2) Komputer dan perangkat penyimpanan yang lebih kecil, lebih cepat, dan lebih
murah dengan kapasitas penyimpanan yang lebih besar
Karakteristik ini membuatnya lebih mudah untuk mencuri atau kehilangan komputer
atau perangkat penyimpanan yang berisi sejumlah besar informasi sensitif.
Kesalahan Manusia
Ancaman yang tidak disengaja adalah tindakan yang dilakukan tanpa niat jahat yang
tetap merupakan ancaman serius terhadap keamanan informasi. Kategori utama ancaman
yang tidak di sengaja adalah kesalahan manusia. Ada dua hal penting yang menjadi ancaman
tersebut.
Pertama, semakin tinggi tingkat karyawan, semakin besar ancaman yang ia hadapi
terhadap keamanan informasi karena karyawan tingkat yang lebih tinggi biasanya memiliki
akses yang lebih besar ke data perusahaan. Kedua, karyawan di dua area organisasi
menimbulkan ancaman signifikan terhadap keamanan informasi. Mereka dapat mengontrol
cara untuk membuat, menyimpan, mengirim, dan memodifikasi data organisasi tersebut.
Kesalahan manusia atau kesalahan oleh karyawan menimbulkan masalah besar sebagai akibat
dari kemalasan, kecerobohan, atau kurangnya kesadaran tentang keamanan informasi.
Kurangnya kesadaran ini berasal dari pendidikan yang buruk dan upaya pelatihan oleh
organisasi.
Social Engineering
Rekayasa sosial adalah serangan dimana pelaku menggunakan keterampilan sosial
untuk menipu atau memanipulasi karyawan yang sah untuk memberikan informasi rahasia
perusahaan seperti kata sandi. Teknik Rekayasa Sosial antara lain:
Meniru orang lain
Tailgating adalah teknik yang dirancang untuk memungkinkan pelaku memasuki
area terbatas yang dikendalikan dengan kunci atau entri kartu
Shoulder Surfing terjadi ketika pelaku melihat komputer karyawan melalui bahu
karyawan.
Organisasi mengeluarkan banyak waktu dan uang untuk melindungi sumber daya
informasi mereka. Sebelumnya, mereka melakukan manajemen resiko. Sebuah resiko adalah
kemungkinan ancaman yang dapat berdampak pada sumber daya informasi. Tujuan
manajemen resiko adalah untuk mengindentifikasi, mengontrol, dan mengurangi dampak
ancaman. Manajemen resiko berusaha untuk mengurangi resiko hingga tingkat yang dapat
diterima. Manajemen resiko terdiri dari 3 proses : analisis resiko, peringanan resiko, dan
evaluasi pengawasan.
Organisasi melakukan analisis resiko untuk meyakinkan program keamanan sistem
informasi terpakai efektif. Analisis resiko terdiri dari 3 langkah yaitu menaksir nilai setiap
aset yang terlindungi, menaksir kemungkinan setiap aset akan disepakati, dan
membandingkan biaya kemungkinan terhadap aset yang telah disepakati dengan biaya
melindungi aset. Setelah itu, organisasi akan mempertimbangkan peringanan resiko.
Dalam peringanan resiko, organisasi mengambil aksi keras melawan resiko. Peringanan
resiko memiliki dua fungsi yaitu menerapkan pengawasan untuk mencegah peluang ancaman
yang teridentifikasi dari kejadian, dan mengembangkan sarana pemulihan jika ancaman
tersebut menjadi kenyataan. Ada beberapa strategi peringanan resiko yang dapat diadaptasi
organisasi. Tiga paling umum di antaranya adalah penerimaan resiko, pembatasan resiko, dan
pemindahan resiko.
Penerimaan resiko yaitu menerima resiko yang berpotensi, melanjutkan operasi
tanpa pengawasan dan mempelajari kerusakan yang terjadi
Pembatasan resiko yaitu batasan resiko melalui menerapkan pengawasan yang dapat
mengurangi dampak ancaman
Pemindahan resiko yaitu memindahkan resiko dengan menggunakan cara lain untuk
mengganti kerugian seperti membayar asuransi
Authentication
Untuk mengindentifikasi orang yang berhak, organisasi dapat menggunakan satu atau
beberapa metode yaitu sesuatu tentang pengguna, sesuatu yang dimiliki pengguna, sesuatu
yang dilakukan pengguna, dan sesuatu yang diketahui pengguna.
Sesuatu tentang pengguna, juga diketahui sebagai biometrics, adalah metode
otentifikasi yang memeriksa karateristik fisik bawaan orang tersebut, seperti peninjauan sidik
jari, telapak tangan, retina, pengenalan iris dan wajah.
Sayangnya, kata sandi yang kuat lebih sulit untuk diingat daripada kata sandi yang
lemah. Akibatnya, karyawan sering menuliskannya, yang mengalahkan tujuan mereka. Solusi
ideal untuk dilema ini adalah membuat kata sandi yang kuat dan juga mudah diingat. Untuk
mencapai tujuan ini, banyak orang menggunakan frasa sandi. Frasa sandi adalah serangkaian
karakter yang lebih panjang dari kata sandi tetapi masih mudah diingat.
Otorisasi
Setelah pengguna telah diautentikasi dengan benar, hak dan hak istimewa yang mereka
miliki pada sistem organisasi ditetapkan dalam proses yang disebut otorisasi. Hak istimewa
adalah kumpulan operasi sistem komputeryang diizinkan untuk dilakukan pengguna.
Perusahaan biasanya mendasarkan kebijakan otorisasi pada prinsip privilege paling rendah,
yang menyatakan bahwa pengguna diberi hak istimewa untuk suatu aktivitas hanya jika ada
kebutuhan yang dapat dibenarkanuntuk melakukan aktivitas itu.
Kontrol Komunikasi
Kontrol komunikasi (juga disebut kontrol jaringan) mengamankan pergerakan data di
seluruh jaringan. Kontrol komunikasi terdiri dari firewall, sistem anti-malware, daftar putih
dan daftar hitam, enkripsi, jaringan pribadi virtual (VPN), lapisan soketaman (SSL), dan
system pemantauan karyawan.
Firewall
Firewall adalah sistem yang mencegah jenis informasi tertentu dari bergerak di antara
jaringan yang tidak dipercaya, seperti Internet, dan jaringan pribadi, seperti jaringan
perusahaan Anda. Sederhananya, firewalls mencegah pengguna Internet yang tidak sah
mengakses jaringan pribadi. Semua pesan yang masuk atau keluar dari jaringan perusahaan
Anda melewati firewall. Firewall memeriksa setiap pesan dan memblokir pesan-pesan yang
tidak memenuhi aturan keamanan yang ditentukan. Mulai dari firewall sederhana, untuk
digunakan di rumah, hingga sangat kompleks untuk penggunaan organisasi.
Sistem Anti-malware
Sistem anti-malware, juga disebut antivirus, atau AV, perangkat lunak, adalah paket
perangkat lunak yang berupaya mengidentifikasi dan menghilangkan virus dan worm, dan
perangkat lunak berbahaya lainnya. Perangkat lunak AV diimplementasikan di tingkat
organisasi oleh departemen sistem informasi. Saat ini ada ratusan paket perangkat lunak AV
yang tersedia. Di antara yang paling terkenal adalah Norton AntiVirus, McAfee VirusScan,
dan Trend Micro PC-cillin.
Sistem anti-malware pada umumnya reaktif. Sedangkan firewall trafik jaringan trafik
sesuai dengan kategori kegiatan yang cenderung menyebabkan masalah, sistem anti-malware
trafik filter menurut database dari masalah tertentu. Sistem ini membuat definisi, atau tanda
tangan, dari berbagai jenis malware dan kemudian memperbarui tanda tangan ini di produk
mereka.
Perangkat lunak anti-malware kemudian memeriksa kode komputer yang mencurigakan
untuk menentukan apakah cocok dengan tanda tangan yang dikenal. Jika perangkat lunak
mengidentifikasi suatu kecocokan, itu menghilangkan kode. Karena alasan ini organisasi
secara teratur memperbarui definisi malware mereka. Karena malware adalah masalah serius,
vendor terkemuka dengan cepat mengembangkan sistem anti-malware yang berfungsi secara
proaktif dan juga reaktif. Sistem ini mengevaluasi perilaku daripada mengandalkan
sepenuhnya pada pencocokan tanda tangan. Secara teori, oleh karena itu, mungkin untuk
menangkap malware sebelum dapat menginfeksi sistem.
Enkripsi
Organisasi yang tidak memiliki saluran aman untuk mengirim informasi menggunakan
enkripsi untuk menghentikan penyadap yang tidak sah. Enkripsi adalah proses mengubah
pesan asli menjadi bentuk yang tidak dapat dibaca oleh siapa pun kecuali penerima yang
dimaksud. Semua sistem enkripsi menggunakan kunci, yang merupakan kode yang mengacak
dan kemudian menerjemahkan pesan.
Mayoritas sistem enkripsi menggunakan enkripsi kunci publik. Enkripsi kunci publik
— juga dikenal sebagai enkripsi asimetris — menggunakan dua kunci berbeda: kunci publik
dan kunci privat (lihat Gambar 4.4). Kunci publik (kunci penguncian) dan kunci privat (kunci
pembuka) dibuat secara simultan menggunakan rumus atau algoritma matematika yang sama.
Karena dua kunci terkait secara matematis, data yang dienkripsi dengan satu kunci dapat
didekripsi dengan menggunakan kunci lainnya. Kunci publik tersedia secara publik di
direktori yang dapat diakses oleh semua pihak. Kunci pribadi dirahasiakan, tidak pernah
dibagikan dengan siapa pun, dan tidak pernah dikirim melalui Internet.
Dalam sistem ini, jika Hannah ingin mengirim pesan ke Harrison, ia pertama kali
memperoleh kunci publik Harrison (kunci penguncian), yang ia gunakan untuk mengenkripsi
pesannya (memasukkan pesan dalam "kotak dua kunci"). Ketika Harrison menerima pesan
Hannah, ia menggunakan kunci pribadinya untuk mendekripsi (membuka kotak). Meskipun
pengaturan ini memadai untuk informasi pribadi, organisasi yang melakukan bisnis melalui
Internet memerlukan sistem yang lebih kompleks. Dalam kasus ini, pihak ketiga, yang
disebut otoritas sertifikasi, bertindak sebagai perantara tepercaya antara perusahaan.
Otoritas sertifikasi mengeluarkan sertifikat digital dan memverifikasi integritas
sertifikasi. Sertifikat digital adalah dokumen elektronik yang dilampirkan pada file yang
menyatakan bahwa file tersebut berasal dari organisasi yang diklaim berasal dan belum
dimodifikasi dari format aslinya. Seperti yang Anda lihat pada Gambar 4.5, Sony meminta
sertifikat digital dari VeriSign, otoritas sertifikasi, dan menggunakan sertifikat ini ketika
melakukan bisnis dengan Dell. Perhatikan bahwa sertifikat digital berisi nomor identifikasi,
penerbit, tanggal validitas, dan kunci publik pemohon. Untuk contoh otoritas sertifikasi, lihat
www.entrust.com, www.verisign.com, www.cybertrust .com, www.secude.com, dan
www.thawte.com.