Rangkuman Chapter 8
Rangkuman Chapter 8
Program perangkat lunak berbahaya dapat memasukkan berbagai ancaman seperti virus
komputer, worms, dan trojan horses ke perangkat elektronik kita. Virus komputer adalah
program perangkat lunak yang jahat dan menempel pada program perangkat lunak lain atau
file data yang akan diekseskusi (biasanya tanpa sepengetahuan atau seizin pengguna).
Sedangkan worms adalah program komputer independen yang bisa menyalin diri dari satu
komputer ke komputer lain melalui jaringan dan dapat beroperasi sendiri tanpa menempel
pada program komputer. Trojan horse adalah program perangkat lunak yang kelihatan
jinak tetapi membawa sesuatu yang tidak diharapkan (biasanya membawa virus). Contoh
lain dari malware adalah ransomware (memeras uang dari pengguna dengan mengambil
kendali atas komputer mereka), spyware (program yang memantau secara diam-diam
aktivitas pengguna komputer). Selain itu terdapat kejahatan computer yaitu peretas
(hacker) adalah individu yang berkeinginan untuk memperoleh akses tanpa izin dari sebuah
sistem computer. Dalam komunitas peretasan, istilah cracker umum digunakan untuk
menyebut peretas dengan niat criminal. Kegiatan peretas telah meluas dari sekadar sistem
penyusupan menjadi kegiatan pencurian barang dan informasi, juga kerusakan sistem dan
cybervandalism yaitu gangguan yang disengaja, perusakan atau bahkan destruksi situs
web. Spoofing dan Sniffing (Spoofing: usaha hacker menyembunyikan identitas mereka
yang sebenarnya dengan menggunakan identitas dan alamat email palsu. Sniffer: jenis
program penyadapan yang memantau informasi perjalanan melalui jaringan)
Adapun tindakan-tindakan yang biasa dilakukan oleh hacker:
Serangan denial-of-service (DoS) (Hacker membanjiri server jaringan atau web dengan
ribuan komunikasi palsu atau permintaan layanan untuk menghancurkan jaringan)
Computer crime (Pelanggaran hukum pidana yang melibatkan pengetahuan teknologi
komputer dalam aksinya)
Pencurian identitas (Kejahatan dimana hacker memperoleh informasi kunci, seperti nomor
jaminan sosial, atau nomor kartu kredit untuk menyamar sebagai oranga lain)
Click Fraud (Seseorang atau komputer tanpa sengaja mengeklik iklan tanpa berniat untuk
mengetahui lebih lanjut mengenai iklan tersebut)
Cyberterrorism dan cyberwarfare (kegiatan yang disponsori suatu negara untuk
melumpuhkan atau mengalahkan negara lain dengan membuat kerusakan atau gangguan
kepada komputer atau jaringan negara tersebut)
Ancaman tidak hanya disebabkan oleh orang diluar organisasi, tetapi bisa saja timbul
dalam lingkungan organisasi. Terdapat praktik bernama social engineering dimana penyusup jahat
menipu karyawan untuk mengungkapkan kata sandi mereka dengan berpura-pura menjadi anggota
sah perusahaan yang membutuhkan informasi. Error pada perangkat lunak menimbulkan ancaman
konstan terhadap sistem informasi perusahaan. Masalah utama perangkat lunak adalah adanya bug
atau kecacatan kode pemrograman. Kelemahan pada perangkat lunak tidak hanya menghambat
kinerja tetapi juga menciptakan kerentanan keamanan yang membuka jaringan bagi para
penyusup.
Perusahaan memiliki aset berupa informasi berharga yang harus dilindungi. Keamanan dan
kontrol yang tidak memadai dapat mengakibatkan pertanggungjawaban hukum yang serius.
Perusahaan harus melindungi semua aset informasi mereka termasuk informasi mengenai
pelanggan, karyawan, dan mitra bisnis. Sistem biasanya memuat data rahasia terkait pajak
individu, asset keuangan, catatan medis, dan tinjauan kerja. Pengendalian dan keamanan yang
tidak memadai dapat berakibat pada tanggung jawab hukum yang serius. Perusahaan tidak hanya
melindungi asset informasi mereka sendiri namun juga asset informasi pelanggan, karyawan dan
partner bisnis mereka.
1. Kontrol sistem informasi, terbagi menjadi kontrol umum : mengatur desain, keamanan, dan
penggunaan program komputer secara umum di seluruh infrastruktur teknologi informasi
organisasi dan kontrol aplikasi : kontrol khusus yang unik untuk setiap aplikasi komputer,
terbagi menjadi: kontrol input, kontrol pemrosesan, kontrol output.
2. Penilaian risiko : tingkat risiko perusahaan jika aktivitas tidak dikontrol dengan baik.
3. Peraturan keamanan : identifikasi tujuan keamanan & mekanisme pencapaian tujuan.
4. Perencanaan pemulihan bencana dan kelangsungan bisnis : penyusunan rencana untuk
memulihkan layanan komputasi dan komunikasi yang terganggu.
5. Peran audit : memeriksa keamanan lingkungan perusahaan secara keseluruhan.
Manajemen identitas dan otentikasi : kemampuan untuk mengetahui bahwa orang yang
mengakses informasi adalah orang yang benar dan sesuai dengan klaimnya. Otentikasi
dibuktikan dengan password,token,smart card,biometric,dan two-factor authentication.
Firewall, intrusion detection systems, antivirus software, dan unified threat
management systems (UTM) : firewall:mencegah pengguna yang tidak sah mengakses
jaringan pribadi, intrusion detection systems:alat pemantau full-time untuk mendeteksi dan
mencegah penyusup, antivirus software: mencegah, mendeteksi dan menghapus malware,
UTM: produk manajemen komprehensif untuk meningkatkan keamanan.
Mengamankan jaringan wireless : menggunakan wired equivalent privacy dan VPN.
Enkripsi dan infrastruktur kunci publik : mengubah teks atau data biasa menjadi teks
sandi yang tidak dapat dibaca siapapun selain pengirim dan penerima yang dimaksud
dengan menggunakan secure socket layer atau secure hypertext transfer protocol.
Memastikan ketersediaan sistem : mengontrol jaringan dengan deep packet inspection
(DPI) dan melakukan security outsourcing ke managed security service providers.
Isu keamanan untuk cloud computing dan mobile digital platform : Keamanan cloud
harus memenuhi persyaratan perusahaan dan mengamankan mobile platforms.
Memastikan kualitas perangkat lunak : meningkatkan kualitas dan keandalan sistem
dengan menggunakan perangkat lunak metrics dan menguji perangkat lunak. Pengujian
lebih awal dilakukan secara regular, dan ketat akan berkontribusi secara signifikan pada
kualitas sistem.