RINGKASAN BAB 4

Pengenalan Sistem Informasi

Keamanan bisa diartikan sebagai tingkat perlindungan terhadap kegiatan kriminal,

bahaya, kerusakan, dan kerugian. Keamanan Informasi mengacu pada semua proses dan
kebijakan yang dirancang untuk melindungi sistem informasi dan informasi organisasi (SI) dari
akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran yang tidak sah.
Sistem informasi dapat dikompromikan oleh tindakan criminal yang di sengaja yang dapat
mengganggu kinerja dari Sistem Informasi ini.

Ada lima faktor yang dapat berkontribusi untuk meningkatkan kerentanan sumber daya
informasi organisasi sehingga lebih sulit untuk diamankan.

1. Evolusi sumber daya TI

Sumber daya TI yang semula hanya dari lingkungan bisnis jaringan nirkabel yang sangat
kompleks saling berhubungan satu sama lain. Sekarang internet memungkinkan jutaan
komputer dan jaringan komputer untuk berkomunikasi secara bebas dan mulus satu sama
lain.
2. Komputer yang lebih kecil,cepat, murah
Komputer dan perangkat penyimpanan modern sekarang menjadi lebih kecil, cepat,
murah, lebih portable, dan dengan penyimpanan yang lebih besar. Karakteristik ini
membuat lebih mudah untuk dicuri perangkat penyimpanan yang berisi sejumlah besar
informasi sensitif dan komputernya.
3. Mengurangi keterampilan yang diperlukan untuk menjadi peretas komputer
Ini disebabkan karena internet berisi informasi dan program komputer yang disebut skrip
yang dapat diunduh dan digunakan oleh pengguna dengan sedikit keterampilan untuk
menyerang sistem informasi apa pun yang terhubung ke Internet
4. Kejahatan terorganisir internasional mengambil alih kejahatan dunia maya
Cybercrime mangacu pada kegiatan illegal yang dilakukan melalui jaringan komputer,
khususnya internet. Kejahatan ini biasanya tanpa kekerasan tapi cukup menguntungkan si
pelaku. Kejahatan komputer dapat dilakukan dari mana saja di dunia, kapan saja, secara
efektif menyediakan tempat perlindungan internasional bagi penjahat dunia maya
 5. Kurangnya dukungan Manajemen
Seluruh organisasi harus menganggap serius kebijakan dan prosedur keamanan. Manajer
harus mengatur karyawannya agar dapat mengikuti prosedur keamanan.

Ancaman yang tidak disengaja terhadap Sistem Informasi

 Human Error
Ada dua poin penting yang harus dibuat tentang karyawan. Pertama, semakin
tinggi level karyawan, semakin besar ancaman yang ditimbulkannya terhadap informasi
keamanan. Kedua, karyawan di dua area organisasi menimbulkan ancaman yang sangat
signifikan terhadap keamanan informasi sumber daya manusia dan sistem informasi.
 Rekayasa Sosial
Rekayasa sosial adalah serangan di mana pelaku menggunakan keterampilan
sosial untuk mengelabui atau memanipulasi karyawan yang sah untuk memberikan
informasi rahasia perusahaan seperti kata sandi. Dua teknik rekayasa sosial lainnya
adalah tailgating dan shoulder surfing.

Ancaman yang disengaja terhadap Sistem Informasi

1. Spionase atau Pelanggaran

Spionase atau pelanggaran terjadi ketika individu yang tidak berwenang mencoba untuk
mendapatkan akses ilegal ke informasi organisasi.
2. Pemerasan Informasi
Pemerasan informasi terjadi ketika penyerang mengancam untuk mencuri atau benar-
benar mencuri informasi dari perusahaan. Pelaku menuntut pembayaran untuk tidak
mencuri informasi,untuk mengembalikan informasi yang dicuri, atau karena setuju untuk
tidak mengungkapkan informasi tersebut.
3. Sabotase atau Vandalisme
Sabotase dan vandalisme adalah tindakan disengaja yang melibatkan perusakan situs web
organisasi, berpotensi merusak citra organisasi dan menyebabkan pelanggannya
kehilangan kepercayaan. Satu bentuk vandalisme online adalah hacktivist atau operasi
cyberactivist. Ini adalah kasus teknologi tinggi pembangkangan sipil untuk memprotes
operasi, kebijakan, atau tindakan organisasi atau lembaga pemerintah
4. Pencurian Peralatan atau Informasi
Perangkat komputasi dan perangkat penyimpanan menjadi lebih kecil namun lebih
bertenaga dengan peningkatan penyimpanan. Akibatnya, perangkat ini menjadi lebih
mudah dicuri dan lebih mudah bagi penyerang digunakan untuk mencuri informasi.
5. Pencurian identitas
Pencurian identitas adalah asumsi yang disengaja dari identitas orang lain, biasanya untuk
mendapatkan akses untuk informasi keuangannya atau menjebaknya untuk kejahatan.
Teknik untuk secara illegal memperoleh informasi pribadi antara lain sebagai berikut:
 Mencuri surat atau menyelam di tempat sampah
 Mencuri informasi pribadi di database komputer
 Organisasi penyusup yang menyimpan sejumlah besar informasi pribadi (mis.,
pengumpul data seperti Acxiom) (www.acxiom.com)
 Meniru identitas organisasi tepercaya dalam komunikasi elektronik (phishing)
6. Kompromi terhadap kekayaan Intelektual
 Melindungi kekayaan intelektual adalah isu vital bagi orang-orang yang mencari
nafkah di bidang pengetahuan.
 Kekayaan intelektual merupakan kekayaan yang diciptakan oleh individu atau
korporasi yang dilindungi oleh undang-undang rahasia dagang, paten, dan hak
cipta.
 Rahasia dagang adalah karya intelektual, seperti rencana bisnis, yang merupakan
rahasia perusahaan dan tidak berdasarkan informasi publik. Contohnya adalah
formula untuk Coca-Cola.
 Paten adalah dokumen resmi yang memberikan hak eksklusif kepada
pemegangnya atas suatu penemuan atau proses untuk periode waktu tertentu.
 Hak Cipta adalah hibah hukum yang memberikan pencipta atau pemilik kekayaan
intelektual dengan kepemilikan properti, untuk jangka waktu yang ditentukan.
7. Serangan Perangkat Lunak
Serangan perangkat lunak telah berevolusi dari tahun-tahun awal era komputer,
ketika penyerang menggunakan perangkat lunak berbahaya untuk menginfeksi sebanyak
mungkin komputer di seluruh dunia, ke profit-driven, Serangan berbasis web hari ini.
Serangan ini dikelompokkan ke dalam tiga kategori :
  serangan jarak jauh yang membutuhkan tindakan pengguna
Contohnya seperti : virus, worm, phising attack, Spear phishing
 serangan jarak jauh serangan yang tidak memerlukan tindakan pengguna
Contohnya seperti : Kegagalan layanan menyerang, serangan penolakan layanan
terdistribusi
 serangan perangkat lunak yang diprakarsai oleh pemrogram selama
pengembangan sebuah sistem.
Contohnya seperti : Trojan horse, Back door, logic bomb
8. Perangkat Lunak Alien
Banyak komputer pribadi memiliki perangkat lunak asing, atau pestware, yang
berjalan di dalamnya yang tidak disadari oleh pemiliknya. Perangkat lunak alien adalah
perangkat lunak rahasia yang diinstal di komputer melalui metode ganda. Spyware adalah
perangkat lunak yang mengumpulkan informasi pribadi tentang pengguna tanpa
persetujuan mereka.
Pada titik tertentu kita semua terpaksa melihat huruf yang bergelombang dan
terdistorsi dan ketik dengan benar ke dalam kotak. Rangkaian huruf itu disebut
CAPTCHA, dan ini adalah ujian. Maksud CAPTCHA adalah bahwa komputer tidak
dapat (belum) membaca huruf-huruf yang terdistorsi secara akurat. Spamware adalah
pestware yang menggunakan komputer sebagai landasan peluncuran spammer. Spam
adalah email yang tidak diminta, biasanya mengiklankan produk dan layanan. Cookie
adalah sejumlah kecil informasi yang disimpan oleh situs Web di komputer Anda, untuk
sementara atau kurang lebih secara permanen. Dalam banyak kasus, cookie berguna dan
tidak berbahaya. Sebagai contoh, beberapa cookie adalah kata sandi dan ID pengguna
yang tidak ingin Anda ketik ulang setiap kali Anda mengakses situs Web yang
mengeluarkan cookie.
9. Kontrol dan Data Pengawas
Serangan Akuisisi SCADA mengacu pada sistem pengukuran dan kontrol skala besar
yang terdistribusi. sistem SCADA digunakan untuk memantau atau mengontrol proses
kimia, fisik, dan transportasi seperti digunakan di kilang minyak, pabrik pengolahan air
dan limbah, generator listrik, dan nuklir pembangkit listrik. Pada dasarnya, sistem
SCADA menyediakan hubungan antara dunia fisik dan dunia elektronik. Sistem SCADA
 terdiri dari beberapa sensor, komputer master, dan infrastruktur komunikasi. Sensor
terhubung ke peralatan fisik.
10. Terorisme siber dan Perang Siber
Cyberterrorism dan cyberwarfare mengacu pada tindakan jahat di mana penyerang
menggunakan target sistem komputer, terutama melalui Internet, untuk menyebabkan
kerusakan fisik, dunia nyata atau parah gangguan, seringkali untuk menjalankan agenda
politik.

Kesulitan dalam melindungi informasi sumber daya

 Ratusan potensi ancaman ada.

 Sumber daya komputasi mungkin terletak di banyak lokasi.
 Banyak individu mengontrol atau memiliki akses ke aset informasi.
 Jaringan komputer dapat ditempatkan di luar organisasi, sehingga sulit untuk
melindungi.
 Perubahan teknologi yang cepat membuat beberapa kontrol menjadi usang segera
setelah itu diinstal.
 Banyak kejahatan komputer yang tidak terdeteksi dalam jangka waktu yang lama,
sehingga sulit untuk belajar dari pengalaman.
 Orang cenderung melanggar prosedur keamanan karena prosedurnya tidak
nyaman.
 Jumlah pengetahuan komputer yang diperlukan untuk melakukan kejahatan
komputer adalah biasanya minimal. Faktanya, seorang penjahat potensial dapat
belajar peretasan, secara gratis, di internet.
 Biaya untuk mencegah bahaya bisa sangat tinggi. Oleh karena itu, sebagian besar
organisasitidak mampu melindungi diri mereka sendiri dari semua kemungkinan
bahaya.
 Sulit untuk melakukan pembenaran biaya-manfaat untuk kontrol sebelum
serangan terjadi karena sulit untuk menilai dampak dari serangan hipotetis

Organisasi menghabiskan banyak waktu dan uang untuk melindungi sumber daya informasi
mereka. Sebelum melakukannya, mereka melakukan manajemen risiko. Risiko adalah
kemungkinan bahwa ancaman akan berdampak pada sumber daya informasi. Tujuan dari risiko
manajemen adalah untuk mengidentifikasi, mengendalikan, dan meminimalkan dampak
ancaman. Manajemen risiko terdiri dari tiga proses: analisis risiko, mitigasi risiko, dan evaluasi
pengendalian

Dalam mitigasi risiko, organisasi mengambil tindakan nyata terhadap risiko.

Mitigasi risiko memiliki dua fungsi:

1. menerapkan pengendalian untuk mencegah terjadinya ancaman yang teridentifikasi

2. mengembangkan sarana pemulihan jika ancaman menjadi kenyataan. Ada beberapa

strategi mitigasi risiko yang dapat diadopsi oleh organisasi Tiga yang paling umum
adalah penerimaan risiko, risiko pembatasan, dan pemindahan risiko.

Penerimaan risiko: Terima potensi risiko, terus beroperasi tanpa kendali, dan serap setiap
kerusakan yang terjadi.

Batasan risiko: Batasi risiko dengan menerapkan kontrol yang meminimalkan dampak dari
ancaman.

Pengalihan risiko: Pengalihan risiko dengan menggunakan cara lain untuk mengganti kerugian,
seperti: seperti dengan membeli asuransi.

Kontrol Keamanan Informasi

Untuk melindungi aset informasi mereka, organisasi menerapkan kontrol, atau

mekanisme pertahanan (juga disebut penanggulangan). Kontrol ini dirancang untuk melindungi
semua komponen dari sistem informasi, termasuk data, perangkat lunak, perangkat keras, dan
jaringan. Karena ada begitu banyak ancaman yang beragam, organisasi menggunakan lapisan
kontrol, atau pertahanan yang mendalam. Kontrol dimaksudkan untuk mencegah bahaya yang
tidak disengaja, mencegah tindakan yang disengaja, mendeteksi masalah sedini mungkin,
meningkatkan pemulihan kerusakan, dan memperbaiki masalah.

1. Kontrol Fisik
 Kontrol fisik mencegah individu yang tidak berwenang mendapatkan akses ke
fasilitas perusahaan. Kontrol fisik umum termasuk dinding, pintu, pagar, gerbang,
kunci, lencana, penjaga, dan sistem alarm. Sensor tekanan, suhu sensor, dan detektor
gerakan termasuk kontrol fisik yang lebih canggih. Salah satu kelemahan dari kontrol
fisik adalah bahwa mereka dapat merepotkan karyawan. Organisasi juga menerapkan
langkah-langkah keamanan fisik yang membatasi pengguna komputer untuk waktu
dan lokasi login yang dapat diterima. Kontrol ini juga membatasi jumlah kegagalan
upaya login, dan mereka mengharuskan semua karyawan untuk logout dari komputer
mereka saat mereka berangkat hari. Selain itu, mereka mengatur komputer karyawan
untuk secara otomatis log off pengguna setelah periode tertentu tidak digunakan.
2. Kontrol Akses
Kontrol akses membatasi individu yang tidak berwenang untuk menggunakan sumber
daya informasi.
3. Kontrol Komunikasi
Kontrol komunikasi (juga disebut kontrol jaringan) mengamankan pergerakan data di
seluruh jaringan. Kontrol komunikasi terdiri dari firewall, sistem anti-malware, daftar
putih dan daftar hitam, enkripsi, jaringan pribadi virtual (VPN), keamanan lapisan
transport, dan sistem pemantauan karyawan.
 Firewall adalah sistem yang mencegah perpindahan jenis informasi tertentu
antara jaringan tidak tepercaya, seperti Internet, dan jaringan pribadi, seperti
jaringan perusahaan.
 Sistem anti-malware, juga disebut antivirus, atau AV, perangkat lunak, adalah
paket perangkat lunak yang mencoba mengidentifikasi dan menghilangkan
virus dan worm, dan perangkat lunak berbahaya lainnya
 Whitelisting adalah proses di mana sebuah perusahaan mengidentifikasi
perangkat lunak yang akan diizinkan untuk dijalankan di komputernya. daftar
hitam memungkinkan semuanya berjalan kecuali ada di daftar hitam. Daftar
hitam, kemudian, mencakup jenis perangkat lunak tertentu yang tidak
diizinkan untuk berjalan di lingkungan perusahaan.
 Enkripsi adalah proses mengubah suatu pesan asli ke dalam bentuk yang tidak
dapat dibaca oleh siapa pun kecuali penerima yang dituju
 VPN (A Virtual Private Network) Jaringan pribadi virtual adalah jaringan
pribadi yang menggunakan jaringan publik (biasanya Internet) untuk
menghubungkan pengguna.
 Keamanan lapisan transport, sebelumnya disebut lapisan soket aman, adalah
standar enkripsi yang digunakan untuk transaksi aman seperti pembelian kartu
kredit dan online perbankan
 sistem pemantauan karyawan, yang meneliti komputer karyawan mereka,
aktivitas email, dan aktivitas berselancar di Internet.