Dengan menyebut nama Allah SWT yang Maha Pengasih lagi Maha Penyayang, kami
mengucapkan puja dan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat,
hidayah, dan inayah-Nya kepada saya, sehingga saya dapat menyelesaikan Tugas "makalah "
usahakan semaksimal mungkin dan tentunya dengan bantuan berbagai pihak, sehingga dapat
memperlancar pembuatan makalah ini.
Untuk itu saya tidak lupa menyampaikan banyak terimakasih kepada semua pihak yang telah
membantu saya dalam pembuatan makalah ini. Namun tidak lepas dari semua itu, saya sadar
sepenuhnya bahwa ada kekurangan baik dari segi penyusunan bahasa maupun dari segi
lainnya. Oleh karena itu dengan lapang dada dan tangan terbuka saya membuka selebar-
lebarnya bagi pembaca yang ingin member saran dan kritik kepada saya sehingga saya dapat
memperbaiki Tugas „Ujian Tengah Semester”ini. Akhirnya penyusun mengharapkan semoga
dari Tugas „Ujian Tengah Semester” ini dapat diambil hikmah dan manfaatnya sehingga
dapat memberikan inspirasi kepada pembaca.
DAFAR ISI
BAB I
PENDAHULUAN
BAB II
PEMBAHASAN
3.Bencana alam Bencana alam seperti gempa bumi, banjir, kebakaran, hujan badai
merupakan faktor yang tidak terduga yang dapat mengancam sistem informasi sehingga
mengakibatkan sumber daya pendukung sistem informasi menjadi luluhlantah dalam
waktu yang singkat
2.4 Keamanan dalam E -commerce
Terdapat beberapa kerangka kerja manajemen risiko yang dapat digunakan untuk
Teknologi Informasi dan berfokus pada pengelolaan risiko keamanan informasi secara
khusus. Semua kerangka kerja tersebut menggunakan pendekatan lifecycle yang sangat
mirip, meskipun terdapat sedikit perbedaan dalam terminologi dan perbedaan langkah-
langkah proses. Berikut adalah alur proses manajemen risiko dasar yang dapat digunakan
untuk menjaga keamanan informasi:
Untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan
organisasi, manajemen puncak tidak hanya harus mengomunikasikan kebijakan keamanan
organisasi tetapi juga harus memandu dengan mencontohkannya.
Pelatihan penting dilakukan untuk melatih para pegawai tentang serangan rekayasa sosial dan
agar pegawai tidak mengizinkan orang lain mengikuti mereka melalui pintu masuk akses
terbatas yang biasa disebut piggybacking.
Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi aset
informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai
sehingga praktik manajemen menekankan perlunya pengendalian untuk mengelola identitas
pengguna dan akses logis agar dapat melacak dan mengidentifikasi secara khusus siapa saja
yang mengakses sistem informasi organisasi.
Pengendalian Autentikasi
Autentikasi (authentication) adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem yang bertujuan untuk memastikan bahwa pengguna sah
yang dapat mengakses sistem.
Pengendalian Otorisasi
Otorisasi adalah proses memperketat akses dari pengguna sah terhadap bagian spesifik sistem
dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan yang
bertujuan untuk menyusun hak serta keistimewaaan setiap pegawai dengan cara menetapkan
dan mengelola pemisahan tugas yang tepat. Pengendalian otorisasi biasanya
diimplementasikan dengan menciptakan matriks pengendalian akses atau sebuah tabel yang
digunakan untuk mengimplementasikan pengendalian otorisasi. Kemudian, ketika seorang
pegawai berusaha mengakses sumber daya sisem informasi tertentu, sistem akan melakukan
sebuah uji kompatibilitas - mencocokkan tanda bukti autentikasi pengguna terhadap matriks
pengendalian akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk
mengakses sumber daya dan melakukan tindakan yang diminta.
Seorang penyerang yang terampil hanya membutuhkan beberapa menit akses fisik langsung
tanpa pengawasan untuk melewati kontrol keamanan informasi yang ada. Misalnya,
penyerang dengan akses fisik langsung tanpa pengawasan dapat menginstal perangkat
pendeteksi keystroke yang menangkap kredensial otentikasi pengguna, sehingga
memungkinkan penyerang untuk kemudian memperoleh akses tidak sah ke sistem dengan
meniru pengguna yang sah. Seseorang dengan akses fisik yang tidak diawasi juga dapat
memasukkan disk khusus yang menyediakan akses langsung ke setiap file di komputer dan
kemudian menyalin file sensitif ke perangkat portabel seperti drive USB atau iPod. Sebagai
alternatif, penyerang dengan akses fisik yang tidak diawasi dapat dengan mudah melepas
hard drive atau bahkan mencuri seluruh komputer.
Sebagian besar organisasi menyediakan karyawan, pelanggan, dan pemasok dengan akses
jarak jauh ke sistem informasi mereka. Akses ini terjadi melalui Internet, tetapi beberapa
organisasi masih mempertahankan jaringan kepemilikan mereka sendiri atau menyediakan
akses dial-up langsung melalui modem. Banyak organisasi juga menyediakan akses wirjess
ke sistem mereka.
PENGENDALIAN DETEKTIF
Analisis log
Sebagian besar sistem dilengkapi dengan kemampuan luas untuk membuat log yang
mengakses sistem dan tindakan spesifik apa yang dilakukan setiap pengguna. Log ini
membentuk jejak audit akses sistem. Seperti halnya audit rel lainnya, log hanya bernilai jika
diperiksa secara rutin. Analisis log adalah proses pemeriksaan catatan untuk mengidentifikasi
bukti dari serangan yang mungkin. Sangat penting untuk menganalisis log dari upaya yang
gagal untuk masuk ke sistem dan upaya gagal untuk mendapatkan akses ke sumber daya
informasi tertentu. Tujuan dari analisis log adalah untuk menentukan alasan untuk upaya log-
on yang gagal ini. Log perlu dianalisis secara teratur untuk mendeteksi masalah secara tepat
waktu.
Sistem deteksi intrusi (lDSs) terdiri dari satu set sensor dan unit pemantau pusat yang
membuat log lalu lintas jaringan yang diizinkan untuk melewati firewall dan kemudian
menganalisa log tersebut untuk tanda-tanda gangguan percobaan atau sukses. Seperti IPS,
fungsi IDS dengan membandingkan lalu lintas yang diamati ke database tanda tangan
serangan yang dikenal atau ke model lalu lintas "normal" pada jaringan tertentu. Selain itu,
IDS dapat diinstal pada perangkat khusus untuk memantau upaya tidak sah untuk mengubah
konfigurasi perangkat tersebut. Perbedaan utama antara IDS dan IPS adalah bahwa yang
pertama hanya menghasilkan peringatan peringatan ketika mendeteksi pola lalu lintas
jaringan yang mencurigakan, sedangkan yang kedua tidak hanya mengeluarkan peringatan
tetapi juga secara otomatis mengambil langkah untuk menghentikan serangan yang dicurigai.
Laporan manajerial
Pengujian keamanan
Pengujian penipisan memberikan cara yang lebih teliti untuk menguji keefektifan keamanan
informasi organisasi. Tes penetrasi adalah upaya yang sah oleh tim audit internal atau
perusahaan konsultan keamanan eksternal untuk membobol sistem informasi organisasi.
PENGENDALIAN KOREKTIF
Organisasi membutuhkan prosedur untuk melakukan tindakan korektif tepat waktu. Banyak
pengendalian korektif, bagaimanapun, bergantung pada manusia judgrnent. Akibatnya,
efektivitas mereka sangat tergantung pada perencanaan dan persiapan yang tepat. Beriku ini
membahas tiga kontrol korektif yang sangat penting yaitu :
Komponen untuk dapat menanggapi insiden keamanan dengan segera dan efektif adalah
pembentukan tim respon insiden komputer (CIRT) yang bertanggung jawab untuk menangani
insiden besar. CIRT harus mencakup tidak hanya spesialis teknis tetapi juga manajemen
operasi senior, karena beberapa tanggapan potensial terhadap insiden keamanan memiliki
konsekuensi ekonomi yang signifikan. Manajemen operasi yang memiliki pengetahuan luas
untuk mengevaluasi dengan benar biaya dan manfaat dari tindakan semacam itu, dan hanya
harus memiliki kewenangan untuk membuat keputusan itu.CIRT harus memimpin proses
tanggapan insiden organisasi melalui empat langkah berikut:
3) Pemulihan.
4) Mengikuti
Penunjukan individu tertentu, yang disebut sebagai Chief Information Security Officer
(CISO)
Tanggung jawab untuk keamanan informasi diberikan kepada seseorang pada tingkat senior
yang sesuai. Salah satu cara untuk memenuhi tujuan ini adalah untuk menciptakan posisi
kepala keamanan informasi utama (CISO), yang harus independen dari fungsi sistem
informasi lainnya dan harus melaporkan kepada chief operating officer (COO) atau CEO.
CISO harus memahami lingkungan teknologi comppny dan bekerja dengan CIO untuk
merancang, menerapkan, dan mempromosikan kebijakan dan prosedur perataan suara. CISO
juga harus menjadi penilai dan penilai tidak memihak terhadap lingkungan TI. Dengan
demikian, CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian
kerentanan dan risiko dilakukan secara teratur dan bahwa audit keamanan dilakukan secara
berkala. CISO juga perlu bekerja sama dengan orang yang bertanggung jawab atas keamanan
fisik, karena akses fisik yang tidak sah dapat memungkinkan penyusup untuk melewati
kontrol akses logis yang paling rumit. Untuk memfasilitasi integrasi keamanan fisik dan
informasi, beberapa organisasi telah menciptakan posisi baru, chief security officer (CSO),
yang bertanggung jawab atas kedua fungsi tersebut.
BAB III
PENUTUP
DAFTAR PUSTAKA
Ramadhani, A. (2018). Keamanan ga Information and Library Studies (N-JILS), 1(1), 39-51.
Chazar, C. (2015). Standar manajemen keamanan sistem informasi berbasis ISO/IEC 27001:
2005. Jurnal Informatika dan Sistem Informasi, 7(2), 48-57.