BAB 5 Keamanan Siber, Manajemen Resiko dan Kejahatan Finansial

TUJUAN PEMBELAJARAN

1. Jelaskan ancaman dunia maya paling merusak saat ini, pelanggaran data, serangan bertarget,
malware, dan risiko keamanan IT lainnya yang dihadapi organisasi dan mengapa mereka begitu
sulit untuk dipertahankan.
2. Jelaskan mengapa manajemen risiko cyber menjadi prioritas bisnis; menguraikan model
organisasi untuk keamanan siber; dan menjelaskan proses keamanan siber. Menilai kemampuan
untuk mempertahankan operasi bisnis jika terjadi kerusakan jaringan, serangan peretas yang
melemahkan, atau gangguan IT lainnya.
3. Jelaskan mengapa perangkat seluler, aplikasi, dan layanan berbasis cloud merupakan vektor
serangan berisiko tinggi, pentingnya kebijakan BYOD (bawa perangkat Anda sendiri), dan
pertahanan yang diperlukan untuk menangkal paparan malware seluler.
4. Jelaskan karakteristik penipuan dan bagaimana perusahaan dapat mempertahankan dan
mendeteksi aktivitas penipuan.

1. Pembobolan Data dan Tantangan Keamanan Siber

Penjahat dunia maya melakukan lebih dari 2100 pelanggaran data pada tahun 2013, mencuri sekitar 823
juta catatan di seluruh dunia, naik dari 264 juta catatan selama tahun sebelumnya. Pada paruh pertama
tahun 2014, 400 juta catatan data lainnya dicuri atau hilang. Seringkali, pelanggaran ditemukan ketika
nama yang dicuri, nomor kartu kredit, kata sandi, PIN, dan sebagainya diposting di pasar gelap atau
ditawarkan untuk dijual di Web gelap. Berikut jumlah catatan data yang dilanggar di perusahaan.

a. Adobe: 152 juta informasi akun pengguna

b. eBay: hingga 145 juta catatan
c. Michaels: 2,6 juta nomor kartu pembayaran dan tanggal kedaluwarsa
d. Target: 110 juta catatan
e. Ubisoft: 58 juta rekaman

Penyebab utama pelanggaran data adalah peretasan, tetapi alasan mengapa peretasan begitu sukses
adalah kelalaian. Negligence (kelalaian) yaitu, manajemen tidak melakukan cukup upaya untuk
mempertahankan diri dari ancaman siber. CIA dan FBI telah diretas, tidak ada yang aman. Infrastruktur
Kritis semakin diserang : fasilitas komersial, basis industri pertahanan , sistem transportasi, monumen
dan ikon nasional, perbankan dan keuangan, serta pertanian dan pangan. Infrastruktur kritis adalah
sistem dan aset yang sangat penting bagi pemerintah sehingga ketidakmampuan atau kehancurannya
akan berdampak melemahkan.

MEMERANGI ANCAMAN DUNIA MAYA

Serangan Distributed Denial-of-Service (DDoS) menggunakan mesin jarak jauh (ribuan atau jutaan)
untuk meminta layanan yang mencegah organisasi menyediakan layanan melalui Internet atau merusak
jaringan atau situs web.
Peretas, sindikat kejahatan, kelompok militan, mata-mata industri, karyawan yang tidak puas, dan
pemerintah yang bermusuhan adalah beberapa kelompok yang secara aktif berusaha mendapatkan
keuntungan, ketenaran, balas dendam, mempromosikan ideologi, berperang, meneror, atau
melumpuhkan target.

Hacktivist adalah kependekan dari hacker- activist atau seseorang yang melakukan hacking karena suatu
alasan. Meretas, apapun motifnya, adalah kejahatan.

KERENTANAN (Vulnerabilities)

Rekayasa Sosial (peretasan manusia): menipu pengguna atau menyalahgunakan norma sosial manusia
untuk mendapatkan keuntungan dari sistem atau aset secara ilegal atau legal, seperti mendapatkan
akses ke jaringan atau akun.

Bring Your Own Device (BYOD): karyawan menyediakan perangkat mereka sendiri (perangkat seluler)
untuk keperluan bisnis guna mengurangi pengeluaran melalui pemotongan biaya pembelian dan
pemeliharaan.

ANCAMAN PERSISTEN LANJUTAN (APT)

Penjahat dunia maya yang bermotivasi keuntungan sering beroperasi dalam mode sembunyi-sembunyi
untuk melanjutkan aktivitas jangka panjang. Hackers dan hacktivist, biasanya dengan agenda pribadi,
melakukan serangan tingkat tinggi untuk mencapai tujuan mereka. LulzSec, Anonymous, Combined
Systems, Inc., dan CIA menemukan situs web yang kurang aman, mencuri informasi, dan mungkin
mempostingnya secara online.

TUJUAN KEAMANAN CYBER

Keamanan siber perlu menyelesaikan fungsi berikut untuk organisasi, karyawan, pelanggan, dan mitra
bisnisnya. Fungsi ini terbagi dalam tiga kategori: mempersiapkan, mencegah, dan memulihkan.

a. Membuat data dan dokumen tersedia dan dapat diakses 24/7 sambil membatasi akses secara
bersamaan.
b. Menerapkan dan menegakkan prosedur dan kebijakan penggunaan yang dapat diterima (AUP)
untuk data, jaringan, perangkat keras, dan perangkat lunak yang dimiliki perusahaan atau
karyawan, seperti yang dibahas dalam kasus pembukaan.
c. Mempromosikan berbagi informasi yang aman dan legal di antara orang dan mitra yang
berwenang.
d. Pastikan kepatuhan terhadap peraturan dan hukum pemerintah.
e. Cegah serangan dengan memiliki pertahanan intrusi jaringan.
f. Mendeteksi, mendiagnosis, dan merespons insiden dan serangan secara real time.
g. Menjaga kontrol internal untuk mencegah perubahan data dan catatan yang tidak sah.
2. Manajemen Resiko IT

KONSEP DASAR KEAMANAN IT

Risiko adalah probabilitas ancaman yang mengeksploitasi kerentanan dan akibat dari kerugian,
kerusakan, gangguan, atau kehancuran. Risiko = ∫ (ancaman, kerentanan, biaya dampak).

Exploit Program (kode) yang memungkinkan penyerang secara otomatis masuk ke sistem melalui
kerentanan. Untuk menyerang atau memanfaatkan kerentanan.

Ancaman adalah seseorang atau sesuatu yang dapat menyebabkan kerugian, kerusakan, atau
kehancuran.

Kerentanan adalah kelemahan atau kekurangan dalam suatu sistem yang memungkinkan serangan
berhasil. Pertahanan keamanan IT perusahaan memengaruhi seberapa rentan mereka terhadap
ancaman.

Aset adalah Sesuatu yang bernilai yang perlu dilindungi. Data pelanggan, rahasia dagang, formula
kepemilikan, dan kekayaan intelektual lainnya.

TIGA TUJUAN KEAMANAN DATA DAN SISTEM INFORMASI

a. Kerahasiaan: Tidak ada pengungkapan data yang tidak sah.

b. Integritas: Data, dokumen, pesan, dan file lain belum diubah dengan cara yang tidak sah
c. Ketersediaan: Data dapat diakses saat dibutuhkan oleh mereka yang berwenang untuk
melakukannya

SERANGAN VEKTOR

Titik masuk untuk malware, peretas, peretas, dan kejahatan terorganisir termasuk celah, lubang,
kelemahan, kekurangan yang mengekspos organisasi terhadap gangguan atau serangan lainnya di :
Jaringan perusahaan, Pertahanan keamanan IT, Pelatihan pengguna, Penegakan kebijakan,
Penyimpanan data, Perangkat Lunak, Sistem operasi, Aplikasi, dan Perangkat seluler

PERETAS KONTRAK

Peretasan adalah industri dengan cara pengoperasian, tenaga kerja, dan layanan pendukungnya sendiri.
Peretas kontrak tersedia untuk disewa, atau serangan peretasan lengkap dapat dibeli. Meja bantuan
peretasan menyediakan dukungan 24/7, membuat serangan canggih lebih mudah diatur. Peretas
menggunakan jaringan sosial dan forum bawah tanah untuk berbagi eksploitasi, nama pengguna, dan
sandi, kredensial yang diperlukan untuk menginfeksi akun pribadi dan kerja pengguna.

KERENTANAN KATA SANDI

Kata sandi yang lemah dapat ditebak, pendek, umum, kata benda atau nama yang tepat, atau kata
dalam kamus :
 a. 1600 pengguna menggunakan 123456
b. Password

Kata sandi yang kuat mengandung huruf besar dan kecil huruf, angka, dan karakter tambahan

(! @ # $% ^ ...) dan minimal 8 karakter:

a. Ur_x & e-w.5h

b. = p9M4 & x! F26 & zR

Sulit untuk mengingat sandi kuat yang diformat secara acak, jadi frasa sandi dapat membantu:

Saya telah mengerjakan [sistem] di IBM sejak [tanggal] berubah menjadi

IhWo_OS2_aIBMs2008!

Sistem dan tanggal adalah variabel yang menambah kerumitan pada frasa sederhana yang benar-benar
dapat diingat seseorang.

PHISHING

Phishing adalah metode penipuan untuk mencuri informasi rahasia dengan berpura-pura menjadi
organisasi yang sah, seperti PayPal, bank, perusahaan kartu kredit, atau sumber tepercaya lainnya.
Pesan phishing menyertakan tautan ke situs web penipuan palsu yang terlihat mirip dengan yang asli.
Ketika pengguna mengklik link ke situs phish, dia akan dimintai nomor kartu kredit, nomor jaminan
sosial, nomor akun, atau kata sandi. Phishing tetap berhasil dan menguntungkan bagi penjahat.

MODEL KEAMANAN IT: ORANG, PROSES, DAN TEKNOLOGI

Keberhasilan setiap proyek IT bergantung pada komitmen dan keterlibatan manajemen eksekutif, yang
juga disebut nada di atas. Prinsip yang sama berlaku untuk keamanan IT untuk membuat pengguna
sadar bahwa praktik dan kesalahan yang tidak aman tidak akan ditoleransi oleh manajer senior. Oleh
karena itu, model keamanan IT dimulai dengan komitmen dan dukungan mereka, seperti yang
ditunjukkan pada gambar berikut. Model ini memandang keamanan informasi sebagai kombinasi dari
orang-orang, proses, dan teknologi.
PEMODELAN ANCAMAN

a. Ancaman yang tidak disengaja : Kesalahan manusia, bahaya Lingkungan, kegagalan sistem
komputer
b. Ancaman yang disengaja : Pencurian, penggunaan yang Tidak Pantas, manipulasi yang disengaja,
pemogokan, kerusuhan, atau sabotase, kerusakan berbahaya, penghancuran, dan
penyalahgunaan lain-lain.

MALWARE

Program atau kode komputer yang dapat menginfeksi apa pun yang terpasang ke Internet dan dapat
memproses kode yang dapat menyebar, atau menyebar, ke mesin atau perangkat lain, atau mereplikasi,
atau membuat salinan dirinya sendiri. Virus, worm, trojan, rootkit, backdoors, botnet, dan keylogger
adalah jenis malware.

INFEKSI ULANG, TANDA TANGAN, MUTASI, DAN VARIAN MALWARE

a. Malware disimpan dalam backup atau arsip. Memulihkan cadangan atau arsip yang terinfeksi
juga memulihkan malware.
b. Malware menginfeksi media yang dapat dilepas.
c. Sebagian besar perangkat lunak antivirus (AV) mengandalkan tanda tangan untuk
mengidentifikasi dan kemudian memblokir perangkat lunak jahat.

PERUSAKAN DATA

Alat serangan umum yang dibayangi oleh jenis serangan lainnya. Mengacu pada serangan di mana
seseorang memasukkan data palsu atau curang ke dalam komputer, atau mengubah atau menghapus
data yang ada. Perusakan data sangat serius karena mungkin tidak terdeteksi; metode yang sering
digunakan oleh orang dalam dan penipu.

Botnet

Botnet adalah kumpulan bot, yang merupakan komputer yang terinfeksi malware. Komputer yang
terinfeksi itu, yang disebut zombie, bisa jadi dikendalikan dan diatur ke dalam jaringan zombie atas
perintah botmaster jarak jauh (juga disebut bot penggembala).

Spear Phishing (Phishing Tombak)

Phisher tombak sering kali menargetkan sekelompok orang tertentu dengan sesuatu yang sama. Menipu
pengguna untuk membuka email yang terinfeksi. E-mail yang dikirim terlihat seperti aslinya. Informasi
rahasia yang diekstrak melalui permintaan Situs Web yang tampaknya sah untuk kata sandi, ID
pengguna, PIN, nomor akun, dan sebagainya.

Pertahanan IT
Perangkat Lunak Antivirus : dirancang untuk mendeteksi kode berbahaya dan mencegah pengguna
mengunduhnya. Intrusion Detection Systems (IDSs) : Sesuai dengan namanya, IDS memindai lalu lintas
yang tidak biasa atau mencurigakan (pertahanan pasif). Intrusion Prevention Systems (IPSs): IPS
dirancang untuk mengambil tindakan segera, seperti memblokir alamat IP tertentu — setiap kali
anomali arus lalu lintas terdeteksi (pertahanan aktif).

3. Mobile, App, and Cloud Security Challenges

RISIKO KOMPUTASI CLOUD DAN JARINGAN SOSIAL

Memberikan satu titik kegagalan dan serangan untuk jaringan kriminal terorganisir. Informasi penting,
sensitif, dan privat berisiko, dan seperti tren TI sebelumnya, seperti jaringan nirkabel, tujuannya adalah
konektivitas, seringkali dengan sedikit perhatian pada keamanan. Seiring jaringan sosial meningkatkan
layanan mereka, kesenjangan antara layanan dan keamanan informasi juga meningkat.

PATCHES DAN PAKET LAYANAN

Ketika kerentanan baru ditemukan di sistem operasi, aplikasi, atau jaringan kabel dan nirkabel, patch
akan dirilis oleh vendor atau organisasi keamanan. Paket layanan digunakan untuk memperbarui dan
memperbaiki kerentanan di sistem operasinya.

KONSUMERISASI TEKNOLOGI INFORMASI (COIT)

Praktik yang memindahkan data perusahaan dan aset IT ke ponsel karyawan dan awan, menciptakan
rangkaian baru tantangan keamanan IT yang sulit. Aplikasi yang banyak digunakan terkadang beroperasi
di luar firewall organisasi. Perusahaan mengambil risiko dengan praktik BYOD yang tidak pernah mereka
pertimbangkan untuk diambil dengan perangkat komputasi konvensional.

SERANGAN VEKTOR BARU

BYOD, peretas mencuri rahasia dari perangkat seluler karyawan tanpa jejak. Kerentanan baru tercipta
ketika data dan komunikasi pribadi dan bisnis digabungkan bersama. Semua kontrol keamanan siber
dapat dianggap tidak berguna oleh perangkat milik karyawan. Penundaan yang tidak dapat diterima atau
investasi tambahan mungkin disebabkan oleh perangkat yang tidak didukung.

Biometrik Seluler : Pola Suara dan Analisis Sidik Jari

RESPONS KOMPUTASI SELULER

Mendeteksi dan menghancurkan aplikasi berbahaya "di alam liar" adalah pemantauan aplikasi nakal
yang mungkin mencakup toko aplikasi besar. Jika terinfeksi, hilang, atau dicuri, perangkat seluler dapat
dilengkapi dengan "tombol pemutus", sarana untuk menghapus memori mereka dari jarak jauh yang
disebut kemampuan penghapusan jarak jauh.

(DO NOT CARRY) Jangan membawa!

Perusahaan, lembaga pemerintah, dan organisasi A.S. dapat memberlakukan aturan yang menganggap
teknologi seluler pasti akan disusupi:

a. Hanya perangkat “bersih” yang diizinkan untuk dibawa masuk

b. Perangkat dilarang menghubungkan saat berada di luar negeri
c. Beberapa orang tidak membawa barang elektronik dalam perjalanan untuk kepatuhan

4. Kejahatan Keuangan dan Pertahanan Penipuan

KEJAHATAN

Kejahatan dengan Kekerasan melibatkan ancaman atau cedera fisik. Kejahatan Non-Kekerasan
menggunakan penipuan, kepercayaan diri, dan tipu daya dengan menyalahgunakan kekuatan posisi
mereka atau dengan memanfaatkan kepercayaan, ketidaktahuan, atau kemalasan orang lain, atau
dikenal sebagai Penipuan.

PENIPUAN/ANCAMAN

Penipuan terkait pekerjaan mengacu pada penyalahgunaan aset perusahaan yang disengaja untuk
keuntungan pribadi.

BERTAHAN MELAWAN ANCAMAN (DEFENDING AGAINST FRAUD)

Analisis Cerdas. Membentuk profil orang dalam untuk menemukan pola jaringan kriminal yang lebih
luas.

Deteksi Anomali. Jejak audit dari sistem kunci dan catatan personel yang digunakan untuk mendeteksi
pola-pola anomali, seperti jam kerja yang berlebihan, penyimpangan dalam pola perilaku, menyalin data
dalam jumlah besar, upaya untuk mengabaikan kontrol, transaksi yang tidak biasa, dan dokumentasi
yang tidak memadai tentang suatu transaksi.

PENCURIAN IDENTITAS

Nomor Jaminan Sosial dan kartu kredit dicuri dan digunakan oleh pencuri oleh : mencuri dompet,
penggalian tempat sampah, penyuapan, pencurian karyawan, pembobolan data, dan ketidaktahuan
atau tujuan yang tidak bertanggung jawab

5. Kepatuhan dan Pengendalian Internal (TAMBAHAN DARI PRESENTASI)

Pengendalian Internal (IC) adalah suatu proses untuk memastikan bahwa data sensitif dilindungi dan
dirancang akurat untuk mencapai : keandalan pelaporan keuangan, untuk melindungi investor, efisiensi
operasional, kepatuhan terhadap hukum, peraturan dan kebijakan, dan pengamanan asset.

KOMPLIKASI PERATURAN
Sarbanes-Oxley Act (SOX), Gramm-Leach-Bliley Act (GLBA), Federal Information Security Management
Act (FISMA), USA PATRIOT Act, dan banyak lainnya tergantung pada industri, pengarsipan perusahaan,
dan lokasi operasi.

Kerangka kerja untuk mengatasi kepatuhan: Enterprise Risk Management (ERM), Control Objectives for
Information and Related Technology (COBIT), Payment Card Industry Data Security Standard (PCI DSS).

Pengendalian diatur karen sekitar 85 persen dari kecurangan pekerjaan dapat dicegah jika pengendalian
internal berbasis TI yang tepat telah dirancang, diterapkan, dan diikuti, serta penuntutan mengurangi
kemungkinan setiap karyawan mengadopsi sikap "Saya bisa lolos begitu saja".

STRATEGI PERTAHANAN

a. Pencegahan dan pencegahan

b. Deteksi
c. Berisi kerusakan
d. Pemulihan
e. Koreksi
f. Kesadaran dan kepatuhan

Kontrol Strategi Pertahanan : Kontrol umum & Kontrol aplikasi

Otentikasi : Menyediakan cara untuk memastikan bahwa pengguna adalah yang diklaimnya.

Biometrik : Metode otomatis untuk memverifikasi identitas seseorang, berdasarkan karakteristik fisik
atau perilaku menggunakan sistem yang mencocokkan karakteristik dengan profil yang disimpan.

PEMULIHAN BENCANA VS KELANGSUNGAN BISNIS

Pemulihan Bencana adalah rencana cadangan yang memastikan bisnis bisa pulih setelah gangguan
besar, tetapi dalam jangka waktu yang lama.

Keberlangsungan Bisnis mengacu pada pemeliharaan fungsi bisnis atau memulihkannya dengan cepat
setelah terjadi gangguan besar. Kebakaran, gempa bumi, banjir, pemadaman listrik, serangan jahat, dan
jenis bencana lainnya adalah alasan bisnis harus memiliki rencana keberlangsungan bisnis.

MENGAUDIT SITUS WEB

Tindakan pencegahan yang baik untuk mengelola risiko hukum dengan meninjau konten situs, yang
dapat menyinggung orang atau melanggar undang-undang hak cipta atau peraturan lain (misalnya,
perlindungan privasi).

Biasanya tidak ekonomis menyiapkan perlindungan terhadap setiap kemungkinan ancaman. Oleh karena
itu, program keamanan IT harus menyediakan proses untuk menilai ancaman dan memutuskan mana
yang harus dipersiapkan dan mana yang harus diabaikan atau memberikan perlindungan yang dikurangi.
Dua metode tersebut adalah penilaian risiko dan analisis dampak bisnis. Penilaian risiko dilakukan
dengan menggunakan aplikasi atau spreadsheet. Perhitungan dasar ditunjukkan sebagai berikut:

Kerugian yang diharapkan = P1 x P2 x L

ANALISIS DAMPAK BISNIS

Analisis dampak bisnis (BIA) memperkirakan konsekuensi gangguan fungsi bisnis dan mengumpulkan
data untuk mengembangkan strategi pemulihan. Skenario potensi kerugian pertama kali diidentifikasi
selama penilaian risiko. Operasi juga dapat terganggu oleh kegagalan pemasok barang atau jasa atau
keterlambatan pengiriman. Ada banyak kemungkinan skenario yang harus dipertimbangkan. BIA
mengidentifikasi dampak operasional dan keuangan yang diakibatkan dari gangguan. Beberapa contoh
dampak yang perlu dipertimbangkan termasuk berikut:

a. Kehilangan penjualan dan pendapatan

b. Penjualan atau pendapatan tertunda
c. Peningkatan biaya (misalnya, tenaga kerja lembur, outsourcing, dan biaya percepatan)
d. Denda peraturan
e. Hukuman kontraktual atau hilangnya bonus kontrak
f. Ketidakpuasan atau pembelotan pelanggan Penundaan rencana bisnis baru.

Biaya dan kerugian ini harus dibandingkan dengan biaya untuk strategi pemulihan yang mungkin.
Laporan BIA harus memprioritaskan urutan kejadian untuk pemulihan bisnis, dengan proses yang
memiliki dampak operasional dan keuangan terbesar dipulihkan terlebih dahulu.