Nama Kelompok:
UNIVERSITAS AIRLANGGA
SURABAYA
2021
8.1 Kerentanan dan Penyalahgunaan Sistem
Ketika sejumlah data penting disimpan dalam bentuk elektronik, maka data tersebut rentan
terhadap berbagai jenis ancaman daripada data yang tersimpan secara manual. Ancaman
ancaman tersebut bisa saja berasal dari faktor teknis, organisasi, dan lingkungan yang
diperparah oleh akibat keputusan manajemen yang buruk. Bagi perusahaan atau individu di
dalam menyimpan data-data penting yang menyangkut privasi atau kerahasiaan perusahaan,
apalagi perusahaan yang menggunakan web, sangat rentan terhadap penyalahgunaan, karena
pada dasarnya web mempunyai akses yang sangat luas dan dapat diakses oleh semua orang,
membuat sistem perusahaan dengan mudah mendapat serangan yang pada umumnya berasal
dari pihak luar, seperti hacker.
Kerentanan Software
Kesalahan perangkat lunak menyebabkan ancaman konstan untuk sistem informasi,
menyebabkan tak terhitung kerugian dalam produktivitas. Masalah utama pada
perangkat lunak adalah adanya bug atau program tersembunyi. Sumber utama bug
adalah rumitnya dalam keputusan membuat kode. Sebuah program yang relatif kecil
dari beberapa ratus baris akan berisi puluhan keputusan yang mengarah ke ratusan atau
bahkan ribuan jalan yang berbeda. Tetapi saat ini untuk memperbaiki kelemahan
perangkat lunak telah diidentifikasi, vendor software menciptakan potogan-potongan
kecil dari perangkat lunak yang disebut patch untuk memperbaiki kelemahan tanpa
menganggu operasi yang tepat dari perangkat lunak.
Bahkan dengan alat keamanan terbaik, sistem informasi Anda tidak akan bisa diandalkan dan
terjamin kecuali Anda tahu bagaimana dan di mana bisa memasangnya. Anda harus tahu di
mana perusahaan Anda berada dalam risiko dan control apa yang harus Anda miliki untuk
melindungi sistem informasi Anda. Anda juga perlu mengembangkan kebijakan keamanan
dan rencana agar bisnis Anda berjalan jika sistem informasi Anda tidak berjalan.
Tugas Beresiko
Sebelum perusahaan Anda melakukan sumber daya untuk mengendalikan sistem
keamanan dan informasi, perusahaan harus mengetahui aset mana yang memerlukan
perlindungan dan sejauh mana aset tersebut rentan. Penilaian risiko membantu
menjawab pertanyaan-pertanyaan ini dan menentukan sekumpulan kontrol yang paling
efektif untuk melindungi aset. Penilaian risiko menentukan tingkat risiko perusahaan
jika aktivitas atau proses tertentu tidak dikendalikan dengan benar.
Kebijakan Keamanan
Setelah Anda mengidentifikasi risiko utama pada sistem Anda, perusahaan Anda perlu
mengembangkan kebijakan keamanan untuk melindungi aset perusahaan. Kebijakan
keamanan terdiri dari informasi risiko peringkat laporan, mengidentifikasi tujuan
keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan
ini. Kebijakan penggunaan yang dapat diterima (AUP) mendefinisikan penggunaan
sumber informasi dan peralatan komputasi perusahaan yang dapat diterima, termasuk
komputer desktop dan laptop, perangkat nirkabel, telepon, dan Internet. Kebijakan
keamanan juga mencakup ketentuan pengelolaan identitas. Manajemen identitas terdiri
dari proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna sistem yang
valid dan mengendalikan akses mereka terhadap sumber daya sistem.
Jika Anda menjalankan bisnis, Anda perlu merencanakan acara, seperti pemadaman
listrik, banjir, gempa bumi, atau serangan teroris yang akan mencegah sistem
informasi dan bisnis Anda beroperasi. Perencanaan pemulihan bencana merencanakan
rencana pemulihan layanan komputasi dan komunikasi setelah mereka terganggu.
Perencanaan lanjutan bisnis memfokuskan pada bagaimana perusahaan dapat
memulihkan operasi bisnis setelah terjadi bencana. Rencana kesinambungan bisnis
mengidentifikasi proses bisnis yang penting dan menentukan rencana tindakan untuk
menangani fungsi mission-critical jika sistem turun.
Peran Auditing
Bagaimana manajemen mengetahui bahwa keamanan dan pengendalian sistem
informasi efektif? Untuk menjawab pertanyaan ini, organisasi harus melakukan audit
yang komprehensif dan sistematis. Audit MIS memeriksa lingkungan keamanan
keseluruhan perusahaan serta kontrol yang mengatur sistem informasi perorangan.
Auditor harus melacak arus contoh transaksi melalui sistem dan melakukan pengujian,
dengan menggunakan, jika sesuai, perangkat lunak audit otomatis. Audit MIS juga
dapat memeriksa kualitas data. Audit keamanan meninjau teknologi, prosedur,
dokumentasi, pelatihan, dan personil. Audit menyeluruh bahkan akan mensimulasikan
serangan atau bencana untuk menguji respons teknologi, staf sistem informasi, dan
pelaku bisnis. Daftar audit dan memberi peringkat semua kelemahan kontrol dan
memperkirakan probabilitas kemunculannya. Ini kemudian menilai dampak finansial
dan organisasi dari setiap ancaman.
Autentikasi
Sistem kata sandi
Otentikasi sering dibuat dengan menggunakan kata sandi yang dikenal hanya
untuk pengguna yang berwenang. Pengguna akhir menggunakan sandi untuk
masuk ke komputer sistem dan juga dapat menggunakan kata sandi untuk
mengakses sistem dan file tertentu.
Token
Token adalah perangkat fisik, mirip dengan kartu identitas, yang dirancang untuk
membuktikan identitas pengguna tunggal. Token adalah gadget kecil yang
biasanya pas dengan key ring dan layar kode sandi yang sering berubah
Kartu pintar
Kartu pintar adalah perangkat seukuran kartu kredit yang berisi chip yang diformat
dengan izin akses dan lainnya data. (Kartu pintar juga digunakan dalam sistem
pembayaran elektronik.) Perangkat pembaca menafsirkan data pada kartu pintar
dan mengizinkan atau menolak akses
Otentikasi biometrik
Otentikasi biometrik menggunakan sistem yang membaca dan menafsirkan
individu ciri-ciri manusia, seperti sidik jari, iris, dan suara untuk memberikan atau
menolak akses. Otentikasi biometrik didasarkan pada pengukuran sifat fisik atau
perilaku yang membuat setiap individu unik. Ini membandingkan keunikan
seseorang karakteristik, seperti sidik jari, wajah, suara, atau citra retina, terhadap
profil tersimpan karakteristik ini untuk menentukan perbedaan antara karakteristik
ini dan profil yang disimpan. Jika kedua profil cocok, akses diberikan.
Firewall
Kombinasi Perangkat keras dan perangkat lunak yang mencegah pengguna yang tidak
sah mengakses jaringan pribadi. Teknologi meluputi:
Packet Filtering
Memeriksa bidang yang dipilih di header paket data yang mengalir bolak-balik
antara jaringan tepercaya dan Internet, memeriksa paket individu dalam isolasi.
Teknologi penyaringan ini bisa kehilangan banyak jenis serangan.
Statefull Inspection
Memberikan keamanan tambahan dengan menentukan apakah paket merupakan
bagian dari dialog berkelanjutan antara pengirim dan penerima. Ini mengatur tabel
status untuk melacak informasi melalui beberapa paket. Paket diterima atau ditolak
berdasarkan apakah mereka adalah bagian dari percakapan yang disetujui atau
mencoba membuat koneksi yang sah.
Network Address Translation (NAT)
Memberikan lapisan perlindungan lain ketika pemfilteran paket statis dan inspeksi
stateful digunakan. NAT menyembunyikan alamat IP komputer host internal
organisasi untuk mencegahnya sniffer program di luar firewall dari
memastikannya dan menggunakannya informasi untuk menembus sistem internal.
Application Proxy Filtering
Memeriksa konten aplikasi dari paket. Sebuah server proxy menghentikan paket
data yang berasal dari luar organisasi, memeeriksa mereka, dan meneruskan proxy
ke sisi lain firewall. Jika pengguna di luar perusahaan ingin berkomunikasi dengan
pengguna di dalam organisasi, pengguna luar terlebih dahulu berkomunikasi
dengan aplikasi proxy, dan aplikasi proxy berkomunikasi dengan komputer
internal perusahaan. Demikian juga dengan komputer pengguna di dalam
organisasi melewati proxy untuk berbicara dengan komputer luar
Sistem Deteksi Intrusi
Anti-malware Software
Rencana teknologi pertahanan untuk individu dan bisnis harus disertakan perlindungan
anti-malware untuk setiap komputer. Perangkat lunak anti-malware mencegah,
mendeteksi, dan menghapus malware, termasuk virus komputer, worm komputer, Kuda
troya, spyware, dan adware. Namun, kebanyakan perangkat lunak anti-malware adalah
efektif hanya terhadap malware yang sudah diketahui saat perangkat lunak itu ditulis.
Agar tetap efektif, peranti lunak harus terus diperbarui. Meski begitu tidak selalu efektif
karena beberapa perangkat lunak jahat dapat menghindari deteksi. Organisasi perlu
menggunakan alat deteksi malware tambahan untuk perlindungan yang lebih baik.
Standar keamanan awal yang dikembangkan untuk Wi-Fi, disebut Wired Equivalent
Privacy (WEP), tidak terlalu efektif karena kunci enkripsi relatif mudah retak. WEP
memberikan beberapa margin keamanan, bagaimanapun, jika pengguna ingat untuk
mengaktifkannya. Perusahaan dapat lebih meningkatkan keamanan Wi-Fi dengan
menggunakannya dalam hubungannya dengan teknologi jaringan pribadi virtual (VPN)
saat mengakses data internal perusahaan. Pada bulan Juni 2004, grup perdagangan
industri Wi-Fi Alliance menyelesaikan 802.11i spesifikasi (juga disebut sebagai Wi-Fi
Protected Access 2 atau WPA2) yang menggantikan WEP dengan standar keamanan
yang lebih kuat. Alih-alih enkripsi statis kunci yang digunakan dalam WEP, standar
baru menggunakan kunci yang lebih panjang secara terus menerus berubah, membuat
mereka lebih sulit untuk dipecahkan. Spesifikasi terbaru adalah WPA3, diperkenalkan
pada 2018.
Sertifikat digital:
File data yang digunakan untuk menetapkan identitas pengguna dan aset
elektronik untuk perlindungan transaksi online
Menggunakan pihak ketiga tepercaya, otoritas sertifikasi (CA), untuk
memvalidasi identitas pengguna
CA memverifikasi identitas pengguna, menyimpan informasi di server CA, yang
menghasilkan sertifikat digital terenkripsi yang berisi informasi ID pemilik dan
salinan kunci publik pemilik
Blockchain adalah rantai "blok" digital yang berisi catatan transaksi. Setiap blok
terhubung ke semua blok sebelum dan sesudahnya, dan blockchain terus diperbarui dan
tetap sinkron. Ini menyulitkan untuk mengutak-atik satu catatan karena seseorang harus
mengubah blok yang berisi catatan itu serta yang terkait dengannya untuk menghindari
deteksi. Setelah dicatat, transaksi blockchain tidak dapat diubah.
Keamanan Outsourcing
Banyak perusahaan, terutama bisnis kecil, kekurangan sumber daya atau keahlian untuk
menyediakan sendiri lingkungan komputasi ketersediaan tinggi yang aman. Mereka
dapat melakukan outsourcing banyak fungsi keamanan ke layanan keamanan terkelola
penyedia (MSSP) yang memantau aktivitas jaringan dan melakukan kerentanan
pengujian dan deteksi intrusi. SecureWorks, AT&T, Verizon, IBM, Perimeter eSecurity,
dan Symantec adalah penyedia layanan MSSP terkemuka.
Tanggung jawab keamanan berada pada perusahaan yang memiliki data ∙ Perusahaan
harus memastikan penyedia memberikan perlindungan yang memadai ∙ Perjanjian
tingkat layanan (SLA)