Chapter 8.docx

CHAPTER 8 SECURING INFORMATION SYSTEM (MENGAMANKAN (MENGAMANKAN SISTEM INFORMASI) A. PENDAHULUAN

Sistem informasi adalah suatu alur yang berupaya untuk mengubah sekumpulan data menjadi informasi, biasanya berupa analisa suatu masalah dengan mengumpulkan data mentahannya dan selanjutnya akan diolah lebih lanjut dengan metode tertentu sehingga menghasilkan keterangan yang menggambarkan keadaan nyata berdasarkan data yang dianalisa sebelumnya, selanjutnya hasilnya biasanya akan digunakan untuk mengambil keputusan. Sistem informasi berbasis ilmu teknologi saat ini digunakan oleh hampir seluruh  perusahaan-perusahaan global. Keunggulan dari sistem informasi berbasis ilmu teknologi adalah cepat dan mudah digunakan untuk melakukan proses bisnis maupun menganalisis suatu persoalan dan hasilnya yang akurat. Tidak bisa dipungkiri memang hal semacam ini sangat dibutuhkan untuk mengambil sebuah keputusan yang harus segera diambil oleh seorang manajer atau sebuah perusahaan. Dalam dunia teknologi, seberapa canggih pun sebuah sistem tetap terdapat kekurangan, salah satunya berhubungan dengan peretasan. Aplikasi merupakan salah satu  jenis cara yang digunakan dalam sistem informasi. Sejauh mana pengendalian aplikasi mempunyai peran dalam mencegah dan mendeteksi adanya kesalahan-kesalahan. Sebuah  pengendalian dikatakan berhasil ketika kesalahan-kesalahan yang ada dapat diminimalisir sehingga kejadian yang tidak diinginkan dapat diredam bahkan dihilangkan. Betapa pentingnya informasi dalam kehidupan manusia, sehingga informasi yang datang tidak boleh terlambat , tidak boleh bias(berat sebelah) harus bebas dari kesalahankesalahan dan relevan dengan penggunanya, sehingga informasi tersebut menjadi informasi yang berkualitas dan berguna bagi pemakainya. Untuk mendapatkan informasi yang  berkualitas perlu dibangun sebuah sistem informasi sebagai media pembangkitnya. Sistem informasi merupakan cara menghasilkan informasi yang berguna . informasi yang berguna akan mendukung sebuah keputusan bagi pemakainya. B. PENDEKATAN SISTEM

Pendekatan sistem adalah suatu prosedur langkah yang digunakan dalam memecahkan masalah. Tiap langkah mencakup satu keputusan atau lebih, dan untuk tiap keputusan diperlukan informasi. Pengendalian umum dirancang untuk menjamin bahwa seluruh sistem computer dapat berfungsi secara optimal dan pengolahan data dapat dilakukan secara lancar sesuai dengan yang direncanakan. Sistem Informasi Informasi Rentan terhadap Kerusakan, Kesalahan, Kesalahan, dan Pelanggaran

Dalam dunia bisnis global, sebuah perusahaan pasti memiliki saingan, atau masyarakat yang merasa terganggu akan keberadaan perusahaan tersebut. Upaya-upaya penyadapan,

 peretasan atau usaha untuk mengetahui privasi sebuah perusahaan sangat mungkin terjadi. Hal tersebut terjadi karena beberapa alasan, diantaranya perusahaan yang meretas ingin mengetahui tentang rahasia-rahasia dari perusahaan yang diretas, selain itu jika dari masyarakat yang tidak suka dengan keberadaan perusahaan memiliki motif untuk merusak sistem informasi didalam perusahaan atau membocorkan rahasia perusahaan kepada publik, dll. Data digital rentan terhadap kerusakan, penyalahgunaan, kesalahan, penipuan, dan  perangkat keras atau perangkat lunak kegagalan. Internet dirancang untuk menjadi sistem terbuka dan membuat sistem internal perusahaan lebih rentan tindakan dari pihak luar. Hacker dapat melancarkan serangan denial-of-service (DoS) atau menembus perusahaan  jaringan, menyebabkan gangguan sistem yang serius. jaringan Wi-Fi dapat dengan mudah ditembus oleh penyusup menggunakan program sniffer untuk mendapatkan alamat untuk mengakses sumber daya jaringan. virus komputer dan cacin g dapat menonaktifkan sistem dan situs Web. Sifat tersebar komputasi awan membuatnya sulit untuk melacak aktivitas yang tidak sah atau menerapkan kontrol dari jauh. Software menyajikan masalah karena bug software mungkin mustahil untuk menghilangkan dan karena kerentanan perangkat lunak dapat dieksploitasi oleh hacker dan perangkat lunak berbahaya. Keamanan dan Kontrol

Keamanan adalah kebijakan prosedur dan langkah teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan, pencurian, atau kerusakan fisik terhadap sistem informasi yang digunakan. Sedangkan kontrol adalah metode, kebijakan, dan prosedur organisasi yang memastikan keamanan aset organisasi: akurasi dan keandalan catatan akuntansi, dan kepatuhan operasional standar manajemen. Berikut merupakan beberapa kemungkinan dari alasan sebuah sistem dapat diretas, antara lain : 1. Aksesibilitas jaringan 2. Masalah Hardware (kerusakan, konfigurasi kesalahan, kerusakan dari penyalahgunaan atau kejahatan) 3. Masalah software (pemrograman kesalahan, instalasi kesalahan, perubahan tidak sah) 4. Bencana 5. Penggunaan jaringan / komputer di luar kendali perusahaan 6. Kehilangan dan pencurian perangkat portabel Tantangan keamanan kontemporer dan kerentanan

Arsitektur aplikasi berbasis web biasanya termasuk klien Web, server, dan sistem informasi perusahaan terkait dengan database. Masing-masing komponen ini menyajikan tantangan keamanan dan kerentanan. Banjir, kebakaran, gangguan listrik, dan masalah listrik lainnya dapat menyebabkan gangguan pada setiap titik dalam jaringan. Selain sistem yang diretas, kerentanan internet pun juga menjadi penyebab terjadinya peretasan, antara lain : 1. Jaringan terbuka bagi siapa saja 2. Ukuran internet berarti pelanggaran dapat memiliki dampak yang luas 3. Penggunaan alamat Internet tetap dengan modem kabel atau DSL menciptakan target hacker tetap terenkripsi VOIP 4. E-mail, P2P, IM - Penangkapan - Lampiran dengan perangkat lunak berbahaya - Mengirimkan rahasia dagang Tantangan Keamanan Nirkabel 1. Pita Frekuensi Radio udah untuk Memindai 2. SSIDs (service set identifiers / seperangkat layanan pengenal) - Identify access points / Mengidentifikasi Titik Akses - Broadcast multiple times / Disiarkan Beberapa Kali - War driving 3. Penyadap drive oleh bangunan dan mencoba untuk mendeteksi SSID dan mendapatkan akses ke jaringan dan sumber daya WEP (Wired Equivalent Privacy) - Standar keamanan untuk 802.11; Penggunaannya opsional - Menggunakan sandi bersama bagi pengguna dan titik akses - Pengguna sering gagal untuk menerapkan WEP atau lebih kuat system Perangkat Lunak Berbahaya : Virus, Worms, Trojan Horse, dan Spyware

1. Tantangan Keamanan Wi-Fi

Tentang Keamanan Wi-Fi Banyak jaringan Wi-Fi dapat ditembus dengan mudah oleh penyusup menggunakan  program sniffer untuk mendapatkan alamat untuk mengakses sumber daya jaringan tanpa otorisasi.

Sistem Kerentanan dan Penyalahgunaan a. Malware (malicious software/perangkat lunak berbahaya) 1. Virus Program perangkat lunak nakal yang menempel pada program perangkat lunak lain atau file data untuk dieksekusi 2. Worms Program komputer independen yang menyalin diri dari satu komputer ke komputer lain melalui jaringan. 3. Trojan horses Program perangkat lunak yang tampaknya jinak tapi kemudian melakukan sesuatu yang lain dari yang diharapkan. 4. SQL injection attacks Hacker mengirimkan data ke bentuk Web yang mengeksploitasi perangkat lunak terlindungi situs dan mengirimkan nakal query SQL ke database 5. Spyware Program kecil menginstal sendiri diam-diam pada komputer untuk memantau aktivitas pengguna web surfing dan melayani sampai iklan 6. Key loggers Merekam setiap keystroke pada komputer untuk mencuri nomor seri, password, memulai serangan Internet

Hacker dan Kejahatan Komputer

Hackers vs. crackers Kegiatannya Meliputi : a. Sebuah. Sistem Intrusi  b. Kerusakan Sistem c. Vandalisme Cyber Gangguan disengaja, perusakan, penghancuran situs Web atau sistem informasi  perusahaan 1. Spoofing dan Sniffer Spoofing merupakan tindakan keliru diri dengan menggunakan alamat e-mail  palsu atau menyamar sebagai orang lain mengarahkan link Web untuk mengatasi  berbeda dari yang dimaksudkan satu, dengan situs yang menyamar sebagai tujuan yang dimaksud. Sniffer Program Menguping yang memonitor informasi perjalanan melalui  jaringan. Memungkinkan hacker untuk mencuri informasi rahasia seperti e-mail, file  perusahaan, dll.

1. Denial-of-service attacks (DoS) Banjir server dengan ribuan permintaan palsu untuk kecelakaan jaringan. Distributed denial-of-service attacks (DDoS) merupkan penggunaan banyak komputer untuk meluncurkan serangan DoS Sedangkan Botnets adalah : a. Jaringan "zombie" PC disusupi oleh malware bot  b. Di seluruh dunia, 6-24000000 komputer berfungsi sebagai PC zombie dalam ribuan botnet 2. Kejahatan Komputer Didefinisikan sebagai "pelanggaran hukum pidana yang melibatkan pengetahuan teknologi komputer untuk perbuatan mereka, penyidikan, atau penuntutan". Komputer dapat menjadi sasaran kejahatan, misalnya: a. Melanggar kerahasiaan data terkomputerisasi yang dilindungi  b. Mengakses sistem komputer tanpa otoritas c. Komputer mungkin alat kejahatan, misalnya: - Pencurian rahasia dagang - Menggunakan e-mail untuk ancaman atau pelecehan 3. Pencurian Identitas Pencurian Informasi pribadi (id jaminan sosial, lisensi atau nomor kartu kredit  pengemudi) untuk meniru orang lain. a. Phishing Menyiapkan situs Web palsu atau mengirim pesan e-mail yang terlihat seperti  bisnis yang sah untuk meminta pengguna untuk data pribadi rahasia.  b. Evil Twins Jaringan nirkabel yang berpura-pura menawarkan dipercaya Wi-Fi koneksi ke Internet c. Pharming Pengalihan pengguna ke halaman Web palsu, bahkan ketika jenis individu yang  benar alamat halaman Web ke browser-nya d. Click Penipuan Terjadi ketika individu atau program komputer curang mengklik iklan online tanpa niat untuk belajar lebih banyak tentang pengiklan atau melakukan pembelian e. Cyberterrorism and Cyberwarfare Ancaman Internal : Karyawan

1. Ancaman keamanan sering berasal di dalam sebuah organisasi 2. Didalam pengetahuan 3. Prosedur Keamanan Ceroboh, kurangnya pengetahuan pengguna 4. Social engineering:

Menipu karyawan untuk mengungkapkan password mereka dengan berpura-pura menjadi anggota yang sah dari perusahaan yang membutuhkan informasi Kelemahan Software

Perangkat lunak komersial mengandung kelemahan yang menciptakan kerentanan keamanan a. Bug tersembunyi(Cacat Kode Program)  Nol cacat tidak dapat dicapai karena pengujian lengkap tidak mungkin dengan  program besar  b. Cacat dapat membuka jaringan untuk penyusup c. Patches Vendor melepaskan potongan-potongan kecil dari perangkat lunak untuk memperbaiki kelemahan  Namun eksploitasi sering dibuat lebih cepat dari patch akan dirilis dan diimplementasikan Nilai Bisnis Keamanan dan Kotrol

Kurangnya keamanan dan kontrol suatu sistem informasi dapat menyebabkan perusahaan mengandalkan sistem komputer untuk meminimalisir terjadinya kehilangan konsumen,  penurunan penjualan dan menurunnya produktivitas perusahaan. Aset informasi, seperti karyawan, rahasia catatan, rahasia dagang, atau rencana bisnis, kehilangan banyak nilai jika mereka diturunkan diluar atau jika mereka mengekspose perusahaan sebagai tanggung jawab hukum. Undang-undang baru, seperti HIPAA, Sarbanes-Oxley, dan Gramm-Leach-Bliley Act, mengharuskan perusahaan untuk melakukan praktek manajemen catatan elektronik yang ketat dan mematuhi standar yang ketat untuk keamanan, privasi, dan kontrol. Tindakan hukum membutuhkan bukti elektronik dan forensik komputer juga menuntut perusahaan untuk lebih memperhatikan catatan keamanan dan pengelolaan elektronik. a. Sistem komputer gagal dapat menyebabkan kerugian yang signifikan atau total dari fungsi bisnis  b. Perusahaan sekarang lebih rentan daripada sebelumnya - Data pribadi dan rahasia keuangan - Rahasia dagang, produk baru, strategi c. Sebuah pelanggaran keamanan dapat dipotong menjadi nilai pasar perusahaan segera d. Keamanan dan kontrol yang tidak memadai juga mendatangkan masalah kewajiban e. Persyaratan hukum dan peraturan untuk manajemen catatan elektronik dan  perlindungan privasi : -

HIPAA: peraturan dan prosedur keamanan medis dan privasi Gramm-Leach-Bliley Act: Membutuhkan lembaga keuangan untuk menjamin keamanan dan kerahasiaan data pelanggan

-

Sarbanes-Oxley Act: Memberlakukan tanggung jawab pada perusahaan dan manajemen mereka untuk menjaga akurasi dan integritas informasi keuangan yang digunakan secara internal dan eksternal dirilis f. Bukti Elektronik - Evidence for white collar crimes often in digital form Data on computers, e-mail, instant messages, e-commerce transactions - Kontrol yang tepat dari data yang dapat menghemat waktu dan uang ketika menanggapi penemuan permintaan hukum g. Computer forensics: - Koleksi ilmiah, pemeriksaan, otentikasi, pelestarian, dan analisis data dari media  penyimpanan komputer untuk digunakan sebagai bukti di pengadilan hukum - Termasuk recovery of ambient and hidden data Komponen dari suatu organisasi kerangka kerja untuk keamanan dan kontrol

Perusahaan perlu membangun baik set baik umum dan aplikasi kontrol untuk sistem informasi mereka. Sebuah resiko penilaian mengevaluasi aset informasi, mengidentifikasi titik kontrol dan kelemahan kontrol, dan menentukan set paling hemat biaya kontrol. Perusahaan juga harus mengembangkan perusahaan yang koheren kebijakan keamanan dan rencana untuk melanjutkan operasi bisnis di terjadi bencana atau gangguan. Itu kebijakan keamanan mencakup kebijakan untuk penggunaan diterima dan manajemen identitas. komprehensif dan sistematis audit sistem informasi membantu organisasi menentukan efektivitas keamanan dan kontrol untuk sistem informasi mereka Jenis Pengendalian Umum

1. 2. 3. 4. 5. 6.

Kontrol perangkat lunak Kontrol hardware Kontrol operasi komputer Kontrol keamanan data Kontrol implementasi Kontrol administrative

Pengendalian Aplikasi

1. Kontrol tertentu yang unik untuk setiap aplikasi komputerisasi, seperti gaji atau  pemrosesan order, 2. Sertakan kedua prosedur otomatis dan manual 3. Memastikan bahwa data hanya berwenang benar-benar akurat dan diproses oleh aplikasi 4. Memasukan: - Input controls - Processing controls - Output controls 1. Penilaian risiko: Menentukan tingkat risiko untuk perusahaan jika aktivitas atau  proses tertentu yang tidak dikontrol dengan baik

2.

Jenis ancaman Kemungkinan terjadinya selama tahun Potensi kerugian, nilai ancaman Kerugian tahunan diperkirakan

Kebijakan Keamanan Peringkat risiko informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan-tujuan ini

3. Mengatur Kebijakan Lain

4. 5. 6.

7. 8.

9.

- Mengatur Kebijakan Penggunaan ( Acceptable use policy -AUP) - Mendefinisikan penggunaan diterima sumber daya perusahaan informasi dan  peralatan komputasi Authorization policies Tentukan tingkat yang berbeda dari akses pengguna ke aset informasi Manajemen Identitas Proses bisnis dan alat untuk mengidentifikasi pengguna yang valid dari sistem dan mengontrol akses : - Mengidentifikasi dan kewenangan berbagai kategori pengguna - Menentukan bagian mana dari pengguna sistem dapat mengakses - Otentikasi pengguna dan melindungi identitas Sistem Manajemen Identitas Menangkap aturan akses untuk berbagai tingkat pengguna Kontrol Sistem Informasi - Kontrol manual dan otomatis - Pengendalian umum dan aplikasi Mengatur desain, keamanan, dan penggunaan program komputer dan keamanan file data secara umum di seluruh infrastruktur teknologi informasi organisasi. - Terapkan untuk semua aplikasi komputerisasi - Kombinasi hardware, software, dan prosedur manual untuk menciptakan lingkungan pengendalian secara keseluruhan

Alat dan Teknologi yang Paling Penting untuk Menjaga Informasi Sumber Daya

Firewall mencegah pengguna yang tidak sah mengakses jaringan pribadi keti ka terkait dengan Internet. sistem deteksi intrusi memonitor jaringan pribadi dari lalu lintas jaringan yang mencurigakan dan mencoba untuk mengakses sistem perusahaan. Password, token, smart card, dan otentikasi biometrik yang digunakan untuk otentikasi pengguna sistem. Perangkat lunak antivirus memeriksa sistem komputer untuk infeksi oleh virus dan cacing dan sering menghilangkan perangkat lunak berbahaya, sementara software antispyware memerangi mengganggu dan spyware program berbahaya. Enkripsi, coding dan berebut

 pesan, adalah banyak digunakan teknologi untuk mengamankan transmisi elektronik melalui  jaringan yang tidak dilindungi. sertifikat digital dikombinasikan dengan enkripsi kunci publik memberikan perlindungan lebih lanjut dari transaksi elektronik dengan authenti-cating identitas pengguna. Perusahaan dapat menggunakan sistem komputer toleransi kegagalan untuk memastikan bahwa mereka Sistem informasi selalu tersedia. Penggunaan metrik  perangkat lunak dan perangkat lunak yang ketat pengujian bantuan meningkatkan kualitas  perangkat lunak dan kehandalan. Perangkat Lunak Manajemen Identitas

1. Mengotomatiskan melacak semua pengguna dan hak istimewa 2. Mengotentikasi pengguna, melindungi identitas, mengendalikan akses pembuktian keaslian sistem sandi, token, smart card, otentikasi biometrik/ Firewall: Kombinasi hardware dan software yang mencegah pengguna yang tidak sah mengakses  jaringan pribadi Teknologi meliputi: 1. Filtering Paket Statis 2. Terjemahan Alamat Jaringan (Nat) 3. Aplikasi Proxy Filtering A Corporate Firewall

Firewall ditempatkan antara jaringan pribadi perusahaan dan internet publik atau  jaringan tidak dipercaya lagi untuk melindungi terhadap lalu lintas yang tidak sah. Sistem Deteksi Intrusi

1. Memantau hot spot pada jaringan perusahaan untuk mendeteksi dan mencegah  penyusup 2. Meneliti peristiwa seperti yang terjadi untuk menemukan serangan berlangsung 3. Antivirus dan antispyware software:

4. Cek komputer untuk kehadiran malware dan sering dapat menghilangkan itu juga 5. Membutuhkan memperbarui terus-menerus 6. Manajemen ancaman terpadu (UTM) sistem Mengamankan Jaringan Nirkabel

Keamanan WEP dapat memberikan beberapa keamanan dengan cara : 1. Menetapkan nama unik untuk SSID jaringan dan tidak menyiarkan SSID 2. Menggunakannya dengan teknologi VPN 3. Wi-Fi Alliance diselesaikan spesifikasi WAP2, menggantikan WEP dengan standar kuat 4. Terus berubah kunci Sistem Otentikasi Terenkripsi Dengan Server Pusat

Transformasi teks atau data ke dalam teks cipher yang tidak dapat dibaca oleh  penerima yang tidak disengaja. Dua metode untuk enkripsi pada jaringan : 1. Secure Sockets Layer (SSL) dan penggantinya Transport Layer Security (TLS) 2. Aman Hypertext Transfer Protocol (S-HTTP) Dua metode enkripsi 1. Enkripsi Kunci Simetris 2. Pengirim dan Penggunaan Penerima Tunggal, Kunci Bersama Enkripsi Kunci Publik 1. Menggunakan Dua, Kunci Terkait Matematis: Kunci Publik dan Kunci Pribadi 2. Pengirim Mengenkripsi Pesan Dengan Kunci Publik Penerima 3. Penerima Mendekripsi dengan Kunci Pribadi Public Key Encryption

Sebuah sistem enkripsi kunci publik dapat dilihat sebagai rangkaian kunci publik dan swasta yang mengunci data saat mereka ditransmisikan dan membuka data ketika mereka diterima. Pengirim menempatkan kunci publik penerima dalam direktori dan menggunakannya untuk mengenkripsi pesan. pesan dikirim dalam bentuk terenkripsi melalui Internet atau jaringan pribadi. Ketika pesan terenkripsi tiba, penerima menggunakan nya kunci privat untuk mendekripsi data dan membaca pesan. Sertifikat Digital

File data yang digunakan untuk menentukan identitas pengguna dan aset elektronik untuk perlindungan transaksi online menggunakan pihak ketiga yang terpercaya, otoritas sertifikasi (CA), untuk memvalidasi identitas pengguna CA memverifikasi identitas  pengguna, menyimpan informasi di CA server, yang menghasilkan sertifikat digital terenkripsi yang berisi informasi pemilik ID dan salinan pemilik kunci publik Infrastruktur Kunci Publik (IKP). Penggunaan kriptografi kunci publik bekerja dengan otoritas sertifikat  banyak digunakan dalam e-commerce. Sertifikat digital membantu menentukan identitas orang atau aset elektronik. Mereka melindungi transaksi online dengan menyediakan, terenkripsi, komunikasi online aman.

Ketersediaan sistem menjamin pemrosesan transaksi online membutuhkan% ketersediaan 100, tidak ada downtime sistem komputer toleran untuk ketersediaan  berkelanjutan, misalnya pasar saham mengandung komponen hardware, software, dan power supply berlebihan yang menciptakan lingkungan yang menyediakan terus menerus, tanpa gangguan layanan komputasi ketersediaan tinggi membantu cepat sembuh dari kecelakaan meminimalkan, tidak menghilangkan downtime. Komputasi pemulihan berorientasi merancang sistem yang sembuh dengan cepat dengan kemampuan untuk membantu operator menentukan dan benar dari kesalahan dalam sistem multi-komponen, lalu lintas jaringan  pengendali Pemeriksaan Paket Dalam, Video dan musik blocking, keamanan outsourcing/dikelola penyedia layanan keamanan (MSSPs). Tanggung Jawab untuk Keamanan Tinggal dengan perusahaan yang memiliki data perusahaan harus memastikan  penyedia memberikan perlindungan yang memadai. Perjanjian Tingkat Layanan mengamankan platform mobile kebijakan keamanan harus mencakup dan mencakup  persyaratan khusus untuk perangkat mobile misalnya. memperbarui ponsel pintar dengan  patch keamanan terbaru, dll.