TUGAS RESUME

SISTEM INFORMASI MANAJEMEN

“MENGAMANKAN SISTEM INFORMASI”

Nama Kelompok:

1. AFIFFA DIAN R. 041911333031

2. DIRGAHAYU ALMI M. 041911333125
3. RR. DWITA HAPSARI 041911333154

4. CORNELIUS CAKRA A.041911333209

UNIVERSITAS AIRLANGGA

SURABAYA

2021
8.1 Kerentanan dan Penyalahgunaan Sistem
Ketika sejumlah data penting disimpan dalam bentuk elektronik, maka data tersebut rentan
terhadap berbagai jenis ancaman daripada data yang tersimpan secara manual. Ancaman
ancaman tersebut bisa saja berasal dari faktor teknis, organisasi, dan lingkungan yang
diperparah oleh akibat keputusan manajemen yang buruk. Bagi perusahaan atau individu di
dalam menyimpan data-data penting yang menyangkut privasi atau kerahasiaan perusahaan,
apalagi perusahaan yang menggunakan web, sangat rentan terhadap penyalahgunaan, karena
pada dasarnya web mempunyai akses yang sangat luas dan dapat diakses oleh semua orang,
membuat sistem perusahaan dengan mudah mendapat serangan yang pada umumnya berasal
dari pihak luar, seperti hacker.

Software Berbahaya: Virus, Worms, Trojan Horse dan SPYWARE

Virus biasanya menyebar dari komputer ke komputer ketika pengguna mengirim

lampiran email atau menyalin file yang terinfeksi. Worm dan virus sering menyebar
melalui internet dari file software download, dari file yang melekat pada transmisi
email, atau dari pesan email. Virus juga menyerang informasi terkomputerasi dari
terinfeksi.
 Worms dapat menghancurkan data serta mengaggu atau bahkan menghentikan
pengoperasian komputer jaringan. Worm dan virus yang sering menyebar melalui
internet dari file software download, dari file yang melekat pada transmisi email,
atau dari pesan enmail dikompromikan atau pesan instan.
 Trojan horse sering memberikan virus atau kode berbahaya lainnya dan
kemudian diperkenalkan ke dalam sistem komputer. Sehingga sistem komputer
terinfeksi virus lainnya yang lebih kompleks.
 Salah satu bentuk spyware adalah keyloggers. Keyloggers dapat merekam setiap
keystroke yang dibuat pada komputer untuk mencuri nomor seri perngkat lunak,
memberi serangan melalui internet, untuk mendapatkan akses ke account email,
mendapatkan password untuk sistem komputer yang dilindungi, atau memilih
informasi seperti memberi nomor kredit. Program spyware lainnya adalah
halaman rumah pada website yang mengarahkan pada permintaan pencarian atau
kinerja lambat dengan mengambil terlalu mengambil banyak memori.

Hacker dan Kejahatan Komputer

 Seorang hacker adalah seorang individu yang bermaksud untuk mendapatkan akses
tidak sah ke komputer sistem. Dalam komunitas hacker, istilah cracker biasanya
digunakan untuk menunjukkan seorang hacker dengan maksud kriminal, meskipun
dalam pers umum, persyaratan hacker dan cracker digunakan secara bergantian.
Aktivitas hacker tidak hanya terbatas menyusup ke dalam sistem, tetapi juga mencuri
barang dan informasi dalam dan bisa merusak sistem melalui serangan, diantaranya
serangan DoS (Distributed Denial-of Service), yaitu jaringan serangan penolakan
layanan terdistribusi yang menggunakan ribuan komputer untuk membanjiri jaringan
sasaran. DoS seringkali membuat situs mati dan tidak dapat diakses oleh pengguna yang
sah. Kejahatan dalam sistem informasi juga meliputi pencurian identitas, seperti yang
dilakukan oleh pelaku phishing, yang membuat situs palsu atau mengirim pesan e-mail
yang mirip dengan pesan yang berasal dari perusahaan yang sah. Dengan maksud untuk
meminta pengguna mengisi data pribadi mereka yang sangat rahasia, seperti nomor
rekening pribadi pengguna.

Ancaman Internal; Karyawan

Banyak karyawan lupa password mereka untuk mengakses sistem komputer atau
mengizinkan rekan kerja untuk menggunakannya, yang mengabaikan sistem. Selain itu
juga, kita sering menjumpai praktek social engineering yaitu praktek dimana seorang
penyusup mencari akses dengan berpura-pura menjadi anggota perusahaan.

Kerentanan Software
Kesalahan perangkat lunak menyebabkan ancaman konstan untuk sistem informasi,
menyebabkan tak terhitung kerugian dalam produktivitas. Masalah utama pada
perangkat lunak adalah adanya bug atau program tersembunyi. Sumber utama bug
adalah rumitnya dalam keputusan membuat kode. Sebuah program yang relatif kecil
dari beberapa ratus baris akan berisi puluhan keputusan yang mengarah ke ratusan atau
bahkan ribuan jalan yang berbeda. Tetapi saat ini untuk memperbaiki kelemahan
perangkat lunak telah diidentifikasi, vendor software menciptakan potogan-potongan
kecil dari perangkat lunak yang disebut patch untuk memperbaiki kelemahan tanpa
menganggu operasi yang tepat dari perangkat lunak.

8.2 Nilai Bisnis PAda Keamanan Kontrol

Banyak perusahaan enggan membebani keamanan karena tidak terkait langsung dengan
pendapatan penjualan. Namun, melindungi sistem informasi sangat penting bagi operasi
bisnis yang layak mendapat prioritas kedua. Keamanan dan pengendalian yang tidak
memadai dapat menyebabkan pertanggungjawaban hukum yang serius. Bisnis harus
melindungi tidak hanya aset informasi mereka sendiri, tetapi juga pelanggan, karyawan, dan
mitra bisnis.

Persyaratan Hukum dan Regulasi Untuk Pengelolaan Catatan Elektronik

Peraturan pemerintah A.S. baru-baru ini memaksa perusahaan untuk mengambil

keamanan dan kontrol lebih serius dengan mengamanatkan perlindungan data dari
penyalahgunaan, pemaparan, dan akses yang tidak sah. Perusahaan menghadapi
kewajiban hukum baru untuk penyimpanan dan penyimpanan catatan elektronik serta
untuk perlindungan privasi. Jika Anda bekerja di industri perawatan kesehatan,
perusahaan Anda harus mematuhi Undang-Undang Portabilitas dan Akuntabilitas
Asuransi Kesehatan (HIPAA) tahun 1996. Jika Anda bekerja di perusahaan yang
menyediakan layanan keuangan, perusahaan Anda harus mematuhi Modernisasi Jasa
Keuangan Act of 1999, lebih dikenal dengan Gramm-Leach-Bliley Act setelah sponsor
kongresnya. Jika Anda bekerja di perusahaan publik, perusahaan Anda harus mematuhi
Reformasi Akunting Perusahaan Publik dan Undang-Undang Perlindungan Investor
tahun 2002, yang lebih dikenal dengan Sarbanes-Oxley Act setelah sponsornya Senator
Paul Sarbanes dari Maryland dan Perwakilan Michael Oxley dari Ohio .

Bukti Elektronik dan Forensik Komputer

Pengamanan, pengendalian, dan pengelolaan arsip elektronik menjadi penting untuk
menanggapi tindakan hukum. Sebagian besar bukti saat ini untuk kecurangan saham,
penggelapan, pencurian rahasia dagang perusahaan, kejahatan komputer, dan banyak
kasus perdata dalam bentuk digital. Kebijakan penyimpanan dokumen elektronik yang
efektif memastikan bahwa dokumen elektronik, e-mail, dan catatan lainnya terorganisir
dengan baik, mudah diakses, dan tidak ditahan terlalu lama atau dibuang terlalu cepat.
Ini juga mencerminkan kesadaran bagaimana melestarikan bukti potensial untuk
forensik komputer. Forensik komputer adalah pengumpulan, pemeriksaan, otentikasi,
pelestarian, dan analisis data yang tersimpan atau diambil dari media penyimpanan
komputer sedemikian rupa sehingga informasi tersebut dapat digunakan sebagai bukti
 di pengadilan. Ini berkaitan dengan masalah berikut:
 Memulihkan data dari komputer sambil menjaga integritas evolusioner ∙
 Penyimpanan dan penanganan data elektronik dengan aman
 Menemukan informasi penting dalam sejumlah besar data elektronik
 Menyajikan informasi ke pengadilan

8.3 Membangun Kerangka Kerja Untuk Pengamanan dan Pengendalian

Bahkan dengan alat keamanan terbaik, sistem informasi Anda tidak akan bisa diandalkan dan
terjamin kecuali Anda tahu bagaimana dan di mana bisa memasangnya. Anda harus tahu di
mana perusahaan Anda berada dalam risiko dan control apa yang harus Anda miliki untuk
melindungi sistem informasi Anda. Anda juga perlu mengembangkan kebijakan keamanan
dan rencana agar bisnis Anda berjalan jika sistem informasi Anda tidak berjalan.

Pengendalian Sistem Informasi

Kontrol sistem informasi bersifat manual dan otomatis dan terdiri dari kontrol umum
dan kontrol aplikasi. Kontrol umum mengatur perancangan, keamanan, dan penggunaan
program komputer dan keamanan file data secara umum di seluruh infrastruktur
teknologi informasi organisasi. Kontrol umum mencakup kontrol perangkat lunak,
kontrol perangkat keras fisik, kontrol operasi komputer, kontrol keamanan data, kontrol
atas implementasi proses sistem, dan kontrol administratif. Kontrol aplikasi adalah
kontrol khusus yang unik untuk setiap aplikasi terkomputerisasi, seperti pemrosesan gaji
atau pemrosesan pesanan. Kontrol aplikasi dapat diklasifikasikan sebagai (1) kontrol
input, (2) kontrol pemrosesan, dan (3) kontrol output. Kontrol input memeriksa data
untuk akurasi dan kelengkapan saat memasuki sistem. Kontrol pemrosesan menentukan
bahwa data sudah lengkap dan akurat selama pemutakhiran. Kontrol output memastikan
bahwa hasil pengolahan komputer akurat, lengkap, dan terdistribusi dengan baik.

Tugas Beresiko
Sebelum perusahaan Anda melakukan sumber daya untuk mengendalikan sistem
keamanan dan informasi, perusahaan harus mengetahui aset mana yang memerlukan
perlindungan dan sejauh mana aset tersebut rentan. Penilaian risiko membantu
menjawab pertanyaan-pertanyaan ini dan menentukan sekumpulan kontrol yang paling
 efektif untuk melindungi aset. Penilaian risiko menentukan tingkat risiko perusahaan
jika aktivitas atau proses tertentu tidak dikendalikan dengan benar.

Kebijakan Keamanan
Setelah Anda mengidentifikasi risiko utama pada sistem Anda, perusahaan Anda perlu
mengembangkan kebijakan keamanan untuk melindungi aset perusahaan. Kebijakan
keamanan terdiri dari informasi risiko peringkat laporan, mengidentifikasi tujuan
keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan
ini. Kebijakan penggunaan yang dapat diterima (AUP) mendefinisikan penggunaan
sumber informasi dan peralatan komputasi perusahaan yang dapat diterima, termasuk
komputer desktop dan laptop, perangkat nirkabel, telepon, dan Internet. Kebijakan
keamanan juga mencakup ketentuan pengelolaan identitas. Manajemen identitas terdiri
dari proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna sistem yang
valid dan mengendalikan akses mereka terhadap sumber daya sistem.

Perencanaan Pemulihan Bencana dan Perencanaan Lanjutan Bisnis

Jika Anda menjalankan bisnis, Anda perlu merencanakan acara, seperti pemadaman
listrik, banjir, gempa bumi, atau serangan teroris yang akan mencegah sistem
informasi dan bisnis Anda beroperasi. Perencanaan pemulihan bencana merencanakan
rencana pemulihan layanan komputasi dan komunikasi setelah mereka terganggu.
Perencanaan lanjutan bisnis memfokuskan pada bagaimana perusahaan dapat
memulihkan operasi bisnis setelah terjadi bencana. Rencana kesinambungan bisnis
mengidentifikasi proses bisnis yang penting dan menentukan rencana tindakan untuk
menangani fungsi mission-critical jika sistem turun.
Peran Auditing
Bagaimana manajemen mengetahui bahwa keamanan dan pengendalian sistem
informasi efektif? Untuk menjawab pertanyaan ini, organisasi harus melakukan audit
yang komprehensif dan sistematis. Audit MIS memeriksa lingkungan keamanan
keseluruhan perusahaan serta kontrol yang mengatur sistem informasi perorangan.
Auditor harus melacak arus contoh transaksi melalui sistem dan melakukan pengujian,
dengan menggunakan, jika sesuai, perangkat lunak audit otomatis. Audit MIS juga
dapat memeriksa kualitas data. Audit keamanan meninjau teknologi, prosedur,
dokumentasi, pelatihan, dan personil. Audit menyeluruh bahkan akan mensimulasikan
 serangan atau bencana untuk menguji respons teknologi, staf sistem informasi, dan
pelaku bisnis. Daftar audit dan memberi peringkat semua kelemahan kontrol dan
memperkirakan probabilitas kemunculannya. Ini kemudian menilai dampak finansial
dan organisasi dari setiap ancaman.

8.4 Teknologi dan Alat Untuk Melindungi Sumber Daya Informasi

Identitas Perangkat Lunak Manajemen

 Otomastis melacak semua pengguna dan hak istimewa
 Mengotentikasi pengguna, melindungi indentitas, mengontrol akses

Autentikasi
 Sistem kata sandi
Otentikasi sering dibuat dengan menggunakan kata sandi yang dikenal hanya
untuk pengguna yang berwenang. Pengguna akhir menggunakan sandi untuk
masuk ke komputer sistem dan juga dapat menggunakan kata sandi untuk
mengakses sistem dan file tertentu.
 Token
Token adalah perangkat fisik, mirip dengan kartu identitas, yang dirancang untuk
membuktikan identitas pengguna tunggal. Token adalah gadget kecil yang
biasanya pas dengan key ring dan layar kode sandi yang sering berubah
 Kartu pintar
Kartu pintar adalah perangkat seukuran kartu kredit yang berisi chip yang diformat
dengan izin akses dan lainnya data. (Kartu pintar juga digunakan dalam sistem
pembayaran elektronik.) Perangkat pembaca menafsirkan data pada kartu pintar
dan mengizinkan atau menolak akses
 Otentikasi biometrik
Otentikasi biometrik menggunakan sistem yang membaca dan menafsirkan
individu ciri-ciri manusia, seperti sidik jari, iris, dan suara untuk memberikan atau
menolak akses. Otentikasi biometrik didasarkan pada pengukuran sifat fisik atau
perilaku yang membuat setiap individu unik. Ini membandingkan keunikan
seseorang karakteristik, seperti sidik jari, wajah, suara, atau citra retina, terhadap
profil tersimpan karakteristik ini untuk menentukan perbedaan antara karakteristik
 ini dan profil yang disimpan. Jika kedua profil cocok, akses diberikan.

Firewall

Kombinasi Perangkat keras dan perangkat lunak yang mencegah pengguna yang tidak
sah mengakses jaringan pribadi. Teknologi meluputi:
 Packet Filtering
Memeriksa bidang yang dipilih di header paket data yang mengalir bolak-balik
antara jaringan tepercaya dan Internet, memeriksa paket individu dalam isolasi.
Teknologi penyaringan ini bisa kehilangan banyak jenis serangan.
 Statefull Inspection
Memberikan keamanan tambahan dengan menentukan apakah paket merupakan
bagian dari dialog berkelanjutan antara pengirim dan penerima. Ini mengatur tabel
status untuk melacak informasi melalui beberapa paket. Paket diterima atau ditolak
berdasarkan apakah mereka adalah bagian dari percakapan yang disetujui atau
mencoba membuat koneksi yang sah.
 Network Address Translation (NAT)
Memberikan lapisan perlindungan lain ketika pemfilteran paket statis dan inspeksi
stateful digunakan. NAT menyembunyikan alamat IP komputer host internal
organisasi untuk mencegahnya sniffer program di luar firewall dari
memastikannya dan menggunakannya informasi untuk menembus sistem internal.
 Application Proxy Filtering
Memeriksa konten aplikasi dari paket. Sebuah server proxy menghentikan paket
data yang berasal dari luar organisasi, memeeriksa mereka, dan meneruskan proxy
ke sisi lain firewall. Jika pengguna di luar perusahaan ingin berkomunikasi dengan
pengguna di dalam organisasi, pengguna luar terlebih dahulu berkomunikasi
dengan aplikasi proxy, dan aplikasi proxy berkomunikasi dengan komputer
internal perusahaan. Demikian juga dengan komputer pengguna di dalam
organisasi melewati proxy untuk berbicara dengan komputer luar
Sistem Deteksi Intrusi

 Memantau hot spot di jaringan perusahaan untuk mendeteksi dan mencegah

penyusup
 Memeriksa peristiwa yang sedang terjadi untuk menemukan serangan yang sedang
berlangsung

Anti-malware Software

Rencana teknologi pertahanan untuk individu dan bisnis harus disertakan perlindungan
anti-malware untuk setiap komputer. Perangkat lunak anti-malware mencegah,
mendeteksi, dan menghapus malware, termasuk virus komputer, worm komputer, Kuda
troya, spyware, dan adware. Namun, kebanyakan perangkat lunak anti-malware adalah
efektif hanya terhadap malware yang sudah diketahui saat perangkat lunak itu ditulis.
Agar tetap efektif, peranti lunak harus terus diperbarui. Meski begitu tidak selalu efektif
karena beberapa perangkat lunak jahat dapat menghindari deteksi. Organisasi perlu
menggunakan alat deteksi malware tambahan untuk perlindungan yang lebih baik.

Sistem Unified Threat Manajement (UMT)

Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor

keamanan telah digabungkan menjadi satu alat berbagai alat keamanan, termasuk
firewall, jaringan pribadi virtual, sistem deteksi intrusi, dan pemfilteran konten web dan
perangkat lunak anti-spam. Produk manajemen keamanan yang komprehensif ini
disebut sistem manajemen ancaman terpadu (UTM). Produk UTM adalah tersedia untuk
semua ukuran jaringan. Vendor UTM terkemuka termasuk Fortinent, Sophos, dan
Check Point, dan vendor jaringan seperti Cisco Systems dan Juniper Networks
menyediakan beberapa kemampuan UTM di produk mereka.

Securing Wireless Networks

Standar keamanan awal yang dikembangkan untuk Wi-Fi, disebut Wired Equivalent
Privacy (WEP), tidak terlalu efektif karena kunci enkripsi relatif mudah retak. WEP
memberikan beberapa margin keamanan, bagaimanapun, jika pengguna ingat untuk
mengaktifkannya. Perusahaan dapat lebih meningkatkan keamanan Wi-Fi dengan
menggunakannya dalam hubungannya dengan teknologi jaringan pribadi virtual (VPN)
saat mengakses data internal perusahaan. Pada bulan Juni 2004, grup perdagangan
industri Wi-Fi Alliance menyelesaikan 802.11i spesifikasi (juga disebut sebagai Wi-Fi
Protected Access 2 atau WPA2) yang menggantikan WEP dengan standar keamanan
yang lebih kuat. Alih-alih enkripsi statis kunci yang digunakan dalam WEP, standar
baru menggunakan kunci yang lebih panjang secara terus menerus berubah, membuat
mereka lebih sulit untuk dipecahkan. Spesifikasi terbaru adalah WPA3, diperkenalkan
pada 2018.

Enkripsi dan Infrastruktur Kunci Publik

Enkripsi berarti mengubah teks atau data menjadi teks sandi yang tidak dapat dibaca
oleh penerima yang tidak diinginkan. Dua metode untuk enkripsi pada jaringan
 Secure Sockets Layer (SSL) dan penerus Transport Layer Security (TLS)
 Secure Hypertext Transfer Protocol (S-HTTP)
Dua metode enkripsi :
 Enkripsi kunci simetris
Pengirim dan penerima menggunakan satu kunci bersama
 Enkripsi kunci publik
o Menggunakan dua kunci yang berhubungan secara matematis: Kunci
publik dan kunci privat
 o Pengirim mengenkripsi pesan dengan kunci publik penerima
o Penerima mendekripsi dengan kunci pribadi

Sertifikat digital:

 File data yang digunakan untuk menetapkan identitas pengguna dan aset
elektronik untuk perlindungan transaksi online
 Menggunakan pihak ketiga tepercaya, otoritas sertifikasi (CA), untuk
memvalidasi identitas pengguna
 CA memverifikasi identitas pengguna, menyimpan informasi di server CA, yang
menghasilkan sertifikat digital terenkripsi yang berisi informasi ID pemilik dan
salinan kunci publik pemilik

Infrastruktur kunci publik (PKI)

 Penggunaan kriptografi kunci publik yang bekerja dengan otoritas sertifikat ∙

Banyak digunakan dalam e-commerce

Menggamankan Transaksi dengan Blockchain

Blockchain adalah rantai "blok" digital yang berisi catatan transaksi. Setiap blok
terhubung ke semua blok sebelum dan sesudahnya, dan blockchain terus diperbarui dan
tetap sinkron. Ini menyulitkan untuk mengutak-atik satu catatan karena seseorang harus
mengubah blok yang berisi catatan itu serta yang terkait dengannya untuk menghindari
deteksi. Setelah dicatat, transaksi blockchain tidak dapat diubah.

Memastikan Ketersediaan Sistem

 Pemrosesan transaksi online membutuhkan ketersediaan 100%, tanpa
downtime Dalam pemrosesan transaksi online, transaksi yang dimasukkan
secara online segera diproses oleh komputer. Banyak perubahan pada
database, pelaporan, dan permintaan informasi terjadi setiap saat.
 Sistem komputer yang tahan kesalahan

Mengontrol Lalu Lintas Jaringan

Sebuah teknologi yang disebut Deep Packet Inspection (DPI) membantu mengatasi
masalah ini. DPI memeriksa data file dan memilah materi online prioritas rendah
sambil menetapkan prioritas lebih tinggi ke file bisnis penting. Berdasarkan prioritas
yang ditetapkan oleh jaringan operator, memutuskan apakah paket data tertentu dapat
terus berlanjut ke tujuannya atau harus diblokir atau ditunda sementara lalu lintas
yang lebih penting berlanjut.

Keamanan Outsourcing

Banyak perusahaan, terutama bisnis kecil, kekurangan sumber daya atau keahlian untuk
menyediakan sendiri lingkungan komputasi ketersediaan tinggi yang aman. Mereka
dapat melakukan outsourcing banyak fungsi keamanan ke layanan keamanan terkelola
penyedia (MSSP) yang memantau aktivitas jaringan dan melakukan kerentanan
pengujian dan deteksi intrusi. SecureWorks, AT&T, Verizon, IBM, Perimeter eSecurity,
dan Symantec adalah penyedia layanan MSSP terkemuka.

Security in the Cloud

Tanggung jawab keamanan berada pada perusahaan yang memiliki data ∙ Perusahaan
harus memastikan penyedia memberikan perlindungan yang memadai ∙ Perjanjian
tingkat layanan (SLA)

Securing mobile platform

 Kebijakan keamanan harus mencakup dan mencakup persyaratan khusus untuk
perangkat seluler. Misalnya. memperbarui ponsel pintar dengan tambalan
keamanan terbaru, dll.