Tujuan pembelajaran
Setelah membaca bab ini, Anda akan dapat menjawab pertanyaan-pertanyaan berikut: 8-1
8-3 Apa saja komponen kerangka organisasi untuk keamanan dan kontrol?
8-4 Alat dan teknologi apa yang paling penting untuk melindungi sumber
daya informasi?
MyLabSALAH™
Mengunjungimymislab.comuntuk simulasi, tutorial, dan masalah akhir bab.
KASUS BAB
Peretas Menyerang Stuxnet Infrastruktur Telekomunikasi
Singapura dan Perubahan Wajah Cyberwarfare BYOD:
Mimpi Buruk Keamanan?
Ancaman dan Kebijakan Keamanan Informasi di Eropa
KASUS VIDEO
Stuxnet dan Cyberwarfare
Cyberespionage: Ancaman Tiongkok
Video Instruksional:
Sony PlayStation Diretas; Data Dicuri dari 77 Juta Pengguna
Temui Peretas: Pernyataan Anonim tentang Peretasan Sony
320
Peretas Menyerang Infrastruktur
Telekomunikasi Singapura
sebelumnya pada infrastruktur Internetnya ketika Starhub, salah satu dari tiga perusahaan
telekomunikasi nasional, menghadapi serangan penolakan layanan (DDoS) terdistribusi
besar-besaran, yang memaksa pengguna offline. Serangan DDoS memaksa layanan
online menjadi tidak tersedia dengan membanjirinya dengan lalu lintas dari komputer
yang disusupi yang disebut botnet dengan menginfeksinya dengan perangkat lunak
berbahaya. Pemilik komputer ini, cluster kecil atau jutaan, bahkan tidak tahu bahwa
komputer mereka disusupi dan digunakan untuk serangan semacam itu.
Menurut Starhub,
skala dan kompleksitas
serangan belum pernah
terjadi sebelumnya. Itu
karena alih-alih komputer,
itu adalah router broadband
dan webcam yang terinfeksi
malware yang terlibat dalam
serangan yang membanjiri
layanan broadband
perusahaan. Ironisnya,
semua perangkat ini dibeli
oleh pelanggan sendiri.
Serangan terhadap
telekomunikasi Singapura
Perusahaan tions menimbulkan
momok serangan DDoS yang
lebih banyak dan lebih besar di
masa depan, terutama di pusat
keuangan seperti Singapura dan
Hong Kong. Padahal, serangan
Singapura itu © Brian Jackson/123RF
kemungkinan terkait dengan serangan dunia maya global terbesar dalam sejarah Internet, yang
dilakukan dengan malware Mirai, yang menelusuri Internet untuk mencari perangkat yang
rentan dan membajaknya. Lebih buruk lagi, kode sumber Mirai dipublikasikan secara online,
membuat perangkat lunak tersedia untuk hampir semua orang saat ini.
Starhub mengatasi masalah tersebut dalam jangka pendek dengan mengirimkan teknisi ke
pelanggan yang terkena dampak untuk "membersihkan" perangkat mereka dengan memutakhirkan
perangkat lunak. Pada saat yang sama, Cyber Security Agency of Singapore (CSA) dan Infocomm
Media Development Authority (IMDA) menyarankan anggota masyarakat untuk menerapkan praktik
kebersihan dunia maya yang baik untuk mengamankan perangkat mereka. Untuk jangka panjang,
Singapura meluncurkan strategi keamanan siber nasional baru yang menguraikan rencana respons
keamanan siber bertingkat. Undang-Undang Keamanan Siber baru juga masuk
321
322 Bagian DuaInfrastruktur Teknologi Informasi
pipa. Menteri Komunikasi dan Informasi Singapura Dr. Yaacob Ibrahim mendesak bisnis untuk
juga bertanggung jawab, menambahkan bahwa pemerintah sendiri tidak dapat mengatasi
masalah ini dan setiap orang harus menjadikan keamanan dunia maya sebagai prioritas. Dengan
cara yang sama, Malaysia telah menyatakan keprihatinannya tentang meningkatnya serangan
siber menggunakan perangkat pintar. Ini telah mendesak konsumen untuk secara teratur
mengubah kata sandi default perangkat dan perusahaan mereka untuk mempersiapkan diri
menggunakan pengujian penetrasi.
Mirai bukan malware pertama dari jenisnya, dan serangan DDoS juga bukan fenomena baru, tetapi
bersama-sama mereka menunjukkan ketidakamanan Internet of Things (IoT) yang semakin meningkat.
IoT adalah platform untuk menghubungkan perangkat pintar ke Internet, termasuk semuanya mulai dari
pemanggang roti hingga peralatan rumah tangga. Masalahnya adalah bahwa perangkat IoT ini, tidak
seperti komputer, memiliki sedikit keamanan bawaan, dan sebagian besar dikirimkan dengan kata sandi
default yang terkenal, tanpa kata sandi, atau kata sandi yang mudah diretas. Selanjutnya, sebagian
besar perusahaan IoT tidak memiliki sumber daya untuk meluncurkan pembaruan keamanan massal,
sehingga perangkat yang rentan tidak pernah diperbaiki.
Serangan Starhub adalah momen yang menentukan karena dianggap sebagai awal dari
era baru serangan siber yang diatur melalui perangkat sehari-hari. Ini benar-benar
mengubah lanskap keamanan karena tantangan teknis yang sangat besar untuk
mengamankan perangkat yang sudah disusupi. Satu-satunya solusi adalah untuk
memutuskan dan "memblokir" perangkat yang rentan, membuat jutaan webcam, termostat,
dan perangkat sehari-hari lainnya yang tidak dapat digunakan digunakan oleh konsumen!
Jelas bahwa era baru perangkat yang terhubung dan cerdas akan memicu lebih banyak
serangan keamanan dan satu-satunya cara untuk mengatasi tantangan ini adalah melalui
pendekatan multipel yang melibatkan peraturan pemerintah, standar industri baru, dan
pendidikan pengguna. Singapura bekerja untuk memperkuat infrastruktur dan prosesnya.
Kasus disumbangkan oleh Neerja Sethi dan Vijay Sethi, Universitas Teknologi Nanyang
T Masalah yang ditimbulkan oleh serangan siber DDoS akibat pembobolan perangkat “pintar”
sehari-hari menggambarkan beberapa alasan bisnis dan konsumen perlu
memperhatikan semua aspek keamanan sistem informasi. Serangan-serangan ini
membuat Internet—alat penting untuk bisnis global—bahkan lebih rentan. Dari sudut
pandang keamanan, seiring berkembangnya jaringan, peretas mendapatkan jangkauan
dan akses yang lebih besar ke malware yang semakin ganas.
Diagram pembukaan bab meminta perhatian pada poin-poin penting yang diangkat oleh
kasus ini dan bab ini. Perangkat pintar itu sederhana, mudah digunakan, dan tidak memiliki
tingkat keamanan bawaan yang sama tingginya. Meskipun sebagian besar institusi telah
memasang firewall canggih dan peranti lunak yang diperbarui untuk melindungi sistem
organisasi mereka, seperti PC dan server , mereka gagal memperhatikan perangkat yang
semakin terhubung seperti webcam dan router, yang sangat
Bab 8Mengamankan Sistem Informasi323
Bisnis
Tantangan
• Membangun sistem CRM • Berukuran dua kali lipat pada tahun 2025
• Menerapkan sistem
• Koordinasi Informasi Bisnis
Organisasi Sistem Solusi
pemasaran dengan penjualan
tim
• Melatih karyawan Salesforce Sales Cloud • Pelacakan kinerja waktu nyata
• Analisis tenaga penjualan
• Pemasaran waktu nyata
• Data penjualan waktu nyata
keamanan yang lemah. Jadi, meskipun banyak pengamanan keamanan yang kuat
untuk melindungi infrastruktur telekomunikasi dan Internet, penjahat dapat menyusupi
tautan terlemah dalam sistem untuk melancarkan serangan DDoS.
Berikut beberapa pertanyaan untuk dipikirkan: Kerentanan keamanan apa
yang dieksploitasi oleh peretas? Faktor manajemen, organisasi, dan
teknologi apa yang berkontribusi terhadap kelemahan keamanan ini? Apa
dampak bisnis dari masalah ini?
Dapatkah Anda membayangkan apa yang akan terjadi jika Anda mencoba terhubung ke Internet tanpa
firewall atau perangkat lunak antivirus? Komputer Anda akan dinonaktifkan dalam beberapa detik, dan
mungkin butuh beberapa hari untuk pulih. Jika Anda menggunakan komputer untuk menjalankan bisnis
Anda, Anda mungkin tidak dapat menjual ke pelanggan Anda atau melakukan pemesanan dengan
pemasok Anda saat sedang down. Dan Anda mungkin menemukan bahwa sistem komputer Anda telah
disusupi oleh pihak luar, yang mungkin mencuri atau menghancurkan data berharga, termasuk data
pembayaran rahasia dari pelanggan Anda. Jika terlalu banyak data yang dihancurkan atau dibocorkan,
bisnis Anda mungkin tidak akan pernah bisa pulih!
Singkatnya, jika Anda menjalankan bisnis saat ini, Anda perlu menjadikan keamanan dan
kontrol sebagai prioritas utama.Keamananmengacu pada kebijakan, prosedur, dan tindakan
teknis yang digunakan untuk mencegah akses tidak sah, pengubahan, pencurian, atau
kerusakan fisik pada sistem informasi.Kontroladalah metode, kebijakan, dan prosedur
organisasi yang memastikan keamanan aset organisasi, keakuratan dan keandalan
catatannya, dan kepatuhan operasional terhadap standar manajemen.
akses, penyalahgunaan, atau penipuan tidak terbatas pada satu lokasi tetapi dapat terjadi pada
setiap titik akses dalam jaringan. Gambar 8.1 mengilustrasikan ancaman paling umum terhadap
sistem informasi kontemporer. Mereka dapat berasal dari faktor teknis, organisasi, dan
lingkungan yang diperparah oleh keputusan manajemen yang buruk. Dalam lingkungan
komputasi klien/server multitingkat yang diilustrasikan di sini, kerentanan ada di setiap lapisan
dan dalam komunikasi antar lapisan. Pengguna di lapisan klien dapat menyebabkan kerusakan
dengan memperkenalkan kesalahan atau dengan mengakses sistem tanpa otorisasi.
Dimungkinkan untuk mengakses data yang mengalir melalui jaringan, mencuri data berharga
selama transmisi, atau mengubah data tanpa otorisasi. Radiasi juga dapat mengganggu jaringan
di berbagai titik. Penyusup dapat meluncurkan serangan denial-of-service atau perangkat lunak
berbahaya untuk mengganggu pengoperasian situs web. Mereka yang mampu menembus sistem
perusahaan dapat mencuri, merusak, atau mengubah data perusahaan yang disimpan dalam
database atau file.
Kerusakan sistem jika perangkat keras komputer rusak, tidak dikonfigurasi dengan benar, atau
rusak karena penggunaan yang tidak benar atau tindakan kriminal. Kesalahan dalam pemrograman,
pemasangan yang tidak benar, atau perubahan yang tidak sah menyebabkan perangkat lunak
komputer gagal. Kegagalan daya, banjir, kebakaran, atau bencana alam lainnya juga dapat
mengganggu sistem komputer.
Kemitraan domestik atau lepas pantai dengan perusahaan lain berkontribusi
terhadap kerentanan sistem jika informasi berharga berada di jaringan dan
komputer di luar kendali organisasi. Tanpa pengamanan yang kuat, data
berharga dapat hilang, hancur, atau jatuh ke tangan yang salah, mengungkap
rahasia dagang penting atau informasi yang melanggar privasi pribadi.
Popularitas perangkat seluler genggam untuk komputasi bisnis menambah
kesengsaraan ini. Portabilitas membuat ponsel, smartphone, dan komputer tablet
mudah hilang atau dicuri. Smartphone berbagi kelemahan keamanan yang sama
dengan perangkat Internet lainnya dan rentan terhadap perangkat lunak berbahaya
dan penetrasi dari pihak luar. Ponsel pintar yang digunakan karyawan perusahaan
seringkali berisi data sensitif seperti angka penjualan, nama pelanggan, nomor
telepon, dan alamat email. Penyusup juga dapat mengakses sistem internal
perusahaan melalui perangkat ini.
Arsitektur aplikasi berbasis web biasanya mencakup klien web, server, dan sistem informasi perusahaan yang terhubung
ke database. Masing-masing komponen ini menghadirkan tantangan dan kerentanan keamanan. Banjir, kebakaran,
gangguan listrik, dan masalah kelistrikan lainnya dapat menyebabkan gangguan pada titik mana pun dalam jaringan.
Bab 8Mengamankan Sistem Informasi325
Kerentanan Internet
Jaringan publik yang besar, seperti Internet, lebih rentan daripada jaringan
internal karena secara virtual terbuka untuk siapa saja. Internet sangat besar
sehingga ketika penyalahgunaan terjadi, mereka dapat memiliki dampak yang
sangat luas. Ketika Internet menjadi bagian dari jaringan perusahaan, sistem
informasi organisasi bahkan lebih rentan terhadap tindakan pihak luar.
Layanan telepon berbasis teknologi Internet (lihat Bab 7) lebih rentan daripada jaringan
suara yang dialihkan jika tidak dijalankan melalui jaringan pribadi yang aman. Sebagian
besar lalu lintas Voice over IP (VoIP) melalui Internet tidak dienkripsi. Peretas dapat
mencegat percakapan atau mematikan layanan suara dengan membanjiri server yang
mendukung VoIP dengan lalu lintas palsu.
Kerentanan juga meningkat dari meluasnya penggunaan email, pesan instan
(IM), dan program berbagi file peer-to-peer (P2P). Email mungkin berisi lampiran
yang berfungsi sebagai batu loncatan untuk perangkat lunak berbahaya atau
akses tidak sah ke sistem internal perusahaan. Karyawan dapat menggunakan
pesan email untuk mengirimkan rahasia dagang yang berharga, data keuangan,
atau informasi rahasia pelanggan kepada penerima yang tidak berwenang.
Aplikasi IM populer untuk konsumen tidak menggunakan lapisan aman untuk
pesan teks, sehingga dapat dicegat dan dibaca oleh pihak luar selama pengiriman
melalui Internet. Aktivitas pesan instan melalui Internet dalam beberapa kasus
dapat digunakan sebagai pintu belakang ke jaringan yang aman. Berbagi file
melalui jaringan P2P, seperti berbagi musik ilegal,
Banyak jaringan Wi-Fi dapat ditembus dengan mudah oleh penyusup menggunakan program sniffer
untuk mendapatkan alamat untuk mengakses sumber daya jaringan tanpa otorisasi.
Kunci kripto Ransomware/ Membajak foto, video, dan dokumen teks pengguna; mengenkripsi mereka
Trojan dengan enkripsi asimetris yang hampir tidak bisa dipecahkan; dan menuntut
Conficker Cacing Pertama kali terdeteksi pada November 2008 dan masih bermasalah.
Menggunakan kelemahan pada perangkat lunak Windows untuk mengambil alih
jarak jauh. Memiliki lebih dari 5 juta komputer di seluruh dunia di bawah
Sasser.ftp Cacing Muncul pertama kali pada Mei 2004. Tersebar di Internet dengan
menyerang alamat IP secara acak. Menyebabkan komputer terus-menerus
macet dan reboot dan komputer yang terinfeksi mencari lebih banyak
korban. Mempengaruhi jutaan komputer di seluruh dunia dan
menyebabkan kerugian sekitar $14,8 miliar hingga $18,6 miliar.
AKU MENCINTAIMU Virus Pertama kali terdeteksi pada tanggal 3 Mei 2000. Script virus ditulis dalam
script Visual Basic dan dikirimkan sebagai attachment pada e-mail dengan
subject line ILOVEYOU. Menimpa musik, gambar, dan file lain dengan
salinannya sendiri dan menyebabkan kerusakan sekitar $10 miliar hingga
$15 miliar.
mesin. Terutama lazim saat iniunduhan drive-by, terdiri dari malware yang
disertakan dengan file unduhan yang diminta oleh pengguna secara
sengaja atau tidak sengaja.
Peretas dapat melakukan apa saja ke ponsel cerdas apa pun yang dapat mereka lakukan ke
perangkat Internet apa pun: meminta file jahat tanpa campur tangan pengguna, menghapus file,
mengirimkan file, menginstal program yang berjalan di latar belakang untuk memantau tindakan
pengguna, dan berpotensi mengubah ponsel cerdas menjadi robot di botnet untuk mengirim email dan
pesan teks kepada siapa pun. Dengan ponsel pintar yang menjual PC lebih banyak dan semakin banyak
digunakan sebagai perangkat pembayaran, mereka menjadi jalan utama untuk malware.
Menurut pakar keamanan TI, perangkat seluler sekarang menimbulkan risiko
keamanan terbesar, melebihi komputer yang lebih besar. Pada akhir 2015, McAfee
Labs telah mengumpulkan lebih dari 6 juta sampel malware seluler (Snell, 2016).
Android, yang merupakan sistem operasi seluler terkemuka di dunia, adalah platform
yang menjadi sasaran sebagian besar peretas. Virus perangkat seluler menimbulkan
ancaman serius bagi komputasi perusahaan karena begitu banyak perangkat nirkabel
sekarang terhubung ke sistem informasi perusahaan (lihat Sesi Interaktif tentang
Teknologi di Bagian 8-4).
Blog, wiki, dan situs jejaring sosial seperti Facebook, Twitter, dan LinkedIn telah muncul
sebagai saluran baru untuk malware. Anggota lebih cenderung mempercayai pesan yang
mereka terima dari teman, meskipun komunikasi ini tidak sah. Satu penipuan malware pada
musim semi 2015 tampaknya merupakan tautan video dari seorang teman yang mengatakan
sesuatu seperti, "Ini luar biasa." Jika penerima mengklik tautan. jendela pop-up muncul dan
meminta orang tersebut untuk mengklik pembaruan Adobe Flash Player untuk melanjutkan.
Alih-alih mengunduh pemutar, malware tersebut mengambil alih komputer pengguna,
mencari nomor rekening bank, medis
catatan, dan data pribadi lainnya (Thompson, 2015).
Risiko keamanan pasti akan meningkat dari menjamurnya perangkat yang
terhubung ke Internet di dalam perusahaan dan di seluruh Internet. Internet of
Things (IoT) memperkenalkan berbagai tantangan keamanan baru
328 Bagian DuaInfrastruktur Teknologi Informasi
Perangkat IoT itu sendiri, platform dan sistem operasinya, komunikasinya, dan
bahkan sistem yang terhubung dengannya. Alat keamanan tambahan akan
diperlukan untuk melindungi perangkat dan platform IoT dari serangan informasi dan
perusakan fisik, untuk mengenkripsi komunikasi mereka, dan untuk mengatasi
tantangan baru seperti serangan yang menguras baterai. Banyak perangkat IoT
seperti sensor memiliki prosesor dan sistem operasi sederhana yang mungkin tidak
mendukung pendekatan keamanan yang canggih.
Panda Security melaporkan telah mengidentifikasi dan menetralkan lebih dari 84
juta sampel malware baru sepanjang tahun 2015 dan telah mendeteksi 230.000 sampel
malware baru setiap hari. Lebih dari 27 persen dari semua sampel malware yang
pernah tercatat dibuat dalam satu tahun saja (Panda Security, 2016).
Lebih dari 51 persen infeksi yang ditemukan Panda adalah kuda Troya. SEBUAHkuda
Troyaadalah program perangkat lunak yang tampaknya tidak berbahaya tetapi kemudian
melakukan sesuatu yang tidak diharapkan. Kuda Troya itu sendiri bukanlah virus karena ia
tidak mereplikasi, tetapi seringkali merupakan cara bagi virus atau kode berbahaya lainnya
untuk dimasukkan ke dalam sistem komputer. Syaratkuda Troyadidasarkan pada kuda
kayu besar yang digunakan orang Yunani untuk mengelabui Trojan agar membuka gerbang
ke kota berbenteng mereka selama Perang Troya. Begitu berada di dalam tembok kota,
tentara Yunani yang bersembunyi di dalam kuda menampakkan diri dan merebut kota.
Contoh kuda Troya modern adalah Trojan Zeus. Itu sering digunakan untuk mencuri
kredensial masuk untuk perbankan dengan diam-diam menangkap penekanan tombol orang
saat mereka menggunakan komputer mereka. Zeus menyebar terutama melalui unduhan
drive-by dan phishing, dan varian terbaru sulit dideteksi oleh alat anti-malware.
serangan injeksi SQLtelah menjadi ancaman utama malware. Serangan injeksi SQL
memanfaatkan kerentanan dalam perangkat lunak aplikasi web berkode buruk untuk
memasukkan kode program jahat ke dalam sistem dan jaringan perusahaan.
Kerentanan ini terjadi saat aplikasi web gagal memvalidasi dengan benar atau
memfilter data yang dimasukkan pengguna di halaman web, yang mungkin terjadi saat
memesan sesuatu secara online. Penyerang menggunakan kesalahan validasi
masukan ini untuk mengirimkan kueri SQL nakal ke basis data dasar untuk mengakses
basis data, menanam kode berbahaya, atau mengakses sistem lain di jaringan.
Aplikasi web besar memiliki ratusan tempat untuk memasukkan data pengguna, yang
masing-masing menciptakan peluang untuk serangan injeksi SQL.
Malware dikenal sebagairansomwareberkembang biak di desktop dan perangkat seluler.
Ransomware mencoba memeras uang dari pengguna dengan mengambil alih komputer mereka
atau menampilkan pesan pop-up yang mengganggu. Satu contoh buruk, CryptoLocker,
mengenkripsi file komputer yang terinfeksi, memaksa pengguna membayar ratusan dolar untuk
mendapatkan kembali akses. Anda bisa mendapatkan ransomware dari mengunduh lampiran
yang terinfeksi, mengeklik tautan di dalam email, atau mengunjungi situs web yang salah.
Beberapa jenisspywarejuga bertindak sebagai perangkat lunak berbahaya. Program
kecil ini menginstal dirinya sendiri secara diam-diam di komputer untuk memantau aktivitas
penjelajahan web pengguna dan menayangkan iklan. Ribuan bentuk spyware telah
didokumentasikan.
Banyak pengguna menganggap spyware semacam itu mengganggu, dan beberapa kritikus khawatir
tentang pelanggarannya terhadap privasi pengguna komputer. Beberapa bentuk spyware sangat jahat.
Keyloggermerekam setiap keystroke yang dilakukan pada komputer untuk mencuri nomor seri perangkat
lunak, untuk meluncurkan serangan Internet, untuk mendapatkan akses ke akun email, untuk mendapatkan
kata sandi ke sistem komputer yang dilindungi, atau untuk mengambil informasi pribadi seperti kartu kredit
atau nomor rekening bank . Zeus Trojan yang dijelaskan sebelumnya menggunakan keylogging. Program
spyware lainnya mengatur ulang halaman beranda browser web, mengalihkan permintaan pencarian, atau
memperlambat kinerja dengan menggunakan terlalu banyak memori.
Bab 8Mengamankan Sistem Informasi329
instruksi. Komputer yang terinfeksi kemudian menjadi budak, atau zombie, melayani
komputer master milik orang lain. Ketika peretas menginfeksi cukup banyak komputer,
mereka dapat menggunakan sumber daya botnet yang terkumpul untuk meluncurkan
serangan DDoS, kampanye phishing, atau email spam yang tidak diinginkan.
Sembilan puluh persen spam dunia dan 80 persen malware dunia dikirimkan
oleh botnet. Misalnya, versi baru botnet spamming Pushdo terdeteksi pada musim
semi 2015. Komputer di lebih dari 50 negara terinfeksi. Pushdo telah ada sejak
2007 meskipun banyak upaya untuk mematikannya. Versi terbaru telah
mendorong malware yang mencuri kredensial login dan mengakses sistem
perbankan online. Pada suatu waktu, komputer yang terinfeksi Pushdo
mengirimkan sebanyak 7,7 miliar pesan spam per hari (Kirk, 2015).
Kejahatan Komputer
Sebagian besar aktivitas peretas adalah tindak pidana, dan kerentanan sistem yang baru
saja kami jelaskan menjadikan mereka target untuk jenis peretasan lainnya.kejahatan
komputer demikian juga. Kejahatan komputer didefinisikan oleh Departemen Kehakiman AS
sebagai "setiap pelanggaran hukum pidana yang melibatkan pengetahuan teknologi
komputer untuk perbuatan, penyelidikan, atau penuntutan mereka." Tabel 8.2 memberikan
contoh komputer sebagai sasaran dan alat kejahatan.
Tidak ada yang tahu besarnya masalah kejahatan komputer—berapa banyak sistem yang
diserang, berapa banyak orang yang terlibat dalam praktik tersebut, atau kerusakan
ekonomi total. Menurut Studi Biaya Tahunan Kejahatan Cyber 2015 dari Ponemon Institute,
rata-rata biaya tahunan kejahatan dunia maya untuk perusahaan AS yang diukur adalah $15
juta per tahun (Ponemon Institute, 2015). Banyak perusahaan enggan melaporkan kejahatan
komputer karena kejahatan tersebut mungkin melibatkan karyawan, atau perusahaan
khawatir bahwa mempublikasikan kerentanannya akan merusak reputasinya. Jenis
kejahatan komputer yang paling merusak secara ekonomi adalah serangan DoS, aktivitas
orang dalam yang jahat, dan serangan berbasis web.
Dengan sengaja mengakses komputer yang dilindungi dan menyebabkan kerusakan karena kelalaian atau kesengajaan
Dengan sengaja mengirimkan program, kode program, atau perintah yang dengan sengaja menyebabkan kerusakan pada komputer
yang dilindungi
Penyalinan perangkat lunak yang tidak sah atau kekayaan intelektual yang dilindungi hak cipta, seperti artikel, buku, musik, dan video
Mengakses komunikasi elektronik yang disimpan secara ilegal, termasuk email dan pesan suara
Pencurian identitas
Dengan pertumbuhan Internet dan perdagangan elektronik, pencurian identitas menjadi
sangat meresahkan.Pencurian identitasadalah kejahatan di mana seorang penipu
memperoleh potongan penting dari informasi pribadi, seperti nomor jaminan sosial, nomor
SIM, atau nomor kartu kredit, untuk menyamar sebagai orang lain. Informasi tersebut dapat
digunakan untuk mendapatkan kredit, barang dagangan, atau layanan atas nama korban
atau untuk memberikan identitas palsu kepada pencuri.
Pencurian identitas telah berkembang pesat di Internet, dengan file kartu kredit menjadi
target utama peretas situs web. Menurut Studi Penipuan Identitas 2016 oleh Javelin Strategy
& Research, 13,1 juta konsumen kehilangan $15 miliar karena penipuan identitas pada tahun 2015 (Javelin, 2016).
Situs e-niaga adalah sumber informasi pribadi pelanggan yang luar biasa —nama, alamat, dan nomor telepon.
Berbekal informasi ini, penjahat dapat mengambil identitas baru dan membangun kredit baru untuk tujuan mereka
sendiri.
Salah satu taktik yang semakin populer adalah bentuk spoofing yang disebut
pengelabuan. Phishing melibatkan pengaturan situs web palsu atau mengirim pesan
email yang terlihat seperti milik bisnis yang sah untuk meminta data pribadi rahasia
pengguna. Pesan email menginstruksikan penerima untuk memperbarui atau
mengonfirmasi catatan dengan memberikan nomor jaminan sosial, informasi bank
dan kartu kredit, dan data rahasia lainnya baik dengan membalas pesan email, dengan
memasukkan informasi di situs web palsu, atau dengan menelepon sebuah nomor
telepon. eBay, Pay-Pal, Amazon.com, Walmart, dan berbagai bank telah menjadi salah
satu perusahaan palsu teratas. Dalam bentuk phishing yang lebih bertarget disebut
phishing tombak, pesan tampaknya berasal dari sumber tepercaya, seperti individu
dalam perusahaan penerima atau teman.
Teknik phishing yang disebut evil twins dan pharming lebih sulit dideteksi.Si kembar
jahatadalah jaringan nirkabel yang berpura-pura menawarkan koneksi Wi-Fi tepercaya ke
Internet, seperti di ruang tunggu bandara, hotel, atau kedai kopi. Jaringan palsu terlihat
identik dengan jaringan publik yang sah. Penipu mencoba menangkap kata sandi atau
nomor kartu kredit pengguna tanpa disadari yang masuk ke jaringan.
Asuransi Kesehatan Anthem Pada Februari 2015, peretas mencuri informasi pribadi lebih dari 80 juta pelanggan
perusahaan asuransi kesehatan raksasa, termasuk nama, ulang tahun, ID medis, nomor
jaminan sosial, dan data pendapatan. Tidak ada informasi medis atau kredit yang dicuri. Ini
adalah pelanggaran layanan kesehatan terbesar yang pernah tercatat
Sony Pada November 2014, peretas mencuri lebih dari 100 terabyte data
perusahaan, termasuk rahasia dagang, email, catatan personel, dan salinan
film untuk rilis di masa mendatang. Malware menghapus data dari sistem
perusahaan Sony, menyebabkan kerugian ratusan juta dolar serta citra merek
yang ternoda. Sony diretas awal April 2011 ketika penyusup memperoleh
informasi pribadi, termasuk kredit, debit, dan nomor rekening bank, dari lebih
dari 100 juta pengguna PlayStation Network dan pengguna Sony Online
Entertainment.
Gudang Rumah Diretas pada tahun 2014 dengan program perangkat lunak berbahaya yang
menjarah register toko sambil menyamar sebagai perangkat lunak antivirus. Lima
puluh enam juta rekening kartu kredit disusupi, dan 53 juta alamat e-mail pelanggan
dicuri.
Target Malware diam-diam diinstal pada sistem keamanan dan pembayaran pada akhir
2013 mencuri nomor kartu kredit dan mengidentifikasi data untuk 40 juta
pelanggan Target dan alamat email dari 70 juta pelanggan.
eBay Serangan siber di server eBay selama Februari dan Maret 2014 merusak basis
data yang berisi nama pelanggan, kata sandi terenkripsi, alamat email, alamat
fisik, nomor telepon, dan tanggal lahir; 145 juta orang terkena dampaknya.
Undang-undang tahun 2003 (larangan pornografi anak), mencakup kejahatan komputer yang
melibatkan penyadapan komunikasi elektronik, menggunakan komunikasi elektronik untuk
menipu, mencuri rahasia dagang, mengakses komunikasi elektronik yang disimpan secara
ilegal, menggunakan email untuk ancaman atau pelecehan, dan mentransmisikan atau memiliki
pornografi anak.
Klik Penipuan
Saat Anda mengklik iklan yang ditampilkan oleh mesin pencari, pengiklan biasanya
membayar biaya untuk setiap klik, yang seharusnya mengarahkan calon pembeli ke
produknya.Klik penipuanterjadi ketika seseorang atau program komputer dengan
curang mengeklik iklan online tanpa niat mempelajari lebih lanjut tentang pengiklan
atau melakukan pembelian. Penipuan klik telah menjadi masalah serius di Google dan
situs web lain yang menampilkan iklan online bayar per klik.
Beberapa perusahaan mempekerjakan pihak ketiga (biasanya dari negara dengan upah
rendah) untuk mengeklik iklan pesaing secara curang untuk melemahkan mereka dengan
menaikkan biaya pemasaran mereka. Penipuan klik juga dapat dilakukan dengan program
perangkat lunak yang melakukan klik, dan botnet sering digunakan untuk tujuan ini. Mesin
pencari seperti Google berupaya memantau penipuan klik dan telah membuat beberapa
perubahan untuk mengekangnya.
DoS, dan penyelidikan phishing—tidak terbatas. Server serangan untuk malware adalah
Bab 8Mengamankan Sistem Informasi333
data dan menggunakan peralatan komputer. Spesialis sistem informasi dapat membuat kesalahan
perangkat lunak saat mereka merancang dan mengembangkan perangkat lunak baru atau memelihara
program yang ada.
Keamanan dan kontrol yang tidak memadai dapat mengakibatkan tanggung jawab hukum yang
serius. Bisnis harus melindungi tidak hanya aset informasi mereka sendiri tetapi juga aset
pelanggan, karyawan, dan mitra bisnis. Kegagalan untuk melakukannya dapat membuka
perusahaan untuk litigasi yang mahal untuk pemaparan atau pencurian data. Suatu organisasi
dapat dimintai pertanggungjawaban atas risiko yang tidak perlu dan kerugian yang ditimbulkan
jika organisasi tersebut gagal mengambil tindakan perlindungan yang tepat untuk mencegah
hilangnya informasi rahasia, korupsi data, atau pelanggaran privasi. Misalnya, Target harus
membayar $39 juta kepada beberapa bank AS yang melayani Mastercard yang dipaksa untuk
mengganti pelanggan Target jutaan dolar ketika pelanggan tersebut kehilangan uang karena
peretasan besar-besaran sistem pembayaran Target pada tahun 2013 yang memengaruhi 40 juta
orang. Target juga membayar $67 juta kepada Visa untuk peretasan data dan $10 juta untuk
menyelesaikan gugatan class action yang diajukan oleh pelanggan Target. Kerangka kerja
keamanan dan kontrol yang baik yang melindungi aset informasi bisnis dapat menghasilkan
pengembalian investasi yang tinggi. Keamanan dan kontrol yang kuat juga meningkatkan
produktivitas karyawan dan menurunkan biaya operasional.
data. Data harus disimpan pada media yang aman, dan langkah-langkah keamanan khusus harus
diterapkan untuk melindungi data tersebut pada media penyimpanan dan selama pengiriman.
Jika Anda bekerja di perusahaan publik, perusahaan Anda harus mematuhi Undang-
Undang Reformasi Akuntansi Perusahaan Publik dan Perlindungan Investor tahun
2002, yang lebih dikenal denganSarbanes-Oxley Actsetelah sponsornya Senator Paul
Sarbanes dari Maryland dan Perwakilan Michael Oxley dari Ohio. Tindakan ini
dirancang untuk melindungi investor setelah skandal keuangan di Enron, WorldCom,
dan perusahaan publik lainnya. Ini membebankan tanggung jawab pada perusahaan
dan manajemennya untuk menjaga keakuratan dan integritas informasi keuangan yang
digunakan secara internal dan dirilis secara eksternal. Salah satu Jalur Pembelajaran
untuk bab ini membahas Sarbanes-Oxley secara mendetail.
Sarbanes-Oxley pada dasarnya adalah tentang memastikan bahwa pengendalian internal
ada untuk mengatur pembuatan dan dokumentasi informasi dalam laporan keuangan.
Karena sistem informasi digunakan untuk menghasilkan, menyimpan, dan mengirimkan
data tersebut, undang-undang mengharuskan perusahaan untuk mempertimbangkan
keamanan sistem informasi dan kontrol lain yang diperlukan untuk memastikan integritas,
kerahasiaan, dan keakuratan data mereka. Setiap aplikasi sistem yang menangani data
pelaporan keuangan penting memerlukan kontrol untuk memastikan data tersebut akurat.
Kontrol untuk mengamankan jaringan perusahaan, mencegah akses tidak sah ke sistem
dan data, dan memastikan integritas dan ketersediaan data jika terjadi bencana atau
gangguan layanan lainnya juga penting.
Barang bukti elektronik dapat berada pada media penyimpanan komputer berupa file
komputer dan sebagainyadata lingkungan, yang tidak terlihat oleh rata-rata pengguna.
Contohnya mungkin file yang telah dihapus pada hard drive PC. Data yang mungkin
telah dihapus oleh pengguna komputer di media penyimpanan komputer seringkali
dapat dipulihkan melalui berbagai teknik. Pakar forensik komputer mencoba
memulihkan data tersembunyi tersebut untuk disajikan sebagai bukti.
Kesadaran forensik komputer harus dimasukkan ke dalam proses perencanaan
kontinjensi perusahaan. CIO, spesialis keamanan, staf sistem informasi, dan
penasihat hukum perusahaan semuanya harus bekerja sama untuk memiliki rencana
yang dapat dijalankan jika kebutuhan hukum muncul. Anda dapat mengetahui lebih
lanjut tentang forensik komputer di Jalur Pembelajaran untuk bab ini.
Kontrol umum meliputi kontrol perangkat lunak, kontrol perangkat keras fisik,
kontrol operasi komputer, kontrol keamanan data, kontrol atas proses
pengembangan sistem, dan kontrol administratif. Tabel 8.4 menjelaskan fungsi
dari masing-masing kontrol tersebut.
Kontrol aplikasiadalah kontrol khusus yang unik untuk setiap aplikasi
terkomputerisasi, seperti penggajian atau pemrosesan pesanan. Mereka
mencakup prosedur otomatis dan manual yang memastikan bahwa hanya data
resmi yang diproses secara lengkap dan akurat oleh aplikasi tersebut. Kontrol
aplikasi dapat diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan,
dan (3) kontrol output.
Kontrol masukanmemeriksa data untuk akurasi dan kelengkapan ketika mereka
memasuki sistem. Ada kontrol input khusus untuk otorisasi input, konversi data,
pengeditan data, dan penanganan kesalahan.Kontrol pemrosesanmenetapkan bahwa
data lengkap dan akurat selama pemutakhiran.Kontrol keluaran memastikanbahwa
hasil pemrosesan komputer akurat, lengkap, dan terdistribusi dengan baik. Anda
dapat menemukan detail selengkapnya tentang aplikasi dan kontrol umum di Jalur
Pembelajaran kami.
Kontrol sistem informasi seharusnya tidak menjadi renungan. Mereka perlu dimasukkan ke
dalam desain sistem dan harus mempertimbangkan tidak hanya bagaimana caranya
338 Bagian DuaInfrastruktur Teknologi Informasi
Kontrol perangkat lunak Pantau penggunaan perangkat lunak sistem dan cegah akses dan penggunaan program
perangkat lunak, perangkat lunak sistem, dan program komputer yang tidak sah.
Kontrol perangkat keras Pastikan perangkat keras komputer aman secara fisik dan periksa kerusakan
peralatan. Organisasi yang sangat bergantung pada komputer mereka juga
harus membuat ketentuan untuk cadangan atau melanjutkan operasi untuk
mempertahankan layanan konstan.
Kontrol operasi komputer Mengawasi pekerjaan departemen komputer untuk memastikan bahwa prosedur
terprogram diterapkan secara konsisten dan benar pada penyimpanan dan
pemrosesan data. Mereka termasuk kontrol atas pengaturan pekerjaan
pemrosesan komputer dan prosedur pencadangan dan pemulihan untuk
pemrosesan yang berakhir tidak normal.
Kontrol keamanan data Pastikan bahwa file data bisnis berharga yang dikelola secara internal atau oleh
layanan hosting eksternal tidak tunduk pada akses, perubahan, atau penghancuran
Kontrol administratif Memformalkan standar, aturan, prosedur, dan disiplin kontrol untuk
memastikan bahwa kontrol umum dan aplikasi organisasi dijalankan
dan ditegakkan dengan benar.
sistem akan tampil dalam semua kondisi yang memungkinkan tetapi juga perilaku
organisasi dan orang yang menggunakan sistem. Sesi Interaktif tentang
Organisasi menjelaskan pentingnya kontrol sistem dalam mencegah serangan
cybersecurity besar-besaran seperti serangan Stuxnet pada kontroler industri.
Tugas beresiko
Sebelum perusahaan Anda menerapkan sumber daya untuk kontrol keamanan dan
sistem informasi, perusahaan harus mengetahui aset mana yang memerlukan
perlindungan dan sejauh mana aset tersebut rentan. Penilaian risiko membantu
menjawab pertanyaan-pertanyaan ini dan menentukan rangkaian kontrol yang paling
hemat biaya untuk melindungi aset.
SEBUAHtugas beresikomenentukan tingkat risiko bagi perusahaan jika aktivitas
atau proses tertentu tidak dikendalikan dengan baik. Tidak semua risiko dapat
diantisipasi dan diukur, tetapi sebagian besar bisnis akan dapat memperoleh
pemahaman tentang risiko yang mereka hadapi. Manajer bisnis yang bekerja dengan
spesialis sistem informasi harus mencoba menentukan nilai aset informasi, titik
kerentanan, kemungkinan frekuensi masalah, dan potensi kerusakan. Misalnya, jika
suatu peristiwa mungkin terjadi tidak lebih dari sekali dalam setahun, dengan kerugian
maksimum sebesar $1.000 bagi organisasi, tidak bijaksana membelanjakan $20.000
untuk desain dan pemeliharaan pengendalian untuk melindungi dari peristiwa tersebut.
Namun, jika peristiwa yang sama dapat terjadi setidaknya sekali sehari, dengan
potensi kerugian lebih dari $300.000 setahun, $100.000 yang dibelanjakan untuk
kontrol mungkin sepenuhnya sesuai.
Bab 8Mengamankan Sistem Informasi339
sehingga akan tampak bahwa sentrifugal beroperasi secara percakapan audio, memindai disk untuk file tertentu, dan
normal ketika mereka benar-benar tercabik-cabik. memantau penekanan tombol dan lalu lintas jaringan mereka.
Perangkat lunak ini juga merekam percakapan Skype dan
Kecanggihan worm menunjukkan karya profesional dapat mengubah komputer yang terinfeksi menjadi suar
yang sangat terampil. Michael Assante, Presiden dan CEO Bluetooth yang berupaya mengunduh informasi kontak dari
di National Board of Information Security Examiners, perangkat berkemampuan Bluetooth terdekat. Data ini,
memandang Stuxnet sebagai sistem pengiriman senjata bersama dengan dokumen yang disimpan secara lokal, dapat
seperti B-2 Bomber. Kode program perangkat lunak sangat dikirim ke salah satu dari beberapa server command and
modular, sehingga dapat dengan mudah diubah untuk control yang tersebar di seluruh dunia. Program kemudian
menyerang sistem yang berbeda. Stuxnet hanya menjadi menunggu instruksi lebih lanjut dari server ini.
aktif ketika menemukan konfigurasi pengontrol tertentu, Banyak yang mengkhawatirkan signifikansi sebenarnya
menjalankan serangkaian proses yang terbatas pada dari Stuxnet adalah ia menciptakan fondasi bagi banyak
pabrik sentrifugal. klon malware turunan dan memperbesar dunia mesin yang
Lebih dari 60 persen komputer yang terinfeksi Stuxet dapat dihancurkan. Misalnya, para peneliti telah
berada di Iran, dan perusahaan keamanan digital Kaspersky menggunakan kode mirip Stuxnet untuk merusak sistem
Labs berspekulasi bahwa worm tersebut diluncurkan dengan komputer di mobil dan mematikan perangkat keselamatan
dukungan negara-bangsa (mungkin dari Israel dan Amerika seperti kantung udara dan alarm mesin.
Serikat) dengan tujuan menonaktifkan beberapa atau semua Namun kekhawatiran yang lebih mendesak bagi pakar
program pengayaan uranium Iran. Stuxnet memusnahkan keamanan dan pejabat pemerintah adalah tindakan perang
sekitar seperlima dari sentrifugal nuklir Iran dengan dunia maya terhadap sumber daya penting, seperti jaringan
membuatnya berputar dengan kecepatan yang terlalu tinggi. listrik, sistem keuangan, atau sistem komunikasi. (Pada
Kerusakan itu tidak dapat diperbaiki dan diyakini telah April 2009, misalnya, mata-mata dunia maya menyusup ke
menunda kemampuan Iran untuk membuat senjata nuklir jaringan listrik AS, menggunakan titik lemah di mana
hingga lima tahun. Dan tidak ada yang yakin bahwa serangan komputer di jaringan terhubung ke Internet, dan
Stuxnet sudah berakhir. Beberapa ahli yang memeriksa kode meninggalkan program perangkat lunak yang tujuannya
perangkat lunak Stuxnet percaya itu mengandung benih untuk tidak jelas, tetapi mungkin dapat digunakan untuk
lebih banyak versi dan serangan. mengganggu sistem. )
340 Bagian DuaInfrastruktur Teknologi Informasi
Amerika Serikat tidak memiliki strategi yang jelas tentang Pada tahun 2014, sebuah virus yang mirip dengan Stuxnet
bagaimana negara tersebut akan menanggapi tingkat serangan bernama Energetic Bear ditemukan telah menyerang perusahaan
dunia maya tersebut, dan dampak dari serangan semacam itu energi di Amerika Serikat dan Eropa, memberikan kepercayaan
kemungkinan besar akan sangat menghancurkan. Mike pada ketakutan akan jaringan energi yang rentan terhadap jenis
McConnell, mantan direktur intelijen nasional, menyatakan serangan ini. Mengembangkan virus komputer generasi berikutnya
bahwa jika bahkan satu bank besar Amerika berhasil diserang, adalah satu hal, tetapi mengembangkan metode untuk
itu akan memiliki dampak yang lebih besar pada ekonomi mempertahankan sistem komputer yang sudah mapan dari mereka
global daripada serangan World Trade Center, dan bahwa adalah hal lain. Akankah Amerika Serikat dan negara lain siap
kemampuan untuk mengancam suplai uang AS secara finansial ketika Stuxnet berikutnya muncul?
setara dengan senjata nuklir.
Sumber:“Meretas Mobil dengan Gaya Stuxnet,” Blog CrySys, 28 Oktober
Banyak pakar keamanan percaya bahwa keamanan siber AS
2015; Kim Zetter, "AS Mencoba Program Nuklir Stuxnet Korea Utara," Majalah
tidak terorganisir dengan baik. Beberapa lembaga yang berbeda, Kabel, 29 Mei 2015; Michael Kenney, “Cyber-Terrorism in a Post-Stuxnet
termasuk Pentagon dan Badan Keamanan Nasional (NSA), World,” Lembaga Penelitian Kebijakan Luar Negeri, Orbis, Musim Dingin
2015; Michael B. Kelley, “Virus Seperti Stuxnet Telah Menginfeksi Ratusan
memiliki pandangan untuk menjadi lembaga terdepan dalam upaya
Perusahaan Energi AS dan Eropa,” Businessinsider.com, 1 Juli 2014; Brian
berkelanjutan untuk memerangi perang dunia maya. Markas Royer, "Stuxnet, Jaringan Listrik Negara, dan Hukum Konsekuensi yang
pertama yang dirancang untuk mengoordinasikan upaya Tidak Diinginkan,"Bacaan Gelap,12 Maret 2012; Thomas Erdbrink, “Iran
Mengonfirmasi Serangan oleh Virus yang Mengumpulkan Informasi,” Waktu
keamanan dunia maya pemerintah, yang disebut Cybercom,
New York, 29 Mei 2012; Nicole Perlroth, “Virus Menginfeksi Komputer di
diaktifkan pada Mei 2010 dengan harapan dapat mengatasi Timur Tengah,”Waktu New York
kekusutan organisasi ini. Pada bulan Mei 2011 Presiden Barack , 28 Mei 2012; Robert Leos, “Secure Best Practices No Proof Against
Obama menandatangani perintah eksekutif yang menggabungkan Stuxnet,” CSO, 3 Maret 2011; Lolita C. Baldor, “Pentagon Mendapat Pedoman
Cyberwar,” Associated Press, 22 Juni 2011; William J. Broad, John Markoff,
kemampuan dunia maya ke dalam strategi militer AS, namun
dan David E. Sanger, “Israel Menguji Cacing yang Disebut Krusial dalam
kemampuan ini masih terus berkembang. Penundaan Nuklir Iran,”Waktu New York,15 Januari 2011.
Tabel 8.5 mengilustrasikan contoh hasil penilaian risiko untuk sistem pemrosesan
pesanan online yang memproses 30.000 pesanan per hari. Kemungkinan setiap paparan
yang terjadi selama periode satu tahun dinyatakan sebagai persentase. Kolom berikutnya
menunjukkan kemungkinan kerugian tertinggi dan terendah yang dapat diharapkan setiap
kali eksposur terjadi dan kerugian rata-rata dihitung dengan menjumlahkan angka tertinggi
dan terendah dan membaginya dengan dua. Kerugian tahunan yang diharapkan untuk
setiap eksposur dapat ditentukan dengan mengalikan kerugian rata-rata dengan
kemungkinan terjadinya.
Penilaian risiko ini menunjukkan bahwa kemungkinan kegagalan daya yang terjadi dalam
periode satu tahun adalah 30 persen. Hilangnya transaksi pesanan saat listrik padam dapat
berkisar dari $5.000 hingga $200.000 (rata-rata $102.500) untuk setiap kejadian, tergantung
pada berapa lama pemrosesan dihentikan. Probabilitas penggelapan yang terjadi selama
periode tahunan adalah sekitar 5 persen, dengan potensi kerugian mulai dari $1.000 hingga
$50.000 (dan rata-rata $25.500) untuk setiap kejadian. Kesalahan pengguna memiliki
peluang 98 persen untuk terjadi selama periode tahunan, dengan kerugian mulai dari $200
hingga $40.000 (dan rata-rata $20.100) untuk setiap kejadian.
Bab 8Mengamankan Sistem Informasi341
PROBABILITAS DARI
PAPARAN KEJADIAN (%) KURANG KEHILANGAN/ RATA-RATA ($) KERUGIAN TAHUNAN YANG DIHARAPKAN ($)
Setelah risiko dinilai, pembangun sistem akan berkonsentrasi pada titik kontrol
dengan kerentanan terbesar dan potensi kerugian. Dalam hal ini, pengendalian
harus berfokus pada cara meminimalkan risiko kegagalan daya dan kesalahan
pengguna karena kerugian tahunan yang diantisipasi paling tinggi untuk area ini.
Kebijakan keamanan
Setelah Anda mengidentifikasi risiko utama pada sistem Anda, perusahaan Anda perlu
mengembangkan kebijakan keamanan untuk melindungi aset perusahaan. SEBUAH kebijakan
keamananterdiri dari pernyataan peringkat risiko informasi, mengidentifikasi tujuan keamanan
yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan tersebut. Apa aset
informasi terpenting perusahaan? Siapa yang menghasilkan dan mengendalikan informasi ini di
perusahaan? Kebijakan keamanan apa yang ada untuk melindungi informasi? Tingkat risiko apa
yang bersedia diterima manajemen untuk masing-masing aset ini? Apakah bersedia, misalnya,
kehilangan data kredit pelanggan setiap 10 tahun sekali? Atau akan membangun sistem
keamanan untuk data kartu kredit yang dapat bertahan dari bencana sekali dalam seratus
tahun? Manajemen harus memperkirakan berapa banyak biaya untuk mencapai tingkat risiko
yang dapat diterima ini.
Kebijakan keamanan mendorong kebijakan lain yang menentukan penggunaan sumber daya
informasi perusahaan yang dapat diterima dan anggota perusahaan mana yang memiliki akses
ke aset informasinya. Sebuahkebijakan penggunaan yang dapat diterima (AUP)mendefinisikan
penggunaan sumber daya informasi dan peralatan komputasi perusahaan yang dapat diterima,
termasuk komputer desktop dan laptop, perangkat nirkabel, telepon, dan Internet. AUP yang baik
menentukan tindakan yang tidak dapat diterima dan dapat diterima untuk setiap pengguna dan
menentukan konsekuensi untuk ketidakpatuhan.
Kebijakan keamanan juga mencakup ketentuan untuk manajemen identitas.Manajemen
identitasterdiri dari proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna
yang valid dari sistem dan mengendalikan akses mereka ke sumber daya sistem. Ini
mencakup kebijakan untuk mengidentifikasi dan mengesahkan berbagai kategori
pengguna sistem, menentukan sistem atau bagian sistem apa yang boleh diakses oleh
setiap pengguna, dan proses serta teknologi untuk mengautentikasi pengguna dan
melindungi identitas mereka.
Gambar 8.3 adalah salah satu contoh bagaimana sistem manajemen identitas dapat
menangkap aturan akses untuk tingkat pengguna yang berbeda dalam fungsi sumber
daya manusia. Ini menentukan bagian mana dari database sumber daya manusia yang
boleh diakses oleh setiap pengguna, berdasarkan informasi yang diperlukan untuk
melakukan pekerjaan orang tersebut. Basis data berisi informasi pribadi yang sensitif
seperti gaji, tunjangan, dan riwayat kesehatan karyawan.
Aturan akses yang diilustrasikan di sini adalah untuk dua kelompok pengguna. Satu set
pengguna terdiri dari semua karyawan yang melakukan fungsi klerikal, seperti
memasukkan data karyawan ke dalam sistem. Semua individu dengan jenis profil ini dapat
memperbarui sistem tetapi tidak dapat membaca atau memperbarui bidang sensitif, seperti
342 Bagian DuaInfrastruktur Teknologi Informasi
Kedua contoh ini mewakili dua profil keamanan atau pola keamanan data yang mungkin ditemukan dalam
sistem personalia. Bergantung pada profil keamanan, pengguna akan memiliki batasan tertentu pada akses
ke berbagai sistem, lokasi, atau data dalam suatu organisasi.
gaji, riwayat medis, atau data penghasilan. Profil lain berlaku untuk manajer divisi,
yang tidak dapat memperbarui sistem tetapi dapat membaca semua bidang data
karyawan untuk divisinya, termasuk riwayat kesehatan dan gaji. Kami memberikan
detail lebih lanjut tentang teknologi untuk autentikasi pengguna nanti di bab ini.
Misalnya, MasterCard memiliki pusat komputer duplikat di Kansas City, Missouri, untuk
melayani sebagai cadangan darurat untuk pusat komputer utamanya di St. Louis. Daripada
membangun fasilitas cadangan mereka sendiri, banyak perusahaan mengontrak perusahaan
pemulihan bencana seperti SunGard Availability Services dan Acronis. Perusahaan pemulihan
bencana ini menyediakan situs panas yang menampung komputer cadangan di lokasi di seluruh
negara tempat perusahaan pelanggan dapat menjalankan aplikasi penting mereka dalam keadaan
darurat. Misalnya Champion Technologies yang menyuplai
Bab 8Mengamankan Sistem Informasi343
bahan kimia yang digunakan dalam operasi minyak dan gas, dapat mengalihkan sistem
perusahaannya dari Houston ke pusat data SunGard di Scottsdale, Arizona, dalam dua jam.
Perencanaan kesinambungan bisnisberfokus pada bagaimana perusahaan
dapat memulihkan operasi bisnis setelah terjadi bencana. Rencana
kesinambungan bisnis mengidentifikasi proses bisnis penting dan
menentukan rencana tindakan untuk menangani fungsi kritis misi jika sistem
turun. Misalnya, Deutsche Bank, yang menyediakan layanan perbankan
investasi dan manajemen aset di 74 negara, memiliki rencana kesinambungan
bisnis yang dikembangkan dengan baik yang terus diperbarui dan
disempurnakan. Itu memelihara tim penuh waktu di Singapura, Hong Kong,
Jepang, India, dan Australia untuk mengoordinasikan rencana mengatasi
hilangnya fasilitas, personel, atau sistem kritis sehingga perusahaan dapat
terus beroperasi ketika terjadi peristiwa bencana.
Manajer bisnis dan spesialis teknologi informasi perlu bekerja sama dalam
kedua jenis rencana tersebut untuk menentukan sistem dan proses bisnis mana
yang paling penting bagi perusahaan. Mereka harus melakukan analisis dampak
bisnis untuk mengidentifikasi sistem perusahaan yang paling kritis dan dampak
pemadaman sistem terhadap bisnis. Manajemen harus menentukan jumlah
maksimum waktu bisnis dapat bertahan dengan sistemnya mati dan bagian
bisnis mana yang harus dipulihkan terlebih dahulu.
Peran Audit
Bagaimana manajemen mengetahui bahwa keamanan dan kontrol sistem informasi
efektif? Untuk menjawab pertanyaan ini, organisasi harus melakukan audit yang
komprehensif dan sistematis. Sebuahaudit sistem informasimemeriksa lingkungan
keamanan perusahaan secara keseluruhan serta kontrol yang mengatur sistem
informasi individu. Auditor harus menelusuri alur transaksi sampel melalui sistem
dan melakukan pengujian, dengan menggunakan, jika sesuai, perangkat lunak audit
otomatis. Audit sistem informasi juga dapat memeriksa kualitas data.
Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan
personel. Audit menyeluruh bahkan akan mensimulasikan serangan atau
bencana untuk menguji respons teknologi, staf sistem informasi, dan
karyawan bisnis.
Daftar audit dan peringkat semua kelemahan kontrol dan memperkirakan kemungkinan
terjadinya mereka. Kemudian menilai dampak keuangan dan organisasi dari setiap
ancaman. Gambar 8.4 adalah daftar auditor sampel kelemahan kontrol untuk sistem
pinjaman. Ini termasuk bagian untuk memberi tahu manajemen tentang kelemahan tersebut
dan untuk tanggapan manajemen. Manajemen diharapkan menyusun rencana untuk
mengatasi kelemahan signifikan dalam pengendalian.
dan Dampak
Bagan ini adalah contoh halaman dari daftar kelemahan pengendalian yang mungkin ditemukan auditor dalam
sistem pinjaman di bank komersial lokal. Formulir ini membantu auditor mencatat dan mengevaluasi kelemahan
pengendalian dan menunjukkan hasil pembahasan kelemahan tersebut dengan manajemen serta tindakan korektif
yang diambil manajemen.
Firewall
Firewallmencegah pengguna yang tidak sah mengakses jaringan pribadi. Firewall
adalah kombinasi perangkat keras dan perangkat lunak yang mengontrol aliran lalu
lintas jaringan masuk dan keluar. Biasanya ditempatkan di antara jaringan internal
pribadi organisasi dan jaringan eksternal yang tidak dipercaya, seperti Internet,
meskipun firewall juga dapat digunakan untuk melindungi satu bagian jaringan
perusahaan dari jaringan lainnya (lihat Gambar 8.5).
Firewall bertindak seperti penjaga gerbang yang memeriksa kredensial setiap
pengguna sebelum memberikan akses ke jaringan. Firewall mengidentifikasi
nama, alamat IP, aplikasi, dan karakteristik lain dari lalu lintas masuk. Ini
memeriksa informasi ini terhadap aturan akses yang telah diprogram oleh
administrator jaringan ke dalam sistem. Firewall mencegah komunikasi yang tidak
sah masuk dan keluar dari jaringan.
Di organisasi besar, firewall sering berada di komputer khusus yang terpisah
dari jaringan lainnya, sehingga tidak ada permintaan masuk yang langsung
mengakses sumber daya jaringan pribadi. Ada sejumlah teknologi penyaringan
firewall, termasuk pemfilteran paket statis, inspeksi stateful, Jaringan
Firewall ditempatkan di antara jaringan pribadi perusahaan dan Internet publik atau jaringan lain yang tidak dipercaya untuk melindungi
Sistem enkripsi kunci publik dapat dilihat sebagai serangkaian kunci publik dan pribadi yang mengunci data saat dikirim dan membuka
kunci data saat diterima. Pengirim menempatkan kunci publik penerima di direktori dan menggunakannya untuk mengenkripsi pesan.
Pesan dikirim dalam bentuk terenkripsi melalui Internet atau jaringan pribadi. Ketika pesan terenkripsi tiba, penerima menggunakan kunci
pribadinya untuk mendekripsi data dan membaca pesan tersebut.
Masalah dengan semua skema enkripsi simetris adalah bahwa kunci itu sendiri harus
dibagi entah bagaimana di antara pengirim dan penerima, yang memaparkan kunci kepada
orang luar yang mungkin hanya dapat mencegat dan mendekripsi kunci tersebut. Bentuk
enkripsi yang lebih aman disebutenkripsi kunci publikmenggunakan dua kunci: satu
bersama (atau publik) dan satu benar-benar pribadi seperti yang ditunjukkan pada Gambar
8.6. Kunci terkait secara matematis sehingga data yang dienkripsi dengan satu kunci dapat
didekripsi hanya dengan menggunakan kunci lainnya. Untuk mengirim dan menerima
pesan, komunikator terlebih dahulu membuat pasangan kunci privat dan publik yang
terpisah. Kunci publik disimpan dalam direktori, dan kunci privat harus dirahasiakan.
Pengirim mengenkripsi pesan dengan kunci publik penerima. Saat menerima pesan,
penerima menggunakan kunci pribadinya untuk mendekripsinya.
Sertifikat digitaladalah file data yang digunakan untuk menentukan identitas pengguna dan
aset elektronik untuk perlindungan transaksi online (lihat Gambar 8.7). Sebuah digital
Sertifikat digital membantu menetapkan identitas orang atau aset elektronik. Mereka melindungi transaksi
sistem sertifikat menggunakan pihak ketiga tepercaya, yang dikenal sebagai otoritas
sertifikat (CA), untuk memvalidasi identitas pengguna. Ada banyak CA di Amerika
Serikat dan di seluruh dunia, termasuk Symantec, GoDaddy, dan Comodo.
CA memverifikasi identitas pengguna sertifikat digital secara luring.
Informasi ini dimasukkan ke dalam server CA, yang menghasilkan sertifikat
digital terenkripsi yang berisi informasi identifikasi pemilik dan salinan kunci
publik pemilik. Sertifikat mengotentikasi bahwa kunci publik milik pemilik
yang ditunjuk. CA membuat kunci publiknya sendiri tersedia baik dalam
bentuk cetak atau mungkin di Internet. Penerima pesan terenkripsi
menggunakan kunci publik CA untuk mendekode sertifikat digital yang
dilampirkan pada pesan, memverifikasi bahwa itu dikeluarkan oleh CA, dan
kemudian mendapatkan kunci publik pengirim dan informasi identifikasi yang
terdapat dalam sertifikat. Dengan menggunakan informasi ini, penerima dapat
mengirim balasan terenkripsi. Sistem sertifikat digital akan memungkinkan,
misalnya, Infrastruktur kunci publik (PKI), penggunaan kriptografi kunci publik
yang bekerja dengan CA, sekarang banyak digunakan dalam e-commerce.
Sistem komputer yang toleran terhadap kesalahanberisi komponen perangkat keras, perangkat
lunak, dan catu daya yang berlebihan yang menciptakan lingkungan yang menyediakan layanan
berkelanjutan dan tanpa gangguan. Komputer yang toleran terhadap kesalahan menggunakan rutinitas
perangkat lunak khusus atau logika pemeriksaan mandiri yang terpasang di sirkuitnya untuk
mendeteksi kegagalan perangkat keras dan secara otomatis beralih ke perangkat cadangan. Bagian dari
komputer ini dapat dilepas dan diperbaiki tanpa gangguan pada komputer atau downtime. Waktu
hentimengacu pada periode waktu di mana sistem tidak beroperasi.
Outsourcing Keamanan
Banyak perusahaan, terutama usaha kecil, kekurangan sumber daya atau keahlian
untuk menyediakan sendiri lingkungan komputasi dengan ketersediaan tinggi yang
aman. Mereka dapat mengalihdayakan banyak fungsi keamanan kepenyedia layanan
keamanan terkelola (MSSP)yang memantau aktivitas jaringan dan melakukan
pengujian kerentanan dan deteksi intrusi. SecureWorks, AT&T, Verizon, IBM,
Perimeter eSecurity, dan Symantec adalah penyedia layanan MSSP terkemuka.
Keamanan di Cloud
Saat pemrosesan dilakukan di cloud, akuntabilitas dan tanggung jawab untuk
melindungi data sensitif tetap berada di tangan perusahaan yang memiliki data
tersebut. Memahami bagaimana penyedia cloud computing mengatur layanannya dan
mengelola data sangatlah penting.
Komputasi awan sangat terdistribusi. Aplikasi cloud berada di pusat data jarak jauh
yang besar dan kumpulan server yang memasok layanan bisnis dan manajemen data
untuk banyak klien korporat. Untuk menghemat uang dan menjaga biaya tetap rendah,
penyedia cloud computing sering kali mendistribusikan pekerjaan ke pusat data di seluruh
dunia tempat pekerjaan dapat diselesaikan dengan paling efisien. Saat Anda
menggunakan cloud, Anda mungkin tidak tahu persis di mana data Anda dihosting.
Sifat cloud computing yang tersebar membuatnya sulit untuk melacak aktivitas
yang tidak sah. Hampir semua penyedia cloud menggunakan enkripsi, seperti SSL,
untuk mengamankan data yang mereka tangani saat data sedang dikirim. Namun, jika
data disimpan di perangkat yang juga menyimpan data perusahaan lain, penting untuk
memastikan bahwa data yang disimpan ini juga dienkripsi. Menurut penelitian dari
Alert Logic, telah terjadi peningkatan serangan di cloud sebesar 45 persen dari tahun
ke tahun. Serangan DDoS sangat berbahaya karena membuat layanan cloud tidak
tersedia untuk pelanggan yang sah.
Perusahaan mengharapkan sistem mereka berjalan 24/7. Penyedia cloud terkadang
masih mengalami pemadaman, tetapi keandalannya telah meningkat ke titik di mana
sejumlah perusahaan besar menggunakan layanan cloud sebagai bagian dari infrastruktur
TI mereka. Sebagian besar menyimpan sistem kritis mereka di rumah.
Pengguna cloud perlu mengonfirmasi bahwa di mana pun data mereka disimpan, mereka
dilindungi pada tingkat yang memenuhi persyaratan perusahaan mereka. Mereka harus
menetapkan bahwa penyedia cloud menyimpan dan memproses data dalam yurisdiksi
tertentu sesuai dengan aturan privasi yurisdiksi tersebut. Klien cloud harus menemukan
bagaimana penyedia cloud memisahkan data perusahaan mereka dari data perusahaan lain
dan meminta bukti bahwa mekanisme enkripsi itu baik. Penting juga untuk mengetahui
bagaimana penyedia cloud akan merespons jika terjadi bencana, apakah penyedia akan
dapat memulihkan data Anda sepenuhnya, dan berapa lama waktu yang dibutuhkan.
Pengguna cloud juga harus bertanya apakah penyedia cloud akan tunduk pada audit
eksternal dan sertifikasi keamanan. Jenis kontrol ini dapat dituliskan ke dalam perjanjian
tingkat layanan (SLA) sebelum ditandatangani dengan penyedia cloud. Cloud Security
Alliance (CSA) telah membuat standar industri untuk keamanan cloud, menetapkan praktik
terbaik untuk mengamankan komputasi cloud.
352 Bagian DuaInfrastruktur Teknologi Informasi
Pengujian awal, teratur, dan menyeluruh akan memberikan kontribusi yang signifikan terhadap kualitas sistem.
Banyak yang memandang pengujian sebagai cara untuk membuktikan kebenaran pekerjaan yang telah mereka lakukan.
Faktanya, kami tahu bahwa semua perangkat lunak yang cukup besar penuh dengan kesalahan, dan kami harus
menguji untuk mengungkap kesalahan ini.
Pengujian yang baik dimulai bahkan sebelum program perangkat lunak ditulis, dengan
menggunakan a panduan—sebuah tinjauan dokumen spesifikasi atau desain oleh sekelompok
kecil orang yang dipilih dengan cermat berdasarkan keterampilan yang dibutuhkan untuk tujuan
tertentu yang sedang diuji. Saat pengembang mulai menulis program perangkat lunak,
penelusuran pengkodean juga dapat digunakan untuk meninjau kode program. Namun, kode
harus diuji dengan menjalankan komputer. Ketika kesalahan ditemukan, sumbernya ditemukan
dan dihilangkan melalui proses yang disebutdebug. Anda dapat mengetahui lebih lanjut tentang
berbagai tahap pengujian yang diperlukan untuk mengoperasikan sistem informasi di Bab 13.
Jalur Pembelajaran kami juga berisi deskripsi metodologi untuk mengembangkan program
perangkat lunak yang berkontribusi pada kualitas perangkat lunak.
Bab 8Mengamankan Sistem Informasi353
Membawa perangkat Anda sendiri telah menjadi tren besar, berbagi file. Ada juga banyak kejadian di mana karyawan
dengan setengah dari karyawan dengan alat komputasi seluler menggunakan Dropbox untuk menyimpan dan bertukar file tanpa
di tempat kerja di seluruh dunia menggunakan perangkat persetujuan pemberi kerja. Pada awal 2015 Dropbox harus
mereka sendiri. Angka ini diperkirakan akan semakin meningkat menambal kelemahan keamanan yang memungkinkan penyerang
di tahun-tahun mendatang. Namun saat penggunaan iPhone, dunia maya mencuri informasi baru yang diunggah ke akun
iPad, dan perangkat komputasi seluler lainnya di tempat kerja melalui aplikasi pihak ketiga yang disusupi yang berfungsi dengan
terus berkembang, begitu pula masalah keamanan. Beberapa layanan Dropbox di perangkat Android. Sangat sedikit yang dapat
pakar keamanan percaya bahwa ponsel cerdas dan perangkat dilakukan perusahaan untuk mencegah karyawan yang diizinkan
seluler lainnya kini menjadi salah satu ancaman keamanan menggunakan ponsel cerdas mereka mengunduh data perusahaan
paling serius bagi organisasi saat ini. sehingga mereka dapat mengerjakan data tersebut dari jarak jauh.
Apakah perangkat seluler ditugaskan oleh perusahaan atau
milik karyawan, mereka membuka jalan baru untuk mengakses Perpesanan teks dan teknologi perpesanan seluler
data perusahaan yang perlu dipantau dan dilindungi secara lainnya digunakan untuk mengirimkan semua jenis
ketat. Data sensitif pada perangkat seluler bergerak, baik kampanye penipuan, seperti konten dewasa dan
secara fisik maupun elektronik, dari kantor ke rumah dan penipuan apotek, phishing, dan perbankan, dan pesan
kemungkinan lokasi lain di luar lokasi. Menurut studi Institut teks telah menjadi media penyebaran kuda Troya dan
Ponemon Februari 2016 terhadap worm. Sumber jahat sekarang dapat mengirim pesan teks
588 profesional TI dan keamanan AS, 67 persen dari yang akan terbuka di browser seluler secara default, yang
mereka yang disurvei melaporkan bahwa akses seluler dapat dengan mudah digunakan untuk mengeksploitasi
karyawan ke data rahasia perusahaan telah mengakibatkan penerima.
pelanggaran data. Sayangnya, hanya 41 persen responden Hingga saat ini, serangan peretas yang disengaja pada
yang mengatakan perusahaan mereka memiliki kebijakan perangkat seluler telah dibatasi cakupan dan dampaknya,
untuk mengakses data perusahaan dari perangkat seluler. tetapi situasi ini semakin memburuk. Android sekarang
menjadi sistem operasi paling populer di dunia untuk
Lebih dari separuh pelanggaran keamanan terjadi saat perangkat seluler dengan 81 persen pasar global, dan
perangkat hilang atau dicuri. Itu membuat semua data pribadi sebagian besar malware seluler ditargetkan pada platform
dan perusahaan yang disimpan di perangkat, serta akses ke Android. Saat data perusahaan dan pribadi disimpan di
data perusahaan di server jarak jauh, dalam risiko. Akses fisik perangkat yang sama, malware seluler yang dipasang
ke perangkat seluler mungkin merupakan ancaman yang lebih tanpa disadari oleh pengguna dapat menemukan jalannya
besar daripada meretas ke dalam jaringan karena lebih sedikit ke jaringan perusahaan.
upaya yang diperlukan untuk masuk. Penyerang Apple menggunakan model "taman berdinding"
berpengalaman dapat dengan mudah menghindari kata sandi tertutup untuk mengelola aplikasinya dan meninjau
atau mengunci perangkat seluler atau mengakses data masing-masing sebelum merilisnya di App Store.
terenkripsi. Selain itu, banyak pengguna ponsel cerdas Keamanan aplikasi Android lebih lemah dari pada
membiarkan ponsel mereka benar-benar tidak terlindungi atau perangkat Apple, tetapi ini membaik. Keamanan
gagal menjaga fitur keamanan perangkat mereka tetap aplikasi Android menggunakan kotak pasir, yang
mutakhir. Dalam Studi Global Websense dan Ponemon membatasi aplikasi, meminimalkan kemampuannya
Institute tentang Risiko Mobilitas, 59 persen responden untuk memengaruhi satu sama lain atau memanipulasi
melaporkan bahwa karyawan mengakali atau menonaktifkan fitur perangkat tanpa izin pengguna. Google
fitur keamanan seperti kata sandi dan kunci kunci. menghapus aplikasi apa pun yang melanggar
Kekhawatiran lain saat ini adalah kebocoran data skala besar aturannya terhadap aktivitas jahat dari Google Play,
yang disebabkan oleh penggunaan layanan cloud computing. platform distribusi digitalnya yang berfungsi sebagai
Karyawan semakin banyak menggunakan layanan cloud publik toko aplikasi resmi untuk sistem operasi Android.
seperti Google Drive atau Dropbox untuk berbagi file dan Google juga memeriksa latar belakang pengembang.
kolaborasi. Valiant Entertainment, Cenoric Projects, Vita Coco, Penyempurnaan keamanan Android baru-baru ini
dan BCBGMAXAZRIAGROUP adalah beberapa perusahaan yang termasuk menetapkan berbagai tingkat kepercayaan
mengizinkan karyawan dan kontraktor lepas menggunakan untuk setiap aplikasi, menentukan jenis data apa yang
Dropbox for Business untuk memposting dan dapat diakses aplikasi di dalam domain terbatasnya,
354 Bagian DuaInfrastruktur Teknologi Informasi
Google Play sekarang menyediakan pemindaian keamanan memahami pengguna dan kebutuhan mereka membantu
semua aplikasi sebelum tersedia untuk diunduh, pemeriksaan kemajuan strategi keamanan seluler lebih lanjut. VmAirWatch
keamanan berkelanjutan selama aplikasi tersedia, dan layanan mengkategorikan grup pengguna yang serupa dan
Verifikasi Aplikasi untuk perlindungan perangkat seluler untuk menyusun rencana tindakan khusus untuk setiap grup,
aplikasi yang dipasang di luar Google Play. Namun, peningkatan memilih alat yang tepat untuk pekerjaan itu.
Android ini sebagian besar hanya untuk orang yang Menurut Patrick Hevesi, mantan direktur keamanan
menggunakan ponsel atau tablet yang menjalankan versi Android Nordstrom, jika pengguna memerlukan akses ke data
yang lebih baru dan membatasi unduhan aplikasi mereka ke perusahaan penting yang harus dilindungi, perusahaan
Google Play Store sendiri. mungkin sebaiknya hanya mengizinkan jenis perangkat yang
disetujui dan dikelola sepenuhnya. Pengguna yang hanya
Perusahaan perlu mengembangkan strategi keamanan seluler menginginkan alat seluler untuk email dan kontak dapat
yang mencapai keseimbangan yang tepat antara meningkatkan lebih mudah membawa perangkatnya sendiri. Pertanyaan
produktivitas pekerja dan keamanan informasi yang efektif. Chief kunci untuk ditanyakan disebut “tiga W”: Siapa yang butuh
Security Officer (CSO) Aetna Jim Routh mengatakan ada tingkat akses? Apa yang mereka butuhkan untuk mengakses? Apa
keamanan seluler minimum tertentu yang dia perlukan terlepas postur keamanan perangkat?
dari apakah perangkat itu milik perusahaan atau pribadi. Aetna
Sumber:Michael Heller, “Strategi Keamanan Seluler Menjadi Matang dengan
memiliki sekitar 6.000 pengguna yang dilengkapi dengan
BYOD,” dan Kathleen Richards, “Pertempuran CISO untuk Mengontrol Risiko
perangkat seluler baik milik pribadi maupun yang dikeluarkan Seluler di Tempat Kerja,”Majalah Keamanan Informasi, 1 Juni 2016; Nathan
oleh perusahaan. Setiap perangkat memiliki perlindungan wajib Olivarez-Giles, "Keamanan Android Meningkat— untuk Beberapa Orang",
Jurnal Wall Street,21 April 2016; Ponemon Institute, “Risiko Ekonomi Data
yang menyediakan saluran terenkripsi untuk digunakan dalam
Rahasia pada Perangkat Seluler di Tempat Kerja,” Februari, 2016; McAfee
jaringan Wi-Fi yang tidak aman dan memberi tahu pengguna dan Inc., “Laporan Ancaman Seluler: Apa yang Ada di Horizon untuk 2016,” 2016;
perusahaan jika aplikasi berbahaya akan dipasang di perangkat. Charlie Osborne, “Dropbox Menambal Kelemahan Keamanan Android,”Hari
Nol,11 Maret 2015; Edel Creely, “5 Implikasi Keamanan BYOD dan Cara
Mengatasinya,” Trilogy Technologies, 26 Mei 2015; Tony Kontzer, “Sebagian
Besar Aplikasi Seluler Anda Telah Diretas,”Garis dasar, 16 Januari 2015; dan
Colin Minihan, direktur keamanan dan praktik
Institut Ponemon, Studi Global tentang Risiko Mobilitas (Februari 2012).
terbaik di VMWare AirWatch, meyakini hal itu
1.Telah dikatakan bahwa smartphone adalah komputer 3.Masalah manajemen, organisasi, dan teknologi
di tangan Anda. Diskusikan implikasi keamanan dari apa yang harus ditangani oleh keamanan ponsel
pernyataan ini. cerdas?
2.Jenis masalah keamanan apa yang ditimbulkan 4.Langkah apa yang dapat diambil individu dan bisnis
oleh perangkat komputasi seluler? untuk membuat ponsel cerdas mereka lebih aman?
rangkuman ulasan
8-4Alat dan teknologi apa yang paling penting untuk melindungi sumber daya informasi?
Firewall mencegah pengguna yang tidak sah mengakses jaringan pribadi saat terhubung ke Internet. Sistem deteksi intrusi
memantau jaringan pribadi untuk lalu lintas jaringan yang mencurigakan dan upaya untuk mengakses sistem perusahaan. Kata sandi,
token, kartu pintar, dan autentikasi biometrik digunakan untuk mengautentikasi pengguna sistem. Perangkat lunak antivirus memeriksa
sistem komputer untuk infeksi oleh virus dan worm dan sering menghilangkan perangkat lunak berbahaya; perangkat lunak
antispyware memerangi program spyware yang mengganggu dan berbahaya. Enkripsi, pengkodean dan pengacakan pesan, adalah
teknologi yang banyak digunakan untuk mengamankan transmisi elektronik melalui jaringan yang tidak terlindungi. Sertifikat digital
yang dikombinasikan dengan enkripsi kunci publik memberikan perlindungan lebih lanjut atas transaksi elektronik dengan
mengautentikasi identitas pengguna. Perusahaan dapat menggunakan sistem komputer yang toleran terhadap kesalahan untuk
memastikan bahwa sistem informasi mereka selalu tersedia. Penggunaan metrik perangkat lunak dan pengujian perangkat lunak yang
ketat membantu meningkatkan kualitas dan keandalan perangkat lunak.
Istilah Kunci
Kebijakan penggunaan yang dapat diterima (AUP), Enkripsi, 348
341 Perangkat lunak antivirus, 347 Kembar jahat, 331
Kontrol aplikasi, 337 Sistem komputer yang toleran terhadap
Otentikasi, 344 kesalahan, 350 Firewall, 346
-kuLaboratoriumSALAH
Untuk menyelesaikan masalah denganMyLabSALAH, buka Pertanyaan Diskusi EOC di MIS MyLab.
Tinjau Pertanyaan
8-1 Mengapa sistem informasi rentan terhadap kehancuran, • Menentukan kontrol aplikasi dan menjelaskan
kesalahan, dan penyalahgunaan? setiap jenis kontrol aplikasi.
• Sebutkan dan jelaskan ancaman paling umum • Mendeskripsikan fungsi penilaian risiko dan
terhadap sistem informasi kontemporer. menjelaskan bagaimana hal itu dilakukan untuk
• Mendefinisikan malware dan membedakan sistem informasi.
antara virus, worm, dan trojan horse. • Tetapkan dan jelaskan hal-hal berikut: kebijakan keamanan,
• Mendefinisikan kejahatan komputer. Berikan dua kebijakan penggunaan yang dapat diterima, dan
contoh kejahatan di mana komputer menjadi manajemen identitas.
target dan dua contoh di mana komputer • Membedakan antara perencanaan pemulihan bencana
digunakan sebagai instrumen kejahatan. dan perencanaan kesinambungan bisnis.
• Definisikan serangan DoS dan DDoS dan jelaskan • Jelaskan bagaimana audit sistem informasi
hubungannya dengan botnet. mempromosikan keamanan dan kontrol.
• Definisikan pencurian identitas dan phishing dan jelaskan 8-4 Alat dan teknologi apa yang paling penting
mengapa pencurian identitas menjadi masalah besar untuk melindungi sumber daya informasi?
saat ini.
• Sebutkan dan jelaskan tiga metode
• Menjelaskan masalah keamanan dan keandalan autentikasi.
sistem yang dibuat karyawan.
• Jelaskan peran firewall, sistem deteksi intrusi,
• Jelaskan bagaimana kerusakan perangkat lunak memengaruhi dan perangkat lunak antivirus dalam
keandalan dan keamanan sistem. mempromosikan keamanan.
8-2 Apa nilai bisnis keamanan dan kontrol? • Jelaskan bagaimana enkripsi melindungi
informasi.
• Jelaskan bagaimana keamanan dan kontrol • Menjelaskan peran enkripsi dan sertifikat digital
memberikan nilai bagi bisnis. dalam infrastruktur kunci publik.
• Mendefinisikan dan menjelaskan teknik yang terlibat • Jelaskan teknik yang digunakan perusahaan untuk
dalam forensik komputer. memastikan ketersediaan sistem.
8-3 Apa saja komponen kerangka organisasi • Mengidentifikasi dan mendeskripsikan masalah keamanan yang
Pertanyaan Diskusi
8-5Keamanan bukan hanya masalah teknologi, ini adalah 8-7Misalkan bisnis Anda memiliki e-commerce
a MyLabSALAHmasalah bisnis. Membahas. MyLabSALAHwebsite di mana menjual barang dan
8-6Jika Anda mengembangkan kelangsungan bisnis diterima pembayaran kartu kredit. Diskusikan ancaman
MyLabSALAHrencana untuk perusahaan Anda, di mana Anda keamanan utama terhadap situs web ini dan potensi
akan Mulailah? Aspek bisnis apa yang akan dibahas dampaknya. Apa yang dapat dilakukan untuk
• Hitung jumlah kerentanan untuk setiap platform. Apa dampak potensial dari masalah keamanan untuk
setiap platform komputasi pada organisasi?
• Jika Anda hanya memiliki satu spesialis sistem informasi yang bertanggung jawab atas keamanan, platform mana yang harus Anda
tangani terlebih dahulu untuk menghilangkan kerentanan ini? Kedua? Ketiga? Terakhir? Mengapa?
• Mengidentifikasi jenis masalah kontrol kerentanan ini menggambarkan dan menjelaskan langkah-langkah yang harus
diambil untuk memecahkannya.
• Apa risiko perusahaan Anda dengan mengabaikan kerentanan keamanan yang teridentifikasi?
Meningkatkan Pengambilan Keputusan: Menggunakan Perangkat Lunak Spreadsheet untuk Melakukan Penilaian
Risiko Keamanan
8-10 Proyek ini menggunakan perangkat lunak spreadsheet untuk menghitung kerugian tahunan yang diantisipasi dari berbagai ancaman keamanan yang
teridentifikasi untuk perusahaan kecil.
Mercer Paints adalah perusahaan manufaktur cat yang berlokasi di Alabama yang menggunakan jaringan
untuk menghubungkan operasi bisnisnya. Penilaian risiko keamanan yang diminta manajemen mengidentifikasi
sejumlah potensi paparan. Eksposur ini, probabilitas terkaitnya, dan kerugian rata-rata dirangkum dalam sebuah
tabel, yang dapat ditemukan di MyLab MIS. Gunakan tabel untuk menjawab pertanyaan berikut:
• Selain potensi paparan yang tercantum, identifikasi setidaknya tiga potensi ancaman lainnya terhadap Mercer
Paints, tetapkan probabilitas, dan perkirakan rentang kerugian.
• Gunakan perangkat lunak spreadsheet dan data penilaian risiko untuk menghitung perkiraan kerugian tahunan untuk setiap
eksposur.
• Sajikan temuan Anda dalam bentuk bagan. Titik kontrol mana yang memiliki kerentanan terbesar?
Rekomendasi apa yang akan Anda buat untuk Mercer Paints? Siapkan laporan tertulis yang merangkum temuan dan
rekomendasi Anda.
358 Bagian DuaInfrastruktur Teknologi Informasi
8-11 Proyek ini akan membantu mengembangkan keterampilan Internet Anda dalam menggunakan web untuk meneliti dan mengevaluasi layanan
outsourcing keamanan.
Anda telah diminta untuk membantu manajemen perusahaan Anda memutuskan apakah akan mengalihdayakan keamanan atau
mempertahankan fungsi keamanan di dalam perusahaan. Cari di web untuk menemukan informasi untuk membantu Anda memutuskan apakah akan
melakukan outsourcing keamanan dan mencari layanan outsourcing keamanan.
• Sajikan ringkasan singkat argumen yang mendukung dan menentang outsourcing keamanan komputer untuk perusahaan Anda.
• Pilih dua perusahaan yang menawarkan layanan outsourcing keamanan komputer dan bandingkan mereka dan layanan mereka.
• Persiapkan presentasi elektronik untuk manajemen, merangkum temuan Anda. Presentasi Anda harus menjelaskan apakah
perusahaan Anda harus melakukan outsourcing keamanan komputer. Jika Anda yakin perusahaan Anda harus melakukan
outsourcing, presentasi harus mengidentifikasi layanan outsourcing keamanan mana yang Anda pilih dan membenarkan keputusan
Anda.
8-12 Dengan kelompok yang terdiri dari tiga atau empat siswa, gunakan web untuk meneliti dan mengevaluasi produk keamanan
dari dua vendor yang bersaing, seperti perangkat lunak antivirus, firewall, atau perangkat lunak antispyware. Untuk setiap
produk, jelaskan kemampuannya, untuk jenis bisnis apa yang paling cocok, dan biaya pembelian dan pemasangannya.
Produk mana yang terbaik? Mengapa? Jika memungkinkan, gunakan Google Dokumen dan Google Drive atau Google Sites
untuk bertukar pikiran, menata, dan mengembangkan presentasi temuan Anda untuk kelas.
Sektor TI adalah salah satu pendorong utama botnet didistribusikan di seluruh dunia. Botnet adalah
ekonomi Eropa. Diperkirakan 60 persen orang Eropa jaringan agen perangkat lunak berbahaya otonom yang
menggunakan Internet secara teratur. Selain itu, 87 berada di bawah kendali komandan bot. Jaringan
persen memiliki atau memiliki akses ke ponsel. Pada dibuat dengan menginstal malware yang
2015, pasar broadband Eropa adalah salah satu yang mengeksploitasi kerentanan server Web, sistem
terbesar di dunia. Fakta-fakta ini menunjukkan operasi, atau aplikasi untuk mengendalikan komputer
pentingnya memastikan keamanan dan yang terinfeksi. Setelah komputer terinfeksi, ia menjadi
pengoperasian Internet yang aman untuk bagian dari jaringan ribuan "zombie"; yaitu mesin yang
kesejahteraan ekonomi Eropa. Namun, keselamatan diperintahkan untuk melakukan serangan.
dan keamanan Internet telah terancam dalam Serangan dunia maya di Estonia dimulai pada akhir
beberapa tahun terakhir karena serangan dunia maya April 2007 dan berlangsung selama hampir 3 minggu.
berbasis Internet menjadi semakin canggih. Selama periode ini, bagian penting dari jaringan Internet
Pada tahun 2007, Estonia mengalami serangan dunia maya Estonia harus ditutup dari akses dari luar negeri,
besar-besaran yang memengaruhi pemerintah, sistem menyebabkan kerugian ekonomi jutaan dolar.
perbankan, media, dan layanan lainnya. Serangan itu dilakukan Di sekitar waktu yang sama, Arsys, perusahaan
dengan menggunakan berbagai teknik, mulai dari perintah ping pendaftaran domain Spanyol yang penting, juga menjadi
individu sederhana dan banjir pesan hingga serangan denial- sasaran peretas internasional. Arsys melaporkan bahwa
of-service (DDoS) terdistribusi yang lebih canggih. Peretas peretas telah mencuri kode yang kemudian digunakan untuk
mengoordinasikan serangan dengan menggunakan sejumlah memasukkan tautan ke server eksternal yang berisi kode
besar server yang disusupi yang diatur berbahaya di halaman Web beberapa kliennya.
Bab 8Mengamankan Sistem Informasi359
Pada tahun 2009, diperkirakan 10 juta komputer Witherspoon (rantai pub), dan CarphoneWarehouse.
terinfeksi worm Conficker di seluruh dunia. Prancis, com (toko online). Dalam setiap kasus, ratusan ribu
Inggris, dan Jerman termasuk di antara negara-negara pelanggan data pribadi mereka disusupi. Infrastruktur
Eropa yang paling banyak menderita infeksi. Angkatan juga menjadi target di Eropa. Pada April 2015, peretas
laut Prancis harus mendaratkan semua pesawat militer merusak TV5Monde di Prancis, menghapus 11 saluran
ketika diketahui bahwa jaringan komputernya terinfeksi. TV, bagian dari situs Webnya, dan juga situs media
Di Inggris Raya, worm menginfeksi komputer di sosialnya. Aksi tersebut diduga dilakukan oleh
Kementerian Pertahanan, dewan kota Manchester dan kelompok teroris Timur Tengah.
jaringan TI polisi, beberapa rumah sakit di kota Untuk mengatasi ketiadaan kerjasama di antara negara-
Sheffield, dan kantor pemerintah lainnya di seluruh negara Uni Eropa, pada tahun 2004 Komisi Eropa membentuk
negeri. Komputer di jaringan tentara Jerman juga Badan Keamanan Informasi dan Jaringan Eropa (ENISA)
dilaporkan terinfeksi. Setelah dipasang di komputer, dengan tujuan mengoordinasikan upaya untuk mencegah dan
Conficker dapat mengunduh dan memasang malware merespons secara lebih efektif terhadap potensi ancaman
lain dari situs web yang dikontrol, dan dengan demikian keamanan yang lebih berbahaya. Tujuan utama ENISA adalah
komputer yang terinfeksi dapat berada di bawah kendali mengamankan infrastruktur informasi Eropa, mempromosikan
penuh peretas. standar keamanan, dan mendidik masyarakat umum tentang
Baru-baru ini, ancaman malware canggih yang menargetkan sistem industri masalah keamanan.
terdeteksi di Jerman, Norwegia, China, Iran, India, Indonesia, dan negara lainnya. Komisi Eropa baru-baru ini meluncurkan Agenda
Malware, yang dikenal sebagai Stuxnet, menginfeksi PC Windows yang Digital untuk Eropa. Tujuan dari inisiatif ini adalah
menjalankan sistem kontrol Supervisory Control and Data Acquisition (SCADA) untuk menentukan peran kunci yang akan dimainkan
dari perusahaan Jerman Siemens. Stuxnet disebarkan melalui perangkat USB. Para oleh teknologi informasi dan komunikasi pada tahun
ahli memperkirakan hingga 1.000 mesin terinfeksi setiap hari pada puncak infeksi. 2020. Inisiatif ini menyerukan pasar digital tunggal
Malware, tersembunyi di pintasan ke program yang dapat dieksekusi (file dengan Eropa yang terbuka.
ekstensi .lnk), dijalankan secara otomatis saat konten drive USB yang terinfeksi Sebelum tahun 2015, tidak ada pendekatan umum untuk
ditampilkan. Menggunakan teknik yang sama ini, worm mampu menginstal malware pembobolan, peretasan, atau vandalisme jaringan digital.
lainnya. Awalnya, pakar keamanan mengungkapkan bahwa Stuxnet dirancang Pada tahun 2016, Parlemen Eropa mengadopsi Petunjuk
untuk mencuri rahasia industri dari SIMATIC WinCC, sistem perangkat lunak NIS tentang keamanan jaringan dan sistem informasi.
visualisasi dan kontrol dari Siemens. Namun, data yang dikumpulkan kemudian Arahan tersebut mulai berlaku pada Agustus 2016. Negara-
oleh ahli lain menunjukkan bahwa worm tersebut sebenarnya mencari beberapa negara anggota diberi waktu 21 bulan untuk mengubah
perangkat pengontrol logika yang dapat diprogram (PLC) tertentu yang digunakan Arahan tersebut ke dalam undang-undang nasional mereka
di pabrik industri tertentu, sebuah fakta yang menunjukkan kemungkinan bahwa dan 6 bulan lagi untuk mengidentifikasi operator layanan
malware tersebut adalah bagian dari tindakan yang direncanakan dengan baik. esensial. Arahan NIS mewajibkan negara-negara UE untuk
sabotase. Meskipun tidak ada situs yang terinfeksi Stuxnet yang mengalami mengembangkan Tim Respons Insiden Keamanan
kerusakan fisik, pentingnya ancaman canggih tersebut terhadap sumber daya Komputer (CSIRT) dan otoritas NIS nasional untuk
industri di Eropa dan bagian lain dunia tidak dapat diremehkan. fakta yang mengidentifikasi layanan penting yang dapat terancam oleh
menunjukkan kemungkinan bahwa malware tersebut adalah bagian dari tindakan pelanggaran keamanan.
sabotase yang direncanakan dengan baik. Meskipun tidak ada situs yang terinfeksi
Undang-undang baru ini juga menetapkan standar
Stuxnet yang mengalami kerusakan fisik, pentingnya ancaman canggih tersebut
keamanan siber di berbagai lembaga pemerintah seperti
terhadap sumber daya industri di Eropa dan bagian lain dunia tidak dapat
bandara, pusat transportasi, dan kantor pemerintah. Untuk
diremehkan. fakta yang menunjukkan kemungkinan bahwa malware tersebut
pertama kalinya, Eropa telah mengembangkan pendekatan
adalah bagian dari tindakan sabotase yang direncanakan dengan baik. Meskipun
terkoordinasi untuk keamanan dunia maya.
tidak ada situs yang terinfeksi Stuxnet yang mengalami kerusakan fisik, pentingnya
Sumber:Komisi Eropa, “Petunjuk tentang Keamanan Jaringan dan
ancaman canggih tersebut terhadap sumber daya industri di Eropa dan bagian lain
Sistem Informasi,” ec.europa.eu, 16 Juli 2016; Bob Tarzey, “Setidaknya
dunia tidak dapat diremehkan.
1 dari 5 Perusahaan Eropa Kehilangan Data Melalui Serangan Siber
Eropa telah menjadi lokasi beberapa serangan siber yang Ditargetkan,”Mingguan Komputer, 18 Desember 2015; “Eropa
Setuju Menanggapi Serangan Cyber,”berita BBC, 8 Desember 2015;
besar dan pembobolan data pada tahun 2015. Di antara
Gunther Oettinger, “Aturan UE Baru yang Disepakati tentang
targetnya adalah TalkTalk (ISP besar di Inggris Raya), JD Pelanggaran Keamanan Siber,” DW.com, 8 Desember 2015; dan Melvin,
360 Bagian DuaInfrastruktur Teknologi Informasi
“Cyberattack Menonaktifkan 11 Saluran TV Prancis, Mengambil 8-14 Jelaskan beberapa poin utama dari Network
Alih Situs Media Sosial,” Don Melvin,CNN, 9 April 2015; Komisi and Information Security (NIS) Directive.
Eropa, “Network and Information Security (NIS) Directive,”
Agenda Digital Untuk Eropa, Komisi Eropa, 16 Maret 2015.
8-15 Jelaskan bagaimana serangan siber dapat dilakukan.
8-16 Jelaskan beberapa kelemahan yang dimanfaatkan oleh
PERTANYAAN STUDI KASUS malware.
8-13Apa itu botnet? Kasus disumbangkan oleh Daniel
Ortiz-Arroyo, Universitas Aalborg.
-kuLaboratoriumSALAH
Buka bagian Tugas MIS MyLab untuk menyelesaikan latihan menulis ini.
8-17 Jelaskan tiga taktik spoofing yang digunakan dalam pencurian identitas dengan menggunakan sistem informasi.
8-18 Jelaskan empat alasan perangkat seluler yang digunakan dalam bisnis sulit untuk diamankan.