• Tidak ada hasil yang ditemukan

SUMMARY - RESUME TSI - Chapter 3

N/A
N/A
Info
Unduh - Bebas
Valberra

Academic year: 2022

Membagikan "SUMMARY - RESUME TSI - Chapter 3"

Copied!
8
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 8 Halaman )

Teks penuh

(1)

KELOMPOK BANTENG HITAM 1. Jenny Enjelita – 202060021 2. Richard – 202060024

3. Marcylia Fransisca – 202060027 4. Valberra Christian – 202060039 5. Brilliant Fausta – 202060057

INFORMATION SECURITY

Ø Security / Keamanan dapat didefinisikan sebagai tingkat proteksi terhadap aktivitas kriminal, bahaya, kerusakan, dan kerugian ( suatu keadaan yang bebas dari ancaman yang berbahaya ).

Ø Keamanan informasi (Information Security) adalah semua proses dan kebijakan yang dirancang untuk melindungi sistem informasi dan informasi organisasi dari akses yang tidak sah, penyalahgunaan, pengungkapan, gangguan, modifikasi, atau perusakan. Kita dapat melihat bahwa informasi dan sistem informasi sering mendapat tindakan kriminal yang disengaja oleh manusia yang dapat mengganggu berfungsinya sistem informasi tesebut.

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Maka dapat dikatakan juga bahwa Kemananan Informasi menggambarkan usaha untuk melindungi komputer dan non- peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak bertanggung jawab.

Ø Ancaman (Threat) keamanan informasi adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi tersebut.

Ancaman dapat berupa seseorang, organisasi, mekanisme, atau peristiwa yang dapat berpotensi menimbulkan kejahatan pada sumber daya informasi. Ancaman dapat dibedakan internal atau external, disengaja atau tidak disengaja . Ancaman bagi sumber daya informasi adalah bahaya yang bisa terpapar terhadap sistem. Pemaparan sumber informasi dapat berupa bahaya, kerugian, atau kerusakan yang dapat terjadi jika ancaman tersebut membahayakan sumber daya informasi itu. Kerentanan suatu informasi sumber daya adalah kemungkinan bahwa sistem akan dirugikan oleh ancaman. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

1. Ancaman Alam 2. Ancaman Manusia 3. Ancaman Lingkungan

Ancaman Alam

Yang termasuk dalam kategori ancaman alam terdiri atas :

 Ancaman air : Banjir, Tsunami, Intrusi air laut, Kelembaban tinggi, Badai, Pencairan salju

 Ancaman Tanah : Longsor, Gempa bumi, Gunung meletus

 Ancaman Alam lain : Kebakaran hutan, Petir, Tornado, Angin ribut Ancaman Manusia

Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :

 Malicious code

(2)

 Virus

 Logic bombs

 Trojan horse

 Worm

 Active contents

 Countermeasures

 Social engineering

 Hacking

 Cracking

 Akses ke sistem oleh orang yang tidak berhak

 DDOS

 Backdoor

 Kriminal

 Pencurian

 Penipuan

 Pengkopian tanpa ijin

 Perusakan

 Teroris

 Peledakan Ancaman Lingkungan

Yang dapat dikategorikan sebagai ancaman lingkungan seperti :

Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama. Polusi. Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll. Kebocoran seperti AC, atau atap bocor saat hujan.

Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami gangguan.

Ø Kelemahan (Vulnerability)

Adalah sebagai akibat dari kesalahan atau kecerobohan. Kelemahan dari suatu sistem mungkin timbul pada saat mendesain/memprogram, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup/melakukan tindakan kriminal terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT

(3)

Lima faktor kunci yang berkontribusi terhadap meningkatnya kerentanan sumber daya informasi organisasi, sehingga jauh lebih sulit untuk mengamankannya :

Faktor pertama

adalah evolusi dari sumber daya TI dari mainframe-hanya untuk yang sangat kompleks, saling berhubungan, saling tergantung, lingkungan bisnis nirkabel jaringan saat ini. Internet sekarang memungkinkan jutaan komputer dan jaringan komputer untuk berkomunikasi secara bebas dan lancar satu sama lain. Organisasi dan individu dapat terkena dunia jaringan tidak dipercaya dan penyerang potensial. jaringan yang terpercaya, pada umumnya, adalah setiap jaringan dalam organisasi Anda. jaringan tidak dipercaya, secara umum, adalah setiap jaringan eksternal untuk organisasi Anda. Di samping itu, teknologi nirkabel memungkinkan karyawan untuk berkomunikasi, dan mengakses internet di mana saja dan kapan saja. Secara signifikan, wireless merupakan media komunikasi broadcast tidak aman.

Faktor kedua

mencerminkan fakta bahwa komputer modern dan perangkat penyimpanan terus menjadi lebih kecil, lebih cepat, lebih murah, dan lebih portabel, dengan kapasitas penyimpanan yang lebih besar. Juga jauh lebih banyak orang yang mampu membeli komputer yang canggih , dan terhubung ke internet dengan biaya yang murah sehingga meningkatkan potensi serangan terhadap aset informasi.

Faktor ketiga

adalah bahwa keterampilan komputer yang diperlukan untuk menjadi seorang hacker/cracking menurun. Alasannya adalah bahwa internet berisi informasi dan program komputer yang pengguna dengan sedikit keterampilan dapat men-download dan menggunakannya untuk menyerang sistem informasi yang terhubung ke internet.

Faktor keempat

adalah bahwa kejahatan internasional terorganisir mengambil alih cybercrime. cybercrime adalah kegiatan ilegal yang dilakukan melalui jaringan komputer, khususnya internet.

Contohnya penggunaan teknologi komputer untuk mencetak ulang software atau informasi lalu mendistribusikan informasi atau software tersebut lewat teknologi komputer.

Faktor kelima

adalah kurangnya dukungan manajemen. Terkadang seorang manajer kurang mengawasi karyawan bawahannya sehingga karyawan tersebut melakukan pelanggaran seperti mencuri , atau memodifikasi data informasi yang menjadi milik oleh perusahaan. Lebih baik bila seluruh perusahaan supaya mengambil kebijakan keamanan dan prosedur serius, manajer senior harus mengatur para manajer bawahannya agar berada dalam kontak dekat dengan karyawan setiap hari sehingga dengan demikian manajer akan berada dalam posisi yang lebih baik untuk mengetahui apakah karyawan mengikuti prosedur yang benar.

4.2 Unintentional Threats to Information Systems

Ancaman yang tidak disengaja (unintentional threats) adalah tindakan yang dilakukan tanpa maksud jahat, namun merupakan ancaman yang serius bagi keamanan informasi.

Ada 2 jenis ancaman yang tidak disengaja : 1. Kelalaian manusia (Human Errors)

Karyawan organisasi dapat menjangkau luas dan kedalaman sebuah organisasi, dari pengirim surat sampai CEO, dan seluruh area fungsional. Ada 2 poin penting mengenai karyawan sebuah organisasi / perusahaan :

(4)

· Semakin tinggi jabatan seorang karyawan, semakin besar ancaman yang dia berikan kepada kemanan informasi, karena semakin tinggi jabatan seorang karyawan biasanya semakin banyak juga data perusahaan yang dapat diakses dan mereka menggunakan hak yang diberikan tersebut atas sistem informasi organisasi / perusahaan

· Karyawan di dua area organisasi menimbulkan ancaman yang signifikan terhadan keamanan informasi, yaitu sumber daya manusia dan sistem informasi.

a. Karyawan atas sumber daya manusia biasanya memiliki akses atas informasi pribadi yang sensitif mengenai seluruh karyawan.

b. Karyawan sistem informasi tidak hanya memiliki akses atas data organisasi yang sensitif, tetapi mereka terkadang juga mengontrol sarana untuk menciptakan, menyimpat, memindahkan dan memodifikasi data tersebut.

c. karyawan lain termasuk :

1. karyawan kontrak, dapat mengakses susunan keamanan informasi dan biasanya memiliki akses atas jaringan perusahaan, sistem informasi, dan aset informasi.

2. Konsultan, dapat juga memiliki akses atas jaringan perusahaan, sistem informasi, dan aset informasi tergantung atas jenis pekerjaan mereka.

3. Petugas pembersih dan keamanan, adalah yang paling sering diabaikan di sistem keamanan informasi. Mereka biasanya hadir jika seluruh / sebagian karyawan sudah pulang ke rumah.

Mereka memiliki kunci atas setiap ruangan dan tidak seorang pun akan menanyakan keberadaan mereka walaupun di bagian paling sensitif di perusahaan.

Kelalaian manusia atau kesalahan karyawan dapat menimbulkan masalah besar atas hasil dari kemalasan, kecerobohan atau kurangnya kesadaran mengenai keamanan informasi.

Kurangnya kesadaran ini datang dari pendidikan dan pelatihan yang rendah dari perusahaan / orgaanisasi.

Ada berbagai kelalaian manusia di dalam perusahaan:

1. Meletakan laptop secara sembarangan

2. Meletakan perangkat komputer secara sembarangan sehingga terkena malware 3. Membuka email dari orang yang tidak dikenal atau membuka link yang ada di email 4. Kelalaian dalam menjelajahi internet dapat menyebabkan malware

5. Memilih / menggunakan password yang lemah

6. Tidak mengunci meja dan laci saat pulang dari kerja dan juga tidak menutup jaringan internet perusahaan ketika pergi dari kantor untuk jangka waktu tertentu

7. kelalaian atas perangkat yang tidak dapat dikendalikan oleh departemen IT dan prosedur keamanan perusahaan

8. kelalaian atas peralatan yang dibuang

9. kelalaian dalam memonitori bahaya yang ada di lingkungan

Kelalaian tersebut walapun tidak disengaja tetap dilakukan sepenuhnya oleh karyawan.

Namun, karyawan juga dapat melakukan kesalahan yang tidak disengaja sebagai akibat tidakan yang dilakukan oleh penyerang. Penyerang sering menggunakan rekayasa sosial untuk mendorong individu untuk melakukan kesalahan yang tidak disengaja dan mengungkapkan informasi sensitif.

2. Rekayasa Sosial

Adalah serangan dimana pelaku menggunakan keahlian sosial untuk mengelabui atau memanipulasi karyawan yang sah dalam memberikan informasi rahasia perusahaan, seperti password. Contoh yang paling sering terjadi dari rekayasa sosial terjadi ketika penyerang

(5)

menirukan orang lain di telepon, seperti manajer perusahaan atau karyawan sistem informasi.

Penyerang mengklaim bahwa ia lupa passwordnya dan meminta karyawan yang sah untuk memberikan ia password untuk digunakan. Rekayasa lainnya termasuk menyamar sebagai pembasmi, teknisi AC, atau pemadam kebakaran.

Dua teknik rekayasa sosial lainnya, yaitu tailgating and shoulder surfing. Tailgating adalah teknik yang di desain untuk memungkinkan pelaku kejahatan memasuki area terlarang yang di kontrol oleh kunci atau kartu masuk. Shoulder surfing terjadi ketika pelaku kejahatan melihat layar komputer karyawan dari bahu karyawan tersebut. Teknik ini berhasil terutama di area publik seperti bandara, komputer kereta, dan pesawat.

4.3 Delibarate Threats to Information Systems

Jenis –jenis ancaman yang disengaja untuk sistem informasi:

· Pengintai atau penyalahgunaan: Terjadi karena seorang individu secara tidak sah mencoba untuk mendapatkan akses ilegal ke informasi organisasi.

· Informasi pemerasan: Terjadi ketika penyerang mengancam untuk mencuri informasi dari perusahaan.

· Sabotase atau perusakan: Perbuatan yang disengaja yang melibatkan pencemaran suatu website organisasi dengan merusak citra baik suatu perusahaan.

· Pencurian peralatan atau informasi: Hal ini terjadi karena seseorang kurang peduli dengan barang elektroniknya sehingga penyerang memperoleh kesempatan untuk mencuri suatu data dalam elektronik tersebut.

· Pencurian identitas: Seseorang dengan sengaja mencuri identitas seseorang untuk mengakses informasi untuk berbuat kriminal. Contoh: mencuri informasi pribadi seseorang di database komputer.

· Berkompromi untuk kekayaan intelektual: properti kekayaan di buat oleh individu atau kelompok untuk melindungi rahasia perusahaan ( seperti rencana bisnis/ resep cocacola), patent(dokumen resmi perusahaan), hak cipta.

· Serangan perangkat lunak: Terjadi ketika penyerang menggunakan software malicious untuk menularkan ke banyak ke komputer dunia.

· Alien software: Software tersembunyi yang dipasang di komputer dengan metode duplikasi, alien software bukan termasuk virus, worms dan trojan horse tetapi ini adalah suatu sumber sistem yang berharga.

· SCADA attacks: suatu sistem untuk memonitor atau mengontrol suatu proses dalam komputer. SCADA mempunyai sensor yang mudah terhubung ke suatu jaringan. Jika penyerang telah mengakses ke jaringan tersebut, mereka bisa menyebabkan kerusakan yang serius.

· Cyberterrorism dan cyberwarfare: tindakan malicious dimana penyerang menggunakan sistem komputer sebagai target , terutama melalui internet hal ini menyebabkan gangguan parah pada dunia nyata, biasanya untuk melaksanakan agenda politik. Biasanya mereka cenderung mengumpulkan data lalu menyerang infrastruktur politik.

· Virus: segment kode komputer yang menampilakan tindakan malicious dengan melekatkan program komputer yang lain.

· Worm: program komputer yang dapat menggandakan dirinya secara sendiri dalam sistem komputer.

· Pishing attacks: pishing menggunakan penipuan untuk memperoleh informasi seseorang dengan menyamar menjadi email asli atau pesan instant.

· Spear pishing attack: pengertiannya sama dengan pishing tetapi spear pishing biasanya menyerang grup besar.

(6)

· Denial of service attack: penyerang mengirimkan banyak informasi ke target sistem komputer, dimana target tersebut tidak bisa handle komputernya secara keseluruhan.

· Distributed denial of service attack: pertama penyerang mengambil alih banyak komputer, biasanya dengan menggunakan perangkat lunak malicious.

· Trojan horse: program software yang menyembunyikan program komputer lainnya.

· Back door: password yang diketahui oleh penyerang yang memperbolehkan dia untuk akses ke sistem komputer tanpa mengikuti proedur keamanan.

· Logic bomb: program komputer yang dirancang untuk diaktifkan lalu dihancurkan pada waktu dan hari yang telah di tentukan.

· Adware: iklan produk/ penawaran layanan yang merupakan bagian dari sebuah situs.

· Spyware: software yang mengumpulkan informasi personal tentang pengguna tanpa izin.

· Keyloggers: merekam keystrokes individual dan riwayat web browsing internet.

· Spamware: pestware yang menggunakan komputer anda sebagai landasan peluncuran untuk scammers.

· Cookies: situs yang menyimpan sedikit informasi di komputer anda.

· Tracking cookies: kombinasi informasi dengan nama, credit card dan data personal lainnya yang di dapat tanpa seizin pemilik.

4.4 What Organizations Are Doing to Protect Information Resources ?

Industri keamanan informasi berjuang kembali terhadap cybercrime. Perusahaan sedang mengenbangkan perangkat lunak dan layanan yang memberikan peringatan dini masalah di internet. Tidak seperti perangkat lunak antivirus tradisional yang reaktif. Sistem peringatan dini yang proaktif, memindai web untuk virus baru dan mengingatkan perusahaan terhadap bahaya. Perusahaan menghabiskan banyak waktu dan uang untuk melindungi sumber informasi mereka. Sebelum melakukannya, mereka melakukan manajemen resiko

Resiko adalah kemungkinan bahwa ancaman akan berdampak pada sebuah sumber jnformasi Tujuan manajemen resiko adalah untuk mngidentifikasi, mengontrol dan meminimalkan dampak dari ancaman. Dengan kata lain manajemen resiko berusaha mengurangi resiko ke tingkat yang dapat diterima

Manajemen resiko terdiri dari 3 proses : analisis resiko, mitigasi resiko dan kontrol evaluasi Analisis resiko melibatkan 3 langkah :

1. Menilai jumlah setiap aset yang dilindungi

2. Memperkirakan kemungkinan bahwa setiap aset akan di kompromikan

3. Membandingkan biaya kemungkinan aset yang dikompromikan dengan biaya melindungi aset Dalam mitigasi resiko, organisasi mengambil tindakan nyata terhadap resiko.

Mitigasi resiko memiliki 2 fungsi :

1. Menerapkan kontrol untuk mencegah ancaman yang diidentifikasi sebelum terjadi 2. Mengembangkan sarana pemulihan jika ancaman terjadi

Ada beberapa strategi mitigasi resiko bahwa organisasi dapat diadopsi. 3 paling umum adalah penerimaan resiko, pembatasan resiko dan pemindahan resiko

 Resiko penerimaan : menerima potensi resiko, terus beroperasi tanpa kontrol dan menyerap kerugian yang trjadi.

(7)

 Keterbatasan resiko : membatasi resiko dengan menerapkan kontrol yang meminimalkan dampak dari ancaman.

 Resiko pemindahan : mntransfer resiko dgn menggunakan cara lain utk mngkompensasi kerugian spr membeli asuransi.

4.5 Information Security Controls 1. fisik

Mencengah seseorang menggunakan akses ke fasilitas perusahaan secara illegal.

Physical control berupa: gedung, security, dan sistem alarm.

Alat yang digunakan untuk keamanan informasi berupa sensor tekanan , sensor suhu , dan detektor gerakan

2. akses

· Otentikasi (pengenal)

biometrics: meneliti fisik seseorang (sidik jari, retina, wajah)

Passwords: Sesuatu yang diketahui, lakukan, dan miliki Bersifat perorangan untuk menjaga informasi.

Panduan dasar dalam membuat password:

a. Sulit untuk ditebak b. Password yang panjang

c. Mempunyai (angka dan tanda baca)

d. Angka atau kalimat yang familiar contohnya: tanggal lahir atau nama binatang peliharaan.

· Otorikasi (hak)

hak khusus atau hak istimewa seseorang untuk mengakses operasi sistem komputer.

3. komunikasi

a. Firewall: mencegah jaringan komputer dari serangan komputer luar/ mencengah akses illegal ke private network

b. Anti malware systems: mencengah software dari serangan malware atau virus c. Whitelisting: daftar web, URL, dan email yang dapat diakses karena aman

d. Blacklisting: kumpulan dari web domain, URL, dan Email yang tidak aman dan dapat di blokir secara otomatis

e. Enkripsi: pengamanan informasi agar tidak dapat diakses kecuali penerima informasi f. Virtual private networking:koneksi antara satu jaringan dengan jaringan lainnya secara

privat melalui jaringan publik (Internet)

g. Secure socket layer: menjaga pengiriman data web server dan pengguna situs web tersebut.

h. Employee monitoring systems: memonitoring segala kegiatan pekerja 4. Bussines continuity planning

Adalah strategi untuk memperkecil efek gangguan agar proses bisnis terus berlangsung Strategi ada 2:

a. Cold site adalah ruang dengan daya listrik dan HVAC, tetapi komputer harus dibawa dari luar jika diperlukan, dan link komunikasi bisa ada ataupun tidak.

(8)

b. Hot site adalah fasilitas untuk komputer yaitudaya listrik, pemanasan, ventilasi, dan proses pengaturan suhu, dan berfungsi sebagai file/print server dan workstation.

c. Warm Site adalah kombinasi antara hot site dan cold site. Seperti halnya hot site, pada warm site terdapat suatu fasilitas komputer yang tersedia dengan daya listrik dan HVAC, tetapi aplikasinya belum di-install atau dikonfigurasi.

5. Pemeriksa sistem informasi

Tipe auditor and audit : internal dan eksternal

Internal : sering dilakukan oleh auditor internal perusahaan

Eksternal : meninjau audit internal yaitu input dan output dari sistem informasi Bagaimana pelaksaan auditing??

 Auditing bagian komputer (memverifikasi pengolahan dengan memeriksa output menggunakan input spesifik)

 Auditing melalui komputer (menguji data yang terdapat dalam sistem)

 Auditing menggunakan komputer(pengerjaan tahap-tahap program audit yang terinci.)

Referensi

Unduh sekarang ( DOCX - 8 Halaman - 42.81 KB )

Dokumen terkait

Visualisasi Mainan Bebek Karet dalam Batik Tulis Kain Panjang

Konsep dan teknik yang menghasilkan karya yang tidak hanya indah namun bermkana, berkarakter, beredukasi kepada psikologi anak yang mewakili Tugas Akhir ini

november 2018 timetable uk

Exams must be taken in the morning (AM) or afternoon (PM) session as shown on this timetable and in accordance with the Key Time regulations. There is one Key Time for the morning

Anemia Defisiensi Besi pada Ibu Hamil dan Stunting

Salah satu gangguan pada plasenta yang mengakibatkan kegagalan fungsi plasenta adalah insufisiensi plasenta, yaitu suatu keadaan yang terjadi pada masa kehamilan saat

Hubungan Kolonisasi Jamur dengan Peningkatan Risiko Infeksi Jamur Sistemik pada Bayi Berat Lahir Rendah

Hubungan Kolonisasi Jamur dengan Peningkatan Risiko Infeksi Jamur Sistemik pada Bayi Berat Lahir

Majaz aqli dalam al Quran

Hujan “Sesungguhnya Kami telah turunkan hujan .Kemudian kami belahkan bumi dengan belahan yang sesuai dengan tumbuhan , lalu Kami tumbuhkan pada bumi biji-bijian” (80: 25-27)

Estimation of Postmortem Interval Using Thanatochemistry (1)

Persamaan regresi yang berbeda untuk prediksi PMI yang diperoleh dengan menggunakan salah satu dari sistem penilaian tiga perubahan postmortem; hypostasis, kekakuan dan

KAJIAN FINANSIAL ISOLASI CITRONELLAL DAN RHODINOL PADA INDUSTRI BERBASIS SENYAWA TURUNAN MINYAK SEREH WANGI

Tujuan dari kajian ini adalah untuk mengetahui kelayakan finansial dari proses isolasi Citronellal dan Rhodinol yang diaplikasikan pada industri berbasis senyawa turunan minyak

BAB 1 TINJAUAN PUSTAKA

Dispersi padat merupakan campuran yang terdiri dari suatu matriks padat yang larut dalam air dan tidak aktif secara farmakologi dengan zat aktif yang sukar larut dengan cara