SISTEM INFORMASI MANAJEMEN

RINGKASAN MATERI, SHORT ARTICLE, MINDMAP MINGGU KE

7 CHAPTER 8 SECURING INFORMATION SYSTEMS

Disusun Oleh:
Kelompok 13
Kelas M

1. Adriano Vieri Halim (143221011)

2. Muhammad Ainurrofiq Almakki (143221013)
3. Nicholas Soesilo (143221039)

PROGRAM STUDI S1 AKUNTANSI

FAKULTAS EKONOMI DAN
BISNIS UNIVERSITAS
AIRLANGGA SURABAYA
 CHAPTER 8 SECURING INFORMATION SYSTEMS (PENGAMANAN SISTEM
INFORMASI)

8.1 Mengapa sistem informasi rentan terhadap kerusakan, kesalahan, dan

penyalahgunaan? (Why are information systems vulnerable to destruction, error, and
abuse?)

Jika sedang menjalankan bisnis, kita perlu menjadikan keamanan dan kontrol sebagai
prioritas utama. Keamanan mengacu pada kebijakan, prosedur, dan tindakan teknis yang
digunakan untuk mencegah akses yang tidak sah, perubahan, pencurian, atau kerusakan
fisik pada sistem informasi. Kontrol adalah metode, kebijakan, dan prosedur organisasi
yang memastikan keamanan aset organisasi, keakuratan dan keandalan catatannya, dan
kepatuhan operasional terhadap standar manajemen.

8.1.1 Mengapa Sistem Rentan (Why Systems are Vulnerable)

Ketika sejumlah besar data disimpan dalam bentuk elektronik, data tersebut
rentan terhadap berbagai jenis ancaman. Melalui jaringan komunikasi, sistem
informasi di lokasi yang berbeda saling berhubungan. Potensi akses atau kerusakan
yang tidak sah tidak terbatas pada satu lokasi saja tetapi dapat terjadi di banyak titik
akses dalam jaringan. Ancaman paling umum terhadap sistem informasi
kontemporer berasal dari faktor teknis, organisasi, dan lingkungan yang diperparah
oleh keputusan manajemen yang buruk. Dalam lingkungan komputasi klien/server
multitier, kerentanan ada di setiap lapisan dan komunikasi antar lapisan. Pengguna
di lapisan klien dapat menyebabkan kerugian dengan melakukan kesalahan atau
mengakses sistem tanpa otorisasi. Radiasi dapat mengganggu jaringan di berbagai
titik. Penyusup yang mampu menembus sistem perusahaan dapat mencuri,
menghancurkan, atau mengubah data perusahaan yang disimpan dalam database
atau file.

1) Kerentanan Internet (Internet Vulnerabilities)

Jaringan publik yang besar, seperti Internet, lebih rentan daripada jaringan
internal karena terbuka untuk siapa saja. Internet begitu besar dan memiliki
dampak yang sangat luas. Ketika Internet terhubung ke jaringan perusahaan,
sistem informasi organisasi bahkan lebih rentan terhadap tindakan dari pihak
luar. Kerentanan juga meningkat dari meluasnya penggunaan email, pesan
instan (instant messaging), dan program berbagi file peer-to-peer (P2P).
 2) Tantangan Keamanan Nirkabel (Wireless Security Challenges)
Jaringan Bluetooth dan Wi-Fi rentan terhadap peretasan oleh penyadap.
Jaringan area lokal (Local area networks—LAN) yang menggunakan standar
802.11 dapat dengan mudah ditembus oleh pihak luar melalui laptop, kartu
nirkabel, antena eksternal, dan hacking software. Peretas menggunakan alat ini
untuk mendeteksi jaringan yang tidak terlindungi, memantau lalu lintas jaringan,
dan mendapatkan akses ke Internet atau ke jaringan perusahaan.

8.1.2 Perangkat Lunak Berbahaya: Virus, Worms, Trojan Horses, dan Spyware
(Malicious Software: Viruses, Worms, Trojan Horses, and Spyware)
Program perangkat lunak berbahaya disebut malware dan mencakup ancaman
seperti virus komputer, worm, dan trojan horse. Virus komputer (computer virus)
adalah program perangkat lunak jahat yang menempel pada program perangkat
lunak lain atau file data untuk dieksekusi, biasanya tanpa sepengetahuan atau izin
pengguna. Virus biasanya menyebar dari komputer ke komputer ketika manusia
melakukan suatu tindakan, seperti mengirim lampiran email atau menyalin file yang
terinfeksi.
Worms adalah program komputer independen yang menyalin diri mereka
sendiri dari satu komputer ke komputer lain melalui jaringan. Worm dapat
beroperasi sendiri tanpa melampirkan file program komputer lain dan kurang
bergantung pada perilaku manusia untuk menyebar dengan cepat. Worm merusak
data dan program serta mengganggu atau bahkan menghentikan pengoperasian
jaringan komputer.
Worm dan virus sering tersebar di Internet dari file perangkat lunak yang
diunduh; dari file yang dilampirkan ke transmisi email; atau dari pesan email yang
disusupi, iklan online, atau pesan instan. Yang paling umum saat ini adalah drive-by
downloads, yang terdiri dari malware yang datang dengan file unduhan yang
diminta oleh pengguna secara sengaja atau tidak sengaja.
Banyak infeksi malware adalah Trojan horse. Trojan horse adalah program
perangkat lunak yang tampaknya tidak berbahaya, tetapi kemudian melakukan
sesuatu yang lain dari yang diharapkan. Trojan horse bukanlah virus karena tidak
mereplikasi, tetapi sering kali merupakan cara virus atau kode berbahaya lainnya
untuk dimasukkan ke dalam sistem komputer. Istilah Trojan horse didasarkan pada
kuda kayu besar yang digunakan orang Yunani untuk mengelabui Trojan agar
membuka gerbang ke kota berbenteng mereka selama Perang Trojan.
 Serangan injeksi SQL (SQL injection attacks) mengeksploitasi kerentanan
dalam perangkat lunak aplikasi web berkode buruk untuk memasukkan kode
program berbahaya ke dalam sistem dan jaringan perusahaan. Kerentanan ini terjadi
ketika aplikasi web gagal memvalidasi dengan benar atau memfilter data yang
dimasukkan pengguna di halaman web, yang mungkin terjadi saat memesan sesuatu
secara online. Penyerang menggunakan kesalahan validasi input ini untuk mengirim
kueri SQL jahat ke database yang mendasarinya untuk mengakses database,
menanam kode berbahaya, atau mengakses sistem lain di jaringan. Malware yang
dikenal sebagai ransomware berkembang biak di desktop dan perangkat seluler.
Ransomware mencoba memeras uang dari pengguna dengan mengambil kendali
komputer, memblokir akses ke file, atau menampilkan pesan pop-up yang
mengganggu.
Beberapa jenis spyware juga bertindak sebagai perangkat lunak berbahaya.
Program-program kecil ini menginstal sendiri secara diam-diam di komputer untuk
memantau aktivitas penjelajahan web pengguna dan menayangkan iklan.
Keyloggers merekam setiap penekanan tombol yang dilakukan pada komputer untuk
mencuri nomor seri perangkat lunak, untuk meluncurkan serangan Internet, untuk
mendapatkan akses ke akun email, untuk mendapatkan kata sandi ke sistem
komputer yang dilindungi, atau untuk mengambil informasi pribadi seperti kartu
kredit atau nomor rekening bank. Trojan Zeus yang dijelaskan sebelumnya
menggunakan keylogging.

8.1.3 Hacker dan Kejahatan Komputer (Hackers and Computer Crime)

Peretas (hacker) adalah individu yang berniat untuk mendapatkan akses tidak
sah ke sistem komputer. Dalam komunitas peretasan, istilah cracker biasanya
digunakan untuk menunjukkan seorang peretas dengan niat kriminal. Hacker
mendapatkan akses tidak sah dengan menemukan kelemahan dalam perlindungan
keamanan situs web dan sistem komputer yang digunakan. Aktivitas hacker telah
meluas lebih dari sekadar penyusupan sistem hingga mencakup pencurian barang
dan informasi serta perusakan sistem dan cybervandalism, gangguan yang
disengaja, perusakan, atau bahkan perusakan situs web atau sistem informasi
perusahaan.

1) Spoofing dan Sniffing

Spoofing melibatkan pengalihan tautan web ke alamat yang berbeda dari
yang dimaksudkan, dengan situs yang menyamar sebagai tujuan yang dimaksud.
Misalnya, jika peretas mengarahkan pelanggan ke situs web palsu yang terlihat
 hampir persis seperti situs sebenarnya, mereka kemudian dapat mengumpulkan
dan memproses pesanan, mencuri informasi bisnis serta sensitif pelanggan
secara efektif dari situs sebenarnya. Sniffer adalah jenis program penyadapan
yang memantau informasi yang berjalan melalui jaringan. Sniffer
memungkinkan peretas untuk mencuri informasi kepemilikan dari mana saja di
jaringan, termasuk pesan email, file perusahaan, dan laporan rahasia.

2) Denial-of-Service Attacks
Dalam serangan denial-of-service (DoS), peretas membanjiri server
jaringan atau server web dengan ribuan komunikasi palsu atau permintaan
layanan untuk merusak jaringan. Jaringan menerima begitu banyak permintaan
sehingga tidak dapat melayani permintaan yang sah. Serangan distributed
denial-of-service (DDoS) menggunakan banyak komputer untuk membanjiri
jaringan dari berbagai titik peluncuran. Pelaku serangan DDoS sering
menggunakan ribuan PC zombie yang terinfeksi perangkat lunak berbahaya
tanpa sepengetahuan pemiliknya dan diorganisir menjadi botnet. Peretas
membuat botnet ini dengan menginfeksi komputer orang lain dengan malware
bot dan memberikan instruksi.

3) Kejahatan Komputer (Computer Crime)

Sebagian besar aktivitas peretas adalah pelanggaran kriminal, dan
kerentanan sistem menjadikannya target untuk jenis kejahatan komputer
(computer crime) lainnya. Banyak perusahaan enggan melaporkan kejahatan
komputer karena kejahatan tersebut mungkin melibatkan karyawan atau
kerentanan mempublikasikan akan merusak reputasi mereka. Jenis kejahatan
komputer yang paling merusak secara ekonomi adalah serangan DoS, aktivitas
orang dalam yang jahat, dan serangan berbasis web.

4) Pencurian Identitas (Identity Theft)

Pencurian identitas (identity theft) adalah kejahatan di mana penipu
memperoleh potongan utama informasi pribadi untuk menyamar sebagai orang
lain. Informasi tersebut dapat digunakan untuk mendapatkan kredit, barang
dagangan, atau layanan atas nama korban atau untuk memberikan identitas palsu
kepada pencuri.
Salah satu taktik yang semakin populer adalah bentuk spoofing yang disebut
phishing. Phishing melibatkan pengaturan situs web palsu atau mengirim pesan
 email yang terlihat seperti bisnis yang sah untuk meminta data pribadi rahasia
kepada pengguna. Pesan email menginstruksikan penerima untuk memperbarui
atau mengkonfirmasi catatan dengan memberikan data rahasia, menanggapi pesan
email, memasukkan informasi di situs web palsu, atau menelepon nomor telepon.
Teknik phishing yang disebut evil twins dan pharming lebih sulit dideteksi.
Evil twins adalah jaringan nirkabel yang berpura-pura menawarkan koneksi Wi-
Fi tepercaya ke Internet, seperti yang ada di lounge bandara, hotel, atau kedai
kopi. Penipu mencoba menangkap kata sandi atau nomor kartu kredit dari
pengguna tanpa disadari yang masuk ke jaringan. Pharming mengarahkan
pengguna ke halaman web palsu, bahkan ketika individu mengetikkan alamat
halaman web yang benar ke browsernya. Ini dimungkinkan jika pelaku
pharming mendapatkan akses ke informasi alamat Internet yang disimpan oleh
Internet service providers (ISP) untuk mempercepat penjelajahan web dan
perangkat lunak yang cacat pada server ISP memungkinkan penipu untuk
meretas dan mengubah alamat tersebut.

5) Penipuan Klik (Click Fraud)

Saat mengklik iklan yang ditampilkan oleh mesin pencari, pengiklan
biasanya membayar biaya untuk setiap klik, yang seharusnya mengarahkan
calon pembeli ke produknya. Penipuan klik (click fraud) terjadi ketika individu
atau program komputer dengan curang mengklik iklan online tanpa niat untuk
mempelajari lebih lanjut tentang pengiklan atau melakukan pembelian.
Beberapa perusahaan mempekerjakan pihak ketiga (biasanya dari negara dengan
upah rendah) untuk mengeklik iklan pesaing secara curang untuk melemahkan
pesaing dengan menaikkan biaya pemasarannya.

6) Ancaman Global: Terorisme Cyber dan Perang Cyber (Global Threats:

Cyberterrorism and Cyberwarfare)
Cyberwarfare adalah aktivitas yang disponsori negara yang dirancang untuk
melumpuhkan dan mengalahkan negara atau bangsa lain dengan menembus
komputer atau jaringannya untuk menyebabkan kerusakan dan gangguan.
Cyberwarfare lebih kompleks daripada perang konvensional. Aktor non-negara
seperti teroris atau kelompok kriminal dapat melancarkan serangan, dan
seringkali sulit untuk menentukan siapa yang bertanggung jawab. Bangsa-
bangsa harus terus-menerus waspada terhadap malware baru dan teknologi
lain yang
 dapat digunakan untuk melawan mereka, dan beberapa teknologi yang
dikembangkan oleh kelompok peretas yang terampil ini secara terbuka dijual
kepada pemerintah yang berminat.

8.1.4 Ancaman Internal: Karyawan (Internal Threats: Employees)

Banyak karyawan lupa kata sandi mereka untuk mengakses sistem komputer
atau mengizinkan rekan kerja menggunakannya, yang membahayakan sistem.
Penyusup jahat yang mencari akses sistem terkadang menipu karyawan untuk
mengungkapkan kata sandi mereka dengan berpura-pura menjadi anggota sah
perusahaan yang membutuhkan informasi. Praktik ini disebut rekayasa sosial
(social engineering). Orang dalam yang cenderung membahayakan juga telah
mengeksploitasi pengetahuan mereka tentang perusahaan untuk membobol sistem
perusahaan, termasuk yang berjalan di cloud.

8.1.5 Kerentanan Perangkat Lunak (Software Vulnerability)

Kesalahan perangkat lunak menimbulkan ancaman konstan terhadap sistem
informasi, menyebabkan kerugian yang tak terhitung dalam produktivitas dan
terkadang membahayakan orang yang menggunakan atau bergantung pada sistem.
Meningkatnya kompleksitas dan ukuran program perangkat lunak, ditambah dengan
tuntutan untuk pengiriman cepat ke pasar, telah berkontribusi pada peningkatan
kelemahan atau kerentanan perangkat lunak.
Masalah utama dengan perangkat lunak adalah adanya bug tersembunyi atau
cacat kode program. Sumber utama bug adalah kompleksitas kode pengambilan
keputusan. Cacat dalam perangkat lunak komersial tidak hanya menghambat kinerja
tetapi juga menciptakan kerentanan keamanan yang membuka jaringan bagi
penyusup. Yang paling merepotkan adalah zero-day vulnerabilities, yang
merupakan lubang di perangkat lunak yang tidak diketahui penciptanya. Hacker
kemudian mengeksploitasi lubang keamanan ini sebelum vendor menyadari
masalah dan bergegas memperbaikinya.
Untuk memperbaiki kelemahan perangkat lunak setelah diidentifikasi, vendor
perangkat lunak membuat bagian-bagian kecil dari perangkat lunak yang disebut
patches untuk memperbaiki kekurangan tersebut tanpa mengganggu pengoperasian
perangkat lunak yang benar. Pengguna perangkat lunak melacak kerentanan ini,
menguji, dan menerapkan semua tambalan yang disebut patch management.
 1) Kerentanan yang Baru Ditemukan dalam Desain Mikroprosesor (Newly
Discovered Vulnerabilities in Microprocessor Design)
Kerentanan seperti Spectre dan Meltdown berasal dari kekurangan dalam
desain chip mikroprosesor komputer yang memungkinkan peretas menggunakan
program perangkat lunak berbahaya untuk mendapatkan akses ke data yang
dianggap sepenuhnya dilindungi. Kerentanan ini mempengaruhi hampir setiap
chip komputer yang diproduksi dalam 20 tahun terakhir.

8.2 Apa nilai bisnis dari keamanan dan kontrol? (What is the business value of security
and control?)

Perusahaan memiliki aset informasi yang sangat berharga untuk dilindungi. Sistem
seringkali menyimpan informasi rahasia tentang pajak individu, aset keuangan, catatan
medis, dan tinjauan kinerja pekerjaan. Sistem juga dapat berisi informasi tentang operasi
perusahaan, termasuk rahasia dagang, rencana pengembangan produk baru, dan strategi
pemasaran. Aset informasi ini memiliki nilai yang luar biasa, dan akibatnya dapat
merusak jika hilang, dihancurkan, atau ditempatkan di tangan yang salah. Sistem yang
tidak dapat berfungsi karena pelanggaran keamanan, bencana, atau teknologi yang tidak
berfungsi dapat memiliki dampak permanen pada kesehatan keuangan perusahaan.
Keamanan dan kontrol yang tidak memadai dapat mengakibatkan tanggung jawab
hukum yang serius. Bisnis harus melindungi tidak hanya aset informasinya saja tetapi
juga aset pelanggan, karyawan, dan mitra bisnis. Kegagalan untuk melakukannya dapat
membuka perusahaan untuk litigasi mahal untuk eksposur data atau pencurian. Organisasi
dapat dimintai pertanggungjawaban atas risiko dan kerugian yang tidak perlu yang
ditimbulkan jika organisasi gagal mengambil tindakan perlindungan yang tepat untuk
mencegah hilangnya informasi rahasia, korupsi data, atau pelanggaran privasi.

8.2.1 Persyaratan Hukum dan Peraturan untuk Manajemen Arsip Elektronik (Legal
and Regulatory Requirements for Electronic Records Management)
Peraturan pemerintah di seluruh dunia memaksa perusahaan untuk mengambil
keamanan dan kontrol lebih serius dengan mengamanatkan perlindungan data dari
penyalahgunaan, paparan, dan akses tidak sah. Perusahaan menghadapi kewajiban
hukum baru, seperti General Data Protection Regulation (GDPR) di Uni Eropa,
untuk penyimpanan arsip elektronik serta untuk perlindungan privasi.
 Di AS, peraturan jenis ini cenderung spesifik industri. Misalnya, Health
Insurance Portability and Accountability Act (HIPAA) tahun 1996 menguraikan
aturan dan prosedur keamanan dan privasi untuk menyederhanakan administrasi
penagihan perawatan kesehatan dan mengotomatiskan transfer data perawatan
kesehatan antara penyedia layanan kesehatan, pembayar, dan rencana.

8.2.2 Bukti Elektronik dan Forensik Komputer (Electronic Evidence and Computer
Forensics)
Keamanan, kontrol, dan manajemen arsip elektronik menjadi penting untuk
menanggapi tindakan hukum. Banyak bukti untuk penipuan saham, penggelapan,
pencurian rahasia dagang perusahaan, kejahatan komputer, dan banyak kasus
perdata dalam bentuk digital. Selain informasi dari halaman yang dicetak atau
diketik, kasus hukum saat ini semakin bergantung pada bukti yang
direpresentasikan sebagai data digital yang disimpan pada perangkat penyimpanan
portabel, CD, dan hard disk drive komputer serta dalam email, pesan instan, dan
transaksi e-commerce melalui Internet. Kebijakan penyimpanan dokumen elektronik
yang efektif memastikan bahwa dokumen elektronik, email, dan catatan lainnya
diatur dengan baik, dapat diakses, dan tidak disimpan terlalu lama atau dibuang
terlalu cepat. Ini juga mencerminkan kesadaran tentang bagaimana melestarikan
bukti potensial untuk forensik komputer. Forensik komputer (computer forensics)
adalah pengumpulan ilmiah, pemeriksaan, otentikasi, pelestarian, dan analisis data
yang disimpan atau diambil dari media penyimpanan komputer sedemikian rupa
sehingga informasi tersebut dapat
digunakan sebagai bukti di pengadilan. Ini menangani masalah berikut:
• Memulihkan data dari komputer sambil menjaga integritas bukti
• Menyimpan dan menangani data elektronik yang dipulihkan dengan aman
• Menemukan informasi penting dalam volume besar data elektronik
• Menyajikan informasi ke pengadilan.

8.3 Apa saja komponen kerangka kerja organisasi untuk keamanan dan kontrol? (What
are the components of an organizational framework for security and control?)

8.3.1 Pengendalian Sistem Informasi (Information Systems Controls)

Pengendalian sistem informasi bersifat manual dan otomatis serta terdiri dari
pengendalian umum dan aplikasi. Pengendalian umum (general controls) mengatur
 desain, keamanan, dan penggunaan program komputer dan keamanan file data
secara umum di seluruh infrastruktur teknologi informasi organisasi. Secara
keseluruhan, pengendalian umum berlaku untuk semua aplikasi yang
terkomputerisasi dan terdiri dari kombinasi perangkat keras, perangkat lunak, dan
prosedur manual yang menciptakan lingkungan pengendalian secara keseluruhan.
Pengendalian umum termasuk pengendalian perangkat lunak, pengendalian
perangkat keras fisik, pengendalian operasi komputer, pengendalian keamanan data,
pengendalian atas proses pengembangan sistem, dan pengendalian administratif.
Pengendalian aplikasi (application controls) adalah pengendalian khusus yang
unik untuk setiap aplikasi terkomputerisasi, seperti penggajian atau pemrosesan
pesanan. Pengendalian aplikasi mencakup prosedur otomatis dan manual yang
memastikan bahwa hanya data resmi yang diproses secara lengkap dan akurat oleh
aplikasi tersebut. Pengendalian aplikasi dapat diklasifikasikan sebagai (1)
pengendalian input, (2) pengendalian pemrosesan, dan (3) pengendalian output.

8.3.2 Penilaian Risiko (Risk Assessment)

Penilaian risiko (risk assessment) menentukan tingkat risiko bagi perusahaan
jika aktivitas atau proses tertentu tidak dikendalikan dengan benar. Tidak semua
risiko dapat diantisipasi dan diukur, tetapi sebagian besar bisnis akan dapat
memperoleh pemahaman tentang risiko yang mereka hadapi. Manajer bisnis yang
bekerja dengan spesialis sistem informasi harus mencoba menentukan nilai aset
informasi, titik kerentanan, kemungkinan frekuensi masalah, dan potensi kerusakan.
Setelah risiko dinilai, pembangun sistem akan berkonsentrasi pada titik
pengendalian dengan kerentanan dan potensi kerugian terbesar. Pengendalian harus
fokus pada cara untuk meminimalkan risiko kegagalan daya dan kesalahan
pengguna
karena kerugian tahunan yang diantisipasi paling tinggi untuk area ini.

8.3.3 Kebijakan Keamanan (Security Policy)

Kebijakan keamanan (security policy) terdiri dari pernyataan peringkat risiko
informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan
mengidentifikasi mekanisme untuk mencapai tujuan ini. Kebijakan keamanan
mendorong kebijakan lain yang menentukan penggunaan sumber daya informasi
perusahaan yang dapat diterima dan anggota perusahaan mana yang memiliki akses
ke aset informasinya. Kebijakan penggunaan yang dapat diterima (acceptable
use
 policy—AUP) mendefinisikan penggunaan yang dapat diterima dari sumber daya
informasi dan peralatan komputasi perusahaan, termasuk komputer desktop dan
laptop, perangkat seluler, telepon, dan Internet. AUP yang baik mendefinisikan
tindakan yang tidak dapat diterima dan dapat diterima untuk setiap pengguna dan
menentukan konsekuensi untuk ketidakpatuhan.

8.3.4 Perencanaan Pemulihan Bencana dan Perencanaan Kelangsungan Bisnis

(Disaster Recovery Planning and Business Continuity Planning)
Perencanaan pemulihan bencana (disaster recovery planning) menyusun
rencana untuk pemulihan layanan komputasi dan komunikasi yang terganggu.
Rencana pemulihan bencana berfokus terutama pada masalah teknis yang terlibat
dalam menjaga dan menjalankan sistem, seperti file mana yang akan dicadangkan
dan pemeliharaan sistem komputer cadangan atau layanan pemulihan bencana.
Perencanaan kelangsungan bisnis (business continuity planning) berfokus
pada bagaimana perusahaan dapat memulihkan operasi bisnis setelah terjadi
bencana. Rencana kesinambungan bisnis mengidentifikasi proses bisnis penting
dan menentukan rencana tindakan untuk menangani fungsi penting misi jika sistem
turun. Manajer bisnis dan spesialis teknologi informasi perlu bekerja sama pada
kedua jenis rencana untuk menentukan sistem dan proses bisnis mana yang paling
penting bagi perusahaan. Mereka harus melakukan
analisis dampak bisnis untuk mengidentifikasi sistem perusahaan
yang paling kritis dan dampak pemadaman
sistem terhadap bisnis.

8.3.5 Peran Audit (The Role of Auditing)

Audit sistem informasi (information systems audit) memeriksa lingkungan
keamanan perusahaan secara keseluruhan serta pengendalian yang mengatur sistem
informasi individu. Auditor harus menelusuri aliran sampel transaksi melalui sistem
dan melakukan pengujian menggunakan perangkat lunak audit otomatis. Audit
sistem informasi juga dapat memeriksa kualitas data.
Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan
personel. Audit menyeluruh bahkan akan mensimulasikan serangan atau bencana
untuk menguji respons teknologi, staf sistem informasi, dan karyawan bisnis.
8.4 Apa alat dan teknologi paling penting untuk menjaga sumber daya informasi? (What
are the most important tools and technologies for safeguarding information resources?)

Bisnis memiliki serangkaian teknologi untuk melindungi sumber daya informasinya.

Hal ini termasuk alat untuk mengelola identitas pengguna, mencegah akses tidak sah ke
sistem dan data, memastikan ketersediaan sistem, dan memastikan kualitas perangkat
lunak.

8.4.1 Manajemen Identitas dan Otentikasi (Identity Management and Authentication)

Perusahaan menengah dan besar memiliki infrastruktur TI yang kompleks dan
banyak sistem, masing-masing dengan kumpulan penggunanya sendiri. Perangkat
lunak manajemen identitas (identity management) mengotomatiskan proses
melacak semua pengguna ini dan hak istimewa sistem mereka dengan menetapkan
setiap pengguna identitas digital unik untuk mengakses setiap sistem. Ini juga
mencakup alat untuk mengautentikasi pengguna, melindungi identitas pengguna,
dan mengontrol akses ke sumber daya sistem.
Untuk mendapatkan akses ke sistem, pengguna harus diotorisasi dan
diautentikasi. Otentikasi (authentication) mengacu pada kemampuan untuk
mengetahui bahwa seseorang adalah siapa yang dia klaim. Otentikasi sering dibuat
dengan menggunakan kata sandi (password) yang hanya diketahui oleh pengguna
yang berwenang. Pengguna akhir menggunakan kata sandi untuk masuk ke sistem
komputer dan juga dapat menggunakan kata sandi untuk mengakses sistem dan file
tertentu.
Teknologi otentikasi baru, seperti token, smart card, dan otentikasi biometrik,
mengatasi beberapa masalah ini. Token adalah perangkat fisik, mirip dengan kartu
identitas, yang dirancang untuk membuktikan identitas satu pengguna. Smart card
adalah perangkat seukuran kartu kredit yang berisi chip yang diformat dengan izin
akses dan data lainnya. Otentikasi biometrik (biometric authentication)
membandingkan karakteristik unik seseorang, seperti sidik jari, wajah, suara, atau
gambar retina, dengan profil yang disimpan dari karakteristik ini untuk menentukan
perbedaan antara karakteristik ini dan profil yang disimpan.
Aliran insiden yang terus-menerus di mana peretas dapat mengakses kata sandi
tradisional menyoroti perlunya sarana otentikasi yang lebih aman. Otentikasi dua
faktor (two-factor authentication) meningkatkan keamanan dengan memvalidasi
pengguna melalui proses multi-langkah. Contoh umum otentikasi dua faktor adalah
 kartu bank; kartu itu sendiri adalah item fisik, dan PIN adalah bagian lain dari data
yang menyertainya.

8.4.2 Firewall, Sistem Deteksi Intrusi, dan Perangkat Lunak Anti-malware

(Firewalls, Intrusion Detection Systems, and Anti-malware Software)
Tanpa perlindungan terhadap malware dan penyusup, menghubungkan ke
Internet akan sangat berbahaya. Firewall, sistem deteksi intrusi, dan perangkat lunak
antimalware telah menjadi alat bisnis yang penting.

1) Firewalls
Firewalls mencegah pengguna yang tidak sah mengakses jaringan pribadi.
Firewall adalah kombinasi perangkat keras dan perangkat lunak yang
mengontrol aliran lalu lintas jaringan yang masuk dan keluar. Biasanya
ditempatkan di antara jaringan internal pribadi organisasi dan jaringan eksternal
yang tidak dipercaya, seperti Internet, meskipun firewall juga dapat digunakan
untuk melindungi satu bagian jaringan perusahaan dari jaringan lainnya.
Dalam organisasi besar, firewall sering berada di komputer khusus yang
terpisah dari jaringan lainnya, sehingga tidak ada permintaan masuk yang
langsung mengakses sumber daya jaringan pribadi. Ada sejumlah teknologi
penyaringan firewall yang digunakan dalam kombinasi untuk memberikan
perlindungan firewall.
• Pemfilteran paket (packet filtering) memeriksa bidang yang dipilih di
header paket data yang mengalir bolak-balik antara jaringan tepercaya dan
Internet, memeriksa paket individual secara terpisah.
• Stateful inspection memberikan keamanan tambahan dengan menentukan
apakah paket merupakan bagian dari dialog yang sedang berlangsung
antara pengirim dan penerima.
• Network Address Translation (NAT) menyembunyikan alamat IP dari
komputer host internal organisasi untuk mencegah program sniffer di luar
firewall memastikannya dan menggunakan informasi itu untuk menembus
sistem internal.
• Pemfilteran proxy aplikasi (application proxy filtering) memeriksa
konten aplikasi dari paket. Server proxy menghentikan paket data yang
berasal dari luar organisasi, memeriksanya, dan meneruskan proxy ke sisi
lain firewall.
 2) Sistem Deteksi Gangguan (Intrusion Detection Systems)
Sistem deteksi gangguan (intrusion detection systems) memiliki fitur alat
pemantauan penuh waktu yang ditempatkan di titik paling rentan atau titik
rawan jaringan perusahaan untuk mendeteksi dan mencegah penyusup secara
terus- menerus. Sistem menghasilkan alarm jika menemukan kejadian yang
mencurigakan atau anomali. Perangkat lunak pemindaian mencari pola yang
menunjukkan metode serangan komputer yang diketahui seperti kata sandi yang
buruk, memeriksa untuk melihat apakah file penting telah dihapus atau diubah,
dan mengirimkan peringatan vandalisme atau kesalahan administrasi sistem.

3) Perangkat Lunak Anti-malware (Anti-malware Software)

Rencana teknologi defensif untuk individu dan bisnis harus menyertakan
perlindungan anti-malware untuk setiap komputer. Perangkat lunak anti-
malware (anti-malware software) mencegah, mendeteksi, dan menghapus
malware, termasuk virus komputer, worm komputer, Trojan horse, spyware, dan
adware. Agar tetap efektif, perangkat lunak harus terus diperbarui. Organisasi
perlu menggunakan alat pendeteksi malware tambahan untuk perlindungan yang
lebih baik.

4) Sistem Manajemen Ancaman Terpadu (Unified Threat Management Systems)

Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan,
vendor keamanan telah menggabungkan ke dalam satu alat berbagai alat
keamanan, termasuk firewall, jaringan pribadi virtual, sistem deteksi gangguan,
penyaringan konten web dan perangkat lunak anti-spam. Produk manajemen
keamanan komprehensif ini disebut sistem manajemen ancaman terpadu
(Unified Threat Management Systems—UTM).

8.4.3 Mengamankan Jaringan Nirkabel (Securing Wireless Networks)

Standar keamanan awal yang dikembangkan untuk Wi-Fi, yang disebut Wired
Equivalent Privacy (WEP), tidak terlalu efektif karena kunci enkripsinya relatif
mudah diretas. WEP memberikan beberapa margin keamanan, jika pengguna ingat
untuk mengaktifkannya. Perusahaan dapat lebih meningkatkan keamanan Wi-Fi
dengan menggunakannya bersama dengan teknologi jaringan pribadi virtual (virtual
private network—VPN) saat mengakses data internal perusahaan.
8.4.4 Enkripsi dan Infrastruktur Kunci Publik (Encryption and Public Key
Infrastructure)
Banyak bisnis menggunakan enkripsi untuk melindungi informasi digital yang
disimpan, transfer secara fisik, atau mengirim melalui Internet. Enkripsi
(encryption) adalah proses mengubah teks biasa atau data menjadi teks sandi yang
tidak dapat dibaca oleh siapa pun selain pengirim dan penerima yang dituju. Data
dienkripsi dengan menggunakan kode numerik rahasia, yang disebut kunci enkripsi,
yang mengubah data biasa menjadi teks sandi. Pesan harus didekripsi oleh
penerima.
Dua metode untuk mengenkripsi lalu lintas jaringan di web adalah SSL dan S-
HTTP. Secure Sockets Layer (SSL) dan Transport Layer Security (TLS),
memungkinkan komputer klien dan server untuk mengelola aktivitas enkripsi dan
dekripsi saat berkomunikasi satu sama lain selama sesi web yang aman. Secure
Hypertext Transfer Protocol (S-HTTP) adalah protokol lain yang digunakan untuk
mengenkripsi data melalui Internet, tetapi terbatas pada pesan individual, sedangkan
SSL dan TLS dirancang untuk membuat koneksi aman antara dua komputer.
Dua metode enkripsi adalah enkripsi kunci simetris dan enkripsi kunci publik.
Dalam enkripsi kunci simetris (symmetric key encryption), pengirim dan penerima
membuat sesi Internet yang aman dengan membuat kunci enkripsi tunggal dan
mengirimkannya ke penerima sehingga pengirim dan penerima berbagi kunci yang
sama. Enkripsi kunci publik (public key encryption) lebih aman karena
menggunakan dua kunci: satu bersama (atau publik) dan satu benar-benar pribadi.
Sertifikat digital (digital certificates) adalah file data yang digunakan untuk
menetapkan identitas pengguna dan aset elektronik untuk perlindungan transaksi
online. Sistem sertifikat digital menggunakan pihak ketiga tepercaya, yang dikenal
sebagai certificate authority—CA, untuk memvalidasi identitas pengguna. CA
memverifikasi identitas pengguna sertifikat digital secara offline. Informasi ini
dimasukkan ke dalam server CA, yang menghasilkan sertifikat digital terenkripsi
yang berisi informasi identifikasi pemilik dan salinan kunci publik pemilik.

8.4.5 Mengamankan Transaksi dengan Blockchain (Securing Transactions with

Blockchain)
Blockchain adalah rantai blocks digital yang berisi catatan transaksi. Setiap
block terhubung ke semua block sebelum dan sesudahnya, dan blockchain terus
diperbarui dan tetap sinkron. Hal ini membuat sulit untuk mengutak-atik satu
catatan karena
 seseorang harus mengubah block yang berisi catatan itu serta yang ditautkan ke itu
untuk menghindari deteksi. Setelah dicatat, transaksi blockchain tidak dapat diubah.
Catatan dalam blockchain diamankan melalui kriptografi, dan semua transaksi
dienkripsi. Peserta jaringan blockchain memiliki kunci pribadinya sendiri yang
ditugaskan untuk transaksi yang dibuat dan bertindak sebagai tanda tangan digital
pribadi. Jika catatan diubah, tanda tangan akan menjadi tidak valid, dan jaringan
blockchain akan segera mengetahui bahwa ada sesuatu yang salah.

8.4.6 Memastikan Ketersediaan Sistem (Ensuring System Availability)

Karena perusahaan semakin bergantung pada jaringan digital untuk pendapatan
dan operasi, perusahaan perlu mengambil langkah tambahan untuk memastikan
bahwa sistem dan aplikasi selalu tersedia. Dalam pemrosesan transaksi online
(online transaction processing), transaksi yang dimasukkan secara online langsung
diproses oleh komputer.
Sistem komputer yang toleran terhadap kesalahan (fault-tolerant computer
systems) berisi perangkat keras, perangkat lunak, dan komponen power supply yang
menyediakan layanan berkelanjutan tanpa gangguan. Komputer yang toleran
terhadap kesalahan menggunakan rutinitas perangkat lunak khusus atau logika
pemeriksaan mandiri yang dibangun ke dalam sirkuitnya untuk mendeteksi
kegagalan perangkat keras dan secara otomatis beralih ke perangkat cadangan.
Bagian dari komputer ini dapat dilepas dan diperbaiki tanpa mengganggu komputer
atau downtime. Downtime mengacu pada periode waktu di mana sistem tidak
beroperasi.

1) Mengontrol Lalu Lintas Jaringan: Inspeksi Paket Dalam (Controlling

Network Traffic: Deep Packet Inspection)
Aplikasi yang memakan bandwidth seperti program berbagi file, layanan
telepon Internet, dan video online dapat menyumbat dan memperlambat jaringan
perusahaan, sehingga menurunkan kinerja. Sebuah teknologi yang disebut
inspeksi paket mendalam (deep packet inspection—DPI) membantu
memecahkan masalah ini. DPI memeriksa file data dan memilah materi online
berprioritas rendah sambil menetapkan prioritas lebih tinggi ke file penting
bisnis. Berdasarkan prioritas yang ditetapkan oleh operator jaringan, DPI
memutuskan apakah paket data tertentu dapat melanjutkan ke tujuannya atau
harus diblokir atau ditunda, sementara lalu lintas yang lebih penting berjalan.
 2) Outsourcing Keamanan (Security Outsourcing)
Perusahaan kecil kekurangan sumber daya atau keahlian untuk menyediakan
lingkungan komputasi ketersediaan tinggi yang aman sendiri. Perusahaan
tersebut dapat mengalihdayakan banyak fungsi keamanan ke penyedia layanan
keamanan terkelola (managed security service providers—MSSP) yang
memantau aktivitas jaringan dan melakukan pengujian kerentanan dan deteksi
intrusi.

8.4.7 Mencapai Ketahanan Digital (Achieving Digital Resiliency)

Perusahaan menggunakan konsep ketahanan digital (digital resiliency) untuk
menghadapi realitas lingkungan digital baru ini. Ketahanan digital berkaitan dengan
bagaimana mempertahankan dan meningkatkan ketahanan organisasi dan proses
bisnisnya dalam lingkungan digital yang serba bisa, bukan hanya ketahanan fungsi
TI. Selain komputasi, penyimpanan, dan teknologi jaringan, ketahanan digital
meminta perhatian pada masalah manajerial dan organisasi seperti kebijakan dan
tujuan perusahaan, proses bisnis, budaya organisasi, persyaratan bisnis,
akuntabilitas, dan manajemen risiko bisnis. Faktor-faktor ini dapat mempengaruhi
seberapa baik suatu organisasi dapat benar-benar memanfaatkan dan mengelola
konektivitas jaringan, aplikasi, database, dan pusat data, kemampuannya untuk
menyediakan ketersediaan 24/7 untuk bisnis, dan kemampuannya untuk merespons
perubahan kondisi bisnis.

8.4.8 Masalah Keamanan untuk Komputasi Awan dan Platform Digital Seluler
(Security Issues for Cloud Computing and the Mobile Digital Platform)
Meskipun komputasi awan dan platform digital seluler yang muncul memiliki
potensi untuk memberikan manfaat yang kuat, hal tersebut menimbulkan tantangan
baru bagi keamanan dan keandalan sistem.

1) Keamanan di Cloud (Security in the Cloud)

Saat pemrosesan berlangsung di cloud, akuntabilitas dan tanggung jawab
untuk perlindungan data sensitif tetap berada di tangan perusahaan yang
memiliki data tersebut. Menggunakan cloud publik mengganggu model
keamanan cyber tradisional yang telah dibangun banyak perusahaan selama
bertahun-tahun. Saat perusahaan menggunakan cloud publik, perusahaan perlu
merevisi praktik keamanan cyber untuk menggunakan layanan cloud publik
dengan cara yang
 memungkinkan perusahaan melindungi data penting dan memanfaatkan
sepenuhnya kecepatan dan kelincahan yang disediakan layanan ini.
Mengelola keamanan dan privasi untuk layanan cloud mirip dengan
mengelola infrastruktur TI tradisional. Namun, risikonya mungkin berbeda
karena sebagian tanggung jawab beralih ke penyedia layanan cloud. Kategori
layanan cloud (IaaS, PaaS, atau SaaS) memengaruhi cara pembagian tanggung
jawab ini. Untuk IaaS, penyedia biasanya memasok dan bertanggung jawab
untuk mengamankan sumber daya TI dasar seperti mesin, sistem penyimpanan,
dan jaringan. Pelanggan layanan cloud biasanya bertanggung jawab atas sistem
operasi, aplikasi, dan data perusahaan yang ditempatkan ke dalam lingkungan
komputasi awan.

2) Mengamankan Platform Seluler (Securing Mobile Platforms)

Jika perangkat seluler melakukan banyak fungsi komputer, perangkat
tersebut perlu diamankan seperti desktop dan laptop dari malware, pencurian,
kehilangan yang tidak disengaja, akses tidak sah, dan upaya peretasan. Perangkat
seluler yang mengakses sistem dan data perusahaan memerlukan perlindungan
khusus. Perusahaan harus memastikan bahwa kebijakan keamanan perusahaan
mencakup perangkat seluler, dengan detail tambahan tentang bagaimana
perangkat seluler harus didukung, dilindungi, dan digunakan. Perusahaan akan
membutuhkan alat manajemen perangkat seluler untuk mengotorisasi semua
perangkat yang digunakan; untuk memelihara catatan inventaris yang akurat di
semua perangkat seluler, pengguna, dan aplikasi; untuk mengontrol pembaruan
aplikasi; dan untuk mengunci atau menghapus perangkat yang hilang atau dicuri
sehingga tidak dapat disusupi. Teknologi pencegahan kehilangan data dapat
mengidentifikasi di mana data penting disimpan, siapa yang mengakses data,
bagaimana data keluar dari perusahaan, dan ke mana perginya data.

8.4.9 Memastikan Kualitas Perangkat Lunak (Ensuring Software Quality)

Selain menerapkan keamanan dan pengendalian yang efektif, organisasi dapat
meningkatkan kualitas dan keandalan sistem dengan menggunakan metrik
perangkat lunak dan pengujian perangkat lunak yang ketat. Metrik perangkat lunak
adalah penilaian objektif dari sistem dalam bentuk pengukuran terukur. Penggunaan
metrik yang berkelanjutan memungkinkan departemen sistem informasi dan
pengguna akhir untuk mengukur kinerja sistem dan mengidentifikasi masalah yang
terjadi.
 Short Article “Taxonomy of Malware: Virus, Worms and Trojan”

1. Introduction
Kata 'malware' merupakan singkatan dari istilah 'malicious software'. Ini termasuk
kelas kode program seperti virus komputer, worm komputer, dan Trojan horse. Virus
komputer adalah istilah yang tidak memiliki definisi pasti, tetapi para peneliti anti-virus
komputer secara umum telah mengetahui setiap jenis sandi program dan perangkat lunak.
Virus dapat menyerang data pengguna, menghapus atau mengubah file dan dokumen,
serta mencatat penekanan tombol dan sesi web klien. Itu juga dapat menghancurkan ruang
hard disk dan memperlambat pemrosesan CPU

2. Taxonomy of Malware
Computer virus mengacu pada kode program yang memiliki kapasitas untuk
mereplikasi dirinya sendiri secara rekursif. Virus file menghubungkan dirinya ke file,
yang biasanya merupakan aplikasi yang dapat dieksekusi. Umumnya, virus file tidak
mengirimkan file yang terinfeksi ke file data. Namun, file data dapat menyertakan kode
yang dapat dieksekusi tetap seperti makro, yang dapat diturunkan moralnya oleh virus
komputer atau pembuat Trojan horse.
Computer worm adalah kode program independen (tidak memiliki program host)
yang memiliki kapasitas untuk mereplikasi dirinya sendiri berulang kali. Computer worm
adalah subkelompok virus komputer.
Trojan horse adalah kode program yang berdiri sendiri yang melakukan sesuatu yang
berguna, sementara pada saat yang sama beberapa jenis fungsi destruktif dilakukan
dengan sengaja, tanpa sepengetahuan pengguna. Kode program dapat dilampirkan ke
bagian mana pun dari kode program sistem.
Adware adalah gangguan online yang paling umum. Adware berulang kali
mengirimkan iklan ke komputer host. Ini termasuk iklan pop-up di Situs Web dan iklan
dalam program yang sering menyertai perangkat lunak gratis.
Spyware mencari tahu yang dilakukan pengguna di komputer dengan mengumpulkan
data pengguna setiap menekan tombol, kebiasaan browsing pengguna dan informasi login
klien. Informasi ini kemudian dikirim ke pihak ketiga, biasanya penjahat cyber.
Ransomware menyerang komputer dan data penting seperti dokumen pribadi atau
foto dienkripsi yang menuntut tebusan untuk pembebasannya. Jika pemilik data menolak
untuk membayar, data tersebut dihapus.
3. Conclusion
Pertumbuhan tak terduga dari Internet dan pesatnya pertumbuhan aplikasi
mengabaikan batasan tradisional antara komputer dan memperkuat tingkat penyebaran
global malware komputer hingga beberapa kali lipat. Sistem kekebalan optimis yang baru
kemungkinan akan menjadi alat penting untuk mengendalikan penyebarannya untuk masa
depan yang dapat diprediksi. Pemerintah, pengguna rumahan, dan entitas perusahaan
perlu secara serius memikirkan kembali kebijakan keamanan mereka, dan perusahaan
anti-virus harus mulai bekerja pada perlindungan anti-virus generasi berikutnya.

References
Kaur, Jasmeet. (2019). Taxonomy of Malware: Virus, Worms and Trojan. International
Journal of Research and Analytical Reviews, Vol. 6, No. 1, p. 192-196.
MINDMAP CHAPTER 8 SECURING INFORMATION SYSTEMS