SISTEM INFORMASI MANAJEMEN

Kelompok F
• David Fransisko (192114061)
 JUDUL

Selama beberapa tahun terakhir, banyak perusahaan telah

mengubah strategi TI mereka untuk mengalihkan semakin banyak
aplikasi dan data mereka ke infrastruktur dan platform cloud publik.
Namun, menggunakan cloud publik mengganggu model keamanan
siber tradisional yang telah dibangun banyak perusahaan selama
bertahun-tahun. Akibatnya, saat perusahaan menggunakan cloud
publik, mereka perlu merevisi praktik keamanan siber mereka untuk
menggunakan layanan cloud publik dengan cara yang memungkinkan
mereka melindungi data penting dan untuk sepenuhnya
memanfaatkan kecepatan dan kelincahan yang disediakan layanan ini.
Mengelola keamanan dan privasi untuk layanan cloud mirip dengan mengelola
infrastruktur TI tradisional. Namun, risikonya mungkin berbeda, tetapi tidak
semua, tanggung jawab beralih ke penyedia layanan cloud. Kategori layanan
cloud (IaaS, PaaS, atau SaaS) memengaruhi dengan tepat bagaimana tanggung
jawab ini dibagikan. Untuk IaaS, penyedia biasanya memasok dan bertanggung
jawab untuk mengamankan sumber daya TI dasar seperti mesin, sistem
penyimpanan, dan jaringan. Pelanggan layanan cloud biasanya bertanggung
jawab atas sistem operasi, aplikasi, dan data perusahaannya yang ditempatkan
di lingkungan komputasi cloud. Ini berarti bahwa sebagian besar tanggung
jawab untuk mengamankan aplikasi dan data perusahaan berada pada
pelanggan.
Pelanggan layanan cloud harus meninjau dengan cermat perjanjian layanan cloud
mereka dengan penyedia cloud mereka untuk memastikan aplikasi dan data yang
dihosting di layanan cloud diamankan sesuai dengan kebijakan keamanan dan
kepatuhan mereka. Tapi itu belum semuanya. Meskipun banyak organisasi tahu
cara mengelola keamanan untuk pusat data mereka sendiri — mereka tidak yakin
apa yang harus mereka lakukan saat mengalihkan pekerjaan komputasi ke cloud.
Mereka membutuhkan set alat dan keahlian baru untuk mengelola keamanan
cloud dari ujungnya untuk mengonfigurasi dan meluncurkan instans cloud,
mengelola kontrol identitas dan akses, memperbarui kontrol keamanan agar
sesuai dengan perubahan konfigurasi, dan melindungi beban kerja dan data. Ada
kesalahpahaman di antara banyak departemen TI bahwa apa pun yang terjadi di
cloud bukanlah tanggung jawab mereka. Penting untuk memperbarui persyaratan
keamanan yang dikembangkan untuk pusat data perusahaan guna menghasilkan
persyaratan yang sesuai untuk penggunaan layanan cloud. Organisasi yang
menggunakan layanan cloud sering kali perlu menerapkan kontrol tambahan di
tingkat pengguna, aplikasi, dan data.
Penyedia layanan cloud telah membuat langkah besar dalam
memperketat keamanan untuk area tanggung jawab mereka.
Keamanan Amazon untuk layanan cloudnya hanya menyisakan sedikit
untuk kebetulan. Perusahaan menjaga batasan yang cermat di sekitar
stafnya, mengawasi apa yang mereka lakukan setiap hari,dan
menginstruksikan tim layanan untuk membatasi akses ke data melalui
perkakas dan otomatisasi. Amazon juga merotasi kredensial
keamanan untuk otentikasi dan verifikasi identitas dan sering
mengubahnya — terkadang dalam hitungan jam.
Ancaman terbesar terhadap data cloud untuk sebagian besar
perusahaan melibatkan keberuntungan dari tambalan perangkat
lunak atau kesalahpahaman karena mereka lalai menerapkan
tambalan perangkat lunak ke kerentanan keamanan yang baru
diidentifikasi ketika tersedia atau menunggu terlalu lama untuk
melakukannya Pada diskusi tentang manajemen tambalan di awal
bab ini) Perusahaan juga mengalami pelanggaran keamanan
karena mereka tidak mengonfigurasi aspek keamanan cloud yang
menjadi tanggung jawab mereka.
Pengguna yang sama lupa menyiapkan perlindungan kata sandi
bucket AWS (Bucket adalah unit penyimpanan logis di
penyimpanan Amazon Web Services (AWS). Bucket digunakan
untuk menyimpan objek, yang terdiri dari data dan metadata
yang mendeskripsikan data.) Orang lain tidak memahami fitur
keamanan dasar di Amazon seperti kebijakan akses berbasis
sumber daya (accss canitrol list) atau pemeriksaan izin bucket,
tanpa disadari mengekspos data ke Internet publik.

Penerbit keuangan Dow Jones & Co, mengkonfirmasi laporan pada Juli
2017 bahwa mereka mungkin telah mengungkapkan informasi pribadi
dan keuangan 12 juta pelanggan kepada publik, termasuk pelanggan The
Wall Street Journal dan Barron's. Kebocoran itu ditelusuri peretasan
dalam kesalahan konfigurasi dalam penyimpanan di keamanan AWS S3,
Dow Jones bermaksud untuk menyediakan akses semi-publik kepada
pelanggan tertentu melalui Internet.
Namun, akhirnya memberikan akses untuk mengunduh data
melalui URL ke pengguna yang diautentikasi, termasuk siapa saja
yang reye dialihkan secara gratis untuk akun AWS, Accenture,
Verizon, Viacom, Tesla, dan Uber Technologies adalah nama profil
tinggi lainnya di aliran tetap perusahaan yang telah mengungkapkan
informasi sensitif kesalahan konfigurasi keamanan vla AWS S3.
Konfigurasi seperti ini sering dilakukan oleh karyawan. Ces yang
tidak memiliki pengalaman keamanan saat konfigurasi keamanan
seharusnya ditangani oleh profesional TI yang terampil.
Menghentikan kesalahan konfigurasi bucket AWS mungkin juga
memerlukan kebijakan yang membatasi kerusakan yang disebabkan
oleh karyawan yang ceroboh atau tidak terlatih.
Meskipun pelanggan memiliki pilihan konfigurasi
keamanan untuk cloud, Amazon telah memilih
mengambil langkahnya sendiri untuk mencegah
kesalahan konfigurasi.

Pada November 2017, perusahaan memperbarui AWS dasbor ,encasing

public dengan warna oranye terang di Konsol AWS S3 sehingga
pelanggan cloud dapat dengan mudah melihat status izin akses ke
bucket dan benda-benda mereka. Ini membantu semua orang melihat
dengan lebih mudah saat bucket Amazon S3 terbuka untuk public.
Amazon juga menambahkan enkripsi default ke semua objek saat
disimpan dalam bucket AWS dan daftar control akses untuk replikasi
lintas wilayah. Alat baru lainnya disebut Zelkova memeriksa AWS S3
kebijakan keamanan untuk membantu pengguna mengidentifikasi yang
mana lebih permisif dari yang lain. Amazon Macie adalah layanan
terkelola yang menggunakan pembelajaran mesin untuk mendeteksi
informasi identitas pribadi dan kekayaan intelektual, dan telah tersedia
untuk S3 sejak Agustus 2017.
1. Jenis masalah keamanan apa yang ditimbulkan oleh komputasi
awan? Seberapa serius mereka? Jelaskan jawaban Anda.

Masalah keamanan yang dihadapi adalah pembajakan akun,

perampasan data. Pembajakan akun dan perampasan data sangatlah
berbahaya karena apabila data yang dicuri itu penting maka perusahaan
akan kehilangan kepercayaan dari konsumen dan banyak sekali data
yang penting yang bisa mengakibatkan kerugian perusahaan.
2. Faktor manajemen, organisasi, dan teknologi apa yang bertanggung jawab atas
masalah keamanan cloud? Sejauh mana keamanan cloud merupakan masalah
manajemen
Penyedia Cloud mengintegrasikan sistem manajemen identitas pelanggan ke dalam infrastruktur
mereka sendiri, menggunakan teknologi federasi atau SSO, atau sistem identifikasi berbasis
biometrik, atau menyediakan sistem manajemen identitas mereka sendiri. CloudID, misalnya,
menyediakan identifikasi biometrik berbasis cloud dan lintas perusahaan yang melestarikan
privasi. Ini menghubungkan informasi rahasia dari pengguna ke biometrik mereka dan
menyimpannya secara terenkripsi. Memanfaatkan teknik enkripsi yang dapat dicari, identifikasi
biometrik dilakukan dalam domain terenkripsi untuk memastikan bahwa penyedia cloud atau
penyerang potensial tidak mendapatkan akses ke data sensitif atau bahkan isi dari pertanyaan
individu. Manajemen keamanan menangani masalah ini dengan kontrol keamanan. Kontrol ini
dipasang untuk menjaga setiap kelemahan dalam sistem dan mengurangi efek serangan.
Keamanan komputasi cloud mengacu pada serangkaian kebijakan, teknologi, dan kontrol yang
diterapkan untuk melindungi data, aplikasi, dan infrastruktur komputasi awan yang terkait. Ini
adalah sub-domain keamanan komputer, keamanan jaringan, dan lebih luas lagi, keamanan
informasi. Jadi disini jelas sekali bahwa keamanan cloud sangat berhubungan dengan masalah
manajemen karena seperti yang dibilang sebelumnya bahwa manajemen keamanan mengatasi
masalah keamanan cloud.
3. Langkah apa yang dapat diambil organisasi untuk membuatnya sistem berbasis cloud lebih
aman?

Langkah yang dapat diambil organisasi untuk membuat sistem berbasis cloud lebih
aman adalah organisasi memerlukan set alat dan keahlian baru untuk mengelola
keamanan cloud dari ujungnya untuk mengonfigurasi dan meluncurkan instans cloud,
mengelola kontrol identitas dan akses, memperbarui kontrol keamanan untuk
menyesuaikan dengan perubahan konfigurasi, dan melindungi beban kerja dan data
dan perlu menerapkan kontrol tambahan di tingkat pengguna, aplikasi, dan data.
4. Haruskah perusahaan menggunakan public cloud untuk menjalankan
mission critical system mereka? Mengapa atau mengapa tidak?

Tidak ,karena walaupun tipe cloud ini sangat menarik bagi banyak
perusahaan karena mengurangi waktu pemrosesan dalam pengujian
dan peluncuran produk baruk ,tetapi public cloud ini memiliki risiko
yang membuat perusahaan merasa keamanan dalam melindungi
datanya itu kurang karena perusahaan tidak bertanggung jawab atas
pengelolaan solusi hosting public cloud sehingga data tersebut akan
disimpan oleh pelanggan dan pelanggan bertanggung jawab untuk
mengamankan aplikasi dan data tersebut.