“Saya yang bertandatangan dibawah ini menyatakan bahwa tugas terlampir adalah murni hasil
pekerjaan saya sendiri. Tidak ada pekerjaan orang lain yang saya gunakan tanpa menyebutkan
sumbernya.
Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada
mata ajaran lain kecuali saya menyatakan dengan jelas bahwa saya menyatakan
menggunakannya.
Saya memahami bahwa tugas yang saya kumpulkan ini dapat diperbanyak dan atau
dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”
NPM : 2221031019
Tandatangan :
Judul Makalah/Tugas : Resum Materi SIA dan Audit BAB 6 dan 8 (Pertemuan ke-4)
Tanggal : 15 September 2022
Dosen : Dr. Fitra Dharma, S.E., M.Si.
BAB 6
B. REKAYASA SOSIAL
Rekayasa sosial mengacu pada teknik atau trik psikologis yang digunakan
untuk membuat orang mematuhi keinginan pelaku untuk mendapatkan akses fisik
atau logis ke gedung, komputer, server, atau jaringan — biasanya untuk
mendapatkan informasi yang diperlukan untuk mengakses sistem dan memperoleh
data rahasia. Seringkali, pelaku melakukan percakapan dengan seseorang untuk
menipu, membohongi, atau jika tidak menipu korban. Seringkali pelaku memiliki
informasi, pengetahuan, otoritas, atau kepercayaan diri yang membuat seolah-olah
dia termasuk atau tahu apa yang mereka lakukan. Cisco melaporkan bahwa penipu
memanfaatkan tujuh sifat manusia berikut untuk membujuk seseorang agar
mengungkapkan informasi atau mengambil tindakan tertentu:
1. Welas Asih, Keinginan untuk membantu orang lain yang menunjukkan diri
mereka benar-benar membutuhkan Anda tolong
2. Keserakahan, Orang-orang lebih cenderung bekerja sama jika mereka
mendapatkan sesuatu yang gratis atau menurut mereka untuk mendapatkan
kesepakatan sekali seumur hidup.
3. Daya Tarik Seks, Orang lebih cenderung bekerja sama dengan seseorang
yang genit atau dipandang sebagai “panas”
4. Kemalasan, Hanya sedikit orang yang ingin melakukan sesuatu dengan cara
yang sulit, membuang waktu, atau melakukan sesuatu yang tidak
menyenangkan semut, penipu memanfaatkan kebiasaan dan kecenderungan malas
kita.
5. Kepercayaan, Orang lebih mungkin bekerja sama dengan orang yang
mendapatkan kepercayaan mereka.
6. Urgensi, Rasa urgensi atau kebutuhan mendesak yang harus dipenuhi
membuat orang menjadi lebih kooperatif dan akomodatif.
7. Kesombongan, Orang-orang lebih cenderung bekerja sama jika Anda menarik
kesombongan mereka dengan memberi tahu mereka akan menjadi lebih
populer atau sukses.
Menetapkan kebijakan dan prosedur dan melatih orang untuk mengikutinya dapat
membantu meminimalkan rekayasa social :
Saat ini, setiap organisasi bergantung pada teknologi informasi (TI). Banyak organisasi
juga memindahkan setidaknya sebagian dari sistem informasi mereka ke cloud.
Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh sistem akuntansi
organisasi itu sendiri dapat diandalkan dan juga tentang keandalan penyedia layanan cloud
yang dikontraknya. Selain itu, manajemen juga menginginkan jaminan bahwa organisasi
sesuai dengan standar yang terus meningkat serangkaian persyaratan peraturan dan industri
termasuk Sarbanes-Oxley (SOX), Undang-Undang Portabilitas dan Akuntabilitas Asuransi
Kesehatan (HIPAA), dan Data Industri Kartu Pembayaran standar keamanan (PCI-DSS).
Kerangka layanan kepercayaan mengantur control terkait TI menjadi 5 prinsip yang
berkontribusi pada keandalan system sebagai berikut :
Mengembangkan
Memantau dan menyampaikan
pertunjukan aturan
Mendapatkan &
melaksanakan
solusi
Langkah pertama dalam siklus hidup keamanan adalah menilai ancaman
terkait keamanan informasi yang dihadapi organisasi dan memilih respons yang
sesuai. Profesional keamanan informasi memiliki keahlian untuk mengidentifikasi
potensi ancaman dan memperkirakan kemungkinan dan dampaknya. Namun,
manajemen senior harus memilih mana dari empat tanggapan risiko. Langkah 2
melibatkan pengembangan kebijakan keamanan informasi dan
mengkomunikasikannya kepada semua karyawan. Manajemen senior harus
berpartisipasi dalam mengembangkan kebijakan karena mereka harus memutuskan
sanksi yang bersedia mereka berikan karena ketidakpatuhan. Selain itu, dukungan
aktif dan keterlibatan manajemen puncak diperlukan untuk memastikan bahwa
pelatihan dan komunikasi keamanan informasi dilakukan secara serius. Agar
efektif, komunikasi ini harus melibatkan lebih dari sekadar menyerahkan dokumen
tertulis kepada orang-orang atau mengirim mereka pesan email dan meminta
mereka untuk menandatangani pengakuan bahwa mereka telah menerima dan
membaca pemberitahuan tersebut.
Langkah 3 dari siklus hidup keamanan melibatkan akuisisi atau pembangunan
alat teknologi tertentu. Manajemen senior harus mengizinkan investasi sumber daya
yang diperlukan untuk mengurangi ancaman yang diidentifikasi dan mencapai
tingkat keamanan yang diinginkan. Terakhir, langkah 4 dalam siklus hidup
keamanan memerlukan pemantauan kinerja secara berkala untuk mengevaluasi
efektivitas program keamanan informasi organisasi. Kemajuan TI menciptakan
ancaman baru dan mengubah risiko yang terkait dengan ancaman lama. Oleh
karena itu, manajemen harus secara berkala menilai kembali respons risiko
organisasi dan, bila perlu, membuat perubahan pada kebijakan keamanan informasi
dan berinvestasi dalam solusi baru untuk memastikan bahwa upaya keamanan
informasi organisasi mendukung strategi bisnisnya dengan cara yang konsisten
dengan selera risiko manajemen.
2. Model keamanan informasi si berbasis waktu
Tujuan dari model keamanan informasi berbasis waktu adalah untuk
menggunakan kombinasi kontrol preventif, detektif, dan korektif untuk melindungi
aset informasi cukup lama bagi organisasi untuk mendeteksi bahwa serangan
sedang terjadi dan untuk mengambil langkah tepat waktu untuk menggagalkan
serangan sebelum informasi apa pun hilang atau dikompromikan Organisasi
berusaha untuk memenuhi tujuan model keamanan berbasis waktu dengan
menerapkan strategi pertahanan mendalam, yang memerlukan penggunaan beberapa
lapisan kontrol untuk menghindari satu titik kegagalan. Defense-in-depth mengakui
bahwa meskipun tidak ada kontrol yang bisa 100% efektif. Model keamanan
berbasis waktu menyediakan sarana bagi manajemen untuk mengidentifikasi
pendekatan yang paling hemat biaya untuk meningkatkan keamanan dengan
membandingkan efek tambahan investasi dalam pengendalian preventif, detektif,
atau korektif.
B. SERANGAN BERTARGET
Banyak ancaman keamanan informasi, seperti virus, worm, bencana alam,
kegagalan perangkat keras, dan kesalahan manusia sering kali merupakan kejadian
acak (tidak ditargetkan). Organisasi juga sering menjadi sasaran serangan yang
disengaja, berikut ini langkah-langkah dasar yang digunakan penjahat untuk
menyerang sistem informasi organisasi :
1. Melakukan pengintaian
2. Mencoba rekayasa social
3. Pindai dan petakan target
4. Penelitian
5. Jalankan serangan