Rangkuman Chapter 8

Melindungi Sistem Informasi

Oleh : Kadek Maydi Cahyani / (19/441377/EK/22395)

8.1 Kerentanan dan Penyalahgunaan Sistem

Dalam menjalankan bisnis, keamanan dan pengendalian merupakan sebuah prioritas

utama. Keamanan merujuk kepada kebijakan, prosedur, dan pengukuran teknis yang digunakan
untuk mencegah akses yang tidak berwenang pada sistem informasi. Pengendalian adalah metode
kebijakan dan prosedur organisasi yang memastikan keamanan asset organisasi. Ketika data dalam
jumlah besar disimpan dalam bentuk elektronik, mereka menjadi lebih rentan terhadap berbagai
macam ancaman dibandingkan saat berada dalam bentuk manual. Dalam lingkungan komputasi
klien/server berlapis yang digambarkan di sini, kerentanan terdapat pada setiap lapisan dan
komunikasi antar lapisan. Jaringan publik yang luas, seperti internet akan lebih rentan
dibandingkan dengan jaringan internal. Komputer yang selalu terhubung dengan internet melalui
kabel modem atau jalur DSL lebih terbuka terhadap penetrasi pihak luar.

 Program perangkat lunak berbahaya dapat memasukkan berbagai ancaman seperti virus
komputer, worms, dan trojan horses ke perangkat elektronik kita. Virus komputer adalah
program perangkat lunak yang jahat dan menempel pada program perangkat lunak lain atau
file data yang akan diekseskusi (biasanya tanpa sepengetahuan atau seizin pengguna).
Sedangkan worms adalah program komputer independen yang bisa menyalin diri dari satu
komputer ke komputer lain melalui jaringan dan dapat beroperasi sendiri tanpa menempel
pada program komputer. Trojan horse adalah program perangkat lunak yang kelihatan
jinak tetapi membawa sesuatu yang tidak diharapkan (biasanya membawa virus). Contoh
lain dari malware adalah ransomware (memeras uang dari pengguna dengan mengambil
kendali atas komputer mereka), spyware (program yang memantau secara diam-diam
aktivitas pengguna komputer). Selain itu terdapat kejahatan computer yaitu peretas
(hacker) adalah individu yang berkeinginan untuk memperoleh akses tanpa izin dari sebuah
sistem computer. Dalam komunitas peretasan, istilah cracker umum digunakan untuk
menyebut peretas dengan niat criminal. Kegiatan peretas telah meluas dari sekadar sistem
penyusupan menjadi kegiatan pencurian barang dan informasi, juga kerusakan sistem dan
cybervandalism yaitu gangguan yang disengaja, perusakan atau bahkan destruksi situs
web. Spoofing dan Sniffing (Spoofing: usaha hacker menyembunyikan identitas mereka
yang sebenarnya dengan menggunakan identitas dan alamat email palsu. Sniffer: jenis
program penyadapan yang memantau informasi perjalanan melalui jaringan)
Adapun tindakan-tindakan yang biasa dilakukan oleh hacker:
 Serangan denial-of-service (DoS) (Hacker membanjiri server jaringan atau web dengan
ribuan komunikasi palsu atau permintaan layanan untuk menghancurkan jaringan)
 Computer crime (Pelanggaran hukum pidana yang melibatkan pengetahuan teknologi
komputer dalam aksinya)
 Pencurian identitas (Kejahatan dimana hacker memperoleh informasi kunci, seperti nomor
jaminan sosial, atau nomor kartu kredit untuk menyamar sebagai oranga lain)
 Click Fraud (Seseorang atau komputer tanpa sengaja mengeklik iklan tanpa berniat untuk
mengetahui lebih lanjut mengenai iklan tersebut)
 Cyberterrorism dan cyberwarfare (kegiatan yang disponsori suatu negara untuk
melumpuhkan atau mengalahkan negara lain dengan membuat kerusakan atau gangguan
kepada komputer atau jaringan negara tersebut)

Ancaman tidak hanya disebabkan oleh orang diluar organisasi, tetapi bisa saja timbul
dalam lingkungan organisasi. Terdapat praktik bernama social engineering dimana penyusup jahat
menipu karyawan untuk mengungkapkan kata sandi mereka dengan berpura-pura menjadi anggota
sah perusahaan yang membutuhkan informasi. Error pada perangkat lunak menimbulkan ancaman
konstan terhadap sistem informasi perusahaan. Masalah utama perangkat lunak adalah adanya bug
atau kecacatan kode pemrograman. Kelemahan pada perangkat lunak tidak hanya menghambat
kinerja tetapi juga menciptakan kerentanan keamanan yang membuka jaringan bagi para
penyusup.

8.2 Nilai Bisnis Keamanan dan Pengendalian

Perusahaan memiliki aset berupa informasi berharga yang harus dilindungi. Keamanan dan
kontrol yang tidak memadai dapat mengakibatkan pertanggungjawaban hukum yang serius.
Perusahaan harus melindungi semua aset informasi mereka termasuk informasi mengenai
pelanggan, karyawan, dan mitra bisnis. Sistem biasanya memuat data rahasia terkait pajak
individu, asset keuangan, catatan medis, dan tinjauan kerja. Pengendalian dan keamanan yang
tidak memadai dapat berakibat pada tanggung jawab hukum yang serius. Perusahaan tidak hanya
melindungi asset informasi mereka sendiri namun juga asset informasi pelanggan, karyawan dan
partner bisnis mereka.

8.3 Membangun Kerangka Kerja Untuk Pengamanan dan Pengendalian

Kerangka kerja organisasi untuk keamanan dan kontrol antara lain:

1. Kontrol sistem informasi, terbagi menjadi kontrol umum : mengatur desain, keamanan, dan
penggunaan program komputer secara umum di seluruh infrastruktur teknologi informasi
organisasi dan kontrol aplikasi : kontrol khusus yang unik untuk setiap aplikasi komputer,
terbagi menjadi: kontrol input, kontrol pemrosesan, kontrol output.
2. Penilaian risiko : tingkat risiko perusahaan jika aktivitas tidak dikontrol dengan baik.
3. Peraturan keamanan : identifikasi tujuan keamanan & mekanisme pencapaian tujuan.
4. Perencanaan pemulihan bencana dan kelangsungan bisnis : penyusunan rencana untuk
memulihkan layanan komputasi dan komunikasi yang terganggu.
5. Peran audit : memeriksa keamanan lingkungan perusahaan secara keseluruhan.

8.4 Teknologi dan Sarana Untuk Melindungi Sumber-Sumber Informasi

 Manajemen identitas dan otentikasi : kemampuan untuk mengetahui bahwa orang yang
mengakses informasi adalah orang yang benar dan sesuai dengan klaimnya. Otentikasi
dibuktikan dengan password,token,smart card,biometric,dan two-factor authentication.
 Firewall, intrusion detection systems, antivirus software, dan unified threat
management systems (UTM) : firewall:mencegah pengguna yang tidak sah mengakses
jaringan pribadi, intrusion detection systems:alat pemantau full-time untuk mendeteksi dan
mencegah penyusup, antivirus software: mencegah, mendeteksi dan menghapus malware,
UTM: produk manajemen komprehensif untuk meningkatkan keamanan.
 Mengamankan jaringan wireless : menggunakan wired equivalent privacy dan VPN.
 Enkripsi dan infrastruktur kunci publik : mengubah teks atau data biasa menjadi teks
sandi yang tidak dapat dibaca siapapun selain pengirim dan penerima yang dimaksud
dengan menggunakan secure socket layer atau secure hypertext transfer protocol.
 Memastikan ketersediaan sistem : mengontrol jaringan dengan deep packet inspection
(DPI) dan melakukan security outsourcing ke managed security service providers.
 Isu keamanan untuk cloud computing dan mobile digital platform : Keamanan cloud
harus memenuhi persyaratan perusahaan dan mengamankan mobile platforms.
 Memastikan kualitas perangkat lunak : meningkatkan kualitas dan keandalan sistem
dengan menggunakan perangkat lunak metrics dan menguji perangkat lunak. Pengujian
lebih awal dilakukan secara regular, dan ketat akan berkontribusi secara signifikan pada
kualitas sistem.