keamanan yang diperlukan. Strategi yang cerdas adalah berinvestasi
lebih banyak untuk melindungi aset perusahaan yang paling berharga daripada mencoba
melindungi semua aset secara setara. Bidang keamanan TI — seperti olahraga dan hukum —
memiliki terminologinya sendiri, yang dirangkum untuk referensi cepat pada Tabel 5.3 dan
Gambar 5.6.

Ancaman adalah sesuatu atau seseorang yang dapat merusak, mengganggu, atau
menghancurkan aset. Kerentanan adalah kesenjangan, lubang, kelemahan, atau kelemahan
dalam jaringan perusahaan, pertahanan keamanan TI, pelatihan pengguna, penegakan
kebijakan, penyimpanan data, perangkat lunak, sistem operasi, aplikasi, atau perangkat
seluler yang membuat organisasi terintu dari gangguan atau serangan lainnya. Kerentanan
mengancam kerahasiaan, integritas, atau ketersediaan (CIA) sistem data dan informasi,
sebagaimana didefinisikan dalam Gambar 5.7.

Kerentanan ada di jaringan, sistem operasi, aplikasi, basis data, perangkat seluler, dan
lingkungan cloud. Kerentanan ini adalah vektor serangan atau titik masuk untuk malware,
peretas, hactivists, dan kejahatan terorganisir.

Istilah exploit memiliki lebih dari satu makna. Eksploitasi adalah alat hacker atau
program perangkat lunak yang digunakan untuk membobol sistem, database, atau perangkat.
Serangan atau tindakan yang memanfaatkan kerentanan juga disebut sebagai exploit.
Kelompok kriminal dan teroris membeli eksploit dari lebih dari 25 forum atau broker bawah
tanah. Eksploitasi itu sendiri tidak melanggar hukum, dan beberapa perusahaan yang sah juga
menjualnya. Sebagai contoh, pada tahun 2012 Netragard yang berbasis di Massachusetts
(netragard.com) menjual lebih dari 50 eksploitasi kepada bisnis dan lembaga pemerintah di
Amerika Serikat dengan harga mulai dari $ 20.000 hingga lebih dari $ 250.000.
 Risiko adalah probabilitas ancaman yang berhasil mengeksploitasi kerentanan dan
perkiraan biaya kerugian atau kerusakan. Sebagai contoh, premi asuransi mobil didasarkan
pada perhitungan risiko yang mempertimbangkan kemungkinan kecelakaan dan biaya
kerusakan.

b. Hackers: Internet Untouchables

Seberapa besar ancaman malware? Peneliti keamanan IT menemukan sekitar 70.000

program jahat setiap hari. Mengapa banyak peretas menghabiskan begitu banyak waktu untuk
menghasilkan atau meluncurkan program ini? Jawaban sederhananya adalah bahwa peretasan
adalah industri yang menguntungkan, bagian besar dari kejahatan dunia maya, dan cara bagi
para hactivists untuk memprotes. Peretas merasa tidak tersentuh mengetahui bahwa mereka
menghadapi risiko penangkapan dan hukuman yang sangat rendah.

Lihat Cara Industri Peretasan Beroperasi

Peretasan adalah industri dengan cara operasinya sendiri, tenaga kerja, dan layanan
dukungan. Peretas kontrak tersedia untuk disewa atau serangan peretas lengkap dapat dibeli.
Meja bantuan peretasan menyediakan dukungan 24/7 - membuat serangan canggih lebih
mudah untuk diatur. Peretas menggunakan jejaring sosial dan forum bawah tanah untuk
berbagi eksploitasi, nama pengguna, dan kata sandi — kredensial yang diperlukan untuk
menginfeksi akun pribadi dan kerja pengguna.

Kelompok-kelompok kejahatan terorganisir dengan cepat mengetahui bahwa kejahatan

dunia maya memiliki hadiah yang lebih baik daripada perdagangan narkoba dan hampir tanpa
risiko. Mereka menjadi hampir tidak tersentuh oleh penegakan hukum karena tidak ada yang
melihat kejahatan. Maka tidak mengherankan bahwa hampir setiap survei mencapai
kesimpulan yang sama - biaya dan frekuensi kejahatan dunia maya semakin meningkat. Itu
berarti praktik dan pertahanan keamanan TI yang jauh lebih kuat jelas diperlukan. Salah satu
kelemahan terbesar adalah pengguna yang mengabaikan bahaya kata sandi yang lemah.
Manajemen kata sandi sangat penting untuk keamanan.

Pengguna Mengatur Diri untuk Cybermuggings

Pada Juli 2012, kelompok peretas D33Ds Company menerbitkan hampir setengah juta
alamat email dan kata sandi di situs bawah tanah yang diduga telah dicuri dari Yahoo. D33D
mengklaim meretas ke dalam basis data Yahoo dengan mengeksploitasi kerentanan umum
yang belum ditambal. Berikut adalah rincian dari pengguna yang kata sandinya mengundang
penjarahan cyber:

• 1.600 pengguna menggunakan "1234546"

• 800 pengguna menggunakan "kata sandi"

• 1.400 pengguna menggunakan "mypassword" atau "kata sandi" sebagai kata dasar, seperti
"kata sandi1"

Kata sandi yang lemah jelas berbahaya. Jika ada kata sandi, seperti untuk perangkat lunak
Adobe, diketahui oleh peretas, mereka dapat mencoba kombinasi e-mail / kata sandi di semua
situs populer seperti Facebook, Gmail, dan sebagainya dan berkompromi tidak hanya satu
tetapi banyak akun Anda. Sayangnya, terlalu banyak orang yang malas dan memilih kata
sandi yang mudah ditebak, pendek, umum, atau kata dalam kamus.

Kata sandi yang kuat berisi kombinasi huruf besar dan kecil, angka, dan tanda baca, dan
setidaknya delapan karakter.

Ancaman Internal

Ancaman dari karyawan, yang disebut sebagai ancaman internal, adalah tantangan besar
yang sebagian besar disebabkan oleh banyaknya cara yang dapat dilakukan karyawan untuk
melakukan aktivitas jahat. Orang dalam mungkin dapat memintas keamanan fisik (mis., Pintu
terkunci) dan keamanan teknis (mis., Kata sandi) tindakan yang telah dilakukan organisasi
untuk mencegah akses yang tidak sah.

Mengapa? Karena pertahanan seperti firewall, sistem deteksi intrusi (IDS), dan pintu
yang terkunci sebagian besar melindungi terhadap ancaman eksternal. Terlepas dari
tantangan, insiden orang dalam dapat diminimalisir dengan strategi pertahanan mendalam
yang terdiri dari prosedur keamanan, kebijakan penggunaan yang dapat diterima, dan kontrol
teknologi.

Ancaman Phishing dan Berbasis Web

Perusahaan semakin mengadopsi aplikasi eksternal berbasis web dan karyawan membawa
aplikasi konsumen ke dalam perusahaan. Perusahaan kriminal mengikuti uang di Internet,
pasar global calon korban.

Phishing adalah metode penipuan untuk mencuri informasi rahasia dengan berpura-pura
menjadi organisasi yang sah, seperti PayPal, bank, perusahaan kartu kredit, atau sumber
tepercaya lainnya. Pesan phishing termasuk tautan ke situs web penipuan palsu yang tampak
seperti aslinya. Ketika pengguna mengklik tautan ke situs phish, ia diminta nomor kartu
kredit, nomor jaminan sosial, nomor akun, atau kata sandi. Phishing tetap sukses dan
menguntungkan bagi para penjahat.

Penjahat menggunakan Internet dan jaringan pribadi untuk membajak sejumlah besar PC
untuk memata-matai pengguna, mengirim spam, meruntuhkan bisnis, dan mencuri identitas.
Tetapi mengapa mereka begitu sukses? Forum Keamanan Informasi (securityforum.org),
organisasi swadaya yang mencakup banyak perusahaan Fortune 100, menyusun daftar
masalah informasi teratas dan menemukan bahwa sembilan dari sepuluh insiden teratas
adalah hasil dari tiga faktor:

1. Kesalahan atau human error

2. Sistem yang rusak

3. Kesalahpahaman tentang efek menambahkan perangkat lunak yang tidak kompatibel ke

sistem yang ada
c. Ancaman Yang Tidak Sengaja

Ancaman yang tidak disengaja jatuh ke dalam tiga kategori utama: kesalahan manusia,
bahaya lingkungan, dan kegagalan sistem komputer.

• Kesalahan manusia dapat terjadi dalam desain perangkat keras atau sistem informasi. Itu
juga dapat terjadi selama pemrograman, pengujian, atau entri data. Tidak mengubah kata
sandi default pada firewall atau gagal mengelola tambalan menciptakan lubang
keamanan. Kesalahan manusia juga termasuk pengguna yang tidak terlatih atau tidak
sadar merespons penipuan phishing atau mengabaikan prosedur keamanan. Kesalahan
manusia berkontribusi pada sebagian besar masalah pengendalian internal dan keamanan
informasi.
• Bahaya lingkungan termasuk gunung berapi, gempa bumi, badai salju, banjir, kegagalan
daya atau fluktuasi yang kuat, kebakaran (bahaya paling umum), pendingin udara yang
rusak, ledakan, kejatuhan radioaktif, dan kegagalan sistem pendingin air. Selain
kerusakan utama, sumber daya komputer dapat rusak oleh efek samping, seperti asap dan
air. Bahaya seperti itu dapat mengganggu operasi komputer normal dan menghasilkan
periode menunggu yang lama dan biaya selangit saat program komputer dan file data
dibuat kembali.
• Kegagalan sistem komputer dapat terjadi sebagai akibat dari manufaktur yang buruk,
bahan yang rusak, dan jaringan yang usang atau tidak terawat. Kerusakan yang tidak
disengaja juga dapat terjadi karena alasan lain, mulai dari kurangnya pengalaman hingga
pengujian yang tidak memadai.

d. Ancaman Yang Sengaja

Contoh ancaman yang disengaja termasuk pencurian data; penggunaan data yang tidak
tepat (mis., memanipulasi input); pencurian waktu mainframe komputer; pencurian peralatan
dan / atau program; manipulasi yang disengaja dalam menangani, memasukkan, memproses,
mentransfer, atau memprogram data; pemogokan buruh, kerusuhan, atau sabotase; kerusakan
berbahaya pada sumber daya komputer; penghancuran dari virus dan serangan serupa; dan
pelanggaran komputer lainnya dan penipuan Internet.

e. Jenis-Jenis Malware

Virus, worm, trojan, rootkit, backdoors, botnet, dan keyloggers adalah jenis malware.
Secara teknis, malware adalah program atau kode komputer yang dapat menginfeksi apa pun
yang terhubung ke Internet dan dapat memproses kode tersebut. Sebagian besar virus, trojan,
dan worm diaktifkan ketika lampiran dibuka atau tautan diklik. Tetapi ketika fitur otomatis,
mereka dapat memicu malware secara otomatis juga. Sebagai contoh:

• Jika klien email, seperti Microsoft Outlook atau Gmail, diatur untuk mengizinkan skrip,
maka infeksi virus terjadi hanya dengan membuka pesan atau lampiran.
• Melihat pesan email dalam HTML, bukan dalam teks biasa, dapat memicu infeksi virus.

Trojan akses jarak jauh, atau RATS, membuat pintu belakang yang tidak dilindungi ke
dalam sistem yang melaluinya seorang peretas dapat mengontrol sistem itu dari jarak jauh.
Sesuai namanya, pintu belakang menyediakan akses mudah ke sistem, komputer, atau akun
dengan menghilangkan kebutuhan untuk mengautentikasi dengan nama pengguna dan kata
sandi. Setiap kali Anda menyimpan nama pengguna dan kata sandi, Anda membuat pintu
belakang ke akun itu.

Payload malware mengacu pada tindakan yang terjadi setelah sistem terinfeksi. Payload
melakukan tujuan malware. Muatan dapat menyebabkan kerusakan yang terlihat atau
beroperasi dalam mode siluman agar tetap tidak terdeteksi. Vektor adalah metode khusus
yang digunakan malware untuk menyebarkan, atau menyebar, ke mesin atau perangkat lain.
Malware juga dapat mereplikasi, atau membuat salinannya sendiri. Malware hari ini
dirancang untuk kontrol jangka panjang dari mesin yang terinfeksi. Malware tingkat lanjut
mengatur saluran komunikasi keluar untuk mengunggah data curian, mengunduh muatan,
atau melakukan pengintaian. Pembuat malware menggunakan rekayasa sosial untuk
memaksimalkan jangkauan atau dampak virus, worm, dan sebagainya. Misalnya, worm
ILoveYou menggunakan rekayasa sosial untuk membujuk orang agar membuka pesan email
yang terinfeksi malware. Cacing ILoveYou menyerang puluhan juta komputer Windows pada
Mei 2000 ketika dikirim sebagai lampiran email dengan baris subjek: ILOVEYOU. Sering
karena penasaran, orang-orang membuka lampiran bernama LOVE-LETTER-
FORYOU.TXT.vbs — melepaskan cacing. Dalam sembilan hari, worm telah menyebar ke
seluruh dunia, melumpuhkan jaringan, menghancurkan file, dan menyebabkan kerusakan
senilai $ 5,5 miliar.

Peretas terkenal Kevin Mitnick, yang dipenjara karena melakukan peretasan,

menggunakan rekayasa sosial sebagai metode utamanya untuk mendapatkan akses ke
jaringan komputer. Dalam kebanyakan kasus, penjahat tidak pernah bertatap muka langsung
dengan korban, tetapi berkomunikasi melalui telepon atau email.

Infeksi Ulang Malware, Tanda Tangan, Mutasi, dan Varian

Ketika komputer host terinfeksi, upaya untuk menghapus malware mungkin gagal — dan
malware tersebut mungkin menginfeksi ulang host karena dua alasan berikut:

1. Malware ditangkap dalam cadangan atau arsip. Mengembalikan cadangan atau arsip
yang terinfeksi juga memulihkan malware.

2. Malware menginfeksi media yang dapat dilepas. Berbulan-bulan atau bertahun-tahun

setelah infeksi awal, media yang dapat dilepas dapat diakses, dan malware dapat
mencoba menginfeksi host.

Sebagian besar perangkat lunak antivirus (AV) bergantung pada tanda tangan untuk
mengidentifikasi dan kemudian memblokir malware. Menurut Worldwide Malware Signature
Counter, pada awal 2013, ada sekitar 19 juta tanda tangan malware. Mendeteksi dan
mencegah infeksi tidak selalu memungkinkan. Eksploitasi zero-day — malware sehingga
tanda tangan baru mereka belum dikenal — adalah contohnya. Pembuat malware juga
menghindari deteksi oleh perangkat lunak AV dan firewall dengan mengubah kode malware
untuk membuat varian, yang memiliki tanda tangan baru. Tetapi tidak semua prosedur atau
alat AV mampu menghapus setiap jejak malware. Bahkan jika bagian berbahaya dari infeksi
dapat dibersihkan dari suatu sistem, potongan kode yang tersisa dapat membuat sistem tidak
stabil atau terkena infeksi di masa depan.

Perusakan data adalah cara serangan umum yang dibayangi oleh jenis serangan lainnya.
Ini mengacu pada serangan di mana seseorang memasukkan data palsu atau penipuan ke
dalam komputer, atau mengubah atau menghapus data yang ada. Perusakan data sangat serius
karena mungkin tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang dalam
dan penipu.

f. Serangan Yang Ditetapkan Pada Enterprise (Usaha)

Rahasia perusahaan dan pemerintah saat ini sedang dicuri oleh APT. Sebagian besar
serangan APT diluncurkan melalui phishing. Biasanya, jenis serangan ini dimulai dengan
beberapa pengintaian di pihak penyerang. Ini dapat termasuk meneliti informasi yang tersedia
untuk umum tentang perusahaan dan karyawannya, seringkali dari situs jejaring sosial.
Informasi ini kemudian digunakan untuk membuat pesan email phising yang ditargetkan.

Serangan yang berhasil dapat memberi penyerang akses ke jaringan perusahaan. APT
dirancang untuk spionase jangka panjang. Setelah diinstal pada jaringan, APT mengirimkan
salinan dokumen, seperti file Microsoft Office dan PDF, dalam mode sembunyi-sembunyi.
APT mengumpulkan dan menyimpan file di jaringan perusahaan; mengenkripsi mereka;
kemudian kirim mereka ke server sering di Cina atau Rusia. Jenis serangan ini telah diamati
pada pelanggaran data skala besar lainnya yang mengekspos sejumlah besar identitas.

Contoh APT: Operasi Aurora

Serangan bernama Operation Aurora terbukti sangat sukses dalam menargetkan,

mengeksploitasi, mengakses, dan mencuri kekayaan intelektual yang berharga dari basis data
korbannya. Operasi Aurora menyerang dalam enam langkah, seperti dijelaskan dalam
Gambar 5.9. Teknologi keamanan TI standar gagal mencegah enam langkah ini terjadi dan
pengguna tidak tahu bahwa mereka telah diretas. Setelah penyerang mendapatkan akses ke
sistem internal (Langkah 6), mereka dapat mencuri rahasia perusahaan.

Botnet

Botnet adalah kumpulan bot, yang merupakan komputer yang terinfeksi malware.
Komputer-komputer yang terinfeksi, yang disebut zombie, dapat dikontrol dan diatur ke
dalam jaringan zombie atas perintah botmaster jarak jauh (juga disebut bot herder). Storm
worm, yang disebarkan melalui spam, adalah agen botnet yang tertanam di dalam lebih dari
25 juta komputer. Kekuatan gabungan Storm telah dibandingkan dengan kekuatan
pemrosesan superkomputer, dan serangan yang diorganisir Storm mampu melumpuhkan situs
web mana pun. Zombi dapat diperintahkan untuk memantau dan mencuri data pribadi atau
keuangan — bertindak sebagai spyware. Botnet digunakan untuk mengirim email spam dan
phishing dan meluncurkan serangan DDoS. Botnet sangat berbahaya karena memindai dan
mengkompromikan komputer lain, yang kemudian dapat digunakan untuk setiap jenis
kejahatan dan serangan terhadap komputer, server, dan jaringan.

Tombak Phishing

Tombak phisher sering menargetkan kelompok orang tertentu dengan kesamaan —

mereka bekerja di perusahaan yang sama, bank di lembaga keuangan yang sama, atau kuliah
di universitas yang sama. Email penipuan tampaknya dikirim dari organisasi atau orang-
orang yang berpotensi menjadi korban menerima email, membuat mereka semakin menipu.

Inilah cara kerja phishing tombak:

1. Pembuat tombak phish mengumpulkan informasi tentang perusahaan orang dan

pekerjaan dari media sosial atau mencurinya dari komputer dan perangkat seluler, dan
kemudian menggunakan informasi yang sama untuk menyesuaikan pesan yang
mengelabui pengguna untuk membuka email yang terinfeksi.

2. Kemudian mereka mengirim e-mail yang terlihat seperti hal asli kepada korban yang
ditargetkan, menawarkan segala macam penjelasan yang mendesak dan terdengar sah
tentang mengapa mereka membutuhkan data pribadi Anda.

3. Akhirnya, para korban diminta untuk mengklik tautan di dalam surel yang membawa
mereka ke situs web palsu tetapi tampak realistis, di mana mereka diminta untuk
memberikan kata sandi, nomor akun, ID pengguna, kode akses, PIN, dan begitu
seterusnya.

Pertahanan IT

Karena malware dan botnet menggunakan banyak metode dan strategi serangan,
beberapa alat diperlukan untuk mendeteksi mereka dan / atau menetralisir efeknya. Tiga
pertahanan penting adalah sebagai berikut:

1. Perangkat Lunak Antivirus: Alat antimalware dirancang untuk mendeteksi kode

berbahaya dan mencegah pengguna mengunduhnya. Mereka juga dapat memindai sistem
untuk keberadaan cacing, trojan, dan jenis ancaman lainnya. Teknologi ini tidak
memberikan perlindungan lengkap karena tidak dapat bertahan terhadap eksploitasi nol
hari. Antimalware mungkin tidak dapat mendeteksi eksploitasi yang sebelumnya tidak
diketahui.

2. Intrusion Detection Systems (IDSs): Sesuai namanya, IDS memindai lalu lintas yang
tidak biasa atau mencurigakan. IDS dapat mengidentifikasi awal serangan DoS dengan
 pola lalu lintas, memperingatkan administrator jaringan untuk mengambil tindakan
defensif, seperti beralih ke alamat IP lain dan mengalihkan server penting dari jalur
serangan.

3. Sistem Pencegahan Intrusi (IPS): IPS dirancang untuk mengambil tindakan segera —
seperti memblokir alamat IP tertentu — setiap kali anomali arus lalu lintas terdeteksi.
IPS berbasis sirkuit terintegrasi khusus aplikasi (ASIC) memiliki kemampuan daya dan
analisis untuk mendeteksi dan memblokir serangan DDoS, berfungsi agak seperti
pemutus sirkuit otomatis.

g. Keamanan Seluler, Aplikasi, dan Cloud

Dengan popularitas e-reader, netbook, Google Chrome OS, Facebook, YouTube, Twitter,
LinkedIn, dan jejaring sosial lainnya, bahaya keamanan ITsemakin memburuk.

Risiko Komputing Cloud dan Jaringan Sosial

Jaringan sosial dan komputasi awan meningkatkan kerentanan dengan menyediakan satu
titik kegagalan dan serangan untuk jaringan kriminal terorganisir. Informasi penting, sensitif,
dan pribadi berisiko, dan seperti tren TI sebelumnya, seperti jaringan nirkabel, tujuannya
adalah konektivitas, seringkali dengan sedikit perhatian terhadap keamanan. Ketika jejaring
sosial meningkatkan layanan mereka, kesenjangan antara layanan dan keamanan informasi
juga meningkat. Virus dan malware email telah menurun selama bertahun-tahun karena
keamanan email telah meningkat. Tren ini berlanjut ketika komunikasi bergeser ke jejaring
sosial dan smartphone yang lebih baru. Sayangnya, malware menemukan jalannya kepada
pengguna melalui kerentanan keamanan di layanan dan perangkat baru ini. Penyaringan web,
edukasi pengguna, dan kebijakan ketat adalah kunci untuk mencegah penyebaran yang
meluas.

Jaringan sosial dan komputasi awan meningkatkan kerentanan dengan menyediakan satu
titik kegagalan dan serangan untuk jaringan kriminal terorganisir. Informasi penting, sensitif,
dan pribadi berisiko, dan seperti tren TI sebelumnya, seperti jaringan nirkabel, tujuannya
adalah konektivitas, seringkali dengan sedikit perhatian terhadap keamanan. Ketika jejaring
sosial meningkatkan layanan mereka, kesenjangan antara layanan dan keamanan informasi
juga meningkat. Virus dan malware email telah menurun selama bertahun-tahun karena
keamanan email telah meningkat. Tren ini berlanjut ketika komunikasi bergeser ke jejaring
sosial dan smartphone yang lebih baru. Sayangnya, malware menemukan jalannya kepada
pengguna melalui kerentanan keamanan di layanan dan perangkat baru ini. Penyaringan web,
edukasi pengguna, dan kebijakan ketat adalah kunci untuk mencegah penyebaran yang
meluas.

Di Twitter dan Facebook, pengguna mengundang dan membangun hubungan dengan

orang lain. Penjahat dunia maya meretas hubungan tepercaya ini menggunakan login yang
dicuri. Antivirus palsu dan serangan lain yang memanfaatkan kepercayaan pengguna sangat
sulit dideteksi.
 Alasan utama mengapa jaringan dan layanan ini meningkatkan eksposur terhadap risiko
adalah waktu-untuk-eksploitasi spyware dan virus seluler canggih saat ini. Waktu-untuk-
eksploitasi adalah waktu yang berlalu antara ketika kerentanan ditemukan dan ketika itu
dieksploitasi. Waktu itu telah menyusut dari bulan ke menit sehingga staf TI memiliki jangka
waktu yang lebih pendek untuk menemukan dan memperbaiki kekurangan sebelum mereka
dikompromikan oleh serangan. Beberapa serangan ada selama dua jam, yang berarti bahwa
sistem keamanan TI perusahaan harus memiliki perlindungan waktu nyata. Ketika kerentanan
baru ditemukan dalam sistem operasi, aplikasi, atau jaringan kabel dan nirkabel, tambalan
dilepaskan oleh vendor atau organisasi keamanan. Patch adalah program perangkat lunak
yang diunduh dan diinstal pengguna untuk memperbaiki kerentanan. Microsoft, misalnya,
merilis tambalan yang ia sebut paket layanan untuk memperbarui dan memperbaiki
kerentanan dalam sistem operasinya, termasuk Vista, dan aplikasi, termasuk Office 2010.
Paket layanan dapat diunduh dari situs web Microsoft. Dibiarkan tidak terdeteksi atau tidak
terlindungi, kerentanan memberikan pintu terbuka untuk serangan TI dan gangguan bisnis
dan kerusakan finansial mereka. Meskipun ada pertahanan teknologi terbaik, insiden
keamanan informasi akan terjadi terutama karena pengguna yang tidak mengikuti praktik dan
prosedur komputasi yang aman.

BYOD

Pengguna yang membawa perangkat seluler pribadi dan aplikasi seluler mereka sendiri
untuk bekerja dan menghubungkannya ke jaringan perusahaan adalah bagian dari tren
konsumerisasi teknologi informasi (COIT) yang lebih besar. Membawa perangkat Anda
sendiri (BYOD) dan membawa aplikasi Anda sendiri (BYOA) adalah praktik yang
memindahkan data perusahaan dan aset TI ke ponsel dan cloud karyawan, menciptakan
serangkaian tantangan keamanan TI yang tangguh. Gambar 5.10 merangkum bagaimana
aplikasi, ponsel, dan layanan cloud menempatkan organisasi pada risiko serangan cyber yang
lebih besar. Aplikasi yang banyak digunakan di luar firewall organisasi adalah Twitter,
Google Analytics, Dropbox, WebEx, dan Salesforce.com.

Perusahaan mengambil risiko dengan praktik-praktik BYOD yang tidak akan pernah
mereka pertimbangkan untuk diambil dengan perangkat komputasi konvensional. Salah satu
alasan yang mungkin adalah perangkat, aplikasi, dan sistem baru, seperti platform Windows
Phone 7, telah diluncurkan dengan sangat cepat. Akibatnya, smartphone tidak dikelola
sebagai perangkat yang aman, dengan kurang dari 20 persen pengguna memasang
antimalware dan 50 persen menggunakan beberapa jenis enkripsi data. Bahkan, karyawan
mengharapkan persetujuan instan (atau setidaknya tidak ada penolakan) dan dukungan untuk
iPad baru mereka dalam beberapa jam setelah rilis produk.
 BYOD menimbulkan masalah serius dan sah. Peretas membobol perangkat seluler
karyawan dan melompati jaringan majikan — mencuri rahasia tanpa jejak. Kerentanan baru
dibuat ketika data pribadi dan bisnis dan komunikasi dicampur bersama. Semua kontrol
keamanan siber — otentikasi, kontrol akses, kerahasiaan data, dan deteksi intrusi —
diimplementasikan pada sumber daya yang dimiliki perusahaan dapat dianggap tidak berguna
oleh perangkat milik karyawan. Selain itu, infrastruktur seluler perusahaan mungkin tidak
dapat mendukung peningkatan lalu lintas jaringan seluler dan pemrosesan data, menyebabkan
keterlambatan yang tidak dapat diterima atau memerlukan investasi tambahan.

Vektor Serangan Baru

Perangkat dan aplikasi seluler, media sosial, dan layanan cloud semakin memperkenalkan
vektor serangan untuk malware, phishing, dan peretas. Pada pertengahan 2012, sekitar 75
persen organisasi AS telah mengadopsi praktik BYOD, tetapi banyak yang bergegas masuk
tanpa mempertimbangkan keamanan. Ponsel jarang memiliki otentikasi yang kuat, kontrol
akses, dan enkripsi meskipun mereka terhubung ke data misi-kritis dan layanan cloud. Hanya
20 persen Android yang memasang aplikasi keamanan.

Aplikasi Seluler berbahaya (Nakal)

Jumlah aplikasi Android berbahaya tumbuh pada tingkat yang mengkhawatirkan.

Menurut laporan Analisis dan Prakiraan Keamanan Biometrik Ponsel 2011-2015 (Egan,
2011), setidaknya 5.000 aplikasi Android berbahaya baru ditemukan pada kuartal pertama
2012 (Q1 2012). Selama kuartal berikutnya (Q2 2012), 10.000 aplikasi nakal baru ditemukan
dalam satu bulan — dan pada akhir kuartal, ada 40.000 aplikasi jahat (TrendMicro
TrendLabs, 2012). Hampir semua aplikasi ini ditemukan di toko pihak ketiga yang tidak
dapat diandalkan. Tetapi 17 aplikasi jahat berhasil masuk ke Google Play dan mereka
diunduh lebih dari 700.000 kali sebelum dihapus. Aplikasi seluler yang tidak benar dapat
menyajikan serangan trojan, malware lain, atau serangan phishing. Perusahaan yang
menawarkan aplikasi yang sah untuk perbankan online, belanja ritel, permainan, dan fungsi
lainnya mungkin tidak menyadari ancaman yang mengintai di toko aplikasi mereka.

Dan terlepas dari upaya terbaik mereka, operator toko aplikasi yang sah tidak dapat secara
andal mengawasi katalog mereka sendiri untuk aplikasi jahat. Dengan satu klik pada tautan
jahat, pengguna dapat meluncurkan serangan bertarget terhadap organisasi mereka.

Pertahanan Keamanan Minimum untuk Ponsel

Pertahanan keamanan minimum untuk perangkat seluler adalah biometrik seluler,

pemantauan aplikasi jahat, kemampuan penghapusan jarak jauh, dan enkripsi. Bagi para
pelancong, aturan larangan membawa mungkin merupakan pertahanan yang diperlukan.
Biometrik seluler, seperti biometrik suara dan sidik jari, dapat secara signifikan
meningkatkan keamanan perangkat fisik dan memberikan otentikasi yang lebih kuat untuk
akses jarak jauh atau layanan cloud. Ketika Apple mengakuisisi Siri, Inc. pada 2010, asisten
pribadi berbasis suara Siri diintegrasikan ke dalam sistem operasinya, iOS5. Siri memberi
Apple potensi untuk beralih ke biometrik suara. Biometrik suara adalah solusi otentikasi yang
efektif di berbagai perangkat konsumen termasuk smartphone, tablet, dan TV. Perangkat
seluler masa depan diharapkan memiliki sensor sidik jari untuk menambahkan faktor
otentikasi lain.

Jenis pertahanan lain adalah pemantauan aplikasi jahat untuk mendeteksi dan
menghancurkan aplikasi jahat di alam liar. Beberapa vendor menawarkan layanan
pemantauan dan deteksi 24/7 untuk memantau toko aplikasi utama dan mematikan aplikasi
jahat untuk meminimalkan paparan dan kerusakan. Dalam hal terjadi kehilangan atau
pencurian suatu perangkat, switch bunuh ponsel atau kemampuan penghapusan jarak jauh
diperlukan serta enkripsi. Semua platform smartphone utama memiliki beberapa jenis
kemampuan penghapusan jarak jauh dan opsi enkripsi. Menanggapi ancaman keamanan
seluler, banyak perusahaan dan agen pemerintah AS memberlakukan aturan larangan
bepergian di ponsel untuk mencegah kompromi. Wisatawan hanya dapat membawa perangkat
"bersih" dan dilarang menghubungkan ke jaringan pemerintah saat berada di luar negeri.

h. Pertahanan Terhadap Penipuan

Kejahatan dapat dibagi menjadi dua kategori tergantung pada taktik yang digunakan
untuk melakukan kejahatan: kekerasan dan tanpa kekerasan. Penipuan adalah kejahatan tanpa
kekerasan karena alih-alih senjata atau pisau, penipu menggunakan tipu daya, kepercayaan
diri, dan tipu daya. Penipu melakukan kejahatan mereka dengan menyalahgunakan kekuatan
posisi mereka atau dengan mengambil keuntungan dari kepercayaan, ketidaktahuan, atau
kemalasan orang lain.

Penipuan

Penipuan pekerjaan mengacu pada penyalahgunaan aset yang disengaja oleh seseorang
untuk keuntungan pribadi. Audit internal dan kontrol internal sangat penting untuk
pencegahan dan deteksi penipuan pekerjaan. Beberapa contoh tercantum dalam Tabel 5.4.
Kasus-kasus penipuan pekerjaan yang dilakukan oleh eksekutif senior seperti Bernard
Madoff telah menyebabkan peningkatan peraturan pemerintah. Namun, peningkatan undang-
undang belum mengakhiri penipuan.

i. Pencegahan dan Deteksi Penipuan Internal

Taktik pencegahan penipuan yang paling efektif adalah membuat karyawan tahu bahwa
penipuan akan dideteksi oleh sistem pemantauan TI dan dihukum, dengan penipu yang
kemungkinan diserahkan kepada polisi atau FBI. Ketakutan ditangkap dan diadili adalah
pencegah yang kuat. TI harus memainkan peran yang terlihat dan utama dalam mendeteksi
penipuan.
Tata kelola perusahaan

Pemantauan dan kontrol TI juga menunjukkan bahwa perusahaan telah menerapkan tata
kelola perusahaan yang efektif dan langkah-langkah pencegahan penipuan. Regulator
memandang positif perusahaan yang dapat menunjukkan praktik terbaik dalam tata kelola
perusahaan dan manajemen risiko operasional. Manajemen dan staf kemudian akan
menghabiskan lebih sedikit waktu untuk mengkhawatirkan peraturan dan lebih banyak waktu
menambah nilai pada merek dan bisnis mereka.

Langkah-langkah pencegahan kecurangan internal didasarkan pada kontrol yang sama

yang digunakan untuk mencegah intrusi eksternal — teknologi pertahanan perimeter, seperti
firewall, pemindai e-mail, dan akses biometrik. Mereka juga berdasarkan pada prosedur
sumber daya manusia (SDM), seperti penyaringan rekrutmen dan pelatihan.

Analisis Cerdas dan Deteksi Anomali

Sebagian besar aktivitas deteksi dapat ditangani oleh mesin analisis cerdas menggunakan
teknik pergudangan dan analisis data tingkat lanjut. Sistem ini mengambil jejak audit dari
sistem utama dan catatan personel dari departemen SDM dan keuangan. Data disimpan dalam
gudang data di mana mereka dianalisis untuk mendeteksi pola anomali, seperti jam kerja
yang berlebihan, penyimpangan dalam pola perilaku, menyalin sejumlah besar data, upaya
untuk menimpa kontrol, transaksi yang tidak biasa, dan dokumentasi yang tidak memadai
tentang suatu transaksi. Informasi dari investigasi dimasukkan kembali ke dalam sistem
deteksi sehingga ia belajar dari pola yang tidak normal.
 Karena orang dalam dapat bekerja dalam kolusi dengan penjahat terorganisir, profil
orang dalam penting untuk menemukan pola jaringan kriminal yang lebih luas. Pendekatan
perusahaan yang menggabungkan risiko, keamanan, kepatuhan, dan spesialis ITsangat
meningkatkan pencegahan dan deteksi penipuan. Pencegahan adalah pendekatan yang paling
hemat biaya, karena biaya pendeteksian dan penuntutan sangat besar selain biaya kerugian
langsung. Dimulai dengan budaya tata kelola perusahaan dan etika di tingkat atas organisasi.

Pencurian identitas

Salah satu kejahatan terburuk dan paling umum adalah pencurian identitas. Pencurian
seperti itu di mana Jaminan Sosial individu dan nomor kartu kredit dicuri dan digunakan oleh
pencuri bukanlah hal baru. Penjahat selalu memperoleh informasi tentang orang lain —
dengan mencuri dompet atau selam tempat sampah. Tetapi berbagi dan basis data elektronik
yang luas telah membuat kejahatan semakin buruk. Karena lembaga keuangan, perusahaan
pemrosesan data, dan bisnis ritel enggan mengungkapkan insiden di mana informasi
keuangan pribadi pelanggan mereka mungkin telah dicuri, hilang, atau dikompromikan,
hukum terus disahkan yang memaksa pemberitahuan itu.

j. Kepatuhan dan Kontrol Internal

Semua perusahaan tunduk pada hukum dan peraturan federal dan negara bagian.
Kepatuhan terhadap peraturan selalu membutuhkan kontrol internal untuk memastikan bahwa
data sensitif dilindungi dan akurat.

Kontrol Internal

Lingkungan kontrol internal adalah suasana kerja yang ditetapkan perusahaan untuk
karyawannya. Kontrol internal (IC) adalah proses yang dirancang untuk mencapai:

• Keandalan pelaporan keuangan, untuk melindungi investor

• Efisiensi operasional

• Kepatuhan terhadap hukum, peraturan, dan kebijakan

• Perlindungan aset

Sarbanes-Oxley Act (SOX) mengamanatkan pelaporan bisnis yang lebih akurat dan
pengungkapan pelanggaran prinsip akuntansi yang diterima secara umum (GAAP). Bagian
302 mencegah penipuan perusahaan dan eksekutif dengan mengharuskan CEO dan CFO
memverifikasi bahwa mereka telah meninjau laporan keuangan, dan, sejauh pengetahuan
mereka, laporan itu tidak mengandung pernyataan yang tidak benar atau menghilangkan fakta
material apa pun. Untuk memotivasi kejujuran, manajemen eksekutif menghadapi hukuman
pidana termasuk hukuman penjara yang lama untuk laporan palsu. Bagian 805
mengamanatkan peninjauan terhadap Pedoman Hukuman untuk memastikan bahwa
“pedoman yang berlaku untuk organisasi. . . cukup untuk mencegah dan menghukum tindak
pidana organisasi. "Pedoman ini juga fokus pada pembentukan program" kepatuhan dan etika
yang efektif ". Seperti ditunjukkan dalam Pedoman, prasyarat untuk program kepatuhan dan
etika yang efektif adalah "budaya organisasi yang mendorong perilaku etis dan komitmen
untuk mematuhi hukum."

Di antara langkah-langkah lain, SOX mengharuskan perusahaan untuk membuat kontrol

internal yang komprehensif. Tidak ada pertanyaan bahwa SOX, dan ketentuan yang rumit dan
mahal yang diperlukan perusahaan publik untuk mengikuti, memiliki dampak besar pada
akuntansi keuangan perusahaan.

Sebagai permulaan, perusahaan harus membuat kontrol internal yang komprehensif atas
pelaporan keuangan untuk mencegah penipuan, menangkapnya ketika itu terjadi. Sejak
jatuhnya Arthur Andersen, mengikuti keyakinan firma akuntansi atas tuduhan kriminal yang
berkaitan dengan kasus Enron, perusahaan akuntansi luar semakin keras dengan klien yang
diaudit, terutama yang berkaitan dengan kontrol internal mereka.

SOX dan SEC memperjelas bahwa jika kontrol dapat diabaikan, tidak ada kontrol. Oleh
karena itu, pencegahan dan deteksi penipuan memerlukan sistem pemantauan yang efektif.
Jika sebuah perusahaan menunjukkan kepada karyawannya bahwa mereka dapat mengetahui
segala sesuatu yang dilakukan oleh setiap karyawan dan menggunakan bukti itu untuk
menuntut orang yang berbuat kesalahan sejauh yang dimungkinkan oleh undang-undang,
maka kemungkinan setiap karyawan mengadopsi sikap "Saya bisa lolos begitu saja" turun
drastis. Sekitar 85 persen dari penipuan pekerjaan dapat dicegah jika kontrol internal berbasis
IT yang tepat telah dirancang, diterapkan, dan diikuti.

Strategi Pertahanan

Tujuan dari praktik manajemen keamanan TI adalah untuk mempertahankan semua

komponen sistem informasi, khususnya data, aplikasi perangkat lunak, perangkat keras, dan
jaringan, sehingga mereka tetap patuh. Sebelum mereka membuat keputusan mengenai
pertahanan, orang yang bertanggung jawab atas keamanan harus memahami persyaratan dan
operasi bisnis, yang membentuk dasar untuk strategi pertahanan yang disesuaikan.

Strategi dan kontrol pertahanan yang harus digunakan bergantung pada apa yang perlu
dilindungi dan analisis biaya-manfaat. Artinya, perusahaan tidak boleh berinvestasi atau
berinvestasi terlalu rendah. SEC dan FTC mengenakan denda besar untuk pelanggaran data
untuk mencegah perusahaan berinvestasi di bawah perlindungan data. Berikut ini adalah
tujuan utama dari strategi pertahanan:

1. Pencegahan dan pencegahan. Kontrol yang dirancang dengan benar dapat mencegah
terjadinya kesalahan, mencegah penjahat menyerang sistem, dan, lebih baik lagi, menolak
akses ke orang yang tidak berwenang. Ini adalah kontrol yang paling diinginkan.
2. Deteksi. Seperti api, semakin awal serangan terdeteksi, semakin mudah untuk bertarung,
dan semakin sedikit kerusakan yang dilakukan. Deteksi dapat dilakukan dalam banyak
kasus dengan menggunakan perangkat lunak diagnostik khusus, dengan biaya minimal.
3. Mengandung kerusakan. Tujuan ini melibatkan meminimalkan atau membatasi kerugian
begitu terjadi kegagalan fungsi. Ini juga disebut kontrol kerusakan. Ini dapat dicapai,
misalnya, dengan memasukkan sistem toleran kesalahan yang memungkinkan operasi
dalam mode terdegradasi sampai pemulihan penuh dilakukan. Jika sistem toleran
 kesalahan tidak ada, pemulihan cepat dan mungkin mahal harus dilakukan. Pengguna
ingin sistem mereka kembali beroperasi secepat mungkin.
4. Pemulihan. Rencana pemulihan menjelaskan cara memperbaiki sistem informasi yang
rusak secepat mungkin. Mengganti daripada memperbaiki komponen adalah salah satu
rute menuju pemulihan cepat.
5. Koreksi. Memperbaiki penyebab sistem yang rusak dapat mencegah masalah terjadi lagi.
6. Kesadaran dan kepatuhan. Semua anggota organisasi harus dididik tentang bahaya dan
harus mematuhi aturan dan peraturan keamanan. Strategi pertahanan juga akan
membutuhkan beberapa kontrol, seperti yang ditunjukkan pada Gambar 5.11.

Kontrol umum dibuat untuk melindungi sistem terlepas dari aplikasi spesifik. Misalnya,
melindungi perangkat keras dan mengendalikan akses ke pusat data tidak tergantung pada
aplikasi tertentu. Kontrol aplikasi adalah pengamanan yang dimaksudkan untuk melindungi
aplikasi tertentu. Dalam dua bagian berikutnya, Kami membahas tipe utama dari dua
kelompok kontrol sistem informasi ini.

KONTROL UMUM

Kategori utama dari kontrol umum adalah kontrol fisik, kontrol akses, kontrol keamanan
data, kontrol jaringan komunikasi, dan kontrol administratif.

Kontrol Fisik

Keamanan fisik mengacu pada perlindungan fasilitas dan sumber daya komputer. Ini
termasuk melindungi properti fisik seperti komputer, pusat data, perangkat lunak, manual,
dan jaringan. Ini memberikan perlindungan terhadap sebagian besar bahaya alam serta
terhadap beberapa bahaya manusia. Keamanan fisik yang tepat dapat mencakup beberapa
kontrol fisik seperti berikut ini:

• Desain pusat data yang sesuai. Misalnya, pusat data harus tidak mudah terbakar dan
tahan air.
• Melindungi dari medan elektromagnetik.
• Sistem pencegahan, deteksi, dan pemadam kebakaran yang baik, termasuk sistem
sprinkler, pompa air, dan fasilitas drainase yang memadai.
• Pematian daya darurat dan baterai cadangan, yang harus dijaga dalam kondisi
operasional.
 • Sistem pendingin udara yang dirancang dan dirawat dengan benar.
• Alarm detektor gerakan yang mendeteksi intrusi fisik.

Kontrol Akses

Kontrol akses adalah manajemen siapa yang dan tidak berwenang untuk menggunakan
perangkat keras dan perangkat lunak perusahaan. Metode kontrol akses, seperti firewall dan
daftar kontrol akses, membatasi akses ke jaringan, database, file, atau data. Ini adalah garis
pertahanan utama terhadap orang dalam yang tidak sah maupun orang luar. Kontrol akses
melibatkan otorisasi (memiliki hak untuk mengakses) dan otentikasi, yang juga disebut
identifikasi pengguna (membuktikan bahwa pengguna adalah yang dia klaim). Metode
otentikasi meliputi:

• Sesuatu yang hanya diketahui pengguna, seperti kata sandi

• Sesuatu yang hanya dimiliki pengguna, misalnya, kartu pintar atau token
• Sesuatu yang hanya dimiliki oleh pengguna, seperti pemindaian tanda tangan, suara,
sidik jari, atau retina (mata); diimplementasikan melalui kontrol biometrik, yang dapat
berupa fisik atau perilaku

Kontrol Biometrik

Kontrol biometrik adalah metode otomatis untuk memverifikasi identitas seseorang,

berdasarkan karakteristik fisik atau perilaku. Sebagian besar sistem biometrik mencocokkan
beberapa karakteristik pribadi dengan profil yang disimpan. Biometrik yang paling umum
adalah sidik jari atau sidik jari, cetak suara, pemindaian retina, dan tanda tangan. Kontrol
biometrik telah diintegrasikan ke dalam produk perangkat keras dan perangkat lunak e-bisnis.

Kontrol biometrik memang memiliki beberapa batasan: Mereka tidak akurat dalam kasus-
kasus tertentu, dan beberapa orang melihatnya sebagai pelanggaran privasi.

Kontrol Administrasi

Sementara kontrol umum yang dibahas sebelumnya bersifat teknis, kontrol administratif
berurusan dengan menerbitkan pedoman dan memantau kepatuhan terhadap pedoman.
Contoh kontrol ditunjukkan pada Tabel 5.5.

BAB III
 PENUTUP

KESIMPULAN

Keamanan sistem informasi mengacu pada perlindungan terhadap semua sumber daya
informasi organisasi dari ancaman pihak-pihak yang tidak bertanggungjawab. Institusi
hendaknya menerapkan suatu program keamanan sistem yang efektif dengan
mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlindungan yang
diperlukan agar keamanan informasi dalam suatu institusi tersebut terjaga dari ancaman –
ancaman yang ada.

Ancaman yang mungkin timbul disebut dengan risiko. Untuk dapat menangani risiko ini,
perlu dilakukan manajemen risiko yang dalam pelaksanaannya menerapkan fungsi-fungsi
manajemen dalam penanggulangan risiko. Perusahaan diera teknologi informasi semakin
cepat ini harus mampu dalam memanajemen risiko. Kemampuan manajemen risiko terhadap
sistem informasi yang efektif merupakan kemampuan manajemen yang diperlukan dalam
memenuhi kebutuhan bisnis suatu perusahaan.

DAFTAR PUSTAKA
DP,Emrinaldi.N.(2018).Sistem informasi manajemen comprehensive approach.
Pekanbaru:Alaf Riau.

Turban,Efraim.(2015).Information Technology For Management : Transforming

Organizations.10th edition.New Jersey :John Wiley & Sons.