Pssi Chap 11 Indo

2e
Bab 11
Cyber Crime
dan IT
Security
Teknologi Informasi untuk Manajer

George W. Reynolds
Strayer University
Copyright ©2016 Cengage Learning. All Rights Reserved. May not be scanned, copied or duplicated, or posted to a publicly acce ssible
website, in whole or in part.
Tujuan Pembelajaran
• Apa kunci trade-off dan isu-isu etis yang terkait

dengan pengamanan data dan sistem Informasi?
• Apa adalah elemen kunci dari proses multilayer
untuk mengelola keamanan kerentanan
berdasarkan pada konsep keyakinan memadai?
2
Mengapa Manajer Harus Memahami
Keamanan IT
3
Dilema yang dihadapi Manajer Bisnis
Mengenai Keamanan IT
• Jumlah yang harus dikeluarkan untuk menjaga
terhadap kejahatan komputer
• Penanganan kesulitan yang disebabkan oleh
kehilangan penjualan dan peningkatan biaya akibat
keamanan yang direkomendasikan pengamanan
• Tindakan yang akan diambil jika suatu perusahaan
adalah korban dari sebuah komputer kejahatan
Teknologi Informasi untuk Manajer

4
Alasan Prevalensi Insiden Komputer
• Meningkatnya kompleksitas lingkungan komputer

• harapan pengguna komputer yang lebih tinggi
• risiko baru yang diperkenalkan dengan
memperluas dan mengubah sistem
• Bawa perangkat Anda sendiri (BYOD)
– Kebijakan yang memungkinkan karyawan untuk
menggunakan mereka mobil perangkat untuk
perusahaan akses sumber daya komputasi dan
aplikasi
5
Alasan Prevalensi Komputer insiden
(terus-menerus)
• Mengandalkan perangkat lunak dengan
kerentanan diketahui
– Mengeksploitasi: Serangan pada sistem informasi
yang mengambil keuntungan dari kerentanan sistem
tertentu
– Pengguna memegang tanggung jawab untuk
menginstal perbaikan untuk menghilangkan masalah
• Meningkatnya kecanggihan pelaku kejahatan
komputer
6
Tabel 11.3 - Klasifikasi pelaku dari
Kejahatan komputer
7
Jenis Eksploitasi - Virus
• kode pemrograman yang menyamar sebagai

sesuatu yang lain
– Penyebab komputer untuk berperilaku tak terduga
dan cara yang tidak diinginkan
• Menyebar ke mesin lain ketika pengguna
komputer:
– membuka email yang terinfeksi lampiran
– Download program yang terinfeksi
– kunjungan Web yang terinfeksi situs
• Makro virus - Menggunakan program yang dibuat
dengan bahasa makro untuk menginfeksi dokumen
dan template
8
Jenis Eksploitasi - Worm
• Resides di komputer aktif ingatan dan duplikat diri

– Mampu menyebar tanpa campur tangan manusia
• Dampak negatif
– Kalah data dan program
– Kalah produktivitas karena pekerja tidak mampu
untuk menggunakan komputer mereka atau karena
mencoba untuk memulihkan data dan program
– tingginya biaya perbaikan dan pemulihan
9
Jenis Eksploitasi - Trojan Horse
• Program dengan berbahaya kode tersembunyi di

dalam Program tampaknya tidak berbahaya
– Mungkin dirancang untuk:
• Menghancurkan hard drive, file korup, Dan dari jarak
jauh mengontrol komputer
• serangan peluncuran terhadap lainnya komputer
• Mencuri password atau Jaminan Sosial nomor
• Memata-matai pengguna
• bom logika: Executes bila dipicu oleh acara
tertentu
10
Jenis Eksploitasi - Spam
• eksploitasi sistem email untuk mengirim email yang

tidak diminta untuk jumlah besar orang
– metode murah pemasaran yang digunakan oleh
organisasi yang sah
• Bekas untuk menyampaikan cacing berbahaya dan
malware lainnya
• Mengontrol Assault Non-diminta Pornografi dan
Pemasaran (CANSPAM) Undang-Undang
– Menyatakan bahwa itu adalah hukum untuk spam,
disediakan:
• Spammer tidak menyamarkan identitas mereka
• email
Copyright ©2016 Cengage diberi
Learning. labelMay
All Rights Reserved. khusus
not be scanned, copied or duplicated, or posted to a publicly acce ssible
11
Jenis Eksploitasi - Spam (lanjutan)
• Penerima mampu untuk berhenti berlangganan mail
masa depan
• CAPTCHA digunakan untuk memastikan bahwa
account email gratis yang diperoleh hanya oleh
manusia
– CAPTCHA (Completely Automated Public Turing
Test untuk Katakan komputer dan Manusia
Terlepas)
• menghasilkan dan nilai tes yang manusia bisa lewat
tetapi komputer sederhana program tidak bisa
12
Jenis Eksploitasi - Distributed Denial-
of-Service (DDoS) Menyerang
• Jahat hacker mengambil alih komputer melalui
Internet
– Penyebab mereka membanjiri situs target dengan
tuntutan untuk data dan lainnya kecil tugas
• Membuat target sibuk untuk menjaga diri pengguna
yang sah
• Dicapai dengan menggunakan komputer botnet
– botnet (zombie): Grup besar komputer yang
dikendalikan oleh hacker dari lokasi terpencil tanpa
persetujuan dari pemiliknya
• Digunakan untuk mendistribusikan spam dan kode
berbahaya
13
Jenis Eksploitasi - Rootkit
• Set program yang memungkinkan pengguna untuk

mendapatkan akses administrator tingkat untuk
komputer tanpa persetujuan pengguna akhir atau
pengetahuan
– Digunakan untuk menjalankan file, log akses,
memonitor aktivitas pengguna, dan mengubah
konfigurasi komputer
• Salah satu bagian dari ancaman dicampur yang
mencakup penetes dan loader
• Sulit untuk menentukan kehadirannya di komputer
14
Jenis Eksploitasi - Phishing, Smishing,
Dan Vishing
• phishing: curang menggunakan email untuk
mendapatkan penerima untuk mengungkapkan
data pribadi
– Spear-phishing: phisher mengirimkan penipuan
email ke organisasi tertentu yang para karyawan
• Smishing: Menggunakan Short Message Service
(SMS)
– kegunaan hacker korban' informasi pribadi untuk
mencuri uang dari rekening bank, biaya pembelian
pada kartu kredit mereka, atau membuka rekening
baru
– Dikenal sebagai SMS phishing dan smishing
15
Jenis Eksploitasi - Advanced
Persistent Threat (APT)
• Pengacau kemajuan akses ke Sebuah jaringan
– Tinggal di sana dengan niat mencuri data melalui
jangka waktu yang panjang dari waktu
• fase
– Pengintaian
– Serangan
– Penemuan
– Menangkap
– Ekspor
16
Jenis Eksploitasi - Pencurian Identitas
• terjadi ketika seseorang mencuri individu pribadi

informasi dan menggunakannya tanpa / nya izin
– Digunakan untuk melakukan penipuan atau
kejahatan atau dijual pada hitam pasar
• Data pelanggaran: Unintended rilis data sensitif
atau akses data sensitif oleh tidak sah individu
• E-commerce situs web menggunakan teknologi
enkripsi untuk melindungi informasi konsumen
17
Jenis Eksploitasi - cyberespionage
• Penyebaran malware yang diam-diam mencuri

Data bernilai tinggi dalam sistem komputer dari
organisasi
– -Nilai tinggi data termasuk:
• Penjualan, pemasaran, dan pengembangan produk
baru rencana, jadwal, dan anggaran
• Rincian tentang desain produk dan proses yang
inovatif
• informasi pribadi karyawan dan pelanggan dan data
klien
• informasi sensitif mengenai mitra dan perjanjian mitra
18
Jenis Eksploitasi - Cyberterrorism
• Intimidasi dari pemerintah atau penduduk sipil oleh

menggunakan teknologi informasi untuk
menonaktifkan infrastruktur nasional yang kritis
– Selesai mencapai politik, agama, atau tujuan
ideologis
• Department of Homeland Security (DHS)
– agen federal yang bertujuan untuk melindungi AS
dari terorisme dan potensi lainnya ancaman
19
Jenis Eksploitasi - Cyberterrorism
(lanjutan)
– Kantor Cybersecurity dan Komunikasi
• Bekerja untuk mencegah atau meminimalkan
gangguan infrastruktur informasi penting
• Darurat Kesiapan Tim Amerika Serikat
Computer (US-CERT)
– Menangani insiden keamanan dan menyediakan
informasi mengenai topik keamanan komputer
20
Tabel 11.5 - Federal Hukum Itu
Kejahatan Alamat Komputer
21
Tabel 11.5 - Federal Hukum Itu Alamat
Kejahatan Komputer (lanjutan)
22
Menerapkan Trustworthy Computing
23
Trustworthy Computing
• memberikan aman, swasta, dan komputasi yang

handal pengalaman berdasarkan bisnis yang sehat
praktek
• Sebuah sistem keamanan yang kuat:
– Menilai ancaman mungkin untuk organisasi
komputer dan jaringan
– mengidentifikasi tindakan yang mengatasi
kerentanan serius
– mendidik pengguna akhir tentang risiko yang terlibat
dan tindakan yang harus diambil untuk mencegah
keamanan kejadian
24
Trustworthy Computing (lanjutan)
• Kebijakan dan prosedur harus dilaksanakan untuk:

– Membantu mencegah pelanggaran keamanan
– Secara efektif menggunakan perangkat keras dan
perangkat lunak yang tersedia alat
• Dalam kasus penyusupan, harus ada rencana
reaksi jelas bahwa alamat:
– Pemberitahuan dan bukti perlindungan
– Aktivitas mencatat pemeliharaan
– Penahanan dan pemberantasan
– Pemulihan
25
Tugas beresiko
• Tujuan - Untuk mengenali terbaik investasi waktu

dan sumber daya yang akan melindungi organisasi
dari yang ancaman
• Aset - Setiap hardware, software, sistem informasi,
jaringan, atau database yang digunakan oleh
organisasi untuk mencapai nya tujuan
• Kerugian peristiwa - Setiap kejadian yang memiliki
dampak negatif pada aset
26
Langkah-langkah dalam Proses
Penilaian Risiko
Identify important IT assets
Identify loss events or possible risks or

threats
Assess the frequency of events or the

probability of each potential threat
Ascertain the impact of each occurring threat
27
Langkah-langkah dalam Proses
Penilaian Risiko (lanjutan)
Assess the feasibility of implementing
mitigation options
Ensure cost effectiveness by performing a

cost-benefit analysis
Make decisions regarding the

implementation of countermeasures
Determine ways to mitigate the threats
28
Membangun Kebijakan Keamanan
• Sebuah kebijakan keamanan yang baik

menggambarkan tanggung jawab dan perilaku
yang diharapkan dari anggota organisasi
– otomatis aturan sistem harus mencerminkan
organisasi kebijakan tertulis
– Perusahaan yang termasuk keamanan khusus
persyaratan untuk perangkat mobile
29
Mendidik Karyawan dan Pekerja
Kontrak
• pengguna harus membantu melindungi informasi
organisasi sistem dan data oleh:
– Sandi melindungi account mereka
– Melarang orang lain menggunakan mereka
password
– Menerapkan kontrol akses yang ketat untuk
melindungi data dari pengungkapan atau
penghancuran
– Pelaporan aktivitas yang tidak biasa
– memastikan bahwa komputasi portabel dan
perangkat penyimpanan data dilindungi
30
Tindakan pencegahan
• firewall: Batas akses jaringan berdasarkan akses

organisasi kebijakan
– stand guard antara jaringan internal organisasi dan
Internet
– Mapan melalui penggunaan perangkat lunak,
perangkat keras, atau kedua
• sistem deteksi intrusi (IDS): Memonitor sistem
dan jaringan sumber daya dan kegiatan
– Memberitahu personel keamanan jaringan ketika
mendeteksi jaringan lalu lintas yang mencoba untuk
menghindari langkah-langkah keamanan
31
Tindakan Pencegahan (lanjutan 1)
– Pendekatan sistem deteksi intrusi
• Berbasis pengetahuan
• Perilaku berbasis
• Anti Virus perangkat lunak: Secara teratur
memindai memori dan disk yang drive komputer
untuk virus
– Mencari tanda tangan virus
• Virus tanda tangan: Urutan dari byte bahwa
menunjukkan kehadiran virus tertentu
– Harus diperbarui secara berkala
32
pencegah Langkah-langkah (lanjutan
2)
• Melaksanakan pengamanan terhadap serangan
oleh orang dalam berbahaya
• Alamat kritis Internet ancaman keamanan
• Melakukan audit keamanan berkala IT
– audit keamanan: Evaluasi apakah organisasi
memiliki keamanan baik-dianggap kebijakan di
tempat dan jika mereka menjadi diikuti
33
Rencana tanggap
• Tujuan - Untuk mendapatkan kembali kontrol dan

membatasi kerusakan
• Menentukan orang-orang untuk diberitahu jika
terjadi insiden keamanan komputer
• Mendokumentasikan semua detail kejadian
– Menetapkan prosedur penanganan dokumen
• Tentukan proses untuk mengandung insiden
• Melakukan upaya pemberantasan
• Mengikuti
– Menyiapkan laporan insiden formal dan
memperkirakan kerusakan moneter
34
komputer Forensik
• Mengidentifikasi, mengumpulkan, meneliti, dan

diawetkan data dari sistem komputer, jaringan, dan
perangkat penyimpanan
– diawetkan integritas data yang dikumpulkan
sehingga dapat diterima sebagai bukti di pengadilan
hukum
– menggabungkan unsur-unsur hukum dan komputer
ilmu
• Penyelidikan mungkin dibuka dalam menanggapi
penyelidikan pidana atau perdata
35
Ringkasan
• Trade-off terkait dengan pengamanan data dan

informasi sistem
– Jumlah yang harus dikeluarkan untuk menjaga
terhadap kejahatan komputer
– penanganan kesulitan disebabkan oleh kehilangan
penjualan dan peningkatan biaya akibat
perlindungan keamanan dianjurkan
– Tindakan yang harus diambil jika perusahaan adalah
korban dari sebuah komputer kejahatan
36
Ringkasan (lanjutan)
• elemen Sebuah proses untuk mengelola

kerentanan keamanan berdasarkan konsep yang
masuk akal jaminan
– Tugas beresiko
– Menetapkan kebijakan keamanan
– Mendidik pengguna akhir
– Pencegahan
– Deteksi dan respon
37

Pssi Chap 11 Indo

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Pssi Chap 11 Indo

Diunggah oleh

Hak Cipta:

Format Tersedia

2e

Teknologi Informasi untuk Manajer

• Apa kunci trade-off dan isu-isu etis yang terkait

Teknologi Informasi untuk Manajer

• Meningkatnya kompleksitas lingkungan komputer

• kode pemrograman yang menyamar sebagai

• Resides di komputer aktif ingatan dan duplikat diri

• Program dengan berbahaya kode tersembunyi di

• eksploitasi sistem email untuk mengirim email yang

• Set program yang memungkinkan pengguna untuk

• terjadi ketika seseorang mencuri individu pribadi

• Penyebaran malware yang diam-diam mencuri

• Intimidasi dari pemerintah atau penduduk sipil oleh

• memberikan aman, swasta, dan komputasi yang

• Kebijakan dan prosedur harus dilaksanakan untuk:

• Tujuan - Untuk mengenali terbaik investasi waktu

Identify important IT assets

Identify loss events or possible risks or

Assess the frequency of events or the

Ascertain the impact of each occurring threat

Ensure cost effectiveness by performing a

Make decisions regarding the

Determine ways to mitigate the threats

• Sebuah kebijakan keamanan yang baik

• firewall: Batas akses jaringan berdasarkan akses

• Tujuan - Untuk mendapatkan kembali kontrol dan

• Mengidentifikasi, mengumpulkan, meneliti, dan

• Trade-off terkait dengan pengamanan data dan

• elemen Sebuah proses untuk mengelola

Anda mungkin juga menyukai