NIM : 19520012
Tugas 4
Kemudian Kerusakan sistem jika perangkat keras komputer rusak, tidak dikonfigurasi
dengan benar, atau rusak karena penggunaan yang tidak benar atau tindakan kriminal.
Kesalahan dalam pemrograman, penginstalan yang tidak tepat, atau perubahan yang tidak
sah menyebabkan perangkat lunak komputer gagal. Kegagalan listrik, banjir, kebakaran,
atau bencana alam lainnya juga dapat mengganggu sistem komputer.
• Deskripsikan ancaman yang paling umum terhadap system informasi saat ini!
Terdapat dua ancaman dalam system informasi manajemen, yaitu ancaman aktif dan
ancaman pasif.
1) Ancaman aktif
Ancaman aktif yang umum terjadi pada system informasi adalah kecurangan dan
kejahatan terhadap komputer. Anacaman kecurangan terhadap komputer yaitu
dengan pemanipulasian masukan. Pemanipulasian melalui program bisa dilakukan
oleh para pesialis teknologi informasi.Pengubahan berkas secara langsung umum
dilakukan oleh orang yang punya akses secara langsung terhadap basis data.
Misalnya penyusup dapat meluncurkan serangan perangkat lunak berbahaya untuk
mengganggu pengoperasian situs web. Mereka yang mampu menembus sistem
perusahaan dapat mencuri, menghancurkan, atau mengubah data perusahaan yang
disimpan dalam database atau file.
2) Ancaman pasif
Pada ancaman pasif bisa berupa kegagalan system, kesalahan manusia dan bencana
alam. Bencana alam merupakan faktor yang tak terduga yang bisa mengancam
sistem informasi. Kesalahan pengoperasian sistem oleh manusia dapat merusak
integritas sistem dan data Dan Pemasukan data yang salah dapat mengacaukan
sistem. Begitu juga penghapusan data. Pelabelan yang salah terhadap pita magnetik
yang berisi backup sistem juga membawa dampak buruk kalau terjadi gangguan
dalam sistem.
• Definikan malware dan bedakan antar virus, worm, dan Trojan horse
Malware biasa disebut dengan istilah kode jahat. Karena malware adalah kode jahat,
maka ia mencakup worm, trojan, virus, spyware/adware, rootkit, bots, exploit, backdoor
dan lainnya. Pada dasarnya malware adalah software / program komputer, yang
membedakan malware dengan software adalah tujuan dan aksinya yang merugikan
komputer korbannya seperti mengubah (menghapus, mencuri atau menyembunyikan)
data, mengkonsumsi bandwidth atau sumber daya lain tanpa seizin pemilik komputer
atau aksi lain yang merugikan. Beda antara malware dengan virus, worm dan trojan
horse adalah sebagai berikut :
- Virus
Malware yang untuk menginfeksi komputer membutuhkan bantuan / intervensi
pihak ke tiga untuk menjalankan dirinya dan tidak bisa berjalan secara otomatis
menginfeksi komputer. Supaya manusia mau menjalankan dirinya, virus
memalsukan dirinya sebagai program baik-baik seperti .doc, .jpg atau folder yang
jika di klik akan menjalankan virus.
- Worm
Malware yang dapat secara otomatis menginfeksi komputer tanpa bantuan pihak ke
tiga. Jadi sekali worm ada di komputer / jaringan, ia akan secara otomatis
menyebarkan dirinya ke komputer lain tanpa bantuan atau bahkan tanpa dapat
dicegah oleh para pemilik komputer lain dalam jaringan.
- Trojan Horse
Trojan adalah kuda troya yang akan berpura-pura sebagai program berguna baik
crack, game atau program lain yang secara diam-diam menginstalkan dirinya pada
sistem dan menjalankan kegiatan mata-mata seperti mencuri data, merekam ketukan
keyboard dan mengirimkan ke alamat yang telah ditentukan oleh pembuatnya.
Biasanya hacker akan meminta korban untuk menyerahkan password pribadi yang mana
ia mengaku untuk hal penting demi keberlangsungan korban. Padahal password yang
didapat nanti akan disalahgunaan oleh hacker untuk mengambal data pribadi korban,
atau akan dirusak keamanannya. Disini hacker akan menggunakan celah-celah
keamanan yang belum diperbaiki oleh pembuat perangkat lunak sebagai penyusup dan
merusah suatu system. Berikut adalah beberapa teknik yang biasa digunakan oleh hacker
untuk mengakses kata sandi/password :
- Jaringan wifi tidak aman
- Situs tidak aman
- Program tidak dikenal
- Enkripsi lemah dan kurangnya PIN untuk router Wi-fi
- Menautkan akun ke situs tidak dikenal
- Memakai nomor ponsel di media social
- Email dan lampiran yang mencurigakan
Pencurian identitas dan shipping ini menjadi masalah besar saat ini karena pelaku
kejahatan bisa menyamar sebagai kita kemudian menggunakan kartu kredit dengan tidak
bertanggungjawab, melakukan penipuan dan mendapatkan keuntungan lain yang bisa
merugikan kita.
Hal ini juga dikenal sebagai kesalahan administrasi. Kesalahan administrasi sulit untuk
ditangani karena jika tidak tertangkap dan sampai terlambat, dan konsekuensi dapat
menjadi bencana. Juga, kesalahan administrasi dapat terjadi di tingkat manapun dan
melalui operasi atau prosedur dalam perusahaan. Tidak mengikuti prosedur keamanan
dalam kaitannya dengan menerima informasi eksternal, email, penggunaan internet dll
Masalah kualitas utama adalah bug atau cacat yang disebabkan oleh salah desain.
Masalah lainnya adalah pemeliharaan program lama yang disebabkan oleh perubahan
organisasi, cacat desain sistem, dan kompleksitas perangkat lunak. Bug bahkan program
agak kompleks dapat menjadi mustahil untuk ditemukan dalam pengujian, membuat
mereka menjadi bom tersembunyi.
3. Apakah yang menjadi komponen dari kerangka organisasi untuk keamanan dan
pengendalian?
Perusahaan perlu menetapkan pengendalian termasuk pengendalian umum dan
pengendalian aplikasi yang baik atas system informasi.
- Pengendalian umum meliputi mengatur perancangan, keamanan, dan penggunaan
program komputer dan keamanan file data secara umum di seluruh infrastruktur
teknologi informasi organisasi yang didalamnya ada kontrol perangkat lunak,
kontrol perangkat keras, kontrol operasi komputer, kontrol keamanan data, kontrol
administrasi, kontrol implementasi.
- Pengendalian aplikasi adalah kontrol khusus yang unik untuk setiap aplikasi
terkomputerisasi, seperti pemrosesan gaji atau pemrosesan pesanan. Ini termasuk
prosedur otomatis dan manual yang memastikan bahwa hanya data resmi yang
benar-benar dan diproses secara akurat oleh aplikasi tersebut.
Perusahaan juga harus mengembangkan kebijakan dan program pengamanan yang baik
agar operasi bisnis tetap berlanjut ketika terjadi bencana atau gangguan. Kebijakan
keamanan terdiri dari risiko informasi peringkat peringkat, mengidentifikasi tujuan
keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan
ini. Kebijakan keamanan mendorong kebijakan yang menentukan penggunaan sumber
daya informasi perusahaan yang dapat diterima dan anggota perusahaan memiliki akses
terhadap aset informasinya.
- Eksposur risiko terukur secara akurat, informatif, dan tepat waktu, baik eksposur
risiko secara keseluruhan / komposit maupun eksposur per jenis risiko yang
melekat pada kegiatan usaha Bank, maupun eksposur risiko per jenis aktivitas
fungsional Bank
- Mematuhi penerapan manajemen risiko terhadap kebijakan, prosedur dan
penetapan limit risiko
Pengusaha mengharapkan sistem mereka dapat tersedia 24 jam dalam 7 hari, tetapi
penyedia layanan komputasi tidak selalu bisa menyediakam layanan ini. Pada beberapa
kejadian selama beberapa tahun ke belakang, layanan cloud computing dari
Amazon.com dan Salesforce.com mengalami pengehentian yang mengganggu
operasional bisnis bagi jutaan pelanggannya.
Soal Kasus
Misalkan bisnis Anda memiliki situs web perdagangan (e-commerce) yang aktivitas bisnisnya
menjual barang dan menerima pembayaran kartu kredit. Bahaslah ancaman keamanan utama
pada situs web in dan implikasi yang potensial dari ancaman tersebut. Apa yang dapat Anda
lakukan untuk meminimumkan ancaman-ancaman tersebut.
Jawab :
Beberapa ancaman keamanan yang sering terjadi pada website e-commerce, antara lain credit card
fraud atau carding. Carding adalah aktifitas pembelian barang di Internet menggunakan kartu
kredit bajakan. Ada beberapa tahapan yang umumnya dilakukan para carder dalam melakukan aksi
kejahatannya, yaitu
1) mendapatkan nomor kartu kredit yang bisa dilakukan dengan berbagai cara antara lain:
phising, hacking, sniffing, keylogging, worm, dan lain-lain. Berbagi informasi antara
carder, mengunjungi situs yang memang spesial menyediakan nomor-nomor kartu kredit
buat carding dan lain-lain yang pada intinya adalah untuk memperolah nomor kartu kredit
2) mengunjungi situs-situs e-commerce seperti Ebay, Amazon untuk kemudian carder
mencoba-coba nomor yang dimilikinya untuk mengetahui apakah kartu tersebut masih
valid atau limitnya mencukupi
3) melakukan transaksi secara online untuk membeli barang seolah-olah carder adalah
pemilik asli dari kartu tersebut
4) menentukan alamat tujuan atau pengiriman
5) pengambilan barang oleh carder
Kemudian untuk meminimumkan ancaman yang dapat mengganggu keamanan adalah dengan
Membuat perencanaan peningkatan keamanan tersebut, yang mana memiliki 5 tahapan sebagai
berikut :
1) perform a risk assessment, melakukan penilaian terhadap resiko yang dapat terjadi dan
penilaian terhadap poin vulnerability yang ada
2) develop security policy, security policy adalah sekumpulan pernyataan yang berisikan
pernyataan yang memprioritaskan resiko informasi, identifikasi terhadap target yang beresiko,
dan indentifikasi mekanisme untuk mencapai target tersebut
3) develop an implementation plan, tahap selanjutnya adalah implementasi terhadap security
policy yang telah direncanakan
4) create a security organization, membuat sebuah organisasi yang bertanggung jawab atas
keamanan. Selain itu mereka juga bertanggung jawab untuk membuat user dan manajemen
lebih sadar akan ancaman keamanan serta melakukan pemeliharaan terhadap tools yang
dipilih untuk mengimplementasikan security
5) perform a security audit, untuk memeriksa dan mereview akses log secara rutin dan
mengidentifikasi bagaimana outsiders menggunaka website sebaik insiders yang melakukan
akses