Informasi Keamanan

 Identifikasi lima faktor yang berkontribusi terhadap meningkatnya kerentanan sumber

daya informasi, dan contohnya
Lima faktor tersebut adalah:
Lingkungan bisnis yang saling terhubung, saling tergantung, dan tanpa jaringan
jaringan Contoh: Internet
Komputer dan perangkat penyimpanan yang lebih kecil, lebih cepat, lebih murah
Contoh: Netbook, thumb drive, iPad
Keterampilan menurun yang diperlukan untuk menjadi peretas komputer Contoh:
Informasi program peretasan sistem yang beredar di Internet
Kejahatan terorganisir internasional mengambil alih kejahatan dunia maya
Contoh: Kejahatan terorganisir telah membentuk kartel kejahatan dunia maya
transnasional. Karena sulit untuk mengetahui secara pasti dari mana serangan
siber berasal, kartel-kartel ini sangat sulit dibawa ke pengadilan.
Kurangnya dukungan manajemen Contoh: Misalkan perusahaan Anda
menghabiskan $ 10 juta untuk penanggulangan keamanan informasi tahun lalu,
dan mereka tidak mengalami serangan yang berhasil terhadap sumber daya
informasi mereka. Manajemen berpandangan pendek mungkin menyimpulkan
bahwa perusahaan dapat menghabiskan lebih sedikit selama tahun berikutnya dan
mendapatkan hasil yang sama.
 kesalahan manusia dan rekayasa social.
Kesalahan manusia adalah kesalahan yang tidak disengaja. Namun, karyawan juga
dapat membuat kesalahan yang tidak disengaja sebagai akibat dari tindakan
penyerang, seperti rekayasa sosial. Rekayasa sosial adalah serangan di mana pelaku
menggunakan keterampilan sosial untuk menipu atau memanipulasi karyawan yang
sah untuk memberikan informasi rahasia perusahaan.
Contoh kesalahan manusia adalah penjarahan, dan contoh lainnya adalah rekayasa
sosial adalah ketika seorang penyerang memanggil seorang karyawan di telepon dan
menyamar sebagai atasan di perusahaan.
 sepuluh jenis serangan yang disengaja adalah:
Spionase atau pelanggaran karena terjadi ketika seseorang yang tidak sah
mencoba untuk mendapatkan akses ilegal ke informasi organisasi.
Pemerasan informasi terjadi ketika seorang penyerang mengancam untuk
mencuri, atau benar-benar mencuri, informasi dari sebuah perusahaan. Pelaku
menuntut pembayaran karena memiliki informasi korban, untuk
mengembalikan informasi yang dicuri, atau untuk menyetujui untuk tidak
mengungkapkan informasi tersebut.
Sabotase dan vandalisme adalah tindakan yang disengaja yang melibatkan
merusak situs Web organisasi, mungkin menyebabkan organisasi kehilangan
citranya dan mengalami kehilangan kepercayaan oleh pelanggannya.
Pencurian peralatan dan informasi menjadi masalah yang lebih besar karena
perangkat komputasi dan perangkat penyimpanan menjadi lebih kecil namun
 lebih kuat dengan penyimpanan yang sangat meningkat, membuat perangkat
ini lebih mudah dan lebih berharga untuk dicuri.
Pencurian identitas adalah pencurian yang sengaja identitas orang lain,
biasanya untuk mendapatkan akses ke informasi keuangannya atau untuk
menjebaknya atas kejahatan.
Mencegah kompromi terhadap kekayaan intelektual adalah masalah vital bagi
orang yang mencari nafkah dalam bidang pengetahuan. Melindungi kekayaan
intelektual sangat sulit ketika properti itu dalam bentuk digital.
Serangan perangkat lunak terjadi ketika perangkat lunak berbahaya menembus
sistem komputer organisasi. Saat ini, serangan-serangan ini biasanya
digerakkan oleh laba dan berbasis web.
Perangkat lunak asing adalah perangkat lunak rahasia yang diinstal pada
komputer Anda melalui metode duplikat. Biasanya tidak berbahaya seperti
virus, worm, atau kuda Trojan, tetapi menghabiskan sumber daya sistem yang
berharga.
Kontrol pengawasan dan akuisisi data mengacu pada skala besar, pengukuran
terdistribusi dan sistem kontrol. Sistem SCADA digunakan untuk memantau
atau mengontrol proses kimia, fisik, dan transportasi. Serangan SCADA
mencoba untuk mengkompromikan sistem seperti itu untuk menyebabkan
kerusakan pada proses dunia nyata yang dikendalikan oleh sistem. Dengan
cyberterrorism dan cyberwarfare, penyerang menggunakan sistem komputer
target, terutama melalui Internet, untuk menyebabkan kerusakan fisik, dunia
nyata atau gangguan parah, biasanya untuk menjalankan agenda politik.
 Tiga strategi mitigasi risiko adalah:
Penerimaan risiko, di mana organisasi menerima potensi risiko, terus
beroperasi tanpa kontrol, dan menyerap segala kerusakan yang terjadi. Contoh
jika Anda memiliki rumah, Anda dapat memutuskan untuk tidak
mengasuransikannya. Dengan demikian, Anda mempraktikkan penerimaan
risiko.
Batasan risiko, di mana organisasi membatasi risiko dengan menerapkan
kontrol yang meminimalkan dampak ancaman. Contohnya jika memilik
rumah, Anda menerapkan batasan risiko dengan memasang sistem alarm atau
menebang pohon yang lemah di dekat rumah Anda.
Pemindahan risiko, di mana organisasi mentransfer risiko dengan
menggunakan cara lain untuk mengkompensasi kerugian. Contohnya dengan
membeli asuransi. Sebagian besar pemilik rumah melakukan pemindahan
risiko dengan membeli asuransi di rumah mereka dan harta benda lainnya.
 Identifikasi tiga jenis kontrol utama yang dapat digunakan organisasi untuk
melindungi sumber daya informasinya.
Kontrol fisik mencegah orang yang tidak berwenang mendapatkan akses ke
fasilitas perusahaan. Kontrol fisik umum termasuk dinding, pintu, pagar,
gerbang, kunci, lencana, penjaga, dan sistem alarm. Kontrol fisik yang lebih
canggih termasuk sensor tekanan, sensor suhu, dan detektor gerakan.
Kontrol akses membatasi individu yang tidak sah menggunakan sumber daya
informasi. Kontrol ini melibatkan dua fungsi utama: otentikasi dan otorisasi.
Otentikasi mengkonfirmasi identitas orang yang membutuhkan akses.
Contohnya adalah biometrik. Setelah orang tersebut diautentikasi
(diidentifikasi), langkah selanjutnya adalah otorisasi. Otorisasi menentukan
tindakan, hak, atau hak istimewa yang dimiliki orang tersebut, berdasarkan
identitasnya yang diverifikasi. Otorisasi umumnya didasarkan pada hak
istimewa yang paling rendah.
Kontrol komunikasi (jaringan) mengamankan pergerakan data lintas jaringan.
Kontrol komunikasi terdiri dari fi firewall, sistem anti-malware, daftar putih
dan daftar hitam, enkripsi, jaringan pribadi virtual, lapisan soket aman, dan
sistem manajemen kerentanan.
Soal Kasus Chapter 4
a. apa yang dimaksud dengan “human errors” dan “social engineering” dalam konteks
keamanan teknologi informasi?
b. Sebutkan cara-cara pencegahan terhadap kejahatan skimming tersebut dari sisi
nasabah yang Anda ketahui?
Jawabannya
a. Human error adalah kesalahan yang diakibatkan oleh lalainya sumber daya manusia
baik secara sengaja maupun tidak sengaja. Contoh kelalaian dalam menggunakan atm
untuk melakukan transaksi dalam menggunakan atm sebagai nasabah harus berhati-
hati karena sudah berkembangnya kejahatan seperti skimming yang ada dalam kasus.
Social engineering adalah kegiatan untuk mendapatkan informasi rahasia atau penting
dengan cara menipu pemilik informasi tersebut. Contohnya yang dilakukan hecker
dengan cara langsung meminta informasi korbannya.
b. Pencegahan kejahatan skimming
1. Periksa di sekeliling ATM bahwa tidak ada benda yang mencurigakan, seperti
kamera tersembunyi.
2. Cek apakah mesin ATM berfungsi normal (tombol bekerja dengan baik dan
kartu mudah dimasukkan).
3. Pastikan kartumu hanya digesek di mesin EDC milik merchant saat
melakukan transaksi. Di luar itu, jangan pernah mengiyakan jika ada yang
meminta untuk menggesek kartu di mesin lain.
4. Aktifkan notifikasi untuk setiap transaksi pada kartu di menu Pengaturan. Jadi,
jika suatu waktu kamu mendapat notifikasi yang gak sesuai dengan transaksi
yang kamu lakukan, kamu bisa langsung mengetahuinya.
5. Atur limit kartu debit di menu Card Center. Selain dapat mengatur sendiri
limit untuk penarikan tunai di ATM, kamu juga dapat mengatur limit transaksi
per harinya.
6. Blokir sementara/permanen jika melihat transaksi mencurigakan melalui menu
Card Center.