SISTEM INFORMASI MANAJEMEN

RINGKASAN MATERI, SHORT ARTICLE, MINDMAP MINGGU KE 7

CHAPTER 8 SECURING INFORMATION SYSTEMS

Disusun Oleh:
Kelompok 13
Kelas M

1. Adriano Vieri Halim (143221011)

2. Muhammad Ainurrofiq Almakki (143221013)
3. Nicholas Soesilo (143221039)

PROGRAM STUDI S1 AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS AIRLANGGA
SURABAYA
 CHAPTER 8 SECURING INFORMATION SYSTEMS (PENGAMANAN SISTEM
INFORMASI)

8.1 Mengapa sistem informasi rentan terhadap kerusakan, kesalahan, dan

penyalahgunaan? (Why are information systems vulnerable to destruction, error, and
abuse?)

Jika sedang menjalankan bisnis, kita perlu menjadikan keamanan dan kontrol sebagai
prioritas utama. Keamanan mengacu pada kebijakan, prosedur, dan tindakan teknis yang
digunakan untuk mencegah akses yang tidak sah, perubahan, pencurian, atau kerusakan
fisik pada sistem informasi. Kontrol adalah metode, kebijakan, dan prosedur organisasi
yang memastikan keamanan aset organisasi, keakuratan dan keandalan catatannya, dan
kepatuhan operasional terhadap standar manajemen.

8.1.1 Mengapa Sistem Rentan (Why Systems are Vulnerable)

Ketika sejumlah besar data disimpan dalam bentuk elektronik, data tersebut
rentan terhadap berbagai jenis ancaman. Melalui jaringan komunikasi, sistem
informasi di lokasi yang berbeda saling berhubungan. Potensi akses atau kerusakan
yang tidak sah tidak terbatas pada satu lokasi saja tetapi dapat terjadi di banyak titik
akses dalam jaringan. Ancaman paling umum terhadap sistem informasi kontemporer
berasal dari faktor teknis, organisasi, dan lingkungan yang diperparah oleh keputusan
manajemen yang buruk. Dalam lingkungan komputasi klien/server multitier,
kerentanan ada di setiap lapisan dan komunikasi antar lapisan. Pengguna di lapisan
klien dapat menyebabkan kerugian dengan melakukan kesalahan atau mengakses
sistem tanpa otorisasi. Radiasi dapat mengganggu jaringan di berbagai titik. Penyusup
yang mampu menembus sistem perusahaan dapat mencuri, menghancurkan, atau
mengubah data perusahaan yang disimpan dalam database atau file.

1) Kerentanan Internet (Internet Vulnerabilities)

Jaringan publik yang besar, seperti Internet, lebih rentan daripada jaringan
internal karena terbuka untuk siapa saja. Internet begitu besar dan memiliki
dampak yang sangat luas. Ketika Internet terhubung ke jaringan perusahaan,
sistem informasi organisasi bahkan lebih rentan terhadap tindakan dari pihak luar.
Kerentanan juga meningkat dari meluasnya penggunaan email, pesan instan
(instant messaging), dan program berbagi file peer-to-peer (P2P).
 2) Tantangan Keamanan Nirkabel (Wireless Security Challenges)
Jaringan Bluetooth dan Wi-Fi rentan terhadap peretasan oleh penyadap.
Jaringan area lokal (Local area networks—LAN) yang menggunakan standar
802.11 dapat dengan mudah ditembus oleh pihak luar melalui laptop, kartu
nirkabel, antena eksternal, dan hacking software. Peretas menggunakan alat ini
untuk mendeteksi jaringan yang tidak terlindungi, memantau lalu lintas jaringan,
dan mendapatkan akses ke Internet atau ke jaringan perusahaan.

8.1.2 Perangkat Lunak Berbahaya: Virus, Worms, Trojan Horses, dan Spyware
(Malicious Software: Viruses, Worms, Trojan Horses, and Spyware)
Program perangkat lunak berbahaya disebut malware dan mencakup ancaman
seperti virus komputer, worm, dan trojan horse. Virus komputer (computer virus)
adalah program perangkat lunak jahat yang menempel pada program perangkat lunak
lain atau file data untuk dieksekusi, biasanya tanpa sepengetahuan atau izin pengguna.
Virus biasanya menyebar dari komputer ke komputer ketika manusia melakukan
suatu tindakan, seperti mengirim lampiran email atau menyalin file yang terinfeksi.
Worms adalah program komputer independen yang menyalin diri mereka sendiri
dari satu komputer ke komputer lain melalui jaringan. Worm dapat beroperasi sendiri
tanpa melampirkan file program komputer lain dan kurang bergantung pada perilaku
manusia untuk menyebar dengan cepat. Worm merusak data dan program serta
mengganggu atau bahkan menghentikan pengoperasian jaringan komputer.
Worm dan virus sering tersebar di Internet dari file perangkat lunak yang diunduh;
dari file yang dilampirkan ke transmisi email; atau dari pesan email yang disusupi,
iklan online, atau pesan instan. Yang paling umum saat ini adalah drive-by
downloads, yang terdiri dari malware yang datang dengan file unduhan yang diminta
oleh pengguna secara sengaja atau tidak sengaja.
Banyak infeksi malware adalah Trojan horse. Trojan horse adalah program
perangkat lunak yang tampaknya tidak berbahaya, tetapi kemudian melakukan
sesuatu yang lain dari yang diharapkan. Trojan horse bukanlah virus karena tidak
mereplikasi, tetapi sering kali merupakan cara virus atau kode berbahaya lainnya
untuk dimasukkan ke dalam sistem komputer. Istilah Trojan horse didasarkan pada
kuda kayu besar yang digunakan orang Yunani untuk mengelabui Trojan agar
membuka gerbang ke kota berbenteng mereka selama Perang Trojan.
 Serangan injeksi SQL (SQL injection attacks) mengeksploitasi kerentanan
dalam perangkat lunak aplikasi web berkode buruk untuk memasukkan kode program
berbahaya ke dalam sistem dan jaringan perusahaan. Kerentanan ini terjadi ketika
aplikasi web gagal memvalidasi dengan benar atau memfilter data yang dimasukkan
pengguna di halaman web, yang mungkin terjadi saat memesan sesuatu secara online.
Penyerang menggunakan kesalahan validasi input ini untuk mengirim kueri SQL
jahat ke database yang mendasarinya untuk mengakses database, menanam kode
berbahaya, atau mengakses sistem lain di jaringan. Malware yang dikenal sebagai
ransomware berkembang biak di desktop dan perangkat seluler. Ransomware
mencoba memeras uang dari pengguna dengan mengambil kendali komputer,
memblokir akses ke file, atau menampilkan pesan pop-up yang mengganggu.
Beberapa jenis spyware juga bertindak sebagai perangkat lunak berbahaya.
Program-program kecil ini menginstal sendiri secara diam-diam di komputer untuk
memantau aktivitas penjelajahan web pengguna dan menayangkan iklan. Keyloggers
merekam setiap penekanan tombol yang dilakukan pada komputer untuk mencuri
nomor seri perangkat lunak, untuk meluncurkan serangan Internet, untuk
mendapatkan akses ke akun email, untuk mendapatkan kata sandi ke sistem komputer
yang dilindungi, atau untuk mengambil informasi pribadi seperti kartu kredit atau
nomor rekening bank. Trojan Zeus yang dijelaskan sebelumnya menggunakan
keylogging.

8.1.3 Hacker dan Kejahatan Komputer (Hackers and Computer Crime)

Peretas (hacker) adalah individu yang berniat untuk mendapatkan akses tidak sah
ke sistem komputer. Dalam komunitas peretasan, istilah cracker biasanya digunakan
untuk menunjukkan seorang peretas dengan niat kriminal. Hacker mendapatkan akses
tidak sah dengan menemukan kelemahan dalam perlindungan keamanan situs web
dan sistem komputer yang digunakan. Aktivitas hacker telah meluas lebih dari
sekadar penyusupan sistem hingga mencakup pencurian barang dan informasi serta
perusakan sistem dan cybervandalism, gangguan yang disengaja, perusakan, atau
bahkan perusakan situs web atau sistem informasi perusahaan.

1) Spoofing dan Sniffing

Spoofing melibatkan pengalihan tautan web ke alamat yang berbeda dari yang
dimaksudkan, dengan situs yang menyamar sebagai tujuan yang dimaksud.
Misalnya, jika peretas mengarahkan pelanggan ke situs web palsu yang terlihat
 hampir persis seperti situs sebenarnya, mereka kemudian dapat mengumpulkan
dan memproses pesanan, mencuri informasi bisnis serta sensitif pelanggan secara
efektif dari situs sebenarnya. Sniffer adalah jenis program penyadapan yang
memantau informasi yang berjalan melalui jaringan. Sniffer memungkinkan
peretas untuk mencuri informasi kepemilikan dari mana saja di jaringan, termasuk
pesan email, file perusahaan, dan laporan rahasia.

2) Denial-of-Service Attacks
Dalam serangan denial-of-service (DoS), peretas membanjiri server jaringan
atau server web dengan ribuan komunikasi palsu atau permintaan layanan untuk
merusak jaringan. Jaringan menerima begitu banyak permintaan sehingga tidak
dapat melayani permintaan yang sah. Serangan distributed denial-of-service
(DDoS) menggunakan banyak komputer untuk membanjiri jaringan dari berbagai
titik peluncuran. Pelaku serangan DDoS sering menggunakan ribuan PC zombie
yang terinfeksi perangkat lunak berbahaya tanpa sepengetahuan pemiliknya dan
diorganisir menjadi botnet. Peretas membuat botnet ini dengan menginfeksi
komputer orang lain dengan malware bot dan memberikan instruksi.

3) Kejahatan Komputer (Computer Crime)

Sebagian besar aktivitas peretas adalah pelanggaran kriminal, dan kerentanan
sistem menjadikannya target untuk jenis kejahatan komputer (computer crime)
lainnya. Banyak perusahaan enggan melaporkan kejahatan komputer karena
kejahatan tersebut mungkin melibatkan karyawan atau kerentanan
mempublikasikan akan merusak reputasi mereka. Jenis kejahatan komputer yang
paling merusak secara ekonomi adalah serangan DoS, aktivitas orang dalam yang
jahat, dan serangan berbasis web.

4) Pencurian Identitas (Identity Theft)

Pencurian identitas (identity theft) adalah kejahatan di mana penipu
memperoleh potongan utama informasi pribadi untuk menyamar sebagai orang
lain. Informasi tersebut dapat digunakan untuk mendapatkan kredit, barang
dagangan, atau layanan atas nama korban atau untuk memberikan identitas palsu
kepada pencuri.
Salah satu taktik yang semakin populer adalah bentuk spoofing yang disebut
phishing. Phishing melibatkan pengaturan situs web palsu atau mengirim pesan
 email yang terlihat seperti bisnis yang sah untuk meminta data pribadi rahasia
kepada pengguna. Pesan email menginstruksikan penerima untuk memperbarui
atau mengkonfirmasi catatan dengan memberikan data rahasia, menanggapi pesan
email, memasukkan informasi di situs web palsu, atau menelepon nomor telepon.
Teknik phishing yang disebut evil twins dan pharming lebih sulit dideteksi.
Evil twins adalah jaringan nirkabel yang berpura-pura menawarkan koneksi Wi-
Fi tepercaya ke Internet, seperti yang ada di lounge bandara, hotel, atau kedai
kopi. Penipu mencoba menangkap kata sandi atau nomor kartu kredit dari
pengguna tanpa disadari yang masuk ke jaringan. Pharming mengarahkan
pengguna ke halaman web palsu, bahkan ketika individu mengetikkan alamat
halaman web yang benar ke browsernya. Ini dimungkinkan jika pelaku pharming
mendapatkan akses ke informasi alamat Internet yang disimpan oleh Internet
service providers (ISP) untuk mempercepat penjelajahan web dan perangkat
lunak yang cacat pada server ISP memungkinkan penipu untuk meretas dan
mengubah alamat tersebut.

5) Penipuan Klik (Click Fraud)

Saat mengklik iklan yang ditampilkan oleh mesin pencari, pengiklan biasanya
membayar biaya untuk setiap klik, yang seharusnya mengarahkan calon pembeli
ke produknya. Penipuan klik (click fraud) terjadi ketika individu atau program
komputer dengan curang mengklik iklan online tanpa niat untuk mempelajari
lebih lanjut tentang pengiklan atau melakukan pembelian. Beberapa perusahaan
mempekerjakan pihak ketiga (biasanya dari negara dengan upah rendah) untuk
mengeklik iklan pesaing secara curang untuk melemahkan pesaing dengan
menaikkan biaya pemasarannya.

6) Ancaman Global: Terorisme Cyber dan Perang Cyber (Global Threats:

Cyberterrorism and Cyberwarfare)
Cyberwarfare adalah aktivitas yang disponsori negara yang dirancang untuk
melumpuhkan dan mengalahkan negara atau bangsa lain dengan menembus
komputer atau jaringannya untuk menyebabkan kerusakan dan gangguan.
Cyberwarfare lebih kompleks daripada perang konvensional. Aktor non-negara
seperti teroris atau kelompok kriminal dapat melancarkan serangan, dan
seringkali sulit untuk menentukan siapa yang bertanggung jawab. Bangsa-bangsa
harus terus-menerus waspada terhadap malware baru dan teknologi lain yang
 dapat digunakan untuk melawan mereka, dan beberapa teknologi yang
dikembangkan oleh kelompok peretas yang terampil ini secara terbuka dijual
kepada pemerintah yang berminat.

8.1.4 Ancaman Internal: Karyawan (Internal Threats: Employees)

Banyak karyawan lupa kata sandi mereka untuk mengakses sistem komputer atau
mengizinkan rekan kerja menggunakannya, yang membahayakan sistem. Penyusup
jahat yang mencari akses sistem terkadang menipu karyawan untuk mengungkapkan
kata sandi mereka dengan berpura-pura menjadi anggota sah perusahaan yang
membutuhkan informasi. Praktik ini disebut rekayasa sosial (social engineering).
Orang dalam yang cenderung membahayakan juga telah mengeksploitasi
pengetahuan mereka tentang perusahaan untuk membobol sistem perusahaan,
termasuk yang berjalan di cloud.

8.1.5 Kerentanan Perangkat Lunak (Software Vulnerability)

Kesalahan perangkat lunak menimbulkan ancaman konstan terhadap sistem
informasi, menyebabkan kerugian yang tak terhitung dalam produktivitas dan
terkadang membahayakan orang yang menggunakan atau bergantung pada sistem.
Meningkatnya kompleksitas dan ukuran program perangkat lunak, ditambah dengan
tuntutan untuk pengiriman cepat ke pasar, telah berkontribusi pada peningkatan
kelemahan atau kerentanan perangkat lunak.
Masalah utama dengan perangkat lunak adalah adanya bug tersembunyi atau
cacat kode program. Sumber utama bug adalah kompleksitas kode pengambilan
keputusan. Cacat dalam perangkat lunak komersial tidak hanya menghambat kinerja
tetapi juga menciptakan kerentanan keamanan yang membuka jaringan bagi
penyusup. Yang paling merepotkan adalah zero-day vulnerabilities, yang merupakan
lubang di perangkat lunak yang tidak diketahui penciptanya. Hacker kemudian
mengeksploitasi lubang keamanan ini sebelum vendor menyadari masalah dan
bergegas memperbaikinya.
Untuk memperbaiki kelemahan perangkat lunak setelah diidentifikasi, vendor
perangkat lunak membuat bagian-bagian kecil dari perangkat lunak yang disebut
patches untuk memperbaiki kekurangan tersebut tanpa mengganggu pengoperasian
perangkat lunak yang benar. Pengguna perangkat lunak melacak kerentanan ini,
menguji, dan menerapkan semua tambalan yang disebut patch management.
 1) Kerentanan yang Baru Ditemukan dalam Desain Mikroprosesor (Newly
Discovered Vulnerabilities in Microprocessor Design)
Kerentanan seperti Spectre dan Meltdown berasal dari kekurangan dalam
desain chip mikroprosesor komputer yang memungkinkan peretas menggunakan
program perangkat lunak berbahaya untuk mendapatkan akses ke data yang
dianggap sepenuhnya dilindungi. Kerentanan ini mempengaruhi hampir setiap
chip komputer yang diproduksi dalam 20 tahun terakhir.

8.2 Apa nilai bisnis dari keamanan dan kontrol? (What is the business value of security and
control?)

Perusahaan memiliki aset informasi yang sangat berharga untuk dilindungi. Sistem
seringkali menyimpan informasi rahasia tentang pajak individu, aset keuangan, catatan
medis, dan tinjauan kinerja pekerjaan. Sistem juga dapat berisi informasi tentang operasi
perusahaan, termasuk rahasia dagang, rencana pengembangan produk baru, dan strategi
pemasaran. Aset informasi ini memiliki nilai yang luar biasa, dan akibatnya dapat merusak
jika hilang, dihancurkan, atau ditempatkan di tangan yang salah. Sistem yang tidak dapat
berfungsi karena pelanggaran keamanan, bencana, atau teknologi yang tidak berfungsi
dapat memiliki dampak permanen pada kesehatan keuangan perusahaan.
Keamanan dan kontrol yang tidak memadai dapat mengakibatkan tanggung jawab
hukum yang serius. Bisnis harus melindungi tidak hanya aset informasinya saja tetapi juga
aset pelanggan, karyawan, dan mitra bisnis. Kegagalan untuk melakukannya dapat
membuka perusahaan untuk litigasi mahal untuk eksposur data atau pencurian. Organisasi
dapat dimintai pertanggungjawaban atas risiko dan kerugian yang tidak perlu yang
ditimbulkan jika organisasi gagal mengambil tindakan perlindungan yang tepat untuk
mencegah hilangnya informasi rahasia, korupsi data, atau pelanggaran privasi.

8.2.1 Persyaratan Hukum dan Peraturan untuk Manajemen Arsip Elektronik (Legal
and Regulatory Requirements for Electronic Records Management)
Peraturan pemerintah di seluruh dunia memaksa perusahaan untuk mengambil
keamanan dan kontrol lebih serius dengan mengamanatkan perlindungan data dari
penyalahgunaan, paparan, dan akses tidak sah. Perusahaan menghadapi kewajiban
hukum baru, seperti General Data Protection Regulation (GDPR) di Uni Eropa,
untuk penyimpanan arsip elektronik serta untuk perlindungan privasi.
 Di AS, peraturan jenis ini cenderung spesifik industri. Misalnya, Health
Insurance Portability and Accountability Act (HIPAA) tahun 1996 menguraikan
aturan dan prosedur keamanan dan privasi untuk menyederhanakan administrasi
penagihan perawatan kesehatan dan mengotomatiskan transfer data perawatan
kesehatan antara penyedia layanan kesehatan, pembayar, dan rencana.

8.2.2 Bukti Elektronik dan Forensik Komputer (Electronic Evidence and Computer
Forensics)
Keamanan, kontrol, dan manajemen arsip elektronik menjadi penting untuk
menanggapi tindakan hukum. Banyak bukti untuk penipuan saham, penggelapan,
pencurian rahasia dagang perusahaan, kejahatan komputer, dan banyak kasus perdata
dalam bentuk digital. Selain informasi dari halaman yang dicetak atau diketik, kasus
hukum saat ini semakin bergantung pada bukti yang direpresentasikan sebagai data
digital yang disimpan pada perangkat penyimpanan portabel, CD, dan hard disk drive
komputer serta dalam email, pesan instan, dan transaksi e-commerce melalui Internet.
Kebijakan penyimpanan dokumen elektronik yang efektif memastikan bahwa
dokumen elektronik, email, dan catatan lainnya diatur dengan baik, dapat diakses, dan
tidak disimpan terlalu lama atau dibuang terlalu cepat. Ini juga mencerminkan
kesadaran tentang bagaimana melestarikan bukti potensial untuk forensik komputer.
Forensik komputer (computer forensics) adalah pengumpulan ilmiah, pemeriksaan,
otentikasi, pelestarian, dan analisis data yang disimpan atau diambil dari media
penyimpanan komputer sedemikian rupa sehingga informasi tersebut dapat
digunakan sebagai bukti di pengadilan. Ini menangani masalah berikut:
• Memulihkan data dari komputer sambil menjaga integritas bukti
• Menyimpan dan menangani data elektronik yang dipulihkan dengan aman
• Menemukan informasi penting dalam volume besar data elektronik
• Menyajikan informasi ke pengadilan.

8.3 Apa saja komponen kerangka kerja organisasi untuk keamanan dan kontrol? (What
are the components of an organizational framework for security and control?)

8.3.1 Pengendalian Sistem Informasi (Information Systems Controls)

Pengendalian sistem informasi bersifat manual dan otomatis serta terdiri dari
pengendalian umum dan aplikasi. Pengendalian umum (general controls) mengatur
 desain, keamanan, dan penggunaan program komputer dan keamanan file data secara
umum di seluruh infrastruktur teknologi informasi organisasi. Secara keseluruhan,
pengendalian umum berlaku untuk semua aplikasi yang terkomputerisasi dan terdiri
dari kombinasi perangkat keras, perangkat lunak, dan prosedur manual yang
menciptakan lingkungan pengendalian secara keseluruhan. Pengendalian umum
termasuk pengendalian perangkat lunak, pengendalian perangkat keras fisik,
pengendalian operasi komputer, pengendalian keamanan data, pengendalian atas
proses pengembangan sistem, dan pengendalian administratif.
Pengendalian aplikasi (application controls) adalah pengendalian khusus yang
unik untuk setiap aplikasi terkomputerisasi, seperti penggajian atau pemrosesan
pesanan. Pengendalian aplikasi mencakup prosedur otomatis dan manual yang
memastikan bahwa hanya data resmi yang diproses secara lengkap dan akurat oleh
aplikasi tersebut. Pengendalian aplikasi dapat diklasifikasikan sebagai (1)
pengendalian input, (2) pengendalian pemrosesan, dan (3) pengendalian output.

8.3.2 Penilaian Risiko (Risk Assessment)

Penilaian risiko (risk assessment) menentukan tingkat risiko bagi perusahaan
jika aktivitas atau proses tertentu tidak dikendalikan dengan benar. Tidak semua
risiko dapat diantisipasi dan diukur, tetapi sebagian besar bisnis akan dapat
memperoleh pemahaman tentang risiko yang mereka hadapi. Manajer bisnis yang
bekerja dengan spesialis sistem informasi harus mencoba menentukan nilai aset
informasi, titik kerentanan, kemungkinan frekuensi masalah, dan potensi kerusakan.
Setelah risiko dinilai, pembangun sistem akan berkonsentrasi pada titik
pengendalian dengan kerentanan dan potensi kerugian terbesar. Pengendalian harus
fokus pada cara untuk meminimalkan risiko kegagalan daya dan kesalahan pengguna
karena kerugian tahunan yang diantisipasi paling tinggi untuk area ini.

8.3.3 Kebijakan Keamanan (Security Policy)

Kebijakan keamanan (security policy) terdiri dari pernyataan peringkat risiko
informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan
mengidentifikasi mekanisme untuk mencapai tujuan ini. Kebijakan keamanan
mendorong kebijakan lain yang menentukan penggunaan sumber daya informasi
perusahaan yang dapat diterima dan anggota perusahaan mana yang memiliki akses
ke aset informasinya. Kebijakan penggunaan yang dapat diterima (acceptable use
 policy—AUP) mendefinisikan penggunaan yang dapat diterima dari sumber daya
informasi dan peralatan komputasi perusahaan, termasuk komputer desktop dan
laptop, perangkat seluler, telepon, dan Internet. AUP yang baik mendefinisikan
tindakan yang tidak dapat diterima dan dapat diterima untuk setiap pengguna dan
menentukan konsekuensi untuk ketidakpatuhan.

8.3.4 Perencanaan Pemulihan Bencana dan Perencanaan Kelangsungan Bisnis

(Disaster Recovery Planning and Business Continuity Planning)
Perencanaan pemulihan bencana (disaster recovery planning) menyusun
rencana untuk pemulihan layanan komputasi dan komunikasi yang terganggu.
Rencana pemulihan bencana berfokus terutama pada masalah teknis yang terlibat
dalam menjaga dan menjalankan sistem, seperti file mana yang akan dicadangkan dan
pemeliharaan sistem komputer cadangan atau layanan pemulihan bencana.
Perencanaan kelangsungan bisnis (business continuity planning) berfokus pada
bagaimana perusahaan dapat memulihkan operasi bisnis setelah terjadi bencana.
Rencana kesinambungan bisnis mengidentifikasi proses bisnis penting dan
menentukan rencana tindakan untuk menangani fungsi penting misi jika sistem turun.
Manajer bisnis dan spesialis teknologi informasi perlu bekerja sama pada kedua
jenis rencana untuk menentukan sistem dan proses bisnis mana yang paling penting
bagi perusahaan. Mereka harus melakukan analisis dampak bisnis untuk
mengidentifikasi sistem perusahaan yang paling kritis dan dampak pemadaman
sistem terhadap bisnis.

8.3.5 Peran Audit (The Role of Auditing)

Audit sistem informasi (information systems audit) memeriksa lingkungan
keamanan perusahaan secara keseluruhan serta pengendalian yang mengatur sistem
informasi individu. Auditor harus menelusuri aliran sampel transaksi melalui sistem
dan melakukan pengujian menggunakan perangkat lunak audit otomatis. Audit sistem
informasi juga dapat memeriksa kualitas data.
Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan
personel. Audit menyeluruh bahkan akan mensimulasikan serangan atau bencana
untuk menguji respons teknologi, staf sistem informasi, dan karyawan bisnis.
8.4 Apa alat dan teknologi paling penting untuk menjaga sumber daya informasi? (What
are the most important tools and technologies for safeguarding information resources?)

Bisnis memiliki serangkaian teknologi untuk melindungi sumber daya informasinya.

Hal ini termasuk alat untuk mengelola identitas pengguna, mencegah akses tidak sah ke
sistem dan data, memastikan ketersediaan sistem, dan memastikan kualitas perangkat
lunak.

8.4.1 Manajemen Identitas dan Otentikasi (Identity Management and Authentication)

Perusahaan menengah dan besar memiliki infrastruktur TI yang kompleks dan
banyak sistem, masing-masing dengan kumpulan penggunanya sendiri. Perangkat
lunak manajemen identitas (identity management) mengotomatiskan proses
melacak semua pengguna ini dan hak istimewa sistem mereka dengan menetapkan
setiap pengguna identitas digital unik untuk mengakses setiap sistem. Ini juga
mencakup alat untuk mengautentikasi pengguna, melindungi identitas pengguna, dan
mengontrol akses ke sumber daya sistem.
Untuk mendapatkan akses ke sistem, pengguna harus diotorisasi dan
diautentikasi. Otentikasi (authentication) mengacu pada kemampuan untuk
mengetahui bahwa seseorang adalah siapa yang dia klaim. Otentikasi sering dibuat
dengan menggunakan kata sandi (password) yang hanya diketahui oleh pengguna
yang berwenang. Pengguna akhir menggunakan kata sandi untuk masuk ke sistem
komputer dan juga dapat menggunakan kata sandi untuk mengakses sistem dan file
tertentu.
Teknologi otentikasi baru, seperti token, smart card, dan otentikasi biometrik,
mengatasi beberapa masalah ini. Token adalah perangkat fisik, mirip dengan kartu
identitas, yang dirancang untuk membuktikan identitas satu pengguna. Smart card
adalah perangkat seukuran kartu kredit yang berisi chip yang diformat dengan izin
akses dan data lainnya. Otentikasi biometrik (biometric authentication)
membandingkan karakteristik unik seseorang, seperti sidik jari, wajah, suara, atau
gambar retina, dengan profil yang disimpan dari karakteristik ini untuk menentukan
perbedaan antara karakteristik ini dan profil yang disimpan.
Aliran insiden yang terus-menerus di mana peretas dapat mengakses kata sandi
tradisional menyoroti perlunya sarana otentikasi yang lebih aman. Otentikasi dua
faktor (two-factor authentication) meningkatkan keamanan dengan memvalidasi
pengguna melalui proses multi-langkah. Contoh umum otentikasi dua faktor adalah
 kartu bank; kartu itu sendiri adalah item fisik, dan PIN adalah bagian lain dari data
yang menyertainya.

8.4.2 Firewall, Sistem Deteksi Intrusi, dan Perangkat Lunak Anti-malware (Firewalls,
Intrusion Detection Systems, and Anti-malware Software)
Tanpa perlindungan terhadap malware dan penyusup, menghubungkan ke
Internet akan sangat berbahaya. Firewall, sistem deteksi intrusi, dan perangkat lunak
antimalware telah menjadi alat bisnis yang penting.

1) Firewalls
Firewalls mencegah pengguna yang tidak sah mengakses jaringan pribadi.
Firewall adalah kombinasi perangkat keras dan perangkat lunak yang mengontrol
aliran lalu lintas jaringan yang masuk dan keluar. Biasanya ditempatkan di antara
jaringan internal pribadi organisasi dan jaringan eksternal yang tidak dipercaya,
seperti Internet, meskipun firewall juga dapat digunakan untuk melindungi satu
bagian jaringan perusahaan dari jaringan lainnya.
Dalam organisasi besar, firewall sering berada di komputer khusus yang
terpisah dari jaringan lainnya, sehingga tidak ada permintaan masuk yang
langsung mengakses sumber daya jaringan pribadi. Ada sejumlah teknologi
penyaringan firewall yang digunakan dalam kombinasi untuk memberikan
perlindungan firewall.
• Pemfilteran paket (packet filtering) memeriksa bidang yang dipilih di
header paket data yang mengalir bolak-balik antara jaringan tepercaya dan
Internet, memeriksa paket individual secara terpisah.
• Stateful inspection memberikan keamanan tambahan dengan menentukan
apakah paket merupakan bagian dari dialog yang sedang berlangsung antara
pengirim dan penerima.
• Network Address Translation (NAT) menyembunyikan alamat IP dari
komputer host internal organisasi untuk mencegah program sniffer di luar
firewall memastikannya dan menggunakan informasi itu untuk menembus
sistem internal.
• Pemfilteran proxy aplikasi (application proxy filtering) memeriksa konten
aplikasi dari paket. Server proxy menghentikan paket data yang berasal dari
luar organisasi, memeriksanya, dan meneruskan proxy ke sisi lain firewall.
 2) Sistem Deteksi Gangguan (Intrusion Detection Systems)
Sistem deteksi gangguan (intrusion detection systems) memiliki fitur alat
pemantauan penuh waktu yang ditempatkan di titik paling rentan atau titik rawan
jaringan perusahaan untuk mendeteksi dan mencegah penyusup secara terus-
menerus. Sistem menghasilkan alarm jika menemukan kejadian yang
mencurigakan atau anomali. Perangkat lunak pemindaian mencari pola yang
menunjukkan metode serangan komputer yang diketahui seperti kata sandi yang
buruk, memeriksa untuk melihat apakah file penting telah dihapus atau diubah,
dan mengirimkan peringatan vandalisme atau kesalahan administrasi sistem.

3) Perangkat Lunak Anti-malware (Anti-malware Software)

Rencana teknologi defensif untuk individu dan bisnis harus menyertakan
perlindungan anti-malware untuk setiap komputer. Perangkat lunak anti-
malware (anti-malware software) mencegah, mendeteksi, dan menghapus
malware, termasuk virus komputer, worm komputer, Trojan horse, spyware, dan
adware. Agar tetap efektif, perangkat lunak harus terus diperbarui. Organisasi
perlu menggunakan alat pendeteksi malware tambahan untuk perlindungan yang
lebih baik.

4) Sistem Manajemen Ancaman Terpadu (Unified Threat Management Systems)

Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan,
vendor keamanan telah menggabungkan ke dalam satu alat berbagai alat
keamanan, termasuk firewall, jaringan pribadi virtual, sistem deteksi gangguan,
penyaringan konten web dan perangkat lunak anti-spam. Produk manajemen
keamanan komprehensif ini disebut sistem manajemen ancaman terpadu
(Unified Threat Management Systems—UTM).

8.4.3 Mengamankan Jaringan Nirkabel (Securing Wireless Networks)

Standar keamanan awal yang dikembangkan untuk Wi-Fi, yang disebut Wired
Equivalent Privacy (WEP), tidak terlalu efektif karena kunci enkripsinya relatif
mudah diretas. WEP memberikan beberapa margin keamanan, jika pengguna ingat
untuk mengaktifkannya. Perusahaan dapat lebih meningkatkan keamanan Wi-Fi
dengan menggunakannya bersama dengan teknologi jaringan pribadi virtual (virtual
private network—VPN) saat mengakses data internal perusahaan.
8.4.4 Enkripsi dan Infrastruktur Kunci Publik (Encryption and Public Key
Infrastructure)
Banyak bisnis menggunakan enkripsi untuk melindungi informasi digital yang
disimpan, transfer secara fisik, atau mengirim melalui Internet. Enkripsi (encryption)
adalah proses mengubah teks biasa atau data menjadi teks sandi yang tidak dapat
dibaca oleh siapa pun selain pengirim dan penerima yang dituju. Data dienkripsi
dengan menggunakan kode numerik rahasia, yang disebut kunci enkripsi, yang
mengubah data biasa menjadi teks sandi. Pesan harus didekripsi oleh penerima.
Dua metode untuk mengenkripsi lalu lintas jaringan di web adalah SSL dan S-
HTTP. Secure Sockets Layer (SSL) dan Transport Layer Security (TLS),
memungkinkan komputer klien dan server untuk mengelola aktivitas enkripsi dan
dekripsi saat berkomunikasi satu sama lain selama sesi web yang aman. Secure
Hypertext Transfer Protocol (S-HTTP) adalah protokol lain yang digunakan untuk
mengenkripsi data melalui Internet, tetapi terbatas pada pesan individual, sedangkan
SSL dan TLS dirancang untuk membuat koneksi aman antara dua komputer.
Dua metode enkripsi adalah enkripsi kunci simetris dan enkripsi kunci publik.
Dalam enkripsi kunci simetris (symmetric key encryption), pengirim dan penerima
membuat sesi Internet yang aman dengan membuat kunci enkripsi tunggal dan
mengirimkannya ke penerima sehingga pengirim dan penerima berbagi kunci yang
sama. Enkripsi kunci publik (public key encryption) lebih aman karena
menggunakan dua kunci: satu bersama (atau publik) dan satu benar-benar pribadi.
Sertifikat digital (digital certificates) adalah file data yang digunakan untuk
menetapkan identitas pengguna dan aset elektronik untuk perlindungan transaksi
online. Sistem sertifikat digital menggunakan pihak ketiga tepercaya, yang dikenal
sebagai certificate authority—CA, untuk memvalidasi identitas pengguna. CA
memverifikasi identitas pengguna sertifikat digital secara offline. Informasi ini
dimasukkan ke dalam server CA, yang menghasilkan sertifikat digital terenkripsi
yang berisi informasi identifikasi pemilik dan salinan kunci publik pemilik.

8.4.5 Mengamankan Transaksi dengan Blockchain (Securing Transactions with

Blockchain)
Blockchain adalah rantai blocks digital yang berisi catatan transaksi. Setiap block
terhubung ke semua block sebelum dan sesudahnya, dan blockchain terus diperbarui
dan tetap sinkron. Hal ini membuat sulit untuk mengutak-atik satu catatan karena
 seseorang harus mengubah block yang berisi catatan itu serta yang ditautkan ke itu
untuk menghindari deteksi. Setelah dicatat, transaksi blockchain tidak dapat diubah.
Catatan dalam blockchain diamankan melalui kriptografi, dan semua transaksi
dienkripsi. Peserta jaringan blockchain memiliki kunci pribadinya sendiri yang
ditugaskan untuk transaksi yang dibuat dan bertindak sebagai tanda tangan digital
pribadi. Jika catatan diubah, tanda tangan akan menjadi tidak valid, dan jaringan
blockchain akan segera mengetahui bahwa ada sesuatu yang salah.

8.4.6 Memastikan Ketersediaan Sistem (Ensuring System Availability)

Karena perusahaan semakin bergantung pada jaringan digital untuk pendapatan
dan operasi, perusahaan perlu mengambil langkah tambahan untuk memastikan
bahwa sistem dan aplikasi selalu tersedia. Dalam pemrosesan transaksi online
(online transaction processing), transaksi yang dimasukkan secara online langsung
diproses oleh komputer.
Sistem komputer yang toleran terhadap kesalahan (fault-tolerant computer
systems) berisi perangkat keras, perangkat lunak, dan komponen power supply yang
menyediakan layanan berkelanjutan tanpa gangguan. Komputer yang toleran
terhadap kesalahan menggunakan rutinitas perangkat lunak khusus atau logika
pemeriksaan mandiri yang dibangun ke dalam sirkuitnya untuk mendeteksi kegagalan
perangkat keras dan secara otomatis beralih ke perangkat cadangan. Bagian dari
komputer ini dapat dilepas dan diperbaiki tanpa mengganggu komputer atau
downtime. Downtime mengacu pada periode waktu di mana sistem tidak beroperasi.

1) Mengontrol Lalu Lintas Jaringan: Inspeksi Paket Dalam (Controlling

Network Traffic: Deep Packet Inspection)
Aplikasi yang memakan bandwidth seperti program berbagi file, layanan
telepon Internet, dan video online dapat menyumbat dan memperlambat jaringan
perusahaan, sehingga menurunkan kinerja. Sebuah teknologi yang disebut
inspeksi paket mendalam (deep packet inspection—DPI) membantu
memecahkan masalah ini. DPI memeriksa file data dan memilah materi online
berprioritas rendah sambil menetapkan prioritas lebih tinggi ke file penting bisnis.
Berdasarkan prioritas yang ditetapkan oleh operator jaringan, DPI memutuskan
apakah paket data tertentu dapat melanjutkan ke tujuannya atau harus diblokir
atau ditunda, sementara lalu lintas yang lebih penting berjalan.
 2) Outsourcing Keamanan (Security Outsourcing)
Perusahaan kecil kekurangan sumber daya atau keahlian untuk menyediakan
lingkungan komputasi ketersediaan tinggi yang aman sendiri. Perusahaan tersebut
dapat mengalihdayakan banyak fungsi keamanan ke penyedia layanan
keamanan terkelola (managed security service providers—MSSP) yang
memantau aktivitas jaringan dan melakukan pengujian kerentanan dan deteksi
intrusi.

8.4.7 Mencapai Ketahanan Digital (Achieving Digital Resiliency)

Perusahaan menggunakan konsep ketahanan digital (digital resiliency) untuk
menghadapi realitas lingkungan digital baru ini. Ketahanan digital berkaitan dengan
bagaimana mempertahankan dan meningkatkan ketahanan organisasi dan proses
bisnisnya dalam lingkungan digital yang serba bisa, bukan hanya ketahanan fungsi
TI. Selain komputasi, penyimpanan, dan teknologi jaringan, ketahanan digital
meminta perhatian pada masalah manajerial dan organisasi seperti kebijakan dan
tujuan perusahaan, proses bisnis, budaya organisasi, persyaratan bisnis, akuntabilitas,
dan manajemen risiko bisnis. Faktor-faktor ini dapat mempengaruhi seberapa baik
suatu organisasi dapat benar-benar memanfaatkan dan mengelola konektivitas
jaringan, aplikasi, database, dan pusat data, kemampuannya untuk menyediakan
ketersediaan 24/7 untuk bisnis, dan kemampuannya untuk merespons perubahan
kondisi bisnis.

8.4.8 Masalah Keamanan untuk Komputasi Awan dan Platform Digital Seluler
(Security Issues for Cloud Computing and the Mobile Digital Platform)
Meskipun komputasi awan dan platform digital seluler yang muncul memiliki
potensi untuk memberikan manfaat yang kuat, hal tersebut menimbulkan tantangan
baru bagi keamanan dan keandalan sistem.

1) Keamanan di Cloud (Security in the Cloud)

Saat pemrosesan berlangsung di cloud, akuntabilitas dan tanggung jawab
untuk perlindungan data sensitif tetap berada di tangan perusahaan yang memiliki
data tersebut. Menggunakan cloud publik mengganggu model keamanan cyber
tradisional yang telah dibangun banyak perusahaan selama bertahun-tahun. Saat
perusahaan menggunakan cloud publik, perusahaan perlu merevisi praktik
keamanan cyber untuk menggunakan layanan cloud publik dengan cara yang
 memungkinkan perusahaan melindungi data penting dan memanfaatkan
sepenuhnya kecepatan dan kelincahan yang disediakan layanan ini.
Mengelola keamanan dan privasi untuk layanan cloud mirip dengan
mengelola infrastruktur TI tradisional. Namun, risikonya mungkin berbeda
karena sebagian tanggung jawab beralih ke penyedia layanan cloud. Kategori
layanan cloud (IaaS, PaaS, atau SaaS) memengaruhi cara pembagian tanggung
jawab ini. Untuk IaaS, penyedia biasanya memasok dan bertanggung jawab untuk
mengamankan sumber daya TI dasar seperti mesin, sistem penyimpanan, dan
jaringan. Pelanggan layanan cloud biasanya bertanggung jawab atas sistem
operasi, aplikasi, dan data perusahaan yang ditempatkan ke dalam lingkungan
komputasi awan.

2) Mengamankan Platform Seluler (Securing Mobile Platforms)

Jika perangkat seluler melakukan banyak fungsi komputer, perangkat tersebut
perlu diamankan seperti desktop dan laptop dari malware, pencurian, kehilangan
yang tidak disengaja, akses tidak sah, dan upaya peretasan. Perangkat seluler yang
mengakses sistem dan data perusahaan memerlukan perlindungan khusus.
Perusahaan harus memastikan bahwa kebijakan keamanan perusahaan mencakup
perangkat seluler, dengan detail tambahan tentang bagaimana perangkat seluler
harus didukung, dilindungi, dan digunakan. Perusahaan akan membutuhkan alat
manajemen perangkat seluler untuk mengotorisasi semua perangkat yang
digunakan; untuk memelihara catatan inventaris yang akurat di semua perangkat
seluler, pengguna, dan aplikasi; untuk mengontrol pembaruan aplikasi; dan untuk
mengunci atau menghapus perangkat yang hilang atau dicuri sehingga tidak dapat
disusupi. Teknologi pencegahan kehilangan data dapat mengidentifikasi di mana
data penting disimpan, siapa yang mengakses data, bagaimana data keluar dari
perusahaan, dan ke mana perginya data.

8.4.9 Memastikan Kualitas Perangkat Lunak (Ensuring Software Quality)

Selain menerapkan keamanan dan pengendalian yang efektif, organisasi dapat
meningkatkan kualitas dan keandalan sistem dengan menggunakan metrik perangkat
lunak dan pengujian perangkat lunak yang ketat. Metrik perangkat lunak adalah
penilaian objektif dari sistem dalam bentuk pengukuran terukur. Penggunaan metrik
yang berkelanjutan memungkinkan departemen sistem informasi dan pengguna akhir
untuk mengukur kinerja sistem dan mengidentifikasi masalah yang terjadi.
 Short Article “Taxonomy of Malware: Virus, Worms and Trojan”

1. Introduction
Kata 'malware' merupakan singkatan dari istilah 'malicious software'. Ini termasuk
kelas kode program seperti virus komputer, worm komputer, dan Trojan horse. Virus
komputer adalah istilah yang tidak memiliki definisi pasti, tetapi para peneliti anti-virus
komputer secara umum telah mengetahui setiap jenis sandi program dan perangkat lunak.
Virus dapat menyerang data pengguna, menghapus atau mengubah file dan dokumen, serta
mencatat penekanan tombol dan sesi web klien. Itu juga dapat menghancurkan ruang hard
disk dan memperlambat pemrosesan CPU

2. Taxonomy of Malware
Computer virus mengacu pada kode program yang memiliki kapasitas untuk
mereplikasi dirinya sendiri secara rekursif. Virus file menghubungkan dirinya ke file, yang
biasanya merupakan aplikasi yang dapat dieksekusi. Umumnya, virus file tidak
mengirimkan file yang terinfeksi ke file data. Namun, file data dapat menyertakan kode
yang dapat dieksekusi tetap seperti makro, yang dapat diturunkan moralnya oleh virus
komputer atau pembuat Trojan horse.
Computer worm adalah kode program independen (tidak memiliki program host) yang
memiliki kapasitas untuk mereplikasi dirinya sendiri berulang kali. Computer worm adalah
subkelompok virus komputer.
Trojan horse adalah kode program yang berdiri sendiri yang melakukan sesuatu yang
berguna, sementara pada saat yang sama beberapa jenis fungsi destruktif dilakukan dengan
sengaja, tanpa sepengetahuan pengguna. Kode program dapat dilampirkan ke bagian mana
pun dari kode program sistem.
Adware adalah gangguan online yang paling umum. Adware berulang kali
mengirimkan iklan ke komputer host. Ini termasuk iklan pop-up di Situs Web dan iklan
dalam program yang sering menyertai perangkat lunak gratis.
Spyware mencari tahu yang dilakukan pengguna di komputer dengan mengumpulkan
data pengguna setiap menekan tombol, kebiasaan browsing pengguna dan informasi login
klien. Informasi ini kemudian dikirim ke pihak ketiga, biasanya penjahat cyber.
Ransomware menyerang komputer dan data penting seperti dokumen pribadi atau foto
dienkripsi yang menuntut tebusan untuk pembebasannya. Jika pemilik data menolak untuk
membayar, data tersebut dihapus.
3. Conclusion
Pertumbuhan tak terduga dari Internet dan pesatnya pertumbuhan aplikasi mengabaikan
batasan tradisional antara komputer dan memperkuat tingkat penyebaran global malware
komputer hingga beberapa kali lipat. Sistem kekebalan optimis yang baru kemungkinan
akan menjadi alat penting untuk mengendalikan penyebarannya untuk masa depan yang
dapat diprediksi. Pemerintah, pengguna rumahan, dan entitas perusahaan perlu secara
serius memikirkan kembali kebijakan keamanan mereka, dan perusahaan anti-virus harus
mulai bekerja pada perlindungan anti-virus generasi berikutnya.

References
Kaur, Jasmeet. (2019). Taxonomy of Malware: Virus, Worms and Trojan. International
Journal of Research and Analytical Reviews, Vol. 6, No. 1, p. 192-196.
MINDMAP CHAPTER 8 SECURING INFORMATION SYSTEMS