Keamanan Sistem Informasi.docx

Keamanan Sistem Informasi 1. Kerentanan dan Penyalahgunaan Sistem Ketika sejumlah besar data yang disimpan dalam bentuk elektronik, mereka rentan terhadap banyak jenis ancaman daripada ketika mereka ada dalam bentuk manual. Melalui jaringan komunikasi, sistem informasi di lokasi yang berbeda saling berhubungan. Potensi akses yang tidak sah, penyalahgunaan, atau penipuan tidak terbatas pada satu lokasi tetapi dapat terjadi pada setiap titik akses dalam jaringan.

Gambar 8.1 Ancaman paling umum sistem informasi kontemporer

Mereka bisa berasal dari faktor teknis, organisasi, dan lingkungan diperparah dengan keputusan manajemen yang buruk. Dalam multi-tier client / server lingkungan komputasi yang digambarkan di sini, kerentanan ada pada setiap lapisan dan dalam komunikasi antara lapisan. Pengguna pada lapisan klien dapat menyebabkan kerusakan dengan memperkenalkan kesalahan atau dengan mengakses sistem tanpa otorisasi. Hal ini dimungkinkan untuk mengakses data yang mengalir melalui jaringan, mencuri data berharga selama transmisi, atau mengubah pesan tanpa otorisasi. Radiasi dapat mengganggu jaringan di berbagai titik juga. Penyusup dapat memulai penolakan-serangan layanan atau perangkat lunak berbahaya untuk mengganggu pengoperasian situs web. Mereka mampu menembus sistem perusahaan dan dapat merusak atau mengubah data perusahaan yang disimpan dalam database atau file. 

Program Perangkat Lunak Berbahaya:virus, worms, trojan horse, dan spyware

Program perangkat lunak berbahaya yang disebut sebagai malware dan meliputi berbagai ancaman, seperti virus komputer, worm, dan trojan horse. Sebuah virus komputer adalah sebuah program perangkat lunak jahat yang menempel lain program perangkat lunak atau file data untuk dieksekusi, biasanya tanpa sepengetahuan pengguna atau izin. Kebanyakan virus komputer memberikan “muatan.” Payload mungkin relatif jinak, seperti petunjuk untuk menampilkan pesan atau gambar, atau mungkin sangat merusak-merusak program atau data, menyumbat memori komputer, memformat hard drive komputer, atau program menyebabkan untuk menjalankan benar. Virus biasanya menyebar dari komputer ke komputer ketika manusia mengambil tindakan, seperti mengirim lampiran e-mail atau menyalin file yang terinfeksi. Kebanyakan serangan baru-baru ini datang dari worms, yang merupakan program komputer independen yang menyalin diri dari satu komputer ke komputer lain melalui jaringan. (Tidak seperti virus, mereka dapat beroperasi sendiri tanpa melampirkan file program komputer lain dan kurang mengandalkan perilaku manusia untuk menyebar dari komputer ke komputer. Hal ini menjelaskan mengapa worms komputer menyebar jauh lebih cepat daripada virus komputer.) Worms menghancurkan data dan program serta mengganggu atau bahkan menghentikan pengoperasian jaringan komputer. Sebuah Trojan horse adalah program perangkat lunak yang tampaknya menjadi jinak tetapi kemudian melakukan sesuatu yang lain dari yang diharapkan, seperti Zeus Trojan yang dijelaskan dalam kasus bab pembukaan. Trojan horse tidak sendiri virus karena tidak meniru, tetapi sering merupakan cara untuk virus atau kode berbahaya lainnya yang akan dimasukkan ke dalam sistem komputer. Istilah Trojan horse didasarkan pada kuda kayu besar yang digunakan oleh orang Yunani untuk mengelabui Trojan untuk membuka gerbang ke kota mereka dibentengi selama Perang Troya. Setelah di dalam tembok kota, tentara Yunani yang tersembunyi di kuda mengungkapkan diri mereka sendiri dan merebut kota. Pada saat ini, serangan injeksi SQL adalah ancaman malware terbesar. Serangan injeksi SQL memanfaatkan kerentanan dalam kode buruk perangkat lunak aplikasi web untuk memperkenalkan kode program berbahaya ke dalam sistem perusahaan dan jaringan. Kerentanan ini terjadi ketika aplikasi Web gagal untuk benar memvalidasi atau data filter dimasukkan oleh pengguna pada halaman Web, yang mungkin terjadi ketika memesan sesuatu secara online. Penyerang menggunakan masukan ini kesalahan validasi untuk mengirim query SQL nakal ke database untuk mengakses database, tanaman kode berbahaya, atau akses sistem lain pada jaringan. Aplikasi Web besar

memiliki ratusan tempat untuk memasukkan data pengguna, yang masing-masing menciptakan kesempatan bagi serangan injeksi SQL.



Hacker dan Kejahatan Komputer Seorang hacker adalah seorang individu yang bermaksud untuk mendapatkan

akses tidak sah ke sistem komputer. Dalam komunitas hacker, istilah cracker biasanya digunakan untuk menunjukkan seorang hacker dengan maksud kriminal, meskipun dalam pers umum, istilah hacker dan cracker digunakan secara bergantian. Hacker dan cracker mendapatkan akses tidak sah dengan mencari kelemahan dalam perlindungan keamanan yang dipekerjakan oleh situs Web dan sistem komputer, sering mengambil keuntungan dari berbagai fitur Internet yang membuatnya sistem terbuka yang mudah digunakan.



Spoofing dan Sniffing

Hacker mencoba untuk menyembunyikan identitas mereka yang sebenarnya sering spoof, atau menggambarkan, diri mereka sendiri dengan menggunakan alamat e-mail palsu atau menyamar sebagai orang lain. Spoofing mungkin juga melibatkan mengarahkan link Web ke alamat yang berbeda dari yang dimaksudkan, dengan situs yang menyamar sebagai tujuan. Sebagai contoh, jika hacker mengarahkan pelanggan ke situs web palsu yang terlihat hampir persis seperti situs yang benar, mereka dapat kemudian mengumpulkan dan proses order, efektif mencuri bisnis serta informasi pelanggan yang sensitif dari situs yang benar. Sebuah sniffer adalah jenis program penyadapan yang memonitor informasi bepergian melalui jaringan. Ketika digunakan secara sah, sniffer membantu mengidentifikasi potensi titik masalah jaringan atau kegiatan kriminal pada jaringan, tetapi bila digunakan untuk tujuan kriminal, mereka dapat merusak dan sangat sulit untuk dideteksi. Sniffer memungkinkan hacker untuk mencuri informasi hak milik dari mana saja pada jaringan, termasuk pesan e-mail, file perusahaan, dan laporan rahasia.



Denial of Service Attack

Dalam denial-of-service (DoS) serangan, hacker banjir server jaringan atau server Web dengan ribuan komunikasi palsu atau permintaan untuk layanan untuk kecelakaan jaringan. Jaringan menerima begitu banyak permintaan yang tidak dapat bersaing dengan mereka dan dengan demikian tidak tersedia untuk melayani permintaan yang sah. Didistribusikannya denial-of-service (DDoS) serangan menggunakan banyak komputer untuk menggenangi dan membanjiri jaringan dari berbagai titik peluncuran.



Computer Crime

Sebagian besar kegiatan hacker adalah tindak pidana, dan kerentanan sistem yang telah kami jelaskan membuat mereka menargetkan untuk jenis lain kejahatan komputer juga. Misalnya, pada awal Juli 2009, US agen federal menangkap Sergey Aleynikov, seorang programmer komputer di perusahaan perbankan investasi Goldman Sachs, untuk mencuri program komputer proprietary yang digunakan dalam membuat keuntungan perdagangan cepat di pasar keuangan. Perangkat lunak ini membawa keuntungan bagi Goldman jutaan dolar per tahun dan, di tangan yang salah, bisa digunakan untuk memanipulasi pasar keuangan dengan cara yang tidak adil. Kejahatan komputer didefinisikan oleh Departemen Kehakiman AS sebagai “pelanggaran hukum pidana yang melibatkan

pengetahuan

teknologi

komputer

untuk

persiapan

mereka,

penyelidikan, atau penuntutan.”



Identity Theft (Pencurian identitas)

Dengan pertumbuhan internet dan perdagangan elektronik, pencurian identitas telah menjadi sangat mengganggu. Pencurian identitas adalah kejahatan di mana seorang penipu memperoleh potongan kunci informasi pribadi, seperti nomor jaminan sosial identifikasi, nomor SIM, atau nomor kartu kredit, untuk menyamar orang lain. Informasi yang dapat digunakan untuk memperoleh kredit, barang, atau jasa atas nama korban atau untuk memberikan pencuri dengan

mandat palsu. Menurut Javelin Strategy dan Penelitian, kerugian dari pencurian identitas naik menjadi $ 54 miliar pada tahun 2009, dan lebih dari 11 juta orang dewasa AS adalah korban penipuan identitas (Javelin Strategy & Research, 2010).



Click Fraud(klik Penipuan) Ketika Anda mengklik pada iklan yang ditampilkan oleh mesin pencari, pengiklan biasanya membayar biaya untuk setiap klik, yang seharusnya mengarahkan calon pembeli untuk produk-produknya. Klik penipuan terjadi ketika program individu atau komputer curang mengklik iklan online tanpa niat belajar lebih banyak tentang pengiklan atau melakukan pembelian. Klik penipuan telah menjadi masalah serius di Google dan situs lainnya yang menampilkan bayar per-klik iklan online.



Ancaman Internal: Karyawan Kita cenderung berpikir ancaman keamanan untuk bisnis berasal dari luar organisasi. Bahkan, orang dalam perusahaan menimbulkan masalah keamanan serius. Karyawan memiliki akses ke informasi rahasia, dan dengan adanya prosedur keamanan internal ceroboh, mereka sering mampu menjelajah seluruh sistem organisasi tanpa meninggalkan jejak. Studi telah menemukan bahwa kurangnya pengguna pengetahuan adalah penyebab tunggal terbesar dari pelanggaran keamanan jaringan. Banyak karyawan lupa password mereka untuk mengakses

sistem

komputer

atau

memungkinkan

rekan

kerja

untuk

menggunakannya, yang terdiri sistem. Penyusup berbahaya mencari akses sistem kadang-kadang menipu karyawan untuk mengungkapkan password mereka dengan berpura-pura menjadi anggota yang sah dari perusahaan yang membutuhkan informasi. Praktek ini disebut social engineering.



Kerentanan Software Kesalahan perangkat lunak menimbulkan ancaman konstan untuk sistem informasi, menyebabkan kerugian yang tak terhitung dalam produktivitas. Tumbuh kompleksitas dan ukuran program perangkat lunak, ditambah dengan

tuntutan untuk pengiriman tepat waktu ke pasar, telah memberikan kontribusi untuk peningkatan kelemahan perangkat lunak atau kerentanan Misalnya, kesalahan yang berhubungan dengan database software dicegah jutaan JP Morgan Chase ritel dan usaha kecil pelanggan mengakses bank online mereka menyumbang dua hari pada bulan September 2010 (Dash, 2010).

2.

Nilai Bisnis dari Pengamanan dan Pengendalian  Persyaratan dan Peraturan untuk hukum Electronic Records Management Peraturan pemerintah AS baru-baru ini memaksa perusahaan untuk mengambil keamanan dan kontrol yang lebih serius oleh mandat perlindungan data dari penyalahgunaan, paparan, dan akses yang tidak sah. Perusahaan menghadapi kewajiban hukum baru untuk retensi dan penyimpanan catatan elektronik serta untuk perlindungan privasi, yaitu: a) ERM b) HIPAA c) Gramm-Leach-Bliley d) Sarbanes-Oxley  Bukti Elektronik dan Forensik Komputer Sebuah kebijakan retensi dokumen elektronik yang efektif memastikan bahwa dokumen elektronik, e-mail, dan catatan lainnya yang terorganisasi dengan baik, dapat diakses, dan tidak ditahan terlalu lama atau terlalu cepat dibuang. Hal ini juga mencerminkan kesadaran tentang bagaimana untuk menyimpan bukti potensi forensik komputer. Forensik komputer adalah koleksi ilmiah, pemeriksaan, otentikasi, pelestarian, dan analisis data dilaksanakan pada atau diambil dari media penyimpanan komputer sedemikian rupa bahwa informasi yang dapat digunakan sebagai bukti dalam pengadilan. Ini berkaitan dengan masalah berikut: 

Memulihkan data dari komputer sambil menjaga integritas bukti



Aman menyimpan dan penanganan data elektronik pulih



Mencari informasi yang signifikan dalam volume besar data elektronik



Menyajikan informasi untuk pengadilan Bukti elektronik mungkin berada pada media penyimpanan komputer dalam

bentuk file komputer dan sebagai data ambien, yang tidak terlihat oleh pengguna ratarata. Sebuah contoh mungkin file yang telah dihapus pada PC hard drive. Data yang

pengguna komputer mungkin telah dihapus pada media penyimpanan komputer dapat dipulihkan melalui berbagai teknik. Ahli forensik komputer mencoba untuk memulihkan data tersembunyi seperti untuk presentasi sebagai bukti.

3.

Menetapkan Kerangka Kerja untuk Pengamanan dan Pengendalian  Pengendalian Sistem Informasi Kontrol sistem informasi yang baik manual dan otomatis dan terdiri dari kedua kontrol umum dan pengendalian aplikasi. Kontrol umum mengatur desain, keamanan, dan penggunaan program komputer dan keamanan file data secara umum seluruh infrastruktur teknologi informasi organisasi. Secara keseluruhan, kontrol umum berlaku untuk semua aplikasi komputerisasi dan terdiri dari kombinasi hardware, software, dan prosedur manual yang menciptakan lingkungan kontrol secara keseluruhan. Kontrol umum mencakup kontrol perangkat lunak, kontrol fisik perangkat keras, kontrol operasi komputer, kontrol keamanan data, kontrol atas pelaksanaan proses sistem, dan kontrol administratif. Kontrol aplikasi yaitu kontrol khusus yang unik untuk masing-masing aplikasi terkomputerisasi, seperti gaji atau perintah pengolahan. Mereka mencakup prosedur otomatis dan manual yang memastikan bahwa data hanya berwenang yang lengkap dan akurat diproses oleh aplikasi tersebut. Kontrol aplikasi dapat diklasifikasikan sebagai (1) kontrol input, (2) kontrol pengolahan, dan (3) kontrol output.

 2. Perkiraan Resiko Sebuah penilaian risiko menentukan tingkat risiko ke perusahaan jika kegiatan atau proses tertentu tidak terkontrol dengan baik. Tidak semua risiko bisa diantisipasi dan diukur, tetapi sebagian besar bisnis akan dapat memperoleh beberapa pemahaman tentang risiko yang mereka hadapi. Manajer bisnis bekerja dengan spesialis sistem informasi harus mencoba untuk menentukan nilai aset informasi, poin kerentanan, frekuensi kemungkinan masalah, dan potensi kerusakan.  Kebijakan Keamanan Setelah Anda mengidentifikasi risiko utama untuk sistem Anda, perusahaan Anda perlu mengembangkan kebijakan keamanan untuk melindungi aset perusahaan. Sebuah kebijakan keamanan terdiri dari laporan peringkat risiko informasi,

mengidentifikasi tujuan keamanan diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan-tujuan ini. Manajemen harus memperkirakan berapa banyak biaya untuk mencapai tingkat risiko yang dapat diterima.  Perencanaan Pemulihan Bencana dan Perencanaan Kontinuitas Usaha Jika kita menjalankan bisnis, kita perlu merencanakan sebuah solusi untuk suatu masalah, seperti listrik padam, banjir, gempa bumi, atau serangan teroris yang akan mencegah sistem informasi dan bisnis Anda dari masalah ini. Perangkat perencanaan pemulihan bencana berencana untuk pemulihan komputasi dan komunikasi jasa setelah mereka terganggu. Rencana pemulihan bencana terfokus pada masalah teknis yang terlibat dalam menjaga sistem agar berjalan seperti biasanya, seperti membuat cadangan file dan pemeliharaan sistem komputer cadangan atau layanan pemulihan bencana.

 Peran Audit Audit MIS (Management Information System) meneliti lingkungan keamanan secara keseluruhan perusahaan serta kontrol yang mengatur sistem informasi individu. Auditor harus melacak aliran transaksi sampel melalui sistem dan melakukan tes, menggunakan, jika sesuai, perangkat lunak audit otomatis. Audit MIS juga dapat memeriksa kualitas data.

4.

Teknologi dan Alat untuk Melindungi Sumber Informasi a) Management Identitas dan Otentikasi Perusahaan besar dan menengah memiliki infrastruktur TI yang kompleks dan sistem yang berbeda, masing-masing dengan mengatur sendiri pengguna. Perangkat lunak manajemen identitas mengotomatisasi proses melacak semua pengguna ini dan hak istimewa sistem mereka, menetapkan setiap pengguna identitas digital yang unik untuk mengakses setiap sistem. Hal ini juga mencakup perangkat untuk otentikasi pengguna, melindungi identitas pengguna, dan mengendalikan akses ke sumber daya sistem. b) Firewall, Intrusion Detection Systems, dan Antivirus Software

Tanpa perlindungan terhadap malware dan penyusup, terhubung ke Internet akan sangat berbahaya. Firewall, sistem deteksi intrusi, dan perangkat lunak antivirus merupakan alat bisnis yang penting. Firewall Firewall mencegah pengguna yang tidak sah mengakses jaringan pribadi. Firewall adalah kombinasi dari hardware dan software yang mengontrol arus lalu lintas jaringan masuk dan keluar. Intrusion Detection Systems Selain firewall, vendor keamanan komersial sekarang menyediakan alat-alat deteksi intrusi dan layanan untuk melindungi lalu lintas jaringan yang mencurigakan yang berupaya untuk mengakses file dan database. Sistem deteksi intrusi merupakan fitur alat pemantauan penuh waktu yang ditempatkan pada titik-titik yang paling rentan atau “hot spot” pada jaringan perusahaan untuk mendeteksi dan mencegah penyusup. Sistem ini akan menghasilkan alarm jika menemukan peristiwa atau anomali yang mencurigakan. Scanning software mencari pola untuk menunjukkan metode yang dikenal serangan komputer, seperti password yang buruk, memeriksa apakah file penting telah dihapus atau diubah, dan mengirimkan peringatan vandalisme atau sistem administrasi kesalahan.

Antivirus and Antispyware Software Rencana teknologi defensif yang kedua untuk individu dan bisnis harus mencakup perlindungan antivirus pada setiap komputer. Perangkat lunak antivirus dirancang untuk memeriksa sistem komputer dan drive terhadap

kehadiran

virus

komputer.

Seringkali

perangkat

lunak

menghilangkan virus dari daerah yang terinfeksi. Namun, antivirus hanya efektif terhadap virus yang sudah dikenal ketika perangkat lunak dibuat. Untuk tetap efektif, antivirus harus terus diperbarui.

Unified Threat Management System

Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor keamanan telah digabungkan menjadi satu kesatuan alat keamanan, termasuk firewall, jaringan pribadi virtual, sistem deteksi intrusi, dan konten Web penyaringan dan software antispam. Produk manajemen keamanan yang komprehensif ini disebut sistem manajemen ancaman terpadu (UTM). Meskipun awalnya ditujukan untuk bisnis kecil dan menengah,

produk UTM tersedia untuk semua ukuran jaringan. Vendor terkemuka UTM termasuk palang, Fortinent, dan Check Point, dan vendor jaringan seperti Cisco Systems dan Juniper Networks menyediakan beberapa kemampuan UTM dalam peralatan mereka c)

Mengamankan Jaringan Wireless WEP menyediakan beberapa margin keamanan jika pengguna Wi-Fi ingat untuk

mengaktifkannya. Langkah pertama yang sederhana untuk menggagalkan hacker adalah untuk menetapkan nama unik untuk SSID jaringan Anda dan menginstruksikan router Anda tidak menyiarkannya. Perusahaan dapat lebih meningkatkan keamanan Wi-Fi dengan menggunakannya dalam hubungannya dengan virtual private network (VPN) teknologi saat mengakses data internal perusahaan. d) Enkripsi dan Infrastruktur Kunci Publik Banyak bisnis menggunakan enkripsi untuk melindungi informasi digital yang mereka menyimpan, mentransfer secara fisik, atau mengirim melalui Internet. Enkripsi adalah proses transformasi teks biasa atau data ke dalam teks cipher yang tidak dapat dibaca oleh orang lain selain pengirim dan penerima yang dimaksudkan. Data yang dienkripsi dengan menggunakan kode numerik rahasia, disebut kunci enkripsi, yang mengubah data biasa ke dalam teks cipher. Pesan harus didekripsi oleh penerima. Dua metode untuk mengenkripsi lalu lintas jaringan di Web adalah SSL dan SHTTP. Secure Socket Layer (SSL) dan Transport Layer Security penerus nya (TLS) memungkinkan klien dan server komputer untuk mengelola kegiatan enkripsi dan dekripsi karena mereka berkomunikasi satu sama lain selama sesi Web aman. Aman Hypertext Transfer Protocol (S-HTTP) adalah protokol lain yang digunakan untuk mengenkripsi data yang mengalir melalui Internet, tetapi terbatas untuk pesan individu, sedangkan SSL dan TLS dirancang untuk membuat sambungan aman antara dua komputer. Sebuah sistem enkripsi kunci publik dapat dilihat sebagai rangkaian kunci publik dan swasta yang mengunci data ketika mereka ditransmisikan dan membuka data ketika mereka diterima. Pengirim menempatkan kunci publik penerima dalam sebuah direktori dan menggunakannya untuk mengenkripsi pesan. Pesan dikirim dalam bentuk terenkripsi melalui Internet atau jaringan pribadi. Ketika pesan terenkripsi tiba, penerima menggunakan kunci pribadi nya untuk mendekripsi data dan membaca pesan.

e) Memastikan Sistem Ketersediaan Sebagai perusahaan semakin bergantung pada jaringan digital untuk pendapatan dan operasi, mereka perlu mengambil langkah-langkah tambahan untuk memastikan bahwa sistem dan aplikasi mereka selalu tersedia. f) Memastikan Kualitas Software Selain menerapkan keamanan dan kontrol yang efektif, organisasi dapat meningkatkan kualitas dan keandalan sistem dengan menggunakan metrik perangkat lunak dan pengujian perangkat lunak yang ketat. Metrik perangkat lunak adalah penilaian obyektif dari sistem dalam bentuk pengukuran kuantitatif. Penggunaan berkelanjutan metrik memungkinkan pengguna sistem informasi departemen dan akhir untuk bersamasama mengukur kinerja sistem dan mengidentifikasi masalah yang terjadi. Contoh metrik perangkat lunak meliputi jumlah transaksi yang dapat diproses di unit waktu tertentu, waktu respon online, jumlah cek gaji yang dicetak per jam, dan jumlah bug yang dikenal per seratus baris kode program. Untuk metrik menjadi sukses, mereka harus hati-hati dirancang, formal, objektif, dan digunakan secara konsisten.