MELINDUNGI SISTEM INFORMASI

Dosen Pengampu: Wahyu Maulana SE. MM

Disusun Oleh Kelompok 1:
ROUFAN ZAINURI (2018215001)
LUCY RAHMAWATI (2020210006)
FAIZ ABRORY (2020210042)
NADIA WARDANA (2020210044)
ACH. RIFKI FAJAR IRVANSYAH (2020210050)
Mengapa sistem informasi rentan
terhadap kehancuran, kesalahan,
dan penyalahgunaan?
 MENGAPA SISTEM RENTAN

Ketika sejumlah besar data disimpan dalam bentuk elektronik, mereka rentan terhadap berbagai jenis
ancaman. Melalui jaringan komunikasi, sistem informasi di lokasi yang berbeda saling berhubungan. Akses,
penyalahgunaan, atau penipuan tidak terbatas pada satu lokasi tetapi dapat terjadi pada setiap titik akses
dalam jaringan. Dalam lingkungan komputasi klien/server multitingkat yang diilustrasikan di sini, kerentanan
ada di setiap lapisan dan dalam komunikasi antar lapisan. Pengguna di lapisan klien dapat menyebabkan
kerusakan dengan memperkenalkan kesalahan atau dengan mengakses sistem tanpa otorisasi. Dimungkinkan
untuk mengakses data yang mengalir melalui jaringan, mencuri data berharga selama transmisi, atau
mengubah data tanpa otorisasi. Radiasi juga dapat mengganggu jaringan di berbagai titik. Penyusup dapat
meluncurkan serangan denial-of-service atau perangkat lunak berbahaya untuk mengganggu pengoperasian
situs web. Mereka yang mampu menembus sistem perusahaan dapat mencuri, merusak, atau mengubah data
perusahaan yang disimpan dalam database atau file.
Popularitas perangkat seluler genggam untuk komputasi bisnis menambah kesengsaraan ini. Portabilitas
membuat ponsel, smartphone, dan komputer tablet mudah hilang atau dicuri. Smartphone berbagi kelemahan
keamanan yang sama dengan perangkat Internet lainnya dan rentan terhadap perangkat lunak berbahaya dan
penetrasi dari pihak luar. Ponsel pintar yang digunakan karyawan perusahaan seringkali berisi data sensitif
seperti angka penjualan, nama pelanggan, nomor telepon, dan alamat email.
 KERENTANAN INTERNET &
TANTANGAN KEMANAN
NIRKABEL
Jaringan publik yang besar, seperti Internet, lebih rentan daripada
jaringan internal karena secara virtual terbuka untuk siapa saja. Internet
sangat besar sehingga ketika penyalahgunaan terjadi, mereka dapat
memiliki dampak yang sangat luas. Ketika Internet menjadi bagian dari
jaringan perusahaan, sistem informasi organisasi bahkan lebih rentan
terhadap tindakan pihak luar.
Teknologi transmisi Wi-Fi dirancang untuk memudahkan stasiun
menemukan dan mendengar satu sama lain. Service set identifiers (SSID)
yang mengidentifikasi titik akses dalam jaringan Wi-Fi disiarkan berkali-kali
dan dapat diambil dengan cukup mudah oleh program sniffer penyusup
(lihat Gambar 8.2). Jaringan nirkabel di banyak lokasi tidak memiliki
perlindungan dasar terhadapmengemudi perang, di mana penyadap
berkendara melewati gedung atau parkir di luar dan mencoba mencegat lalu
lintas jaringan nirkabel.
 PERETAS DAN
KEJAHATAN KOMPUTER

Sebuah peretas adalah individu yang berniat untuk mendapatkan akses tidak sah
ke sistem komputer. Dalam komunitas peretasan, istilahnya cracker biasanya
digunakan untuk menunjukkan seorang peretas dengan niat kriminal, meskipun
dalam pers publik, istilahnya peretas dan cracker digunakan secara bergantian.
Peretas mendapatkan akses tidak sah dengan menemukan kelemahan dalam
perlindungan keamanan yang digunakan situs web dan sistem komputer, seringkali
memanfaatkan berbagai fitur Internet yang menjadikannya sistem terbuka dan
mudah digunakan. Aktivitas peretas telah meluas melampaui sekadar gangguan
sistem hingga mencakup pencurian barang dan informasi serta kerusakan sistem
dancybervandalisme, gangguan yang disengaja, perusakan, atau bahkan
penghancuran situs web atau sistem informasi perusahaan.
Ancaman Global: Cyberterrorism dan
Cyberwarfare
Cyberwarfare lebih kompleks daripada perang konvensional.
Meskipun banyak target potensial adalah militer, jaringan listrik,
sistem keuangan, dan jaringan komunikasi suatu negara juga
dapat dilumpuhkan. Aktor non-negara seperti teroris atau
kelompok kriminal dapat melakukan serangan, dan seringkali sulit
untuk mengetahui siapa yang bertanggung jawab. Bangsa-
bangsa harus selalu waspada terhadap malware baru dan
teknologi lain yang dapat digunakan untuk melawan mereka, dan
beberapa teknologi yang dikembangkan oleh kelompok peretas
terampil ini dijual secara terbuka kepada pemerintah yang
berkepentingan. Persiapan untuk serangan cyberwarfare menjadi
jauh lebih luas, canggih, dan berpotensi menghancurkan.
Ancaman Internal: Karyawan
Kami cenderung menganggap ancaman keamanan terhadap
bisnis berasal dari luar organisasi. Faktanya, orang dalam
perusahaan menimbulkan masalah keamanan yang serius.
Karyawan memiliki akses ke informasi istimewa, dan dengan adanya
prosedur keamanan internal yang ceroboh, mereka seringkali dapat
menjelajah seluruh sistem organisasi tanpa meninggalkan jejak. 
Studi telah menemukan bahwa kurangnya pengetahuan
pengguna adalah satu-satunya penyebab terbesar pelanggaran
keamanan jaringan. Banyak karyawan lupa kata sandi mereka untuk
mengakses sistem komputer atau membiarkan rekan kerja
menggunakannya, yang membahayakan sistem. Penyusup jahat
yang mencari akses sistem terkadang mengelabui karyawan agar
mengungkapkan kata sandi mereka dengan berpura-pura menjadi
anggota sah perusahaan yang membutuhkan informasi. Praktek ini
disebut rekayasa sosial.
 APA NILAI BISNIS
KEMANAN DAN KONTROL?

Keamanan dan kontrol yang tidak memadai dapat mengakibatkan tanggung jawab hukum yang serius.
Bisnis harus melindungi tidak hanya aset informasi mereka sendiri tetapi juga aset pelanggan,
karyawan, dan mitra bisnis. Kegagalan untuk melakukannya dapat membuka perusahaan untuk litigasi
yang mahal untuk pemaparan atau pencurian data. Suatu organisasi dapat dimintai pertanggung
jawaban atas risiko yang tidak perlu dan kerugian yang ditimbulkan jika organisasi tersebut gagal
mengambil tindakan perlindungan yang tepat untuk mencegah hilangnya informasi rahasia, korupsi data,
atau pelanggaran privasi. Kerangka kerja keamanan dan kontrol yang baik yang melindungi aset
informasi bisnis dapat menghasilkan pengembalian investasi yang tinggi. Keamanan dan kontrol yang
kuat juga meningkatkan produktivitas karyawan dan menurunkan biaya operasional.
 APA SAJA KOMPONEN
KERANGKA ORGANISASI
UNTUK KEAMANAN DAN
KONTROL?
 KONTROL SISTEM
INFORMASI
Kontrol sistem informasi bersifat manual dan otomatis dan terdiri dari kontrol umum dan aplikasi. Kontrol umum
mengatur desain, keamanan, dan penggunaan program komputer dan keamanan file data secara umum di
seluruh infrastruktur teknologi informasi organisasi. Secara keseluruhan, pengendalian umum berlaku untuk
semua aplikasi terkomputerisasi dan terdiri dari kombinasi perangkat keras, perangkat lunak, dan prosedur
manual yang menciptakan lingkungan pengendalian secara keseluruhan.
• Kontrol umum meliputi kontrol perangkat lunak, kontrol perangkat keras fisik, kontrol operasi komputer,
kontrol keamanan data, kontrol atas proses pengembangan sistem, dan kontrol administratif.
• Kontrol aplikasi adalah kontrol khusus yang unik untuk setiap aplikasi terkomputerisasi, seperti penggajian
atau pemrosesan pesanan. Mereka mencakup prosedur otomatis dan manual yang memastikan bahwa hanya
data resmi yang diproses secara lengkap dan akurat oleh aplikasi tersebut. Kontrol aplikasi dapat
diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan, dan (3) kontrol output.
1. Kontrol masukan memeriksa data untuk akurasi dan kelengkapan ketika mereka memasuki sistem. Ada
kontrol input khusus untuk otorisasi input, konversi data, pengeditan data, dan penanganan kesalahan.
2. Kontrol pemrosesan menetapkan bahwa data lengkap dan akurat selama pemutakhiran.
3. Kontrol keluaran memastikan bahwa hasil pemrosesan komputer akurat, lengkap, dan terdistribusi dengan
baik
 JENIS PENGENDALIAN UMUM
Kontrol perangkat lunak
Kontrol perangkat keras
Kontrol operasi komputer
Kontrol keamanan data
Kontrol implementasi
Kontrol administratif
KETERANGAN
Pantau penggunaan perangkat lunak sistem dan cegah akses dan penggunaan
program perangkat lunak, perangkat lunak sistem, dan program komputer yang
tidak sah.
Pastikan perangkat keras komputer aman secara fisik dan periksa kerusakan
peratan. Organisasi yang sangat bergantung pada komputer mereka juga harus
membuat ketentuan untuk cadangan atau melanjutkan operasi untuk
mempertahankan layanan konstan.
Mengawasi pekerjaan departemen komputer untuk memastikan bahwa prosedur
terprogram diterapkan secara konsisten dan benar pada penyimpanan dan
pemrosesan data. Mereka termasuk kontrol atas pengaturan pekerjaan
pemrosesan komputer dan prosedur pencadangan dan pemulihan untuk
pemrosesan yang berakhir tidak normal.
Pastikan bahwa file data binis berharga yang dikelola secara internal atau oleh
layanan hosting eksternal tidak tunduk pada akses, perubahan, atau
penghancuran yang tidak sah saat sedang digunakan atau disimpan.
Mengaudit proses pengembangan di berbagai titik untuk memastikan bahwa
proses tersebut dikendalikan dan dikelola dengan baik.
Memformalkan standar, aturan, prosedur, dan disiplin kontrol untuk memastikan
bahwa kontrol umum dan aplikasi organisasi dijalankan dan ditegakkan dengan
benar.
 TUGAS BERESIKO

Sebelum perusahaan Anda menerapkan sumber daya untuk kontrol keamanan dan sistem informasi,
perusahaan harus mengetahui aset mana yang memerlukan perlindungan dan sejauh mana aset
tersebut rentan. Penilaian risiko membantu menjawab pertanyaan-pertanyaan ini dan menentukan
rangkaian kontrol yang paling hemat biaya untuk melindungi aset. Sebuah tugas beresiko menentukan
tingkat risiko bagi perusahaan jika aktivitas atau proses tertentu tidak dikendalikan dengan baik. Tidak
semua risiko dapat diantisipasi dan diukur, tetapi sebagian besar bisnis akan dapat memperoleh
pemahaman tentang risiko yang mereka hadapi. Manajer bisnis yang bekerja dengan spesialis sistem
informasi harus mencoba menentukan nilai aset informasi, titik kerentanan, kemungkinan frekuensi
masalah, dan potensi kerusakan.
 KEBIJAKAN KEMANAN

Setelah mengidentifikasi risiko utama pada sistem, perusahaan perlu mengembangkan kebijakan keamanan
untuk melindungi aset perusahaan. Sebuah kebijakan keamanan terdiri dari pernyataan peringkat risiko
informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk
mencapai tujuan tersebut. Manajemen harus memperkirakan berapa banyak biaya untuk mencapai tingkat
risiko yang dapat diterima ini.
Kebijakan keamanan mendorong kebijakan lain yang menentukan penggunaan sumber daya informasi
perusahaan yang dapat diterima dan anggota perusahaan mana yang memiliki akses ke aset informasinya.
Sebuah kebijakan penggunaan yang dapat diterima mendefinisikan penggunaan sumber daya informasi dan
peralatan komputasi perusahaan yang dapat diterima, termasuk komputer desktop dan laptop, perangkat
nirkabel, telepon, dan Internet.
Kebijakan keamanan juga mencakup ketentuan untuk manajemen identitas. Manajemen identitas terdiri dari
proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna yang valid dari sistem dan mengendalikan
akses mereka ke sumber daya sistem. Ini mencakup kebijakan untuk mengidentifikasi dan mengesahkan
berbagai kategori pengguna sistem, menentukan sistem atau bagian sistem apa yang boleh diakses oleh setiap
pengguna, dan proses serta teknologi untuk mengautentikasi pengguna dan melindungi identitas.
 PERAN AUDIT

Sebuah audit sistem informasi memeriksa lingkungan keamanan perusahaan secara

keseluruhan serta kontrol yang mengatur sistem informasi individu. Auditor harus menelusuri
alur transaksi sampel melalui sistem dan melakukan pengujian, dengan menggunakan, jika
sesuai, perangkat lunak audit otomatis. Audit sistem informasi juga dapat memeriksa kualitas
data.

Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan personel. Audit
menyeluruh bahkan akan mensimulasikan serangan atau bencana untuk menguji respons
teknologi, staf sistem informasi, dan karyawan bisnis.