Nim : 01118003
RANGKUMAN SIM BAB 7
Data yang disimpan dalam bentuk elektronik kan rentan terhadap ancaman. Karena
jaringan konumiskasi dan sistem informasi saling berhubungan di berbagai lokasi. Sehingga
potensi penyalahgunaan dan kecurangan tidak terbatas.
Virus komputer adalah program perangkat lunak nakal yang melekat pada program
perangkat lunak lain atau file data agar dapat dijalankan, biasanya tanpa sepengetahuan atau izin
pengguna.
Worm, yaitu program komputer independen yang menyalin dirinya dari satu komputer
ke komputer lain melalui jaringan. Tidak seperti virus, cacing dapat beroperasi sendiri tanpa
melekat pada file program komputer lain dan tidak bergantung pada perilaku manusia agar bisa
menyebar dari komputer ke komputer. Ini menjelaskan mengapa worm komputer menyebar jauh
lebih cepat daripada virus komputer. Worms menghancurkan data dan program sekaligus
mengganggu atau bahkan menghentikan pengoperasian jaringan komputer.
Trojan Horses adalah replika atau duplikat virus. Sifat trojan adalah mengontrol
komputer secara otomatis.
Seorang hacker adalah individu yang berniat untuk mendapatkan akses tidak sah ke
sistem komputer. Hacker dan cracker mendapatkan akses yang tidak sah dengan menemukan
kelemahan dalam perlindungan keamanan yang digunakan oleh situs Web dan sistem komputer,
sering memanfaatkan beragam fitur Internet yang menjadikannya sistem terbuka dan mudah
digunakan. Aktivitas Hacker telah meluas melampaui gangguan sistem semata-mata termasuk
pencurian barang dan informasi, serta kerusakan sistem dan cybervandalisme, gangguan,
penghindaran, atau penghancuran situs Web atau sistem informasi perusahaan yang disengaja.
Spoofing juga mungkin melibatkan pengalihan tautan Web ke alamat yang berbeda
dari yang dimaksud, dengan situs menyamar sebagai tujuan yang dimaksudkan. Misalnya, jika
peretas mengalihkan pelanggan ke situs Web palsu yang terlihat hampir persis seperti situs
sebenarnya, mereka kemudian dapat mengumpulkan dan memproses pesanan, mencuri informasi
bisnis dan sensitif secara efektif dari situs sebenarnya. Sniffer adalah jenis program penyadapan
yang memonitor informasi yang dilakukan melalui jaringan. Bila digunakan secara sah, sniffer
membantu mengidentifikasi titik-titik masalah jaringan potensial atau aktivitas kriminal pada
jaringan, namun bila digunakan untuk tujuan kriminal, dapat merusak dan sangat sulit dideteksi.
Sniffer memungkinkan hacker mencuri informasi kepemilikan dari manapun di jaringan,
termasuk pesan e-mail, file perusahaan, dan laporan rahasia.
3. Kejahatan Komputer
Sebagian besar aktivitas hacker adalah tindak pidana, dan kerentanan sistem yang baru
saja kami jelaskan membuat mereka menjadi target jenis kejahatan komputer lainnya. Tidak ada
yang tahu besarnya masalah kejahatan komputer – berapa banyak sistem yang diserang, berapa
banyak orang yang terlibat dalam praktik tersebut, atau kerusakan ekonomi total.
4. Pencurian identitas
Karyawan memiliki akses terhadap informasi istimewa, dan dengan adanya prosedur
keamanan internal yang ceroboh, mereka sering dapat berkeliaran di seluruh sistem organisasi
tanpa meninggalkan jejak. Studi telah menemukan bahwa kurangnya pengetahuan pengguna
adalah penyebab terbesar tunggal dari pelanggaran keamanan jaringan. Banyak karyawan lupa
password mereka untuk mengakses sistem komputer atau mengizinkan rekan kerja
menggunakannya, yang membahayakan sistem. Penyerang berbahaya yang mencari akses sistem
kadang-kadang mengelabui karyawan untuk mengungkapkan kata sandinya dengan berpura-pura
menjadi anggota sah perusahaan yang membutuhkan informasi. Praktek ini disebut rekayasa
sosial. Baik pengguna akhir maupun spesialis sistem informasi juga merupakan sumber
kesalahan utama yang diperkenalkan ke dalam sistem informasi.
Banyak perusahaan enggan membebani keamanan karena tidak terkait langsung dengan
pendapatan penjualan. Namun, melindungi sistem informasi sangat penting bagi operasi bisnis
yang layak mendapat tampilan kedua. Perusahaan memiliki aset informasi yang sangat berharga
untuk dilindungi. Sistem sering menyimpan informasi rahasia tentang pajak individu, aset
keuangan, catatan medis, dan ulasan kinerja pekerjaan. Aset informasi ini memiliki nilai yang
sangat besar, dan akibatnya bisa menghancurkan jika mereka hilang, hancur, atau ditempatkan
dalam posisi yang salah.
Jika bekerja di perusahaan yang menyediakan layanan keuangan, perusahaan harus mematuhi
Undang-Undang Modernisasi Jasa Keuangan tahun 1999, yang lebih dikenal dengan Gramm-
Leach-Bliley Act setelah sponsor kongresnya. Tindakan ini mewajibkan lembaga keuangan
untuk menjamin keamanan dan kerahasiaan data nasabah. Data harus disimpan pada media yang
aman, dan tindakan pengamanan khusus harus diterapkan untuk melindungi data semacam itu
pada media penyimpanan dan selama pengiriman. Jika bekerja di perusahaan publik, perusahaan
harus mematuhi Reformasi Akunting Perusahaan Publik dan Undang-Undang Perlindungan
Investor tahun 2002, yang lebih dikenal dengan Sarbanes-Oxley Act setelah sponsornya Senator
Paul Sarbanes dari Maryland dan Perwakilan Michael Oxley dari Ohio . Undang-undang ini
dirancang untuk melindungi investor setelah skandal keuangan di Enron, WorldCom, dan
perusahaan publik lainnya. Ini memberlakukan tanggung jawab pada perusahaan dan manajemen
mereka untuk menjaga keakuratan dan integritas informasi keuangan yang digunakan secara
internal dan dikeluarkan secara eksternal. Salah satu Trek Belajar untuk bab ini membahas
Sarbanes-Oxley secara rinci. Sarbanes-Oxley pada dasarnya adalah untuk memastikan bahwa
pengendalian internal tersedia untuk mengatur pembuatan dan dokumentasi informasi dalam
laporan keuangan. Karena sistem informasi digunakan untuk menghasilkan, menyimpan, dan
mengangkut data tersebut, undang-undang mengharuskan perusahaan mempertimbangkan
keamanan sistem informasi dan kontrol lainnya yang diperlukan untuk memastikan integritas,
kerahasiaan, dan keakuratan datanya. Setiap aplikasi sistem yang menangani data pelaporan
keuangan penting memerlukan kontrol untuk memastikan data akurat. Kontrol untuk
mengamankan jaringan perusahaan, mencegah akses tidak sah ke sistem dan data, dan
memastikan integritas dan ketersediaan data jika terjadi bencana atau gangguan layanan lainnya
juga penting.
Kontrol sistem informasi bersifat manual dan otomatis dan terdiri dari kontrol umum
dan aplikasi. Kontrol umum mengatur perancangan, keamanan, dan penggunaan program
komputer dan keamanan file data secara umum di seluruh infrastruktur teknologi informasi
organisasi. Secara keseluruhan, kontrol umum berlaku untuk semua aplikasi terkomputerisasi
dan terdiri dari kombinasi perangkat keras, perangkat lunak, dan prosedur manual yang
menciptakan lingkungan kontrol secara keseluruhan.
Kontrol aplikasi dapat diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan,
dan (3) kontrol output. Kontrol input memeriksa data untuk akurasi dan kelengkapan saat
memasuki sistem. Ada kontrol masukan khusus untuk otorisasi masukan, konversi data,
pengeditan data, dan penanganan kesalahan. Kontrol pemrosesan menentukan bahwa data sudah
lengkap dan akurat selama pemutakhiran. Kontrol output memastikan bahwa hasil pengolahan
komputer akurat, lengkap, dan terdistribusi dengan baik. Anda dapat menemukan lebih banyak
detail tentang aplikasi dan kontrol umum di Trek Belajar kami.
Tugas beresiko
Kebijakan keamanan
Rencana pemulihan bencana berfokus terutama pada masalah teknis yang terkait dalam
menjaga agar sistem tetap berjalan, seperti file yang akan dibuat cadangan dan pemeliharaan
sistem komputer cadangan atau layanan pemulihan bencana. Perencanaan kesinambungan bisnis
berfokus pada bagaimana perusahaan dapat memulihkan operasi bisnis setelah terjadi bencana.
Rencana kesinambungan bisnis mengidentifikasi proses bisnis yang penting dan menentukan
rencana tindakan untuk menangani fungsi mission-critical jika sistem turun. Manajer bisnis dan
spesialis teknologi informasi perlu bekerja sama dalam kedua jenis rencana untuk menentukan
sistem dan proses bisnis mana yang paling penting bagi perusahaan. Mereka harus melakukan
analisis dampak bisnis untuk mengidentifikasi sistem perusahaan yang paling kritis dan dampak
pemadaman sistem terhadap bisnis. Manajemen harus menentukan jumlah maksimum waktu
bisnis dapat bertahan dengan sistemnya dan bagian mana dari bisnis yang harus dipulihkan
terlebih dahulu.
Peran Audit
Audit SIM memeriksa lingkungan keamanan keseluruhan perusahaan serta kontrol yang
mengatur sistem informasi perorangan. Auditor harus melacak arus contoh transaksi melalui
sistem dan melakukan pengujian dengan menggunakan perangkat lunak audit otomatis. Audit
juga dapat memeriksa kualitas data. Audit keamanan meninjau teknologi, prosedur,
dokumentasi, pelatihan, dan personil. Audit menyeluruh bahkan akan mensimulasikan serangan
atau bencana untuk menguji respons teknologi, staf sistem informasi, dan pelaku bisnis.
Otentikasi mengacu pada kemampuan untuk mengetahui bahwa seseorang adalah siapa
yang diklaimnya. Otentikasi sering dibuat dengan menggunakan kata kunci yang hanya diketahui
oleh pengguna yang berwenang. Pengguna akhir menggunakan kata sandi untuk masuk ke sistem
komputer dan mungkin juga menggunakan kata sandi untuk mengakses sistem dan file tertentu.
Namun, pengguna sering lupa password, membaginya, atau memilih password yang buruk yang
mudah ditebak, yang membahayakan keamanan. Sistem password yang terlalu ketat
menghambat produktivitas karyawan. Bila karyawan sering sering mengganti password yang
rumit, mereka sering mengambil jalan pintas, seperti memilih kata kunci yang mudah ditebak
atau disimpan di komputer mereka dengan mudah. Kata sandi juga bisa “mengendus” jika
ditransmisikan melalui jaringan atau dicuri melalui rekayasa sosial.
Rencana teknologi defensif untuk individu dan bisnis harus mencakup perlindungan
anti-malware untuk setiap komputer. Perangkat lunak antivirus mencegah, mendeteksi, dan
menghapus perangkat lunak perusak, termasuk virus komputer, worm komputer, trojan horse,
spyware, dan adware. Namun, kebanyakan perangkat lunak antivirus hanya efektif melawan
malware yang sudah diketahui saat perangkat lunak itu ditulis. Agar tetap efektif, perangkat
lunak antivirus harus terus diperbarui.
Standar keamanan awal yang dikembangkan untuk Wi-Fi, yang disebut Wired
Equivalent Privacy (WEP), tidak begitu efektif karena kunci enkripsinya relatif mudah retak.
WEP menyediakan beberapa margin keamanan, namun, jika pengguna ingat untuk
mengaktifkannya. Korporasi selanjutnya dapat meningkatkan keamanan Wi-Fi dengan
menggunakannya bersamaan dengan teknologi virtual private network (VPN) saat mengakses
data perusahaan internal.
Enkripsi adalah proses mengubah teks biasa atau data menjadi teks sandi yang tidak
dapat dibaca oleh orang lain selain pengirim dan penerima yang dituju. Data dienkripsi dengan
menggunakan kode numerik rahasia, yang disebut kunci enkripsi, yang mengubah data biasa
menjadi teks sandi. Infrastruktur kunci publik (public key infrastructure / PKI), penggunaan
kriptografi kunci publik yang bekerja dengan CA, sekarang banyak digunakan dalam e-
commerce.
Meskipun komputasi awan dan platform mobile digital yang muncul memiliki potensi untuk
memberikan manfaat yang kuat, namun tantangan baru terhadap keamanan dan keandalan
sistem.
Keamanan di Awan
Metrik perangkat lunak adalah penilaian yang obyektif terhadap sistem dalam bentuk
pengukuran kuantitatif. Penggunaan metrik yang terus berlanjut memungkinkan departemen
sistem informasi dan pengguna akhir untuk mengukur kinerja sistem secara bersama dan
mengidentifikasi masalah saat terjadi.
Sumber :