KEAMANAN SIBER DAN MANAJEMEN RISIKO

Dosen Pengampu: Dr. Emrinaldi Nur DP., SE., M.Si., Ak., CA

Disusun oleh:

KELOMPOK 13

Andi Nabil Kurniawan Muhammad (2102111150)

Erlangga Dwi Atha (2102113220)

Permana Nugraha (2102124360)

JURUSAN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS RIAU

2022/2023
 KATA PENGANTAR

Puji syukur kehadirat Allah Swt. yang telah memberikan rahmat-Nya

sehingga penulis dapat menyelesaikan makalah dengan judul “Keamanan Siber Dan
Manajemen Risiko”. Tujuan dari penulisan makalah ini untuk memenuhi tugas mata
kuliah Teknologi Informasi Akuntansi. Selanjutnya, penulis mengucapkan terima kasih
kepada bapak Dr. Emrinaldi Nur DP., SE., M.Si., Ak., CA. sebagai dosen mata kuliah
Teknologi Informasi Akuntansi. Penulisan makalah ini masih terdapat kekurangan
dikarenakan keterbatasan pengalaman dan pengetahuan yang penulis miliki. Oleh
karena itu, penulis mengharapkan kritik dan saran sehingga makalah ini bisa lebih baik
lagi. Semoga makalah ini dapat bermanfaat bagi pembaca.

Pekanbaru, 17 Oktober 2023

Penulis

ii
 DAFTAR ISI

KATA PENGANTAR ............................................................................................. ii

DAFTAR ISI .......................................................................................................... iii
BAB I PENDAHULUAN ........................................................................................ 4
1.1 Latar Belakang ................................................................................................ 4
1.2 Rumusan Masalah ........................................................................................... 5
1.3 Tujuan ............................................................................................................. 5
BAB II ISI ............................................................................................................... 6
2.1 Wajah dan Masa Depan Ancaman Siber .......................................................... 6
2.2 Manajemen Risiko Siber .................................................................................. 8
2.3 Seluler, Aplikasi, dan Keamanan Cloud ......................................................... 14
2.4 Membela Terhadap Penipuan ......................................................................... 15
2.5 Kepatuhan dan Pengendalian Internal ............................................................ 17
BAB III PENUTUP ............................................................................................... 21
3.1 Simpulan ....................................................................................................... 21
3.2 Saran ............................................................................................................. 23
DAFTAR PUSTAKA ............................................................................................ 24

iii
 BAB I
PENDAHULUAN

1.1 Latar Belakang

Manajer tidak lagi mempertanyakan apakah jaringan mereka akan diserang,
tetapi berapa banyak kerusakan yang akan terjadi, berapa lama waktu penyelidikan,
dan berapa biaya penyelidikan dan denda. Setelah mendeteksi peretasan jaringan,
perusahaan pemrosesan kartu kredit Global pemantauan, dan asuransi pencurian
identitas untuk konsumen yang terkena dampak. Pada bulan Oktober 2013,
pelanggaran data di Adobe mengungkap informasi akun hingga 152 juta pengguna—
pelanggaran data terbesar dalam sejarah. Belum ada biaya yang dilaporkan, tetapi
menurut Studi Pelanggaran Biaya Data Ponemon 2013, biaya rata-rata akun yang
dibobol adalah $188 (Ponemon Institute, 2013).

Pada Agustus 2014, penipu menargetkan pelanggan JPMorgan Chase, bank

AS No. 1 berdasarkan aset. Phishing besar-besaran Payments, Inc. menghabiskan 14
bulan menyelidiki hasil pelanggaran data yang mengungkap 1,5 juta rekening kartu
debit dan kredit AS. Kerugian Global mencapai $93 juta, dirinci sebagai berikut: $36
juta dalam bentuk kerugian penipuan dan denda dan $77 juta untuk penyelidikan,
remediasi, kredit kampanye, yang disebut Smash and Grab, tidak biasa karena
mengumpulkan data login pelanggan dan juga menginfeksi PC dengan Dyre, trojan
perbankan yang mengambil data login untuk institusi lain. Bank tidak dapat
mengidentifikasi siapa yang berada di balik serangan Smash and Grab.\

Keamanan cyber dan manajemen risiko menjadi dua hal yang sangat penting
dalam era digital ini. Dengan semakin berkembangnya teknologi informasi dan
komunikasi, organisasi dan individu menjadi semakin rentan terhadap serangan cyber.
Kejahatan siber seperti serangan malware, peretasan, pencurian identitas, dan serangan

4
DDoS dapat menyebabkan kerugian finansial yang besar, kerusakan reputasi, dan
bahkan gangguan pada infrastruktur vital.

Dalam konteks ini, keamanan cyber adalah suatu upaya untuk melindungi
sistem komputer, jaringan, dan data dari ancaman yang dapat merusak, mengubah, atau
mengakses informasi secara tidak sah. Manajemen risiko, di sisi lain, adalah proses
identifikasi, penilaian, dan pengelolaan risiko yang berkaitan dengan keamanan cyber.
Ini melibatkan pemahaman terhadap ancaman yang mungkin terjadi, rentang kerusakan
yang dapat ditimbulkan, dan upaya untuk mengurangi risiko melalui kebijakan,
prosedur, dan teknologi yang tepat.

1.2 Rumusan Masalah

Adapun rumusan masalah dari makalah ini sebagai berikut:

1. Bagaimana Wajah dan Masa Depan Ancaman Siber?

2. Bagaimana cara kerja manajemen Risiko Cyber?
3. Bagaimana cara kerja keamanan Seluler, Aplikasi, dan Cloud?
4. Bagaimana cara bertahan dari Penipuan?
5. Apa saja kepatuhan dan kontrol internal?

1.3 Tujuan
Adapun tujuan dari penulisan makalah ini sebagai berikut:

1. Untuk mengetahui Wajah dan Masa Depan Ancaman Siber

2. Untuk mengetahui cara kerja manajemen Risiko Cyber
3. Untuk mengetahui cara kerja keamanan Seluler, Aplikasi, dan Cloud
4. Untuk mengetahui cara bertahan dari Penipuan
5. Untuk mengetahui kepatuhan dan kontrol internal

5
 BAB II
ISI

2.1 Wajah dan Masa Depan Ancaman Siber

Konsekuensi dari lemahnya keamanan siber meliputi rusaknya reputasi,
sanksi keuangan, denda pemerintah federal dan negara bagian, kehilangan pangsa
pasar, jatuhnya harga saham, dan reaksi konsumen. Penyebab utama pembobolan data
adalah peretasan, tetapi alasan keberhasilan peretasan adalah kelalaian—manajemen
tidak berbuat cukup untuk bertahan dari ancaman dunia maya. Bahkan perusahaan
teknologi tinggi dan pemimpin pasar, tampaknya terlepas dari nilai data rahasia yang
mereka simpan dan ancaman yang akan dicuri oleh peretas yang bermotivasi tinggi.
Keamanan data yang kuat bukanlah tanggung jawab TI saja, tetapi tugas berkelanjutan
setiap orang dalam suatu organisasi.

Peretasan perusahaan teknologi tinggi seperti LinkedIn, Google, Amazon,

eBay, dan Sony, serta agen keamanan terkemuka seperti CIA dan FBI adalah bukti
bahwa tidak ada orang yang aman. Cyberwarriors didanai dan termotivasi dengan
sangat baik. Melawan ancaman dunia maya membutuhkan ketekunan, tekad, dan
investasi. IT at Work 5.1 mengilustrasikan fitur penghancuran otomatis dan enkripsi
dari ponsel cerdas yang aman untuk melindungi percakapan, transmisi, dan data yang
disimpan secara efektif. Pakar keamanan dunia maya memperingatkan bahwa
memerangi penolakan layanan terdistribusi (DDoS) dan serangan malware telah
menjadi bagian dari bisnis sehari-hari untuk semua organisasi. Peretas, aktivis, sindikat
kejahatan, militer, kelompok militan, mata-mata industri, karyawan yang tidak puas,
penipu, dan pemerintah yang bermusuhan akan terus menyerang jaringan demi
keuntungan, ketenaran, balas dendam, atau ideologi; mengobarkan peperangan,
terorisme, atau kampanye antiterorisme; atau untuk menonaktifkan target mereka.
Misalnya, Departemen Keamanan Dalam Negeri (DHS) Industrial Control Systems

6
Cyber Emergency Response Team (ICS-CERT) memperingatkan bahwa serangan
terhadap infrastruktur penting semakin meningkat

Rekayasa Sosial dan BYOD Ancaman dunia maya baru muncul dan
mengambil alih ancaman yang sudah dikenal—virus, disk hilang, dan serangan DDoS.
Para ahli percaya bahwa bahaya keamanan siber terbesar selama beberapa tahun ke
depan akan melibatkan ancaman terusmenerus, komputasi seluler, dan penggunaan
media sosial untuk rekayasa sosial. Rekayasa sosial juga dikenal sebagai peretasan
manusia—menipu pengguna agar mengungkapkan kredensial mereka dan kemudian
menggunakannya untuk mendapatkan akses ke jaringan atau akun. Dari perspektif
keamanan TI, rekayasa sosial adalah penggunaan penipuan atau manipulasi yang
cerdik dari kecenderungan orang untuk percaya, membantu, atau hanya mengikuti rasa
ingin tahu mereka. Sistem keamanan TI yang kuat tidak dapat bertahan dari apa yang
tampaknya merupakan akses resmi.

Kerentanan lain yang lebih baru adalah bawa perangkat Anda sendiri
(BYOD). Tren BYOD didorong oleh karyawan yang menggunakan perangkat mereka
sendiri untuk keperluan bisnis karena lebih bertenaga daripada yang disediakan
perusahaan. Faktor lainnya adalah mobilitas. Semakin banyak orang yang bekerja dari
rumah dan dalam perjalanan—mengakhiri jam kerja 9 sampai 5 hari yang biasa.
Akibatnya, karyawan tidak ingin menyulap banyak perangkat. Dengan BYOD,
perusahaan memangkas biaya dengan tidak perlu membeli dan memelihara perangkat
seluler.

Cybersecurity perlu mencapai hal-hal berikut:

1. Membuat data dan dokumen tersedia dan dapat diakses 24/7 sekaligus
membatasi akses.
2. Menerapkan dan menegakkan prosedur dan kebijakan penggunaan yang dapat
diterima (AUP) untuk data, jaringan, perangkat keras, dan perangkat lunak yang

7
 dimiliki oleh perusahaan atau karyawan, seperti yang dibahas dalam kasus
pembukaan.
3. Mempromosikan pembagian informasi yang aman dan sah di antara orang-
orang yang berwenang dan mitra
4. Memastikan kepatuhan terhadap peraturan dan undang-undang pemerintah
5. Mencegah serangan dengan menerapkan pertahanan intrusi jaringan
6. Mendeteksi, mendiagnosis, dan merespons insiden dan serangan secara real
time
7. Memelihara kontrol internal untuk mencegah perubahan data yang tidak sah
dan catatan
8. Pulih dari bencana dan gangguan bisnis dengan cepat.

2.2 Manajemen Risiko Siber

Ancaman adalah sesuatu atau seseorang yang dapat merusak, mengganggu ,
atau menghancurkan aset. Kerentanan adalah celah, lubang, kelemahan, atau
kekurangan dalam jaringan perusahaan, pertahanan keamanan TI, pelatihan pengguna,
penegakan kebijakan, penyimpanan data, perangkat lunak, sistem operasi, aplikasi,
atau perangkat seluler yang membuat organisasi rentan terhadap intrusi atau serangan
lainnya. Kerentanan mengancam kerahasiaan, integritas, atau ketersediaan (CIA) data
dan sistem informasi. Kerentanan ada di jaringan, sistem operasi, aplikasi, database,
perangkat seluler, dan lingkungan cloud. Kerentanan ini adalah vektor serangan atau
titik masuk untuk malware, peretas, peretas, dan kejahatan terorganisir.

Istilah mengeksploitasi memiliki lebih dari satu arti. Eksploitasi adalah alat
peretas atau program perangkat lunak yang digunakan untuk membobol sistem, basis
data, atau perangkat. Serangan atau tindakan yang memanfaatkan kerentanan juga
disebut eksploitasi. Kelompok kriminal dan teroris membeli exploit dari lebih dari 25
forum atau broker bawah tanah. Kami telah menemukan bahwa beberapa gadget Vista
dan Win7 tidak mematuhi praktik pengkodean yang aman dan harus dianggap

8
menyebabkan risiko pada sistem yang menjalankannya. Eksploitasi itu sendiri tidak
melanggar hukum, dan beberapa firma yang sah juga menjualnya. Misalnya, pada
tahun 2012 Netragard (netragard.com) yang berbasis di Massachusetts menjual lebih
dari 50 exploit ke bisnis dan lembaga pemerintah di Amerika Serikat dengan harga
mulai dari $20.000 hingga lebih dari $250.000.

Peretasan adalah industri dengan cara operasi, tenaga kerja, dan layanan
dukungannya sendiri. Peretas kontrak tersedia untuk disewa atau serangan peretasan
lengkap dapat dibeli. Meja bantuan peretasan menyediakan dukungan 24/7—membuat
serangan canggih lebih mudah diatur. Peretas menggunakan jejaring sosial dan forum
bawah tanah untuk berbagi eksploit, nama pengguna, dan kata sandi—kredensial yang
diperlukan untuk menginfeksi akun pribadi dan kantor pengguna.

Kelompok kejahatan terorganisir dengan cepat mengetahui bahwa kejahatan

dunia maya memiliki hasil yang lebih baik daripada perdagangan narkoba dan hampir
tanpa risiko. Mereka menjadi hampir tidak tersentuh oleh penegak hukum karena tidak
ada yang melihat kejahatan tersebut. Maka tidak mengherankan bahwa hampir setiap
survei mencapai kesimpulan meresahkan yang sama — biaya dan frekuensi kejahatan
dunia maya meningkat. Itu berarti praktik dan pertahanan keamanan TI yang lebih kuat
jelas dibutuhkan. Salah satu kelemahan terbesar adalah pengguna yang mengabaikan
bahaya kata sandi yang lemah. Manajemen kata sandi sangat penting untuk keamanan.

Ancaman dari karyawan, yang disebut sebagai ancaman internal, merupakan

tantangan utama yang sebagian besar disebabkan oleh banyak cara karyawan dapat
melakukan aktivitas berbahaya. Orang dalam mungkin dapat melewati tindakan
keamanan fisik (misalnya, pintu terkunci) dan keamanan teknis (misalnya, kata sandi)
yang telah dilakukan organisasi untuk mencegah akses tidak sah. Mengapa? Karena
pertahanan seperti firewall, sistem deteksi intrusi (IDS), dan pintu terkunci sebagian
besar melindungi dari ancaman eksternal. Terlepas dari tantangannya, insiden orang

9
dalam dapat diminimalkan dengan strategi pertahanan berlapis yang terdiri dari
prosedur keamanan, kebijakan penggunaan yang dapat diterima, dan kontrol teknologi.

 Phishing dan Ancaman Berbasis Web

Phishing adalah metode penipuan untuk mencuri informasi rahasia dengan

berpura-pura menjadi organisasi yang sah, seperti PayPal, bank, perusahaan kartu
kredit, atau sumber tepercaya lainnya. Pesan phishing menyertakan tautan ke situs web
phish palsu yang terlihat seperti aslinya. Ketika pengguna mengklik tautan ke situs
phish, dia dimintai nomor kartu kredit, nomor jaminan sosial, nomor rekening, atau
kata sandi. Phishing tetap sukses dan menguntungkan bagi para penjahat. Penjahat
menggunakan Internet dan jaringan pribadi untuk membajak sejumlah besar PC untuk
memata-matai pengguna, mengirim spam, menghancurkan bisnis, dan mencuri
identitas. Tetapi mengapa mereka begitu sukses? Forum Keamanan Informasi
(securityforum.org), organisasi swadaya yang mencakup banyak perusahaan Fortune
100, menyusun daftar masalah informasi teratas dan menemukan bahwa sembilan dari
sepuluh insiden teratas adalah hasil dari tiga faktor:

1. Kesalahan atau kesalahan manusia

2. Sistem yang tidak berfungsi
3. Kesalahpahaman efek menambahkan perangkat lunak yang tidak kompatibel
ke yang sudah ada sistem

Sayangnya, faktor-faktor ini dapat dengan mudah mengalahkan teknologi

keamanan siber yang digunakan perusahaan dan individu untuk melindungi informasi
mereka. Faktor keempat yang diidentifikasi oleh Security Forum adalah motivasi,
seperti yang dijelaskan dalam IT at Work 5.4. Dua model tata kelola TI yang diterima
adalah enterprise risk management (ERM) dan Control Objectives for Information and
Related Technology (COBIT). ERM adalah pendekatan berbasis risiko untuk
mengelola perusahaan yang mengintegrasikan pengendalian internal, mandat

10
Sarbanes–Oxley Act, dan perencanaan strategis. ERM dimaksudkan untuk menjadi
bagian dari proses perencanaan rutin daripada inisiatif terpisah. Tempat yang ideal
untuk memulai adalah dengan dukungan dan komitmen dari dewan direksi dan
kepemimpinan senior.

COBIT, yang dijelaskan dalam IT at Work 5.5, adalah kerangka tata kelola
dan kontrol TI yang diterima secara internasional untuk menyelaraskan TI dengan
tujuan bisnis, memberikan nilai, dan mengelola risiko terkait. Ini memberikan referensi
untuk manajemen, pengguna, dan audit IS, kontrol, dan praktisi keamanan. Grup
industri memberlakukan standar mereka sendiri untuk melindungi pelanggan mereka
dan citra merek dan pendapatan anggota mereka. Salah satu contohnya adalah Standar
Keamanan Data Industri Kartu Pembayaran (PCI DSS) yang dibuat oleh Visa,
MasterCard, American Express, dan Discover. PCI diperlukan untuk semua anggota,
pedagang, atau penyedia layanan yang menyimpan, memproses, atau mengirimkan
data pemegang kartu. PCI DSS membutuhkan pedagang dan penyedia pembayaran
kartu untuk memastikan aplikasi Web mereka aman. Jika dilakukan dengan benar, ini
dapat mengurangi jumlah pelanggaran keamanan terkait Web. Tujuan dari PCI DSS
adalah untuk meningkatkan kepercayaan pelanggan terhadap e-commerce, terutama
dalam hal pembayaran online, dan untuk meningkatkan keamanan Web pedagang
online. Untuk memotivasi mengikuti standar ini, hukuman bagi ketidakpatuhan sangat
berat. Merek kartu dapat mendenda pengecer, dan menaikkan biaya transaksi untuk
setiap transaksi kartu kredit atau debit. Temuan ketidakpatuhan dapat menjadi dasar
untuk tuntutan hukum.

 Komitmen dan dukungan manajemen senior

Pengaruh manajer senior diperlukan untuk menerapkan dan memelihara

keamanan, standar etika, praktik privasi, dan pengendalian internal. Keamanan TI
paling baik jika digerakkan dari atas. Manajer senior memutuskan seberapa ketat
kebijakan dan praktik infosec untuk mematuhi undang-undang dan peraturan. Lembaga

11
keuangan tunduk pada peraturan keamanan dan anti pencucian uang (AML) yang ketat
karena mereka menghadapi banyak peraturan nasional dan internasional dan memiliki
data bernilai tinggi. Agen periklanan dan perusahaan yang kurang diatur cenderung
memiliki aturan yang lebih lunak. Faktor lain yang memengaruhi kebijakan infosec
adalah budaya perusahaan dan betapa berharganya data mereka bagi penjahat.

 Kebijakan penggunaan yang dapat diterima dan pelatihan keamanan TI

Organisasi perlu menerapkan kebijakan dan proses yang kuat yang membuat
tanggung jawab dan akuntabilitas menjadi jelas bagi semua karyawan. Kebijakan
penggunaan yang dapat diterima (AUP) menjelaskan apa yang telah diputuskan
manajemen sebagai aktivitas yang dapat diterima dan tidak dapat diterima, dan
konsekuensi dari ketidakpatuhan. Aturan tentang tweet, SMS, media sosial, email,
aplikasi, dan perangkat keras harus diperlakukan sebagai perpanjangan dari kebijakan
perusahaan lainnya—seperti keamanan fisik, kesempatan setara, pelecehan, dan
diskriminasi.

 Prosedur dan penegakan keamanan TI.

Prosedur aman menentukan bagaimana kebijakan akan ditegakkan,

bagaimana insiden akan dicegah, dan bagaimana menanggapi insiden.

 Perangkat keras dan perangkat lunak

Langkah terakhir dalam model ini adalah implementasi perangkat lunak dan
perangkat keras yang diperlukan untuk mendukung dan menegakkan AUP dan praktik
keamanan. Pemilihan pertahanan perangkat keras dan perangkat lunak didasarkan pada
risiko, anggaran keamanan, AUP, dan prosedur yang aman. Setiap perangkat yang
terhubung ke jaringan organisasi; setiap aktivitas online dan aplikasi seluler karyawan;
dan setiap file yang dikirim atau diterima adalah jalur akses.

12
  Jenis-jenis Malware

Virus, worm, trojan, rootkit, backdoor, botnet, dan keylogger adalah jenis
malware. Secara teknis, malware adalah program atau kode komputer yang dapat
menginfeksi apa pun yang terhubung ke Internet dan mampu memproses kode tersebut.
Sebagian besar virus, trojan, dan worm diaktifkan saat lampiran dibuka atau tautan
diklik. Namun ketika fitur diotomatisasi, mereka juga dapat memicu malware secara
otomatis.

Trojan akses jarak jauh, atau RATS, membuat pintu belakang yang tidak
terlindungi ke dalam sistem di mana peretas dapat mengontrol sistem itu dari jarak
jauh. Seperti namanya, backdoor menyediakan akses mudah ke sistem, komputer, atau
akun dengan menghilangkan kebutuhan untuk mengautentikasi dengan nama pengguna
dan kata sandi. Setiap kali Anda menyimpan nama pengguna dan kata sandi, Anda
membuat pintu belakang ke akun itu.

Muatan malware mengacu pada tindakan yang terjadi setelah sistem

terinfeksi. Muatan menjalankan tujuan malware. Payload dapat menyebabkan
kerusakan yang terlihat atau beroperasi dalam mode siluman agar tetap tidak terdeteksi.
Vektor adalah metode khusus yang digunakan malware untuk menyebarkan, atau
menyebar, ke mesin atau perangkat lain. Malware juga dapat mereplikasi, atau
membuat salinannya sendiri.

 Pertahanan TI

Karena malware dan botnet menggunakan banyak metode dan strategi

serangan, diperlukan beberapa alat untuk mendeteksinya dan/atau menetralkan
pengaruhnya. Tiga pertahanan penting adalah sebagai berikut:

1. Perangkat Lunak Antivirus

Alat antimalware dirancang untuk mendeteksi kode berbahaya dan mencegah

pengguna mengunduhnya. Mereka juga dapat memindai sistem untuk keberadaan

13
worm, trojan, dan jenis ancaman lainnya. Teknologi ini tidak memberikan
perlindungan lengkap karena tidak dapat bertahan dari eksploitasi zero-day. Apa fungsi
IDS dan IPS? Antimalware mungkin tidak dapat mendeteksi eksploit yang sebelumnya
tidak dikenal.

2. Sistem Deteksi Intrusi (IDS)

Seperti namanya, IDS memindai lalu lintas yang tidak biasa atau
mencurigakan. IDS dapat mengidentifikasi awal serangan DoS dengan pola lalu lintas,
mengingatkan administrator jaringan untuk mengambil tindakan defensif, seperti
beralih ke alamat IP lain dan mengalihkan server penting dari jalur serangan.

3. Sistem Pencegahan Intrusi (IPS)

IPS dirancang untuk mengambil tindakan segera—seperti memblokir alamat

IP tertentu—setiap kali anomali arus lalu lintas terdeteksi. IPS berbasis sirkuit berbasis
aplikasi khusus (ASIC) memiliki kekuatan dan kemampuan analisis untuk mendeteksi
dan memblokir serangan DDoS, berfungsi seperti pemutus sirkuit otomatis.

2.3 Seluler, Aplikasi, dan Keamanan Cloud

Dengan popularitas e-reader, netbook, Google Chrome OS, Facebook,
YouTube, Twitter, LinkedIn, dan jejaring sosial lainnya, bahaya keamanan TI menjadi
semakin buruk. Jejaring sosial dan komputasi awan meningkatkan kerentanan dengan
memberikan satu titik kegagalan dan serangan untuk jaringan kriminal terorganisir.
Informasi penting, sensitif, dan pribadi berisiko, dan seperti tren TI sebelumnya, seperti
jaringan nirkabel, tujuannya adalah konektivitas, seringkali dengan sedikit perhatian
terhadap keamanan.

Saat jejaring sosial meningkatkan layanan mereka, kesenjangan antara

layanan dan keamanan informasi juga meningkat. Virus email dan malware telah
menurun selama bertahun-tahun karena keamanan email telah meningkat. Tren ini

14
berlanjut saat komunikasi beralih ke jejaring sosial dan smartphone yang lebih baru.
Sayangnya, malware menemukan jalannya ke pengguna melalui kerentanan keamanan
di layanan dan perangkat baru ini. Pemfilteran web, pendidikan pengguna, dan
kebijakan ketat adalah kunci untuk mencegah meluasnya wabah.

Alasan utama mengapa jaringan dan layanan ini meningkatkan paparan risiko
adalah eksploitasi waktu dari spyware dan virus seluler yang canggih saat ini. ulasan
untuk memverifikasi aplikasi yang sah karena ada banyak aplikasi palsu. Pengguna
membawa perangkat seluler pribadi dan aplikasi seluler mereka sendiri untuk bekerja
dan menghubungkannya ke jaringan perusahaan adalah bagian dari tren konsumerisasi
teknologi informasi (COIT) yang lebih besar. Bawa perangkat Anda sendiri (BYOD)
dan bawa aplikasi Anda sendiri (BYOA) adalah praktik yang memindahkan data
perusahaan dan aset TI ke ponsel karyawan dan cloud, menciptakan serangkaian
tantangan keamanan TI yang sulit. Time-to-exploitation adalah waktu yang berlalu
antara saat kerentanan ditemukan dan saat dieksploitasi. Waktu itu telah menyusut dari
hitungan bulan menjadi hitungan menit sehingga staf TI memiliki kerangka waktu yang
semakin singkat untuk menemukan dan memperbaiki kelemahan sebelum
dikompromikan oleh serangan. Beberapa serangan hanya terjadi selama dua jam, yang
berarti bahwa sistem keamanan TI perusahaan harus memiliki perlindungan waktu
nyata.

2.4 Membela Terhadap Penipuan

Pemantauan dan pengendalian TI juga menunjukkan bahwa perusahaan telah
menerapkan langkah-langkah tata kelola perusahaan dan pencegahan penipuan yang
efektif. Regulator memandang positif perusahaan yang dapat menunjukkan praktik
terbaik dalam tata kelola perusahaan dan manajemen risiko operasional. Manajemen
dan staf kemudian akan menghabiskan lebih sedikit waktu untuk mengkhawatirkan
peraturan dan lebih banyak waktu untuk menambah nilai merek dan bisnis mereka.

15
Tindakan pencegahan penipuan internal didasarkan pada kontrol yang sama yang
digunakan untuk mencegah intrusi eksternal—teknologi pertahanan perimeter, seperti
firewall, pemindai email, dan akses biometrik. Mereka juga didasarkan pada prosedur
sumber daya manusia (SDM), seperti penyaringan rekrutmen dan pelatihan.

Sebagian besar aktivitas deteksi dapat ditangani oleh mesin analisis cerdas
menggunakan pergudangan data canggih dan teknik analitik. Sistem ini mengikuti jejak
audit dari sistem utama dan catatan personel dari departemen SDM dan keuangan. Data
disimpan di gudang data tempat data dianalisis untuk mendeteksi pola anomali, seperti
jam kerja yang berlebihan, penyimpangan pola perilaku, penyalinan data dalam jumlah
besar, upaya untuk mengesampingkan kontrol, transaksi yang tidak biasa, dan
dokumentasi yang tidak memadai tentang suatu transaksi. Informasi dari investigasi
dimasukkan kembali ke dalam sistem deteksi sehingga mempelajari pola anomali apa
pun. Karena orang dalam mungkin berkolusi dengan penjahat terorganisir, pembuatan
profil orang dalam penting untuk menemukan pola jaringan kriminal yang lebih luas.

Identitas Salah satu kejahatan terburuk dan paling umum adalah pencurian
identitas. Pencurian di mana nomor Jaminan Sosial dan kartu kredit individu dicuri dan
digunakan oleh pencuri bukanlah hal baru. Penjahat selalu mendapatkan informasi
tentang orang lain dengan mencuri dompet atau menyelam ke tempat sampah. Tetapi
berbagi elektronik dan basis data yang tersebar luas telah memperburuk kejahatan.
Karena lembaga keuangan, perusahaan pemrosesan data, dan bisnis ritel enggan
mengungkapkan insiden di mana informasi keuangan pribadi pelanggan mereka
mungkin telah dicuri, hilang, atau disusupi, undang-undang terus disahkan yang
memaksa pemberitahuan tersebut.

16
2.5 Kepatuhan dan Pengendalian Internal
Semua perusahaan tunduk pada undang-undang dan peraturan federal dan
negara bagian. Kepatuhan terhadap peraturan selalu membutuhkan kontrol internal
untuk memastikan bahwa data sensitif terlindungi dan akurat. Lingkungan
pengendalian internal adalah suasana kerja yang ditetapkan perusahaan bagi
karyawannya. Pengendalian internal (IC) adalah proses yang dirancang untuk
mencapai:

 Keandalan pelaporan keuangan, untuk melindungi investor

 Efisiensi operasional
 Kepatuhan terhadap undang-undang, peraturan, dan kebijakan
 Pengamanan aset

Tujuan praktik manajemen keamanan TI adalah untuk mempertahankan

semua komponen sistem informasi, khususnya data, aplikasi perangkat lunak,
perangkat keras, dan jaringan, agar tetap sesuai. Sebelum mereka membuat keputusan
tentang pertahanan, orang yang bertanggung jawab atas keamanan harus memahami
persyaratan dan operasi bisnis, yang membentuk dasar untuk strategi pertahanan yang
disesuaikan. Strategi dan kontrol pertahanan yang harus digunakan bergantung pada
apa yang perlu dilindungi dan analisis biaya-manfaat. Artinya, perusahaan tidak boleh
kurang berinvestasi atau terlalu banyak berinvestasi. SEC dan FTC memberlakukan
denda besar untuk pelanggaran data guna mencegah perusahaan berinvestasi terlalu
sedikit dalam perlindungan data. Berikut ini adalah tujuan utama dari strategi
pertahanan:

17
 1. Pencegahan dan pencegahan

Kontrol yang dirancang dengan benar dapat mencegah terjadinya kesalahan,

mencegah penjahat menyerang sistem, dan, lebih baik lagi, menolak akses ke orang
yang tidak berwenang. Ini adalah kontrol yang paling diinginkan.

2. Deteksi

Seperti api, semakin dini serangan terdeteksi, semakin mudah untuk dilawan,
dan semakin sedikit kerusakan yang terjadi. Deteksi dapat dilakukan dalam banyak
kasus dengan menggunakan perangkat lunak diagnostik khusus, dengan biaya minimal.

3. Mengandung Kerusakan

Tujuan ini melibatkan meminimalkan atau membatasi kerugian setelah

kerusakan terjadi. Ini juga disebut kontrol kerusakan. Hal ini dapat dilakukan,
misalnya, dengan menyertakan sistem toleransi kesalahan yang memungkinkan
pengoperasian dalam mode terdegradasi hingga pemulihan penuh dilakukan. Jika
sistem toleransi kesalahan tidak ada, pemulihan yang cepat dan mungkin mahal harus
dilakukan. Pengguna ingin sistem mereka kembali beroperasi secepat mungkin.

4. Pemulihan

Rencana pemulihan menjelaskan cara memperbaiki sistem informasi yang

rusak secepat mungkin. Mengganti daripada memperbaiki komponen adalah salah satu
cara untuk pemulihan cepat.

18
 5. Koreksi

Memperbaiki penyebab sistem yang rusak dapat mencegah masalah terjadi

lagi.

6. Kesadaran dan kepatuhan

Semua anggota organisasi harus dididik tentang bahaya dan harus mematuhi
peraturan dan regulasi keamanan.

Sebuah strategi pertahanan juga membutuhkan beberapa kontrol, Kontrol

umum ditetapkan untuk melindungi sistem terlepas dari aplikasi spesifiknya. Misalnya,
melindungi perangkat keras dan mengontrol akses ke pusat data tidak bergantung pada
aplikasi tertentu. Kontrol aplikasi adalah penjaga keamanan yang dimaksudkan untuk
melindungi aplikasi tertentu. Dalam dua bagian berikutnya, kita membahas tipe utama
dari dua kelompok pengendalian sistem informasi ini.

19
 Kontrol akses adalah manajemen siapa yang diizinkan dan tidak diizinkan
untuk menggunakan perangkat keras dan perangkat lunak perusahaan. Metode kontrol
akses, seperti firewall dan daftar kontrol akses, membatasi akses ke jaringan, database,
file, atau data. Ini adalah garis pertahanan utama terhadap orang dalam yang tidak sah
maupun orang luar. Kontrol akses melibatkan otorisasi (memiliki hak untuk
mengakses) dan otentikasi, yang juga disebut identifikasi pengguna (membuktikan
bahwa pengguna adalah seperti yang diklaimnya).

Kontrol biometrik adalah metode otomatis untuk memverifikasi identitas

seseorang, berdasarkan karakteristik fisik atau perilaku. Sebagian besar sistem
biometrik mencocokkan beberapa karakteristik pribadi dengan profil yang disimpan.
Biometrik yang paling umum adalah sidik jari atau sidik jari, cetak suara, pemindaian
retina, dan tanda tangan. Kontrol biometrik telah diintegrasikan ke dalam produk
perangkat keras dan perangkat lunak e-bisnis. Audit adalah bagian penting dari setiap
sistem kontrol. Audit dapat dilihat sebagai lapisan tambahan dari kontrol atau
perlindungan. Hal itu dianggap sebagai pencegah tindakan kriminal, terutama bagi
orang dalam.

Mengaudit situs web adalah tindakan pencegahan yang baik untuk mengelola
risiko hukum. Risiko hukum penting dalam sistem TI apa pun, tetapi dalam sistem Web
bahkan lebih penting karena konten situs, yang mungkin menyinggung orang atau
melanggar undang-undang hak cipta atau peraturan lainnya (misalnya, perlindungan
privasi). Mengaudit e-commerce juga lebih kompleks karena, selain situs web,
seseorang perlu mengaudit pengambilan pesanan, pemenuhan pesanan, dan semua
sistem pendukung.

20
 BAB III
PENUTUP

3.1 Simpulan
Konsekuensi dari lemahnya keamanan siber meliputi rusaknya reputasi,
sanksi keuangan, denda pemerintah federal dan negara bagian, kehilangan pangsa
pasar, jatuhnya harga saham, dan reaksi konsumen. Penyebab utama pembobolan data
adalah peretasan, tetapi alasan keberhasilan peretasan adalah kelalaian—manajemen
tidak berbuat cukup untuk bertahan dari ancaman dunia maya. Bahkan perusahaan
teknologi tinggi dan pemimpin pasar, tampaknya terlepas dari nilai data rahasia yang
mereka simpan dan ancaman yang akan dicuri oleh peretas yang bermotivasi tinggi.
Keamanan data yang kuat bukanlah tanggung jawab TI saja, tetapi tugas berkelanjutan
setiap orang dalam suatu organisasi.

Ancaman adalah sesuatu atau seseorang yang dapat merusak, mengganggu ,

atau menghancurkan aset. Kerentanan adalah celah, lubang, kelemahan, atau
kekurangan dalam jaringan perusahaan, pertahanan keamanan TI, pelatihan pengguna,
penegakan kebijakan, penyimpanan data, perangkat lunak, sistem operasi, aplikasi,
atau perangkat seluler yang membuat organisasi rentan terhadap intrusi atau serangan
lainnya. Kerentanan mengancam kerahasiaan, integritas, atau ketersediaan (CIA) data
dan sistem informasi. Kerentanan ada di jaringan, sistem operasi, aplikasi, database,
perangkat seluler, dan lingkungan cloud. Kerentanan ini adalah vektor serangan atau
titik masuk untuk malware, peretas, peretas, dan kejahatan terorganisir.

Istilah mengeksploitasi memiliki lebih dari satu arti. Eksploitasi adalah alat
peretas atau program perangkat lunak yang digunakan untuk membobol sistem, basis
data, atau perangkat. Serangan atau tindakan yang memanfaatkan kerentanan juga
disebut eksploitasi. Kelompok kriminal dan teroris membeli exploit dari lebih dari 25
forum atau broker bawah tanah. Kami telah menemukan bahwa beberapa gadget Vista

21
dan Win7 tidak mematuhi praktik pengkodean yang aman dan harus dianggap
menyebabkan risiko pada sistem yang menjalankannya. Eksploitasi itu sendiri tidak
melanggar hukum, dan beberapa firma yang sah juga menjualnya. Misalnya, pada
tahun 2012 Netragard (netragard.com) yang berbasis di Massachusetts menjual lebih
dari 50 exploit ke bisnis dan lembaga pemerintah di Amerika Serikat dengan harga
mulai dari $20.000 hingga lebih dari $250.000.

Peretasan adalah industri dengan cara operasi, tenaga kerja, dan layanan
dukungannya sendiri. Peretas kontrak tersedia untuk disewa atau serangan peretasan
lengkap dapat dibeli. Meja bantuan peretasan menyediakan dukungan 24/7—membuat
serangan canggih lebih mudah diatur. Peretas menggunakan jejaring sosial dan forum
bawah tanah untuk berbagi eksploit, nama pengguna, dan kata sandi—kredensial yang
diperlukan untuk menginfeksi akun pribadi dan kantor pengguna.

Dengan popularitas e-reader, netbook, Google Chrome OS, Facebook,

YouTube, Twitter, LinkedIn, dan jejaring sosial lainnya, bahaya keamanan TI menjadi
semakin buruk. Jejaring sosial dan komputasi awan meningkatkan kerentanan dengan
memberikan satu titik kegagalan dan serangan untuk jaringan kriminal terorganisir.
Informasi penting, sensitif, dan pribadi berisiko, dan seperti tren TI sebelumnya, seperti
jaringan nirkabel, tujuannya adalah konektivitas, seringkali dengan sedikit perhatian
terhadap keamanan. Alasan utama mengapa jaringan dan layanan ini meningkatkan
paparan risiko adalah eksploitasi waktu dari spyware dan virus seluler yang canggih
saat ini. ulasan untuk memverifikasi aplikasi yang sah karena ada banyak aplikasi
palsu.

Sebagian besar aktivitas deteksi dapat ditangani oleh mesin analisis cerdas
menggunakan pergudangan data canggih dan teknik analitik. Sistem ini mengikuti jejak
audit dari sistem utama dan catatan personel dari departemen SDM dan keuangan. Data
disimpan di gudang data tempat data dianalisis untuk mendeteksi pola anomali, seperti
jam kerja yang berlebihan, penyimpangan pola perilaku, penyalinan data dalam jumlah

22
besar, upaya untuk mengesampingkan kontrol, transaksi yang tidak biasa, dan
dokumentasi yang tidak memadai tentang suatu transaksi. Informasi dari investigasi
dimasukkan kembali ke dalam sistem deteksi sehingga mempelajari pola anomali apa
pun. Karena orang dalam mungkin berkolusi dengan penjahat terorganisir, pembuatan
profil orang dalam penting untuk menemukan pola jaringan kriminal yang lebih luas.

Semua perusahaan tunduk pada undang-undang dan peraturan federal dan

negara bagian. Kepatuhan terhadap peraturan selalu membutuhkan kontrol internal
untuk memastikan bahwa data sensitif terlindungi dan akurat. Lingkungan
pengendalian internal adalah suasana kerja yang ditetapkan perusahaan bagi
karyawannya.

Tujuan praktik manajemen keamanan TI adalah untuk mempertahankan

semua komponen sistem informasi, khususnya data, aplikasi perangkat lunak,
perangkat keras, dan jaringan, agar tetap sesuai. Sebelum mereka membuat keputusan
tentang pertahanan, orang yang bertanggung jawab atas keamanan harus memahami
persyaratan dan operasi bisnis, yang membentuk dasar untuk strategi pertahanan yang
disesuaikan.

3.2 Saran
Adapun saran dari makalah ini sebagai berikut:
1. Makalah selanjutnya dapat membahas tentang cara mengatasi serangan siber
2. Makalah selanjutnya dapat membahas tentang mengimplementasikan
kebijakan keamanan sistem terhadap serangan siber
3. Makalah selanjutnya dapat membahas tentang pemantauan kejadian keamanan
siber

23
 DAFTAR PUSTAKA
Turban, dkk., (2015). Information Technology for Management, Cybersecurity and
Risk Management : 141 - 174. United States of Amerika: Wiley & Sons, Inc.

24