Nama : Dhanka Brianta Ginting

NIM : 12030119120018
Mata Kuliah : Sistem Informasi Manajemen
Kelas : B Akuntansi
Tanda Tangan :

Mengamankan Sistem Informasi

1. Mengapa sistem informasi rentan terhadap kerusakan, error, dan penyalahgunaan?

Keamanan mengacu pada kebijakan, prosedur, dan tindakan teknis digunakan untuk
mencegah akses yang tidak sah, perubahan, pencurian, atau kerusakan fisik ke sistem
informasi. Pengendalian adalah metode, kebijakan, dan prosedur organisasi yang
memastikan keamanan aset organisasi, keakuratan, dan keandalan catatannya, dan
kepatuhan operasional terhadap standar manajemen.
Dalam lingkungan komputasi klien/server multitier, kerentanan ada di setiap lapisan dan
dalam komunikasi di antara lapisan. Pengguna di lapisan klien dapat menyebabkan
kerusakan dengan memasukkan kesalahan atau dengan mengakses sistem tanpa otorisasi.
Radiasi juga dapat mengganggu jaringan di berbagai titik. Penyusup dapat meluncurkan
serangan denial-of-service atau perangkat lunak berbahaya untuk mengganggu
pengoperasian situs web. Mereka yang mampu menembus sistem perusahaan bisa mencuri,
menghancurkan, atau mengubah data perusahaan yang disimpan dalam database atau file.
Kesalahan dalam pemrograman, penginstalan yang tidak benar, atau perubahan yang tidak
sah menyebabkan perangkat lunak komputer gagal.
Jaringan publik yang besar, seperti Internet, lebih rentan daripada jaringan internal karena
hampir terbuka untuk siapa saja. Sebagian besar lalu lintas Voice over IP (VoIP) melalui
Internet tidak dienkripsi. Hacker dapat menyadap percakapan atau mematikan layanan suara
dengan membanjiri server yang mendukung VoIP dengan lalu lintas palsu. Kerentanan juga
meningkat dari meluasnya penggunaan email, pesan instan (IM), dan program berbagi file
peer-to-peer (P2P). Karyawan dapat menggunakan email untuk mengirimkan rahasia dagang
yang berharga, data keuangan, atau informasi rahasia pelanggan kepada penerima yang
tidak sah. Aplikasi IM yang populer dilakukan konsumen tidak menggunakan lapisan aman
untuk pesan teks, sehingga pesan itu dapat disadap dan dibaca oleh pihak luar selama
transmisi melalui Internet.
Program perangkat lunak berbahaya disebut sebagai malware dan mencakup berbagai
macam ancaman seperti virus komputer, worm, dan Trojan Horses. Virus komputer adalah
program perangkat lunak jahat yang menempel pada program software lain atau file data yang
akan dijalankan, biasanya tanpa sepengetahuan pengguna atau izin. Serangan terbaru
datang dari worm, yang merupakan program komputer independen yang menyalin dirinya
sendiri dari satu komputer ke komputer lain melalui jaringan. Tidak seperti virus, worm dapat
beroperasi sendiri tanpa menempel ke file program komputer lain dan tidak terlalu
mengandalkan perilaku manusia untuk menyebar dari komputer ke komputer.
Trojan Horses adalah salah satu jenis malware yang sering menyamar sebagai
software/perangkat lunak yang sah. Trojan Horses itu sendiri bukanlah virus karena dia tidak
mereplikasi, tetapi sering menjadi cara untuk virus atau kode berbahaya lainnya
diperkenalkan ke dalam sistem komputer. SQL Injection Attacks telah menjadi ancaman
malware utama. SQL Injection Attacks memanfaatkan kerentanan dalam aplikasi web dengan
kode perangkat lunak yang buruk untuk memasukkan kode program berbahaya ke dalam
sistem perusahaan dan jaringan. Kerentanan ini terjadi saat aplikasi web gagal memvalidasi
dengan benar atau memfilter data yang dimasukkan pengguna di halaman web, yang mungkin
terjadi jika memesan sesuatu secara online.
Malware yang dikenal sebagai ransomware berkembang biak di desktop dan seluler
perangkat. Ransomware mencoba memeras uang dari pengguna dengan mengambil kendali
atas mereka komputer atau menampilkan pesan pop-up yang mengganggu. Beberapa jenis
spyware juga bertindak sebagai malware. Program kecil ini menginstal sendiri secara diam-
diam di komputer untuk memantau penjelajahan web pengguna aktivitas dan menayangkan
iklan.
Seorang hacker adalah individu yang berniat untuk mendapatkan akses tidak sah ke
sistem komputer. Aktivitas hacker telah meluas melampaui intrusi sistem belaka untuk
memasukkan pencurian barang dan informasi juga sebagai kerusakan sistem dan
cybervandalism, gangguan yang disengaja, perusakan, atau bahkan penghancuran situs web
atau sistem informasi perusahaan. Spoofing mungkin juga melibatkan pengalihan tautan web
ke alamat yang berbeda dari yang dimaksud, dengan situs yang menyamar sebagai tujuan
yang dimaksudkan. Sniffer adalah jenis program penyadapan yang memantau perjalanan
informasi melalui jaringan. Dalam serangan denial-of-service (DoS), hacker membanjiri
server jaringan atau web server dengan ribuan komunikasi palsu atau permintaan layanan
untuk merusak jaringan. Serangan distributed denial-of-service (DDoS) menggunakan
banyak komputer untuk membanjiri dan membanjiri jaringan dari berbagai titik peluncuran.
Sebagian besar aktivitas hacker adalah pelanggaran kriminal, dan kerentanan sistem
menjadikan mereka target kejahatan komputer jenis lain.
Pencurian identitas adalah kejahatan di mana penipu memperoleh informasi pribadi
penting, seperti nomor jaminan sosial, nomor SIM, atau nomor kartu kredit, untuk menyamar
sebagai orang lain. Click fraud terjadi ketika program individu atau komputer dengan curang
mengklik iklan online tanpa niat untuk mempelajari lebih lanjut tentang pengiklan atau
melakukan pembelian. Cyberwarfare adalah aktivitas yang disponsori negara yang dirancang
untuk melumpuhkan dan mengalahkan negara atau bangsa lain dengan menembus komputer
atau jaringannya menyebabkan kerusakan dan gangguan. Cyberwarfare juga termasuk
pertahanan terhadap jenis serangan ini. Software Error menimbulkan ancaman konstan
terhadap sistem informasi, menyebabkan kerugian produktivitas dan terkadang
membahayakan orang yang menggunakan atau bergantung pada sistem.

2. Apa nilai bisnis dari keamanan dan kontrol?

Perusahaan memiliki aset informasi yang sangat berharga untuk dilindungi. Terdapat
beberapa persyaratan hukum dan peraturan untuk manajemen arsip elektronik. Jika Anda
bekerja di industri perawatan kesehatan, perusahaan Anda harus mematuhinya Health
Insurance Portability and Accountability Act (HIPAA) tahun 1996. HIPAA menguraikan aturan
dan prosedur keamanan medis dan privasi untuk menyederhanakan administrasi penagihan
perawatan kesehatan dan mengotomatiskan transfer data perawatan kesehatan antara
penyedia layanan kesehatan, pembayar, dan rencana. Jika Anda bekerja di perusahaan yang
menyediakan jasa keuangan, perusahaan Anda harus mematuhi Financial Service
Modernization Act tahun 1999, yang lebih dikenal dengan nama Gramm-Leach-Bliley Act
setelah sponsor kongresnya. Tindakan ini membutuhkan lembaga keuangan untuk
memastikan keamanan dan kerahasiaan data pelanggan.
Jika Anda bekerja di perusahaan publik, perusahaan Anda harus mematuhi Public
Company Accounting Reform and Investor Protection Act 2002, lebih dikenal sebagai
Sarbanes-Oxley Act. Tindakan ini dirancang untuk melindungi investor setelah skandal
keuangan di Enron, WorldCom, dan perusahaan publik lainnya. Ini membebankan tanggung
jawab pada perusahaan dan manajemen untuk menjaga keakuratan dan integritas informasi
keuangan yang digunakan secara internal dan dirilis secara eksternal.
 Computer forensics adalah koleksi ilmiah, pemeriksaan, otentikasi, pelestarian, dan
analisis data yang disimpan pada atau diambil dari media penyimpanan komputer agar
informasi tersebut dapat digunakan sebagai bukti di pengadilan. Ini berhubungan dengan
masalah berikut: memulihkan data dari komputer sambil menjaga integritas bukti, menyimpan
dan menangani data elektronik yang dipulihkan dengan aman, menemukan informasi penting
dalam sejumlah besar data elektronik, dan menyajikan informasi ke pengadilan. Kesadaran
tentang forensik komputer harus dimasukkan ke dalam proses perencanaan kontingensi
perusahaan.

3. Apa saja komponen kerangka kerja organisasi untuk keamanan dan kontrol?
Kontrol sistem informasi bersifat manual dan otomatis dan terdiri dari pengendalian umum
dan aplikasi. Kontrol umum mengatur desain, keamanan, dan penggunaan program
komputer dan keamanan file data secara umum di seluruh infrastruktur teknologi informasi
organisasi. Kontrol aplikasi adalah kontrol khusus yang unik untuk setiap komputerisasi
aplikasi, seperti penggajian atau pemrosesan pesanan. Kontrol aplikasi dapat diklasifikasikan
sebagai (1) input controls, (2) processing controls, dan (3) output controls.
Penilaian risiko menentukan tingkat risiko bagi perusahaan jika suatu kegiatan tertentu
atau proses tidak dikontrol dengan benar. Tidak semua risiko bisa diantisipasi dan diukur,
tetapi sebagian besar bisnis akan dapat memperoleh pemahaman risiko yang mereka hadapi.
Manajer bisnis bekerja dengan sistem informasi spesialis harus mencoba untuk menentukan
nilai aset informasi, poin kerentanan, kemungkinan frekuensi masalah, dan potensi
kerusakan. Security policy terdiri dari pernyataan peringkat risiko informasi, mengidentifikasi
tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai
tujuan tersebut.
Acceptable Use Policy (AUP) mendefinisikan penggunaan sumber daya informasi
perusahaan yang dapat diterima dan peralatan komputasi, termasuk komputer desktop dan
laptop, perangkat nirkabel, telepon, dan Internet. Identify management terdiri dari proses
bisnis dan perangkat lunak untuk mengidentifikasi pengguna sistem yang valid dan
mengontrol akses mereka ke sumber daya sistem. Disaster recovery planning menyusun
rencana untuk pemulihan komputasi dan komunikasi jasa yang terganggu. Fokus utama
disaster recovery planning adalah pada masalah teknis yang terlibat dalam menjaga sistem
tetap aktif dan berjalan, seperti file mana yang akan dicadangkan dan pemeliharaan sistem
komputer cadangan atau pemulihan bencana jasa.
Business continuity planning berfokus pada bagaimana perusahaan dapat memulihkan
operasi bisnis setelah bencana melanda. Business continuity plan mengidentifikasi proses
bisnis yang penting dan menentukan rencana tindakan untuk penanganan fungsi mission-
critical jika sistem mati. Information systems audit memeriksa lingkungan keamanan
perusahaan secara keseluruhan serta kontrol yang mengatur informasi individu sistem.
Auditor harus melacak aliran transaksi sampel melalui sistem dan melakukan pengujian,
menggunakan, dan jika sesuai, perangkat lunak audit otomatis.

4. Apa alat dan teknologi yang paling penting untuk menjaga informasi sumber daya?
Bisnis memiliki serangkaian teknologi untuk melindungi informasi mereka sumber daya.
Mereka termasuk alat untuk mengelola identitas pengguna, mencegah orang yang tidak
berwenang mengakses ke sistem dan data, memastikan ketersediaan sistem, dan
memastikan kualitas perangkat lunak. Untuk mendapatkan akses ke sistem, pengguna harus
diotorisasi dan diautentikasi. Otentikasi mengacu pada kemampuan untuk mengetahui
bahwa seseorang adalah dirinya sendiri mengaku. Otentikasi sering dibuat dengan
menggunakan kata sandi yang dikenal hanya untuk pengguna yang berwenang. Otentikasi
biometrik menggunakan sistem yang membaca dan menafsirkan individu ciri-ciri manusia,
seperti sidik jari, iris, dan suara untuk memberikan atau menolak akses. Otentikasi biometrik
didasarkan pada pengukuran fisik atau perilaku sifat yang membuat setiap individu unik.
Otentikasi dua faktor meningkatkan keamanan dengan memvalidasi pengguna melalui
proses beberapa langkah atau dua cara identifikasi seperti pin atau kata sandi. Firewall
mencegah pengguna yang tidak sah mengakses jaringan pribadi. Firewall adalah kombinasi
dari perangkat keras dan perangkat lunak yang mengontrol aliran lalu lintas jaringan masuk
dan keluar. Intrusion detection systems adalah fitur alat pemantauan penuh waktu yang
ditempatkan di titik yang paling rentan atau hotspot jaringan perusahaan untuk mendeteksi
dan mencegah penyusup secara terus menerus.
Perangkat lunak antivirus mencegah, mendeteksi, dan menghapus malware, termasuk
virus komputer, worm, Trojan horses, spyware, dan adware. Namun, sebagian besar
perangkat lunak antivirus hanya efektif terhadap malware yang sudah diketahui saat software
itu dibuat. Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor
keamanan telah digabungkan menjadi satu alat berbagai alat keamanan, termasuk firewall,
VPN, sistem deteksi intrusi, dan konten web perangkat lunak penyaringan dan anti-spam.
Produk manajemen keamanan yang komprehensif ini disebut sistem Unified Threat
Management (UTM).
Perusahaan dapat lebih meningkatkan keamanan Wi-Fi dengan menggunakan Wired
Equivalent Privacy (WEP) bersama-sama dengan teknologi Virtual Private Network (VPN)
saat mengakses data internal perusahaan. Enkripsi adalah proses mengubah teks biasa atau
data menjadi teks sandi yang tidak dapat dibaca oleh siapa pun selain pengirim dan penerima
yang dituju. Data dienkripsi dengan menggunakan file kode numerik rahasia, yang disebut
kunci enkripsi, yang mengubah data biasa menjadi teks sandi. Pesan harus didekripsi oleh
penerima. Dua metode untuk mengenkripsi lalu lintas jaringan di web adalah SSL dan S-
HTTP.
Dalam pemrosesan transaksi online, transaksi masuk online segera diproses oleh
komputer. Banyak sekali perubahan database, pelaporan, dan permintaan informasi terjadi
masing-masing secara instan. Fault-tolerant computer systems mengandung perangkat
keras, perangkat lunak, dan komponen catu daya yang menciptakan lingkungan yang
menyediakan kontinyu, layanan tanpa gangguan. Deep Packet Inspection (DPI) memeriksa
file data dan memilah materi online dengan prioritas rendah dan menetapkan prioritas lebih
tinggi ke file bisnis penting. Banyak perusahaan, terutama bisnis kecil, kekurangan sumber
daya atau keahlian menyediakan sendiri lingkungan komputasi ketersediaan tinggi yang
aman. Mereka dapat melakukan outsourcing banyak fungsi keamanan ke managed security
service providers (MSSPs) yang memantau aktivitas jaringan dan melakukan pengujian
kerentanan dan deteksi intrusi.
Keamanan cloud mengacu pada serangkaian kebijakan, teknologi, dan kontrol yang
diterapkan untuk melindungi data, aplikasi, dan infrastruktur komputasi awan yang terkait. Ini
adalah sub-domain keamanan komputer, keamanan jaringan, dan lebih luas lagi, keamanan
informasi. Dalam keamanan mobile platform, perusahaan harus mengenkripsi komunikasi bila
memungkinkan. Semua ponsel perangkat pengguna harus menggunakan fitur kata sandi
yang ditemukan di setiap smartphone. Produk keamanan seluler tersedia dari Kaspersky,
Symantec, Trend Micro, dan McAfee.
Selain menerapkan keamanan dan kontrol yang efektif, organisasi dapat meningkatkan
kualitas dan keandalan sistem dengan menggunakan metrik perangkat lunak dan pengujian
perangkat lunak. Metrik perangkat lunak adalah penilaian objektif dari sistem dalam bentuk
pengukuran terkuantifikasi. Penggunaan metrik yang berkelanjutan memungkinkan
departemen sistem informasi dan pengguna akhir untuk mengukur kinerja sistem bersama-
sama dan mengidentifikasi masalah yang terjadi.