02 - Kebutuhan Akan Keamanan
02 - Kebutuhan Akan Keamanan
6 September 2023
Outline bahasan
n Misi utama keamanan informasi adalah untuk memastikan system dan isinya
tetap sama
n Jika tidak ada ancaman, sumber daya dapat difokuskan pada perbaikan system,
sehingga menghasilkan perkembangan yang besar pada kemudahan
penggunaan dan kemanfaatan system
n Tetapi faktanya, serangan terhadap system informasi terjadi setiap hari
n Organisasi, tanpa data, akan kehilangan rekaman transaksi dan atau kemampuan
untuk menghadirkan nilai pada pelanggan
n Melindungi data, baik saat bergerak maupun diam, adalah aspek yang krusial
dalam keamanan informasi
n Sebuah ancaman (threat) didefinisikan sebagai sebuah obyek, orang, atau entitas
lain yang menghadirkan suatu bahaya yang tetap terhadap suatu asset.
n Manajemen harus mengetahui ancaman-ancaman yang berbeda yang dihadapi
organisasi
n Survey CSI/FBI 2009 menemukan 64% organisasi terinfeksi malware, dan 14%
penetrasi system terindikasi dari pihak luar organisasi.
n Akses terhadap informasi yang dilindungi oleh individu yang tidak terotorisasi
n Competitive intelligence (legal) vs industrial espionage (illegal)
n Shoulder surfing dapat terjadi dimanapun seseorang mengakses informasi
yang rahasia.
n Pengawasan memungkinkan penyintas tahu bahwa mereka melanggar batas
ruang maya sebuah organisasi.
n Hacker menggunakan ketrampilan, tipu daya, atau penipuan untuk memotong
pengawasan yang melindungi informasi pihak lain.
n Expert hacker:
n Membangun script software dan eksploitasi program
n Biasanya seorang master dengan banyak ketrampilan
n Akan sering membuat software serangan dan membagikannya pada pihak
lain
n Unskilled hacker:
n Jauh lebih banyak daripada expert hacker
n Menggunakan software yang sudah ada untuk mengeksploitasi sebuah
system
n Biasanya tidak sepenuhnya memahami sstem yang mereka retas
n Kategori ini meliputi kemungkinan aksi yang dilakukan tanpa maksud atau tujuan
yang jahat oleh seseorang yang bekerja di suatu organisasi.
n Kurang berpengalaman, pelatihan yang kurang tepat, dan pembuatan anggapan
yang tidak benar dapat menyebabkan masalah.
n Banyak ancaman dapat dicegah melalui pengawasan, mulai dari prosedur yang
sederhana, seperti mensyaratkan pengguna untuk mengetikkan sebuah perintah
penting dua kali, sampai pada prosedur yang lebih komplek, seperti verifikasi
perintah oleh pihak kedua.
n Pencurian adalah pengambilan secara illegal property dari pihak lain. Dalam
sebuah organisasi, property dapat berupa fisik, elektronik, atau intelektual.
n Nilai informasi berkurang jika diduplikasi dan diambil tanpa sepengetahuan pemilik
n Pencurian secara fisik dapat dikontrol dengan mudah. Banyak hal dapat dilakukan,
seperti mengunci pintu, pelatihan personel keamanan, dan memasang system
alarm.
n Pencurian elektronik merupakan masalah yang lebih komplek. Organisasi bahkan
mungkin tidak tahu jika hal ini terjadi.
n Kekuatan alam merupakan ancaman yang paling berbahaya, sebab tidak terduga
dan dapat terjadi dengan peringatan yang sangat minim, seperti kebakaran,
kebanjiran, gempa bumi, tsunami dll.
n Merusak tidak hanya kehidupan individu, tetapi juga penyimpanan, transmisi, dan
pengunaan informasi.
n Organisasi harus mengimplementasikan control untuk meminimalkan kerusakan
dan menyiapkan rencana cadangan untuk operasi lanjutan.
n Kategori ini meliputi situasi dimana sebuah produk atau layanan tidak sampai
pada organisasi seperti yang diharapkan
n Layanan Internet, komunikasi, dan ketidakstabilan daya sangat berpengaruh pada
ketersediaan informasi dan system.
n Layanan utility lain juga dapat berpengaruh terhadap organisasi, seperti telepon,
air, air limbah, pengangkutan sampah, tv kabel, gas alam, dan layanan
administrasi nformasi.
n Malicious code: eksekusi terhadap virus, worms, Trojan horse, dan aktivasi
script web yang ditujukan untuk menghancurkan atau mencuri informasi
n Hoaxes: mentransmisikan hoax virus yang disertai dengan virus yang
sesungguhnya; sebuah serangan yang lebih licik
n Back door: mendapatkan akses kepada system atau jaringan menggunakan
mekanisme akses yang telah ditemukan sebelumnya.
n Password crack: upaya untuk membalikkan kalkulasi sebuah password
n Brute force attack: mencoba semua kemungkinan kombinasi dari sebuah
password
n Dictionary attack: memilih akun khusus untuk diserang dan menggunakan
password yang umum dipakai untuk memandu tebakan.
n Spoofing adalah sebuah teknik yang digunakan untuk mendapatkan akses tak
resmi pada computer, dimana intruder mengirimkan pesan pada sebuah computer
yang memuat sebuah IP address yang mengindikasikan bahwa pesan tersebut
berasal dari sebuah host yang terpercaya.
n Man-in-the-middle: penyerang memonitor paket-paket jaringan, memodifikasinya,
dan menyisipkan kembali ke jaringan.
n Spam: e-mail komersial yang tidak diminta; lebih merupakan sebuah gangguan
daripada sebuah serangan, walau dapat memicu terjadinya beberapa serangan
n Mail bombing: juga merupakan DoS; penyerang mengirimkan sejumlah besar e-
mail kepada target.