Makalah TIA Kelompok 13-1
Makalah TIA Kelompok 13-1
Disusun oleh:
KELOMPOK 13
JURUSAN AKUNTANSI
UNIVERSITAS RIAU
2022/2023
KATA PENGANTAR
Penulis
ii
DAFTAR ISI
iii
BAB I
PENDAHULUAN
Keamanan cyber dan manajemen risiko menjadi dua hal yang sangat penting
dalam era digital ini. Dengan semakin berkembangnya teknologi informasi dan
komunikasi, organisasi dan individu menjadi semakin rentan terhadap serangan cyber.
Kejahatan siber seperti serangan malware, peretasan, pencurian identitas, dan serangan
4
DDoS dapat menyebabkan kerugian finansial yang besar, kerusakan reputasi, dan
bahkan gangguan pada infrastruktur vital.
Dalam konteks ini, keamanan cyber adalah suatu upaya untuk melindungi
sistem komputer, jaringan, dan data dari ancaman yang dapat merusak, mengubah, atau
mengakses informasi secara tidak sah. Manajemen risiko, di sisi lain, adalah proses
identifikasi, penilaian, dan pengelolaan risiko yang berkaitan dengan keamanan cyber.
Ini melibatkan pemahaman terhadap ancaman yang mungkin terjadi, rentang kerusakan
yang dapat ditimbulkan, dan upaya untuk mengurangi risiko melalui kebijakan,
prosedur, dan teknologi yang tepat.
1.3 Tujuan
Adapun tujuan dari penulisan makalah ini sebagai berikut:
5
BAB II
ISI
6
Cyber Emergency Response Team (ICS-CERT) memperingatkan bahwa serangan
terhadap infrastruktur penting semakin meningkat
Rekayasa Sosial dan BYOD Ancaman dunia maya baru muncul dan
mengambil alih ancaman yang sudah dikenal—virus, disk hilang, dan serangan DDoS.
Para ahli percaya bahwa bahaya keamanan siber terbesar selama beberapa tahun ke
depan akan melibatkan ancaman terusmenerus, komputasi seluler, dan penggunaan
media sosial untuk rekayasa sosial. Rekayasa sosial juga dikenal sebagai peretasan
manusia—menipu pengguna agar mengungkapkan kredensial mereka dan kemudian
menggunakannya untuk mendapatkan akses ke jaringan atau akun. Dari perspektif
keamanan TI, rekayasa sosial adalah penggunaan penipuan atau manipulasi yang
cerdik dari kecenderungan orang untuk percaya, membantu, atau hanya mengikuti rasa
ingin tahu mereka. Sistem keamanan TI yang kuat tidak dapat bertahan dari apa yang
tampaknya merupakan akses resmi.
Kerentanan lain yang lebih baru adalah bawa perangkat Anda sendiri
(BYOD). Tren BYOD didorong oleh karyawan yang menggunakan perangkat mereka
sendiri untuk keperluan bisnis karena lebih bertenaga daripada yang disediakan
perusahaan. Faktor lainnya adalah mobilitas. Semakin banyak orang yang bekerja dari
rumah dan dalam perjalanan—mengakhiri jam kerja 9 sampai 5 hari yang biasa.
Akibatnya, karyawan tidak ingin menyulap banyak perangkat. Dengan BYOD,
perusahaan memangkas biaya dengan tidak perlu membeli dan memelihara perangkat
seluler.
1. Membuat data dan dokumen tersedia dan dapat diakses 24/7 sekaligus
membatasi akses.
2. Menerapkan dan menegakkan prosedur dan kebijakan penggunaan yang dapat
diterima (AUP) untuk data, jaringan, perangkat keras, dan perangkat lunak yang
7
dimiliki oleh perusahaan atau karyawan, seperti yang dibahas dalam kasus
pembukaan.
3. Mempromosikan pembagian informasi yang aman dan sah di antara orang-
orang yang berwenang dan mitra
4. Memastikan kepatuhan terhadap peraturan dan undang-undang pemerintah
5. Mencegah serangan dengan menerapkan pertahanan intrusi jaringan
6. Mendeteksi, mendiagnosis, dan merespons insiden dan serangan secara real
time
7. Memelihara kontrol internal untuk mencegah perubahan data yang tidak sah
dan catatan
8. Pulih dari bencana dan gangguan bisnis dengan cepat.
Istilah mengeksploitasi memiliki lebih dari satu arti. Eksploitasi adalah alat
peretas atau program perangkat lunak yang digunakan untuk membobol sistem, basis
data, atau perangkat. Serangan atau tindakan yang memanfaatkan kerentanan juga
disebut eksploitasi. Kelompok kriminal dan teroris membeli exploit dari lebih dari 25
forum atau broker bawah tanah. Kami telah menemukan bahwa beberapa gadget Vista
dan Win7 tidak mematuhi praktik pengkodean yang aman dan harus dianggap
8
menyebabkan risiko pada sistem yang menjalankannya. Eksploitasi itu sendiri tidak
melanggar hukum, dan beberapa firma yang sah juga menjualnya. Misalnya, pada
tahun 2012 Netragard (netragard.com) yang berbasis di Massachusetts menjual lebih
dari 50 exploit ke bisnis dan lembaga pemerintah di Amerika Serikat dengan harga
mulai dari $20.000 hingga lebih dari $250.000.
Peretasan adalah industri dengan cara operasi, tenaga kerja, dan layanan
dukungannya sendiri. Peretas kontrak tersedia untuk disewa atau serangan peretasan
lengkap dapat dibeli. Meja bantuan peretasan menyediakan dukungan 24/7—membuat
serangan canggih lebih mudah diatur. Peretas menggunakan jejaring sosial dan forum
bawah tanah untuk berbagi eksploit, nama pengguna, dan kata sandi—kredensial yang
diperlukan untuk menginfeksi akun pribadi dan kantor pengguna.
9
dalam dapat diminimalkan dengan strategi pertahanan berlapis yang terdiri dari
prosedur keamanan, kebijakan penggunaan yang dapat diterima, dan kontrol teknologi.
10
Sarbanes–Oxley Act, dan perencanaan strategis. ERM dimaksudkan untuk menjadi
bagian dari proses perencanaan rutin daripada inisiatif terpisah. Tempat yang ideal
untuk memulai adalah dengan dukungan dan komitmen dari dewan direksi dan
kepemimpinan senior.
COBIT, yang dijelaskan dalam IT at Work 5.5, adalah kerangka tata kelola
dan kontrol TI yang diterima secara internasional untuk menyelaraskan TI dengan
tujuan bisnis, memberikan nilai, dan mengelola risiko terkait. Ini memberikan referensi
untuk manajemen, pengguna, dan audit IS, kontrol, dan praktisi keamanan. Grup
industri memberlakukan standar mereka sendiri untuk melindungi pelanggan mereka
dan citra merek dan pendapatan anggota mereka. Salah satu contohnya adalah Standar
Keamanan Data Industri Kartu Pembayaran (PCI DSS) yang dibuat oleh Visa,
MasterCard, American Express, dan Discover. PCI diperlukan untuk semua anggota,
pedagang, atau penyedia layanan yang menyimpan, memproses, atau mengirimkan
data pemegang kartu. PCI DSS membutuhkan pedagang dan penyedia pembayaran
kartu untuk memastikan aplikasi Web mereka aman. Jika dilakukan dengan benar, ini
dapat mengurangi jumlah pelanggaran keamanan terkait Web. Tujuan dari PCI DSS
adalah untuk meningkatkan kepercayaan pelanggan terhadap e-commerce, terutama
dalam hal pembayaran online, dan untuk meningkatkan keamanan Web pedagang
online. Untuk memotivasi mengikuti standar ini, hukuman bagi ketidakpatuhan sangat
berat. Merek kartu dapat mendenda pengecer, dan menaikkan biaya transaksi untuk
setiap transaksi kartu kredit atau debit. Temuan ketidakpatuhan dapat menjadi dasar
untuk tuntutan hukum.
11
keuangan tunduk pada peraturan keamanan dan anti pencucian uang (AML) yang ketat
karena mereka menghadapi banyak peraturan nasional dan internasional dan memiliki
data bernilai tinggi. Agen periklanan dan perusahaan yang kurang diatur cenderung
memiliki aturan yang lebih lunak. Faktor lain yang memengaruhi kebijakan infosec
adalah budaya perusahaan dan betapa berharganya data mereka bagi penjahat.
Organisasi perlu menerapkan kebijakan dan proses yang kuat yang membuat
tanggung jawab dan akuntabilitas menjadi jelas bagi semua karyawan. Kebijakan
penggunaan yang dapat diterima (AUP) menjelaskan apa yang telah diputuskan
manajemen sebagai aktivitas yang dapat diterima dan tidak dapat diterima, dan
konsekuensi dari ketidakpatuhan. Aturan tentang tweet, SMS, media sosial, email,
aplikasi, dan perangkat keras harus diperlakukan sebagai perpanjangan dari kebijakan
perusahaan lainnya—seperti keamanan fisik, kesempatan setara, pelecehan, dan
diskriminasi.
Langkah terakhir dalam model ini adalah implementasi perangkat lunak dan
perangkat keras yang diperlukan untuk mendukung dan menegakkan AUP dan praktik
keamanan. Pemilihan pertahanan perangkat keras dan perangkat lunak didasarkan pada
risiko, anggaran keamanan, AUP, dan prosedur yang aman. Setiap perangkat yang
terhubung ke jaringan organisasi; setiap aktivitas online dan aplikasi seluler karyawan;
dan setiap file yang dikirim atau diterima adalah jalur akses.
12
Jenis-jenis Malware
Virus, worm, trojan, rootkit, backdoor, botnet, dan keylogger adalah jenis
malware. Secara teknis, malware adalah program atau kode komputer yang dapat
menginfeksi apa pun yang terhubung ke Internet dan mampu memproses kode tersebut.
Sebagian besar virus, trojan, dan worm diaktifkan saat lampiran dibuka atau tautan
diklik. Namun ketika fitur diotomatisasi, mereka juga dapat memicu malware secara
otomatis.
Trojan akses jarak jauh, atau RATS, membuat pintu belakang yang tidak
terlindungi ke dalam sistem di mana peretas dapat mengontrol sistem itu dari jarak
jauh. Seperti namanya, backdoor menyediakan akses mudah ke sistem, komputer, atau
akun dengan menghilangkan kebutuhan untuk mengautentikasi dengan nama pengguna
dan kata sandi. Setiap kali Anda menyimpan nama pengguna dan kata sandi, Anda
membuat pintu belakang ke akun itu.
Pertahanan TI
13
worm, trojan, dan jenis ancaman lainnya. Teknologi ini tidak memberikan
perlindungan lengkap karena tidak dapat bertahan dari eksploitasi zero-day. Apa fungsi
IDS dan IPS? Antimalware mungkin tidak dapat mendeteksi eksploit yang sebelumnya
tidak dikenal.
Seperti namanya, IDS memindai lalu lintas yang tidak biasa atau
mencurigakan. IDS dapat mengidentifikasi awal serangan DoS dengan pola lalu lintas,
mengingatkan administrator jaringan untuk mengambil tindakan defensif, seperti
beralih ke alamat IP lain dan mengalihkan server penting dari jalur serangan.
14
berlanjut saat komunikasi beralih ke jejaring sosial dan smartphone yang lebih baru.
Sayangnya, malware menemukan jalannya ke pengguna melalui kerentanan keamanan
di layanan dan perangkat baru ini. Pemfilteran web, pendidikan pengguna, dan
kebijakan ketat adalah kunci untuk mencegah meluasnya wabah.
Alasan utama mengapa jaringan dan layanan ini meningkatkan paparan risiko
adalah eksploitasi waktu dari spyware dan virus seluler yang canggih saat ini. ulasan
untuk memverifikasi aplikasi yang sah karena ada banyak aplikasi palsu. Pengguna
membawa perangkat seluler pribadi dan aplikasi seluler mereka sendiri untuk bekerja
dan menghubungkannya ke jaringan perusahaan adalah bagian dari tren konsumerisasi
teknologi informasi (COIT) yang lebih besar. Bawa perangkat Anda sendiri (BYOD)
dan bawa aplikasi Anda sendiri (BYOA) adalah praktik yang memindahkan data
perusahaan dan aset TI ke ponsel karyawan dan cloud, menciptakan serangkaian
tantangan keamanan TI yang sulit. Time-to-exploitation adalah waktu yang berlalu
antara saat kerentanan ditemukan dan saat dieksploitasi. Waktu itu telah menyusut dari
hitungan bulan menjadi hitungan menit sehingga staf TI memiliki kerangka waktu yang
semakin singkat untuk menemukan dan memperbaiki kelemahan sebelum
dikompromikan oleh serangan. Beberapa serangan hanya terjadi selama dua jam, yang
berarti bahwa sistem keamanan TI perusahaan harus memiliki perlindungan waktu
nyata.
15
Tindakan pencegahan penipuan internal didasarkan pada kontrol yang sama yang
digunakan untuk mencegah intrusi eksternal—teknologi pertahanan perimeter, seperti
firewall, pemindai email, dan akses biometrik. Mereka juga didasarkan pada prosedur
sumber daya manusia (SDM), seperti penyaringan rekrutmen dan pelatihan.
Sebagian besar aktivitas deteksi dapat ditangani oleh mesin analisis cerdas
menggunakan pergudangan data canggih dan teknik analitik. Sistem ini mengikuti jejak
audit dari sistem utama dan catatan personel dari departemen SDM dan keuangan. Data
disimpan di gudang data tempat data dianalisis untuk mendeteksi pola anomali, seperti
jam kerja yang berlebihan, penyimpangan pola perilaku, penyalinan data dalam jumlah
besar, upaya untuk mengesampingkan kontrol, transaksi yang tidak biasa, dan
dokumentasi yang tidak memadai tentang suatu transaksi. Informasi dari investigasi
dimasukkan kembali ke dalam sistem deteksi sehingga mempelajari pola anomali apa
pun. Karena orang dalam mungkin berkolusi dengan penjahat terorganisir, pembuatan
profil orang dalam penting untuk menemukan pola jaringan kriminal yang lebih luas.
Identitas Salah satu kejahatan terburuk dan paling umum adalah pencurian
identitas. Pencurian di mana nomor Jaminan Sosial dan kartu kredit individu dicuri dan
digunakan oleh pencuri bukanlah hal baru. Penjahat selalu mendapatkan informasi
tentang orang lain dengan mencuri dompet atau menyelam ke tempat sampah. Tetapi
berbagi elektronik dan basis data yang tersebar luas telah memperburuk kejahatan.
Karena lembaga keuangan, perusahaan pemrosesan data, dan bisnis ritel enggan
mengungkapkan insiden di mana informasi keuangan pribadi pelanggan mereka
mungkin telah dicuri, hilang, atau disusupi, undang-undang terus disahkan yang
memaksa pemberitahuan tersebut.
16
2.5 Kepatuhan dan Pengendalian Internal
Semua perusahaan tunduk pada undang-undang dan peraturan federal dan
negara bagian. Kepatuhan terhadap peraturan selalu membutuhkan kontrol internal
untuk memastikan bahwa data sensitif terlindungi dan akurat. Lingkungan
pengendalian internal adalah suasana kerja yang ditetapkan perusahaan bagi
karyawannya. Pengendalian internal (IC) adalah proses yang dirancang untuk
mencapai:
17
1. Pencegahan dan pencegahan
2. Deteksi
Seperti api, semakin dini serangan terdeteksi, semakin mudah untuk dilawan,
dan semakin sedikit kerusakan yang terjadi. Deteksi dapat dilakukan dalam banyak
kasus dengan menggunakan perangkat lunak diagnostik khusus, dengan biaya minimal.
3. Mengandung Kerusakan
4. Pemulihan
18
5. Koreksi
Semua anggota organisasi harus dididik tentang bahaya dan harus mematuhi
peraturan dan regulasi keamanan.
19
Kontrol akses adalah manajemen siapa yang diizinkan dan tidak diizinkan
untuk menggunakan perangkat keras dan perangkat lunak perusahaan. Metode kontrol
akses, seperti firewall dan daftar kontrol akses, membatasi akses ke jaringan, database,
file, atau data. Ini adalah garis pertahanan utama terhadap orang dalam yang tidak sah
maupun orang luar. Kontrol akses melibatkan otorisasi (memiliki hak untuk
mengakses) dan otentikasi, yang juga disebut identifikasi pengguna (membuktikan
bahwa pengguna adalah seperti yang diklaimnya).
Mengaudit situs web adalah tindakan pencegahan yang baik untuk mengelola
risiko hukum. Risiko hukum penting dalam sistem TI apa pun, tetapi dalam sistem Web
bahkan lebih penting karena konten situs, yang mungkin menyinggung orang atau
melanggar undang-undang hak cipta atau peraturan lainnya (misalnya, perlindungan
privasi). Mengaudit e-commerce juga lebih kompleks karena, selain situs web,
seseorang perlu mengaudit pengambilan pesanan, pemenuhan pesanan, dan semua
sistem pendukung.
20
BAB III
PENUTUP
3.1 Simpulan
Konsekuensi dari lemahnya keamanan siber meliputi rusaknya reputasi,
sanksi keuangan, denda pemerintah federal dan negara bagian, kehilangan pangsa
pasar, jatuhnya harga saham, dan reaksi konsumen. Penyebab utama pembobolan data
adalah peretasan, tetapi alasan keberhasilan peretasan adalah kelalaian—manajemen
tidak berbuat cukup untuk bertahan dari ancaman dunia maya. Bahkan perusahaan
teknologi tinggi dan pemimpin pasar, tampaknya terlepas dari nilai data rahasia yang
mereka simpan dan ancaman yang akan dicuri oleh peretas yang bermotivasi tinggi.
Keamanan data yang kuat bukanlah tanggung jawab TI saja, tetapi tugas berkelanjutan
setiap orang dalam suatu organisasi.
Istilah mengeksploitasi memiliki lebih dari satu arti. Eksploitasi adalah alat
peretas atau program perangkat lunak yang digunakan untuk membobol sistem, basis
data, atau perangkat. Serangan atau tindakan yang memanfaatkan kerentanan juga
disebut eksploitasi. Kelompok kriminal dan teroris membeli exploit dari lebih dari 25
forum atau broker bawah tanah. Kami telah menemukan bahwa beberapa gadget Vista
21
dan Win7 tidak mematuhi praktik pengkodean yang aman dan harus dianggap
menyebabkan risiko pada sistem yang menjalankannya. Eksploitasi itu sendiri tidak
melanggar hukum, dan beberapa firma yang sah juga menjualnya. Misalnya, pada
tahun 2012 Netragard (netragard.com) yang berbasis di Massachusetts menjual lebih
dari 50 exploit ke bisnis dan lembaga pemerintah di Amerika Serikat dengan harga
mulai dari $20.000 hingga lebih dari $250.000.
Peretasan adalah industri dengan cara operasi, tenaga kerja, dan layanan
dukungannya sendiri. Peretas kontrak tersedia untuk disewa atau serangan peretasan
lengkap dapat dibeli. Meja bantuan peretasan menyediakan dukungan 24/7—membuat
serangan canggih lebih mudah diatur. Peretas menggunakan jejaring sosial dan forum
bawah tanah untuk berbagi eksploit, nama pengguna, dan kata sandi—kredensial yang
diperlukan untuk menginfeksi akun pribadi dan kantor pengguna.
Sebagian besar aktivitas deteksi dapat ditangani oleh mesin analisis cerdas
menggunakan pergudangan data canggih dan teknik analitik. Sistem ini mengikuti jejak
audit dari sistem utama dan catatan personel dari departemen SDM dan keuangan. Data
disimpan di gudang data tempat data dianalisis untuk mendeteksi pola anomali, seperti
jam kerja yang berlebihan, penyimpangan pola perilaku, penyalinan data dalam jumlah
22
besar, upaya untuk mengesampingkan kontrol, transaksi yang tidak biasa, dan
dokumentasi yang tidak memadai tentang suatu transaksi. Informasi dari investigasi
dimasukkan kembali ke dalam sistem deteksi sehingga mempelajari pola anomali apa
pun. Karena orang dalam mungkin berkolusi dengan penjahat terorganisir, pembuatan
profil orang dalam penting untuk menemukan pola jaringan kriminal yang lebih luas.
3.2 Saran
Adapun saran dari makalah ini sebagai berikut:
1. Makalah selanjutnya dapat membahas tentang cara mengatasi serangan siber
2. Makalah selanjutnya dapat membahas tentang mengimplementasikan
kebijakan keamanan sistem terhadap serangan siber
3. Makalah selanjutnya dapat membahas tentang pemantauan kejadian keamanan
siber
23
DAFTAR PUSTAKA
Turban, dkk., (2015). Information Technology for Management, Cybersecurity and
Risk Management : 141 - 174. United States of Amerika: Wiley & Sons, Inc.
24