MENGAMANKAN
SISTEM INFORMASI
Presenter’s Name
Tujuan Pembelajaran
• Keamanan:
Kebijakan, prosedur dan langkah-langkah
teknis yang digunakan untuk mencegah akses
yang tidak sah, perubahan, pencurian, atau
kerusakan fisik terhadap sistem informasi
• Kontrol:
Metode, kebijakan, dan prosedur organisasi
yang memastikan keamanan aset organisasi;
akurasi dan keandalan catatan akuntansi, dan
kepatuhan operasional standar manajemen
Sistem Kerentanan dan Penyalahgunaan
GAMBAR 8-1
Arsitektur aplikasi berbasis web biasanya termasuk klien Web, server, dan sistem informasi
perusahaan terkait dengan database. Masing-masing komponen ini menyajikan tantangan
keamanan dan kerentanan. Banjir, kebakaran, gangguan listrik, dan masalah listrik lainnya
dapat menyebabkan gangguan pada setiap titik dalam jaringan.
Sistem Kerentanan dan Penyalahgunaan
• kerentanan Internet
• Jaringan terbuka bagi siapa saja
• Ukuran internet berarti pelanggaran dapat memiliki
dampak yang luas
• Penggunaan alamat Internet tetap dengan
modem kabel atau DSL menciptakan target hacker
tetap
terenkripsi VOIP
• E-mail, P2P, IM
-penangkapan
-Lampiran dengan perangkat lunak
berbahaya
-Mengirimkan rahasia dagang
Sistem Kerentanan dan Penyalahgunaan
TANTANG
KEAMANAN WI-FI
Banyak jaringan Wi-Fi
dapat ditembus dengan
mudah oleh penyusup
menggunakan program
sniffer untuk
mendapatkan alamat
untuk mengakses sumber
daya jaringan tanpa
otorisasi.
FIGURE 8-2
9
Management Information Systems
10
Management Information Systems
• Malware (cont.)
• SQL injection attacks
• Hacker mengirimkan data ke bentuk Web yang
mengeksploitasi perangkat lunak terlindungi situs dan
mengirimkan nakal query SQL ke database
• Spyware
• Program kecil menginstal sendiri diam-diam pada
komputer untuk memantau aktivitas pengguna web
surfing dan melayani sampai iklan
• Key loggers
• Merekam setiap keystroke pada komputer untuk mencuri
nomor seri, password, memulai serangan Internet
Management Information Systems
• Spoofing
• Keliru diri dengan menggunakan alamat e-mail palsu
atau menyamar sebagai orang lain
• Mengarahkan link Web untuk mengatasi berbeda
dari yang dimaksudkan satu, dengan situs yang
menyamar sebagai tujuan yang dimaksud
• Sniffer
• Program Menguping yang memonitor informasi
perjalanan melalui jaringan
• Memungkinkan hacker untuk mencuri informasi
rahasia seperti e-mail, file perusahaan, dll
Management Information Systems
• Kejahatan Komputer
• Didefinisikan sebagai "pelanggaran hukum pidana yang
melibatkan pengetahuan teknologi komputer untuk
perbuatan mereka, penyidikan, atau penuntutan"
• Komputer dapat menjadi sasaran kejahatan, misalnya:
• Melanggar kerahasiaan data terkomputerisasi yang dilindungi
• Mengakses sistem komputer tanpa otoritas
• Komputer mungkin alat kejahatan, misalnya:
• Pencurian rahasia dagang
• Menggunakan e-mail untuk ancaman atau pelecehan
• pencurian identitas
• Pencurian Informasi pribadi (id jaminan sosial, lisensi
atau nomor kartu kredit pengemudi) untuk meniru
orang lain
• Phishing
• Menyiapkan situs Web palsu atau mengirim pesan e-
mail yang terlihat seperti bisnis yang sah untuk
meminta pengguna untuk data pribadi rahasia.
• Evil twins
• Jaringan nirkabel yang berpura-pura menawarkan
dipercaya Wi-Fi koneksi ke Internet
16 © Prentice Hall 2011
Management Information Systems
• Pharming
• Pengalihan pengguna ke halaman Web palsu,
bahkan ketika jenis individu yang benar alamat
halaman Web ke browser-nya
• Click Penipuan
• Terjadi ketika individu atau program komputer
curang mengklik iklan online tanpa niat untuk
belajar lebih banyak tentang pengiklan atau
melakukan pembelian
• Cyberterrorism and Cyberwarfare
17 © Prentice Hall 2011
Management Information Systems
CHAPTER 8: SECURING INFORMATION SYSTEMS
• Kelemahan Software
• Perangkat lunak komersial mengandung kelemahan
yang menciptakan kerentanan keamanan
• Bug tersembunyi(cacat kode program)
• Nol cacat tidak dapat dicapai karena pengujian lengkap tidak
mungkin dengan program besar
• Cacat dapat membuka jaringan untuk penyusup
• Patches
• Vendor melepaskan potongan-potongan kecil dari
perangkat lunak untuk memperbaiki kelemahan
• Namun eksploitasi sering dibuat lebih cepat dari patch
akan dirilis dan diimplementasikan
19 © Prentice Hall 2011
Management Information Systems
• Bukti Electronic
• Evidence for white collar crimes often in digital form
• Data on computers, e-mail, instant messages, e-
commerce transactions
• Kontrol yang tepat dari data yang dapat menghemat
waktu dan uang ketika menanggapi penemuan
permintaan hukum
• Computer forensics:
• Koleksi ilmiah, pemeriksaan, otentikasi, pelestarian,
dan analisis data dari media penyimpanan komputer
untuk digunakan sebagai bukti di pengadilan hukum
• Termasuk recovery of ambient and hidden data
23 © Prentice Hall 2011
Management Information Systems
• pengendalian aplikasi
• Kontrol tertentu yang unik untuk setiap aplikasi
komputerisasi, seperti gaji atau pemrosesan order
• Sertakan kedua prosedur otomatis dan manual
• Memastikan bahwa data hanya berwenang benar-
benar akurat dan diproses oleh aplikasi
• Memasukan:
• Input controls
• Processing controls
• Output controls
• Kebijakan Keamanan
• Peringkat risiko informasi, mengidentifikasi tujuan
keamanan yang dapat diterima, dan mengidentifikasi
mekanisme untuk mencapai tujuan-tujuan ini
• Mengatur Kebijakan Lain
• Mengatur Kebijakan Penggunaan (Acceptable use policy -AUP)
• Mendefinisikan penggunaan diterima sumber daya perusahaan
informasi dan peralatan komputasi
• Authorization policies
• Tentukan tingkat yang berbeda dari akses pengguna ke aset informasi
• Manajemen identitas
• Proses bisnis dan alat untuk mengidentifikasi
pengguna yang valid dari sistem dan mengontrol
akses
• Mengidentifikasi dan kewenangan berbagai kategori
pengguna
• Menentukan bagian mana dari pengguna sistem dapat
mengakses
• Otentikasi pengguna dan melindungi identitas
• Sistem Manajemen Identitas
• Menangkap aturan akses untuk berbagai tingkat
pengguna
29 © Prentice Hall 2011
Management Information Systems
PROFIL
KEAMANAN
UNTUK SISTEM
PERSONIL
Kedua contoh mewakili
dua profil keamanan
atau pola keamanan
data yang mungkin
ditemukan dalam sistem
personil. Tergantung
pada profil keamanan,
pengguna akan memiliki
batasan-batasan tertentu
pada akses ke berbagai
sistem, lokasi, atau data
dalam sebuah organisasi.
FIGURE 8-3
• MIS audit
• Examines firm’s overall security environment as well
as controls governing individual information systems
• Reviews technologies, procedures, documentation,
training, and personnel.
• May even simulate disaster to test response of
technology, IS staff, other employees.
• Lists and ranks all control weaknesses and estimates
probability of their occurrence.
• Assesses financial and organizational impact of each
threat
32 © Prentice Hall 2011
Management Information Systems
SAMPLE
AUDITOR’S LIST OF
CONTROL
WEAKNESSES
This chart is a sample
page from a list of control
weaknesses that an
auditor might find in a
loan system in a local
commercial bank. This
form helps auditors record
and evaluate control
weaknesses and shows
the results of discussing
those weaknesses with
management, as well as
any corrective actions
taken
FIGUREby management.
8-4
• Firewall:
• Combination of hardware and software
that prevents unauthorized users from
accessing private networks
• Technologies include:
•Static packet filtering
•Network address translation (NAT)
•Application proxy filtering
A CORPORATE
FIREWALL
The firewall is placed
between the firm’s private
network and the public
Internet or another
distrusted network to
protect against
unauthorized
FIGURE 8-5
traffic.
• Encryption:
• Transforming text or data into cipher text
that cannot be read by unintended
recipients
• Two methods for encryption on networks
•Secure Sockets Layer (SSL) and successor
Transport Layer Security (TLS)
•Secure Hypertext Transfer Protocol (S-
HTTP)
39 © Prentice Hall 2011
Management Information Systems
CHAPTER 8: SECURING INFORMATION SYSTEMS
FIGURE 8- A public key encryption system can be viewed as a series of public and private keys that
6 lock data when they are transmitted and unlock the data when they are received. The
sender locates the recipient’s public key in a directory and uses it to encrypt a message.
The message is sent in encrypted form over the Internet or a private network. When the
encrypted message arrives, the recipient uses his or her private key to decrypt the data
and read the message.
• Digital certificate:
• Data file used to establish the identity of users and
electronic assets for protection of online transactions
• Uses a trusted third party, certification authority (CA), to
validate a user’s identity
• CA verifies user’s identity, stores information in CA server,
which generates encrypted digital certificate containing
owner ID information and copy of owner’s public key
• Public key infrastructure (PKI)
• Use of public key cryptography working with certificate
authority
• Widely used in e-commerce
42 © Prentice Hall 2011
Management Information Systems
CHAPTER 8: SECURING INFORMATION SYSTEMS
DIGITAL
CERTIFICATES
• Recovery-oriented computing
• Designing systems that recover quickly with
capabilities to help operators pinpoint and correct of
faults in multi-component systems
• Controlling network traffic
• Deep packet inspection (DPI)
• Video and music blocking
• Security outsourcing
• Managed security service providers (MSSPs)
• Generate ideas
• Use games and exercises to “warm up”
your creative thinking
• When ideas slow down, try another
exercise to generate fresh ideas
• Breaking into smaller groups may be
helpful
• Use a computer to capture every
comment/idea
Summarize
• Review ideas
• Vote on top candidates and
consolidate
• Check requirements and
restrictions
• Trim list to top 5-10 ideas
Next Steps