Chapter 4 : Informasi Keamanan

4.1 Pengenalan terhadap Informasi Keamanan

Keamanan adalah tingkat perlindungan terhadap aktivitas kriminal, bahaya, kerusakan,
dan / atau kehilangan. Keamanan informasi mengacu pada semua proses dan kebijakan yang
dirancang untuk melindungi sistem informasi dan informasi organisasi dari akses,
penggunaan, pengungkapan, gangguan, modifikasi, atau perusakan yang tidak sah oleh
organisasi.
Saat ini, terdapat 5 faktor utama yang berpengaruh terhadap meningkatnya kerentanan
sumber daya informasi organisasi, sehingga membuat lebih sulit untuk mengamankannya
yaitu :
1) Lingkungan bisnis yang saling terhubung dan saling bergantung dengan
jaringan nirkabel
Teknologi nirkabel memungkinkan karyawan untuk menghitung, berkomunikasi,
dan mengakses Internet di mana saja dan kapan saja. Secara signifikan, nirkabel
adalah media komunikasi siaran yang pada dasarnya tidak aman.

2) Komputer dan perangkat penyimpanan yang lebih kecil, lebih cepat, dan lebih
murah dengan kapasitas penyimpanan yang lebih besar
Karakteristik ini membuatnya lebih mudah untuk mencuri atau kehilangan komputer
atau perangkat penyimpanan yang berisi sejumlah besar informasi sensitif.

3) Keterampilan yang diperlukan untuk menjadi seorang hacker berkurang

Internet berisi informasi dan program komputer yang disebut skrip yang dapat
diunduh dan digunakan pengguna dengan sedikit keterampilan untuk menyerang
sistem informasi apa pun yang terhubung ke Internet.

4) Kejahatan terorganisir internasional yang mengambil alih kejahatan dunia

maya
Cybercrime mengacu pada aktivitas ilegal yang dilakukan melalui jaringan
komputer, khususnya Internet. Kelompok-kelompok organisasi kriminal yang
terorganisir dengan baik telah mengambil kendali jaringan kejahatan global bernilai
miliaran dolar. Jaringan tersebut didukung oleh peretas yang terampil, menargetkan
 kelemahan keamanan perangkat lunak. Kejahatan-kejahatan ini biasanya tanpa
kekerasan, tetapi cukup menguntungkan.

5) Kurangnya dukungan manajemen

Manajer tingkat bawah berhubungan dekat dengan karyawan setiap hari dan dengan
demikian berada dalam posisi yang lebih baik untuk menentukan apakah karyawan
mengikuti prosedur keamanan atau tidak.

4.2 Ancaman yang Tidak Disengaja terhadap Sistem Informasi

Kesalahan Manusia
Ancaman yang tidak disengaja adalah tindakan yang dilakukan tanpa niat jahat yang
tetap merupakan ancaman serius terhadap keamanan informasi. Kategori utama ancaman
yang tidak di sengaja adalah kesalahan manusia. Ada dua hal penting yang menjadi ancaman
tersebut.
Pertama, semakin tinggi tingkat karyawan, semakin besar ancaman yang ia hadapi
terhadap keamanan informasi karena karyawan tingkat yang lebih tinggi biasanya memiliki
akses yang lebih besar ke data perusahaan. Kedua, karyawan di dua area organisasi
menimbulkan ancaman signifikan terhadap keamanan informasi. Mereka dapat mengontrol
cara untuk membuat, menyimpan, mengirim, dan memodifikasi data organisasi tersebut.
Kesalahan manusia atau kesalahan oleh karyawan menimbulkan masalah besar sebagai akibat
dari kemalasan, kecerobohan, atau kurangnya kesadaran tentang keamanan informasi.
Kurangnya kesadaran ini berasal dari pendidikan yang buruk dan upaya pelatihan oleh
organisasi.

Social Engineering
Rekayasa sosial adalah serangan dimana pelaku menggunakan keterampilan sosial
untuk menipu atau memanipulasi karyawan yang sah untuk memberikan informasi rahasia
perusahaan seperti kata sandi. Teknik Rekayasa Sosial antara lain:
 Meniru orang lain
  Tailgating adalah teknik yang dirancang untuk memungkinkan pelaku memasuki
area terbatas yang dikendalikan dengan kunci atau entri kartu
 Shoulder Surfing terjadi ketika pelaku melihat komputer karyawan melalui bahu
karyawan.

4.3 Deliberate Threats To Information Systems

Ancaman yang disengaja terhadap sistem informasi:

1. Espionage or Trespass
Terjadi ketika individual tidak sah berupaya untuk mendapatkan akses legal terhadap
informasi organisasi.
2. Information Extortion
Terjadi ketika penyerang mengancam untuk mencuri atau benar benar mencuri
informasi dari perusahaan.
3. Sabotage and Vandalism
Merupakan tindakan sengaja yang melibatkan merusak situs web organisasi yang
mungkin merusak citra organisasi dan menyebabkan pelanggannya kehilangan
kepercayaan.
4. Theft of Equipment or Information
Pencurian peralatan penyimpan informasi sebagai akibat dari mengecil dan bertambah
kuatnya media penyimpan informasi.
5. Identity Theft
Adalah asumsi sengaja identitas orang lain, biasanya untuk mendapatkan akses ke
informasi keuangannya atau untuk menjebaknya atas kejahatan.
6. Compromises to Intellectual Property
Kompromi properti intelektual.
7. Software Attacks
Penyerangan perangkat lunak dengan komputer dan media internet.
8. Alien Software
Adalah perangkat lunak klandestin yang diinstal pada komputer anda melalui metode
duplikat.
9. Supervisory Control and Data Acquisition (SCADA) Attacks
Merujuk pada pengukuran skla besar dan sistem kontrol terdistribusi.
10. Terorisme Cyber dan Perang Cyber
 Merujuk pada tindakan jahat dimana penyerang menggunakan sistem komputer target
khususnya internet untuk menyebabkan kerusakan fisik, dunia nyata atau gangguan
parah yang biasanya untuk menjalankan agenda politik.

Supervisory Control and Data Acquisition (SCADA) Attacks

SCADA merujuk pada skala besar, pengukuran terdistribusi dan sistem kontrol. Sistem
SCADA digunakan pada monitor atau untuk mengontrol bahan kimia, fisik, dan proses
angkut yang digunakan pada penyulingan minyak, pabrik pengolahan air dan limbah,
pembangkit listrik, dan pabrik nuklir. Sistem SCADA secara esensial menyediakan hubungan
antara dunia fisik dengan dunia elektronik.
Sistem SCADA terdiri dari sensor ganda, penguasaan komputer, dan pembangunan
infrastruktur. Sensor ini terhubung ke peralatan fisik. Mereka membaca data status seperti
status buka/tutup tombol atau katup, dan juga seperti pengukuran, yaitu tekanan, aliran,
voltasi, dan arus. Mereka mengontrol peralatan dengan mengirimkan sinyal kepadanya
seperti membuka dan menutup tombol/ katup atau mengatur kecepatan pompa. Sensor ini
terhubung dengan jaringan dan setiap sensor memiliki alamat internet masing-masing.

Cyberterrorism dan Cyberwarfare

Cyberterrorism dan cyberwarfare merujuk kepada tindakan jahat di mana penyerang
menggunakan sistem komputer sasarannya secara terperinci melalui internet yang
menyebabkan kerugian fisik, dunia nyata atau gangguan keras. Jangkauan aksi ini dari
mengumpulkan data untuk menyerang infrastruktur kritis. Cyberterrorism biasa dilakukan
oleh individu atau kelompok dan Cyberwarfare dilakukan serikat bangsa.

4.4 Apa yang dilakukan organisasi untuk melindungi sumber

daya informasi?
Berikut beberapa kesulitan dalam melindungi sumber daya informasi :
 Eksistensi ratusan peluang ancaman
 Komputasi sumber daya yang mungkin terletak di banyak lokasi
 Banyak individu mengontrol atau memiliki akses terhadap aset informasi
  Jaringan komputer dapat terletak di luar organisasi, membuat mereka sulit untuk
dilindungi
 Perubahan teknologi yang cepat membuat beberapa kontrol usang segera saat
mereka diinstal
 Banyak kriminal komputer tidak terdeteksi dalam periode waktu yang panjang, jadi
sangat sulit untuk belajar melalui pengalaman
 Orang cenderung melanggar prosedur keamanan karena prosedur yang tidak nyaman
 Jumlah pengetahuan komputer yang diperlukan untuk melakukan kejahatan
komputer biasanya sedikit. Kenyataannya, peluang kriminal dapat mempelajari
peretasan secara gratis melalui internet
 Biaya mencegah bahaya dapat menjadi sangat tinggi. Karena itu, banyak organisasi
tidak mampu melindungi mereka melawan kemungkinan bahaya
 Sulit untuk melalukan pembenaran manfaat biaya untuk pengawasan sebelum
serangan terjadi karena sulit untuk menilai dampak dari serangan hipotesis

Organisasi mengeluarkan banyak waktu dan uang untuk melindungi sumber daya
informasi mereka. Sebelumnya, mereka melakukan manajemen resiko. Sebuah resiko adalah
kemungkinan ancaman yang dapat berdampak pada sumber daya informasi. Tujuan
manajemen resiko adalah untuk mengindentifikasi, mengontrol, dan mengurangi dampak
ancaman. Manajemen resiko berusaha untuk mengurangi resiko hingga tingkat yang dapat
diterima. Manajemen resiko terdiri dari 3 proses : analisis resiko, peringanan resiko, dan
evaluasi pengawasan.
Organisasi melakukan analisis resiko untuk meyakinkan program keamanan sistem
informasi terpakai efektif. Analisis resiko terdiri dari 3 langkah yaitu menaksir nilai setiap
aset yang terlindungi, menaksir kemungkinan setiap aset akan disepakati, dan
membandingkan biaya kemungkinan terhadap aset yang telah disepakati dengan biaya
melindungi aset. Setelah itu, organisasi akan mempertimbangkan peringanan resiko.
Dalam peringanan resiko, organisasi mengambil aksi keras melawan resiko. Peringanan
resiko memiliki dua fungsi yaitu menerapkan pengawasan untuk mencegah peluang ancaman
yang teridentifikasi dari kejadian, dan mengembangkan sarana pemulihan jika ancaman
tersebut menjadi kenyataan. Ada beberapa strategi peringanan resiko yang dapat diadaptasi
organisasi. Tiga paling umum di antaranya adalah penerimaan resiko, pembatasan resiko, dan
pemindahan resiko.
  Penerimaan resiko yaitu menerima resiko yang berpotensi, melanjutkan operasi
tanpa pengawasan dan mempelajari kerusakan yang terjadi
 Pembatasan resiko yaitu batasan resiko melalui menerapkan pengawasan yang dapat
mengurangi dampak ancaman
 Pemindahan resiko yaitu memindahkan resiko dengan menggunakan cara lain untuk
mengganti kerugian seperti membayar asuransi

Dalam evaluasi pengawasan, organisasi memeriksa biaya menerapkan pengukuran

pengawasan memadai terhadap nilai pengukuran pengawasan. Bila biaya untuk menerapkan
pengawasan lebih besar dibanding nilai aset yang dilindungi, pengawasan tidak terpakai
efektif.

4.5 Pengawasan Keamanan Informasi

Untuk melindungi aset informasi, organisasi menerapkan pengawasan, atau melindungi
cara kerja (biasa disebut countermeasures). Pengawasan ini dirancang untuk melindungi
segala komponen sistem informasi.
Pengawasan dimaksudkan untuk mencegah kecelakan bahaya, menghalangi tindakan
yang disengaja, mendeteksi masalah seawal mungkin, meningkatkan pemulihan kerusakan,
dan memperbaiki masalah.

Pengawasan Fisik ( Physical Controls )

Pengawasan fisik mencegah individu yang tidak berhak untuk memperoleh akses
fasilitas perusahaan. Pengawasan fisik secara umum terdiri dari dinding, pintu, anggar, pagar,
kunci, lencana, penjaga, sistem alarm.

Pengawasan Akses ( Access Controls )

Pengawasan akses membatasi individu yang tidak berhak dari penggunaan sumber daya
informasi. Pengawasan ini terdiri dari 2 fungsi utama yaitu Authentication ( pembuktian
keaslian sesuatu ) dan Authorization ( Otorisasi ).
 Authentication menyetujui bahwa indentitas orang membutuhkan akses. Setelah orang
tersebut teridentifikasi, langkah selanjutnya adalah authorization. Authorization menentukan
aksi dan hak mana yang dimiliki orang tersebut, berdasarkan indentitas yang terverifikasi.

Authentication
Untuk mengindentifikasi orang yang berhak, organisasi dapat menggunakan satu atau
beberapa metode yaitu sesuatu tentang pengguna, sesuatu yang dimiliki pengguna, sesuatu
yang dilakukan pengguna, dan sesuatu yang diketahui pengguna.
Sesuatu tentang pengguna, juga diketahui sebagai biometrics, adalah metode
otentifikasi yang memeriksa karateristik fisik bawaan orang tersebut, seperti peninjauan sidik
jari, telapak tangan, retina, pengenalan iris dan wajah.

Pedoman dasar untuk membuat kata sandi yang kuat yaitu :

1. Password sulit ditebak
2. Password harus panjang
3. Password harus memiliki huruf besar, huruf kecil, angka, dan karakter khusus
4. Kata-kata itu tidak boleh dikenali
5. Passaword tidak boleh nama apa pun atau siapa pun yang akrab, seperti nama
keluarga atau nama hewan peliharaan
6. Nomor tersebut tidak boleh berupa rangkaian angka yang dapat dikenali, seperti
nomor Jaminan Sosial atau hari ulang tahun

Sayangnya, kata sandi yang kuat lebih sulit untuk diingat daripada kata sandi yang
lemah. Akibatnya, karyawan sering menuliskannya, yang mengalahkan tujuan mereka. Solusi
ideal untuk dilema ini adalah membuat kata sandi yang kuat dan juga mudah diingat. Untuk
mencapai tujuan ini, banyak orang menggunakan frasa sandi. Frasa sandi adalah serangkaian
karakter yang lebih panjang dari kata sandi tetapi masih mudah diingat.

Otorisasi
Setelah pengguna telah diautentikasi dengan benar, hak dan hak istimewa yang mereka
miliki pada sistem organisasi ditetapkan dalam proses yang disebut otorisasi. Hak istimewa
adalah kumpulan operasi sistem komputeryang diizinkan untuk dilakukan pengguna.
Perusahaan biasanya mendasarkan kebijakan otorisasi pada prinsip privilege paling rendah,
yang menyatakan bahwa pengguna diberi hak istimewa untuk suatu aktivitas hanya jika ada
kebutuhan yang dapat dibenarkanuntuk melakukan aktivitas itu.

Kontrol Komunikasi
Kontrol komunikasi (juga disebut kontrol jaringan) mengamankan pergerakan data di
seluruh jaringan. Kontrol komunikasi terdiri dari firewall, sistem anti-malware, daftar putih
dan daftar hitam, enkripsi, jaringan pribadi virtual (VPN), lapisan soketaman (SSL), dan
system pemantauan karyawan.

Firewall
Firewall adalah sistem yang mencegah jenis informasi tertentu dari bergerak di antara
jaringan yang tidak dipercaya, seperti Internet, dan jaringan pribadi, seperti jaringan
perusahaan Anda. Sederhananya, firewalls mencegah pengguna Internet yang tidak sah
mengakses jaringan pribadi. Semua pesan yang masuk atau keluar dari jaringan perusahaan
Anda melewati firewall. Firewall memeriksa setiap pesan dan memblokir pesan-pesan yang
tidak memenuhi aturan keamanan yang ditentukan. Mulai dari firewall sederhana, untuk
digunakan di rumah, hingga sangat kompleks untuk penggunaan organisasi.

Sistem Anti-malware
Sistem anti-malware, juga disebut antivirus, atau AV, perangkat lunak, adalah paket
perangkat lunak yang berupaya mengidentifikasi dan menghilangkan virus dan worm, dan
perangkat lunak berbahaya lainnya. Perangkat lunak AV diimplementasikan di tingkat
organisasi oleh departemen sistem informasi. Saat ini ada ratusan paket perangkat lunak AV
yang tersedia. Di antara yang paling terkenal adalah Norton AntiVirus, McAfee VirusScan,
dan Trend Micro PC-cillin.
Sistem anti-malware pada umumnya reaktif. Sedangkan firewall trafik jaringan trafik
sesuai dengan kategori kegiatan yang cenderung menyebabkan masalah, sistem anti-malware
trafik filter menurut database dari masalah tertentu. Sistem ini membuat definisi, atau tanda
tangan, dari berbagai jenis malware dan kemudian memperbarui tanda tangan ini di produk
mereka.
Perangkat lunak anti-malware kemudian memeriksa kode komputer yang mencurigakan
untuk menentukan apakah cocok dengan tanda tangan yang dikenal. Jika perangkat lunak
mengidentifikasi suatu kecocokan, itu menghilangkan kode. Karena alasan ini organisasi
secara teratur memperbarui definisi malware mereka. Karena malware adalah masalah serius,
vendor terkemuka dengan cepat mengembangkan sistem anti-malware yang berfungsi secara
proaktif dan juga reaktif. Sistem ini mengevaluasi perilaku daripada mengandalkan
sepenuhnya pada pencocokan tanda tangan. Secara teori, oleh karena itu, mungkin untuk
menangkap malware sebelum dapat menginfeksi sistem.

Daftar Putih dan Daftar Hitam

Sebuah laporan oleh Yankee Group (www.yankeegroup.com), sebuah penelitian
teknologi dan konsultasi perusahaan, menyatakan bahwa 99 persen organisasi telah
menginstal sistem anti-malware, tetapi 62 persen masih mengalami serangan malware.
Seperti yang telah kita lihat, sistem antimalware biasanya reaktif, dan malware terus
menginfeksi perusahaan. Salah satu solusi untuk masalah ini adalah daftar putih. Daftar putih
adalah proses di mana perusahaan mengidentifikasi perangkat lunak yang akan dibolehkan
dijalankan di komputernya.
Daftar putih mengizinkan perangkat lunak yang dapat diterima untuk berjalan, dan itu
mencegah perangkat lunak lain berjalan atau membiarkan perangkat lunak baru berjalan di
lingkungan yang dikarantina sampai perusahaan dapat memverifikasi validitasnya. Jika daftar
putih tidak memungkinkan apa pun untuk dijalankan kecuali ada dalam daftar putih, daftar
hitam memungkinkan semuanya berjalan kecuali ada dalam daftar hitam. Daftar hitam,
kemudian, termasuk jenis perangkat lunak tertentu yang tidak diizinkan berjalan di
lingkungan perusahaan. Sebagai contoh, sebuah perusahaan mungkin daftar hitam berbagi
file pada sistemnya. Selain perangkat lunak, orang, perangkat, dan situs Web juga dapat
masuk daftar putih dan masuk daftar hitam.

Enkripsi
Organisasi yang tidak memiliki saluran aman untuk mengirim informasi menggunakan
enkripsi untuk menghentikan penyadap yang tidak sah. Enkripsi adalah proses mengubah
pesan asli menjadi bentuk yang tidak dapat dibaca oleh siapa pun kecuali penerima yang
dimaksud. Semua sistem enkripsi menggunakan kunci, yang merupakan kode yang mengacak
dan kemudian menerjemahkan pesan.
Mayoritas sistem enkripsi menggunakan enkripsi kunci publik. Enkripsi kunci publik
— juga dikenal sebagai enkripsi asimetris — menggunakan dua kunci berbeda: kunci publik
dan kunci privat (lihat Gambar 4.4). Kunci publik (kunci penguncian) dan kunci privat (kunci
pembuka) dibuat secara simultan menggunakan rumus atau algoritma matematika yang sama.
Karena dua kunci terkait secara matematis, data yang dienkripsi dengan satu kunci dapat
didekripsi dengan menggunakan kunci lainnya. Kunci publik tersedia secara publik di
direktori yang dapat diakses oleh semua pihak. Kunci pribadi dirahasiakan, tidak pernah
dibagikan dengan siapa pun, dan tidak pernah dikirim melalui Internet.
Dalam sistem ini, jika Hannah ingin mengirim pesan ke Harrison, ia pertama kali
memperoleh kunci publik Harrison (kunci penguncian), yang ia gunakan untuk mengenkripsi
pesannya (memasukkan pesan dalam "kotak dua kunci"). Ketika Harrison menerima pesan
Hannah, ia menggunakan kunci pribadinya untuk mendekripsi (membuka kotak). Meskipun
pengaturan ini memadai untuk informasi pribadi, organisasi yang melakukan bisnis melalui
Internet memerlukan sistem yang lebih kompleks. Dalam kasus ini, pihak ketiga, yang
disebut otoritas sertifikasi, bertindak sebagai perantara tepercaya antara perusahaan.
Otoritas sertifikasi mengeluarkan sertifikat digital dan memverifikasi integritas
sertifikasi. Sertifikat digital adalah dokumen elektronik yang dilampirkan pada file yang
menyatakan bahwa file tersebut berasal dari organisasi yang diklaim berasal dan belum
dimodifikasi dari format aslinya. Seperti yang Anda lihat pada Gambar 4.5, Sony meminta
sertifikat digital dari VeriSign, otoritas sertifikasi, dan menggunakan sertifikat ini ketika
melakukan bisnis dengan Dell. Perhatikan bahwa sertifikat digital berisi nomor identifikasi,
penerbit, tanggal validitas, dan kunci publik pemohon. Untuk contoh otoritas sertifikasi, lihat
www.entrust.com, www.verisign.com, www.cybertrust .com, www.secude.com, dan
www.thawte.com.

Jaringan Pribadi Virtual

Jaringan pribadi virtual adalah jaringan pribadi yang menggunakan jaringan publik
(biasanya Internet) untuk menghubungkan pengguna. VPN pada dasarnya mengintegrasikan
konektivitas global Internet dengan keamanan jaringan pribadi dan dengan demikian
memperluas jangkauan jaringan organisasi. VPN disebut virtual karena tidak terpisah
keberadaan fisik. Mereka menggunakan Internet publik sebagai infrastruktur mereka. Mereka
dibuat dengan menggunakan masuk, enkripsi, dan teknik lain untuk meningkatkan privasi
pengguna, hak untuk dibiarkan sendiri dan bebas dari gangguan pribadi yang tidak masuk
akal. VPN memiliki beberapa keunggulan. Pertama, mereka memungkinkan pengguna jarak
jauh untuk mengakses jaringan perusahaan. Kedua, mereka memberikan fleksibilitas.
Artinya, pengguna seluler dapat mengakses organisasi
Jaringan dari perangkat jarak jauh yang dikonfigurasi dengan benar. Ketiga, organisasi
dapat menerapkan kebijakan keamanan mereka melalui VPN. Misalnya, suatu organisasi
dapat menentukan bahwa hanya aplikasi email perusahaan yang tersedia bagi pengguna
ketika mereka terhubung dari perangkat yang tidak dikelola. Untuk memberikan transmisi
yang aman, VPN menggunakan proses yang disebut tunneling. Tunneling mengenkripsi
setiap paket data untuk dikirim dan menempatkan setiap paket terenkripsi di dalam paket lain.
Dengan cara ini, paket dapat melakukan perjalanan melintasi Internet dengan kerahasiaan,
otentikasi, dan integritas.

Secure Socket Layer

Secure socket layer, sekarang disebut transport layer security (TLS), adalah standar
enkripsi yang digunakan untuk transaksi aman seperti pembelian kartu kredit dan perbankan
online. TLS mengenkripsi dan mendekripsi data antara server Web dan browser ujung ke
ujung. TLS ditunjukkan oleh URL yang dimulai dengan "https" dan bukan "http," dan sering
menampilkan ikon gembok kecil di bilah status browser. Menggunakan ikon gembok untuk
menunjukkan koneksi yang aman dan menempatkan ikon ini di bilah status browser adalah
artefak dari browser tertentu. Peramban lain menggunakan ikon yang berbeda (mis., Kunci
yang rusak atau keseluruhan). Yang penting untuk diingat adalah bahwa browser biasanya
memberikan konfirmasi visual koneksi yang aman.

Sistem Pemantauan Karyawan

Banyak perusahaan mengambil pendekatan proaktif untuk melindungi jaringan mereka
terhadap apa yang mereka pandang sebagai salah satu ancaman keamanan utama mereka,
yaitu, kesalahan karyawan. Perusahaan-perusahaan ini menerapkan sistem pemantauan
karyawan, yang memantau komputer karyawan mereka, kegiatan e-mail, dan aktivitas
berselancar internet. Produk-produk ini berguna untuk mengidentifikasi karyawan yang
menghabiskan terlalu banyak waktu berselancar di Internet karena alasan pribadi, yang
mengunjungi situs Web yang dipertanyakan, atau yang mengunduh musik secara ilegal.
Vendor yang menyediakan perangkat lunak pemantauan meliputi SpectorSoft
(www.spectorsoft.com) dan Websense (www.websense.com).
Perencanaan Kesinambungan Bisnis
Strategi keamanan penting bagi organisasi harus disiapkan untuk segala kemungkinan.
Elemen penting dalam sistem keamanan apa pun adalah rencana kesinambungan bisnis, juga
dikenal sebagai rencana pemulihan bencana. Keberlanjutan bisnis adalah rantai peristiwa
yang menghubungkan perencanaan dengan perlindungan dan pemulihan. Tujuan dari rencana
kesinambungan bisnis adalah untuk memberikan panduan kepada orang-orang yang menjaga
bisnis tetap beroperasi setelah bencana terjadi.
 Karyawan menggunakan rencana ini untuk mempersiapkan, bereaksi, dan pulih dari
peristiwa yang memengaruhi keamanan aset informasi. Tujuannya adalah mengembalikan
bisnis ke operasi normal secepat mungkin setelah serangan. Rencana ini dimaksudkan untuk
memastikan bahwa fungsi bisnis penting terus berlanjut. Jika terjadi bencana besar,
organisasi dapat menggunakan beberapa strategi untuk kelangsungan bisnis. Strategi-strategi
ini termasuk situs panas, situs hangat, dan situs dingin.
Situs panas adalah fasilitas komputer yang sepenuhnya terkonfigurasi, dengan semua
layanan, tautan komunikasi, dan operasi pabrik fisik. Situs panas menggandakan sumber daya
komputasi, periferal, sistem telepon, aplikasi, dan workstation. Situs yang hangat
menyediakan banyak layanan dan opsi yang sama dengansitus panas. Namun, biasanya tidak
termasuk aplikasi aktual yang dibutuhkan perusahaan. Situs yang hangat termasuk peralatan
komputasi seperti server, tetapi seringkali tidak termasuk stasiun kerja pengguna.
Situs dingin hanya menyediakan layanan dan fasilitas yang belum sempurna, seperti
bangunan atau kamar dengan pemanas, AC, dan pengontrol kelembaban. Jenis situs ini tidak
menyediakan perangkat keras komputer atau workstation pengguna. Inti dari situs dingin
adalah bahwa ia menangani masalah waktu tunggu yang lama. Membangun, atau bahkan
menyewa, ruang membutuhkan waktu lama.
Memasang saluran komunikasi berkecepatan tinggi, seringkali dari dua operator atau
lebih, membutuhkan waktu lama. Memasang saluran listrik berkapasitas tinggi membutuhkan
waktu lama. Sebagai perbandingan, membeli dan memasang server seharusnya tidak
memakan waktu lama. Situs-situs panas mengurangi risiko sejauh mungkin, tetapi mereka
adalah opsi yang paling mahal. Sebaliknya, situs dingin mengurangi risiko paling sedikit,
tetapi mereka adalah opsi yang paling murah.

Sistem Informasi Audit

Menerapkan kontrol keamanan untuk memastikan bahwa sistem informasi berfungsi
dengan baik. Kontrol ini dapat dipasang di sistem asli, atau dapat ditambahkan setelah sistem
beroperasi. Instalasi kontrol diperlukan tetapi tidak memadai untuk memberikan keamanan
yang memadai. Selain itu, orang yang bertanggung jawab atas keamanan perlu menjawab
pertanyaan seperti: Apakah semua kontrol dipasang sebagaimana dimaksud? Apakah ini
efektif? Apakah ada pelanggaran keamanan yang terjadi? Jika demikian, tindakan apa yang
diperlukan untuk mencegah pelanggaran di masa depan? Pertanyaan-pertanyaan ini harus
dijawab oleh pengamat independen dan tidak memihak. Pengamat semacam itu melakukan
tugas audit sistem informasi. Dalam lingkungan SI, audit adalah pemeriksaan sistem
informasi, input, output, dan pemrosesan mereka.

Jenis Auditor dan Audit

Ada dua jenis auditor dan audit: internal dan eksternal. IS audit biasanya merupakan
bagian dari audit internal akuntansi, dan sering dilakukan oleh auditor internal perusahaan.
Auditor eksternal mengkaji temuan audit internal serta input, pemrosesan, dan output sistem
informasi. Audit eksternal sistem informasi seringkali merupakan bagian dari keseluruhan
audit eksternal yang dilakukan oleh kantor akuntan publik (CPA) bersertifikat. Audit SI
mempertimbangkan semua potensi bahaya dan kontrol dalam sistem informasi. Ini berfokus
pada masalah-masalah seperti operasi, integritas data, aplikasi perangkat lunak, keamanan
dan privasi, anggaran dan pengeluaran, kontrol biaya, dan produktivitas.

Bagaimana Audit Dieksekusi?

Prosedur audit IS terbagi dalam tiga kategori: (1) audit di sekitar komputer, (2) audit
melalui komputer, dan (3) audit dengan komputer. Audit di sekitar komputer berarti
memverifikasi pemrosesan dengan memeriksa output yang diketahui menggunakan input
spesifik. Pendekatan ini paling baik digunakan dalam sistem dengan output terbatas. Dalam
mengaudit melalui komputer, auditor memeriksa input, output, dan pemrosesan. Mereka
meninjau logika program, dan mereka menguji data yang terkandung dalam sistem.
Mengaudit dengan komputer berarti menggunakan kombinasi data klien, perangkat lunak
auditor, dan perangkat keras klien dan auditor. Pendekatan ini memungkinkan auditor untuk
melakukan tugas-tugas seperti mensimulasikan logika program penggajian menggunakan
data langsung.