Chapter 8 Pengamanan Sistem Informasi

8.1 KERENTANAN SISTEM DAN PENYALAHGUNAAN

Keamanan mengacu pada kebijakan, prosedur, dan tindakan teknis yang digunakan untuk mencegah akses tidak sah, perubahan, pencurian, atau kerusakan fisik pada sistem informasi. Kontrol adalah metode, kebijakan, dan prosedur organisasi yang memastikan keamanan aset organisasi; akurasi dan keandalan catatannya; dan ketaatan operasional terhadap standar manajemen.

MENGAPA SISTEM SANGAT RENTAN

Kegagalan sistem jika perangkat keras komputer rusak, tidak dikonfigurasi dengan benar, atau rusak akibat penggunaan atau tindakan kriminal yang tidak semestinya. Kesalahan dalam pemrograman, pemasangan yang tidak semestinya, atau perubahan yang tidak sah menyebabkan perangkat lunak komputer gagal.

Kerentanan Internet

Jaringan publik yang besar, seperti Internet, lebih rentan daripada jaringan internal karena mereka hampir terbuka untuk siapa saja. Internet begitu besar sehingga ketika pelanggaran terjadi, mereka dapat memiliki dampak yang sangat luas. Ketika Internet menjadi bagian dari jaringan perusahaan, sistem informasi organisasi bahkan lebih rentan terhadap tindakan dari pihak luar.

Tantangan Keamanan Nirkabel

Jaringan nirkabel di banyak lokasi tidak memiliki perlindungan dasar terhadap perang yang mendorong penyadapan oleh bangunan atau taman di luar dan mencoba mencegat lalu lintas jaringan nirkabel.

PERANGKAT LUNAK MALICIOUS: VIRUS, WORMS, TROJAN HORSES, DAN SPYWARE

           Program perangkat lunak berbahaya disebut sebagai perangkat lunak perusak dan mencakup berbagai ancaman, seperti virus komputer, worm, dan trojan horse. Virus komputer adalah program perangkat lunak nakal yang melekat pada program perangkat lunak lain atau file data agar dapat dijalankan, biasanya tanpa sepengetahuan atau izin pengguna. Serangan terbaru berasal dari worm, yaitu program komputer independen yang menyalin dirinya dari satu komputer ke komputer lain melalui jaringan.

Trojan horses adalah program perangkat lunak yang tampaknya tidak berbahaya namun kemudian melakukan sesuatu selain yang diharapkan, seperti Trojan Zeus yang dijelaskan dalam bab pembuka.

Banyak pengguna menemukan spyware semacam itu mengganggu dan beberapa kritikus mengkhawatirkan pelanggarannya terhadap privasi pengguna komputer. Beberapa bentuk spyware sangat jahat.

HACKER DAN KEJAHATAN KOMPUTER

           Seorang hacker adalah individu yang berniat untuk mendapatkan akses tidak sah ke sistem komputer. Dalam komunitas hacking, istilah cracker biasanya digunakan untuk menunjukkan hacker dengan maksud kriminal, meski di media publik, istilah hacker dan cracker digunakan secara bergantian.

Menipu dan Sniffing

Spoofing juga mungkin melibatkan pengalihan tautan Web ke alamat yang berbeda dari yang dimaksud, dengan situs menyamar sebagai tujuan yang dimaksudkan. Sniffer adalah jenis program penyadapan yang memonitor informasi yang dilakukan melalui jaringan.

Penolakan serangan layanan

Dalam serangan denial-of-service (DoS), hacker membanjiri server jaringan atau server Web dengan ribuan komunikasi palsu atau permintaan layanan untuk merusak jaringan. Jaringan menerima begitu banyak pertanyaan sehingga tidak dapat mengikuti mereka dan karenanya tidak tersedia untuk melayani permintaan yang sah. Serangan denial-of-service (DDoS) terdistribusi menggunakan banyak komputer untuk membanjiri dan membanjiri jaringan dari berbagai titik peluncuran.

Kejahatan Komputer

Sebagian besar aktivitas hacker adalah tindak pidana, dan kerentanan sistem yang baru saja kami jelaskan membuat mereka menjadi target jenis kejahatan komputer lainnya. Jenis kejahatan komputer yang paling berbahaya adalah serangan DoS, mengenalkan virus, pencurian layanan, dan gangguan pada sistem komputer. Jenis kejahatan komputer yang paling berbahaya adalah serangan DoS, mengenalkan virus, pencurian layanan, dan gangguan pada sistem komputer.

Pencurian identitas

Pencurian identitas adalah kejahatan di mana penipu mendapatkan potongan informasi pribadi, seperti nomor identifikasi jaminan sosial, nomor lisensi pengemudi, atau nomor kartu kredit, untuk meniru identitas orang lain. Teknik phishing baru yang disebut kembar jahat dan pharming lebih sulit dideteksi. Si kembar jahat adalah jaringan nirkabel yang berpura-pura menawarkan koneksi Wi-Fi yang dapat dipercaya ke Internet, seperti di lounge bandara, hotel, atau kedai kopi. Pharming mengalihkan pengguna ke halaman Web palsu, bahkan ketika individu mengetik alamat halaman Web yang benar ke browsernya.

Klik Penipuan

Kecurangan klik terjadi saat program individual atau komputer men-klik palsu pada iklan online tanpa ada niat untuk mempelajari lebih lanjut tentang pengiklan atau melakukan pembelian.

ANCAMAN INTERNAL: KARYCLOUD

Studi telah menemukan bahwa kurangnya pengetahuan pengguna adalah penyebab terbesar pelanggaran keamanan jaringan. Banyak karycloud lupa password mereka untuk mengakses sistem komputer atau mengizinkan rekan kerja menggunakannya, yang membahayakan sistem. Penyerang berbahaya yang mencari akses sistem kadang-kadang mengelabui karycloud untuk mengungkapkan kata sandinya dengan berpura-pura menjadi anggota sah perusahaan yang membutuhkan informasi. Praktek ini disebut rekayasa sosial.

KERENTANAN PERANGKAT LUNAK

              Masalah utama dengan perangkat lunak adalah adanya bug tersembunyi atau kode program yang cacat. Studi telah menunjukkan bahwa hampir tidak mungkin untuk menghilangkan semua bug dari program besar. Sumber utama bug adalah kompleksitas kode pengambilan keputusan. Kekurangan dalam perangkat lunak komersial tidak hanya menghalangi kinerja tetapi juga menciptakan kerentanan keamanan yang membuka jaringan ke penyusup.

8.2 NILAI USAHA KEAMANAN DAN PENGENDALIAN

               Keamanan dan pengendalian yang tidak memadai dapat menyebabkan pertanggungjawaban hukum yang serius. Bisnis harus melindungi tidak hanya aset informasi mereka sendiri, tetapi juga pelanggan, karycloud, dan mitra bisnis. Kegagalan untuk melakukannya dapat membuka perusahaan pada litigasi mahal untuk pemaparan data atau pencurian. Organisasi dapat dianggap bertanggung jawab atas risiko dan kerugian yang tidak perlu yang dibuat jika organisasi tersebut gagal melakukan tindakan perlindungan yang tepat untuk mencegah hilangnya informasi rahasia, korupsi data, atau pelanggaran privasi.

BUKTI ELEKTRONIK DAN FORENSIK KOMPUTER

                 Forensik komputer adalah pengumpulan, pemeriksaan, otentikasi, pelestarian, dan analisis data yang tersimpan atau diambil dari media penyimpanan komputer sedemikian rupa sehingga informasi tersebut dapat digunakan sebagai bukti di pengadilan.

8.3 MEMBANGUN KERANGKA KERJA UNTUK KEAMANAN DAN PENGENDALIAN

PENGENDALIAN SISTEM INFORMASI

Kontrol umum mengatur perancangan, keamanan, dan penggunaan program komputer dan keamanan file data secara umum di seluruh infrastruktur teknologi informasi organisasi. Kontrol aplikasi adalah kontrol khusus yang unik untuk setiap aplikasi terkomputerisasi, seperti pemrosesan gaji atau pemrosesan pesanan. Ini termasuk prosedur otomatis dan manual yang memastikan bahwa hanya data resmi yang benar-benar dan diproses secara akurat oleh aplikasi tersebut. Kontrol aplikasi dapat diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan, dan (3) kontrol output.

TUGAS BERESIKO

             Penilaian risiko menentukan tingkat risiko perusahaan jika aktivitas atau proses tertentu tidak dikendalikan dengan benar. Tidak semua risiko dapat diantisipasi dan diukur, namun kebanyakan bisnis akan dapat memperoleh beberapa pemahaman tentang risiko yang mereka hadapi.

KEBIJAKAN KEAMANAN

       Kebijakan penggunaan yang dapat diterima (AUP) mendefinisikan penggunaan sumber informasi dan peralatan komputasi perusahaan yang dapat diterima, termasuk komputer desktop dan laptop, perangkat nirkabel, telepon, dan Internet. Kebijakan tersebut harus mengklarifikasi kebijakan perusahaan mengenai privasi, tanggung jawab pengguna, dan penggunaan pribadi peralatan dan jaringan perusahaan.

PERENCANAAN PEMULIHAN BENCANA DAN PERENCANAAN LANJUTAN BISNIS

               Perencanaan kesinambungan bisnis berfokus pada bagaimana perusahaan dapat memulihkan operasi bisnis setelah terjadi bencana. Rencana kesinambungan bisnis mengidentifikasi proses bisnis yang penting dan menentukan rencana tindakan untuk menangani fungsi mission-critical jika sistem turun.

PERAN AUDITING

Audit MIS memeriksa lingkungan keamanan keseluruhan perusahaan serta kontrol yang mengatur sistem informasi perorangan. Auditor harus melacak arus contoh transaksi melalui sistem dan melakukan pengujian, dengan menggunakan, jika sesuai, perangkat lunak audit otomatis. Audit MIS juga dapat memeriksa kualitas data.

8.4 TEKNOLOGI DAN ALAT UNTUK MELINDUNGI SUMBER DAYA INFORMASI

MANAJEMEN IDENTITAS DAN OTENTIKASI

Sistem password yang terlalu ketat menghambat produktivitas karycloud. Bila karycloud sering sering mengubah kata sandi kompleks, mereka sering mengambil jalan pintas, seperti memilih kata kunci yang mudah ditebak atau dituliskan di komputer mereka di tempat kerja biasa. Kata sandi juga bisa "mengendus" jika ditransmisikan melalui jaringan atau dicuri melalui rekayasa sosial.

Teknologi otentikasi baru, seperti token, smart card, dan otentikasi biometrik, mengatasi beberapa masalah ini. Token adalah perangkat fisik, mirip dengan kartu identitas, yang dirancang untuk membuktikan identitas satu pengguna. Token adalah gadget kecil yang biasanya muat di gantungan kunci dan kode pos yang sering berubah. Kartu cerdas adalah perangkat seukuran kartu kredit yang berisi chip yang diformat dengan izin akses dan data lainnya. (Kartu pintar juga digunakan dalam sistem pembayaran elektronik.)Perangkat pembaca menafsirkan data pada kartu cerdas dan mengizinkan atau menolak akses.

Otentikasi biometrik menggunakan sistem yang membaca dan menafsirkan sifat manusia individual, seperti sidik jari, iris, dan suara, untuk memberi atau menolak akses. Otentikasi biometrik didasarkan pada pengukuran sifat fisik atau perilaku yang membuat setiap individu unik.

FIREWALLS, SISTEM DETEKSI INTRUSI, DAN PERANGKAT LUNAK ANTIVIRUS

Firewall

Firewall bertindak seperti gatekeeper yang memeriksa kredensial setiap pengguna sebelum akses diberikan ke jaringan. Firewall mengidentifikasi nama, alamat IP, aplikasi, dan karakteristik lalu lintas masuk lainnya. Ini memeriksa informasi ini terhadap peraturan akses yang telah diprogramkan ke dalam sistem oleh administrator jaringan. Firewall mencegah komunikasi yang tidak sah masuk dan keluar dari jaringan.

Sistem Deteksi Intrusi

Sistem deteksi intrusi menampilkan alat pemantauan penuh waktu yang ditempatkan pada titik paling rentan atau "titik panas" jaringan perusahaan untuk mendeteksi dan mencegah penyusup terus-menerus. Sistem ini menghasilkan alarm jika menemukan kejadian yang mencurigakan atau anomali.

Perangkat Lunak Antivirus dan Antispyware

Perangkat lunak antivirus ini dirancang untuk memeriksa sistem komputer dan drive untuk mengetahui adanya virus komputer. Seringkali perangkat lunak ini menghilangkan virus dari daerah yang terinfeksi. Namun, kebanyakan perangkat lunak antivirus hanya efektif melcloud virus yang sudah diketahui saat perangkat lunak itu ditulis. Agar tetap efektif, perangkat lunak antivirus harus terus diperbarui.

MENGAMANKAN JARINGAN NIRKABEL

Langkah awal yang sederhana untuk menggagalkan hacker adalah dengan menetapkan nama unik ke SSID jaringan Anda dan menginstruksikan router Anda untuk tidak menyiarkannya. Korporasi selanjutnya dapat meningkatkan keamanan Wi-Fi dengan menggunakannya bersamaan dengan teknologi virtual private network (VPN) saat mengakses data perusahaan internal.

ENKRIPSI DAN INFRASTRUKTUR KUNCI PUBLIK

Enkripsi adalah proses mengubah teks biasa atau data menjadi teks sandi yang tidak dapat dibaca oleh orang lain selain pengirim dan penerima yang dituju. Data dienkripsi dengan menggunakan kode numerik rahasia, yang disebut kunci enkripsi, yang mengubah data biasa menjadi teks sandi. Pesan harus didekripsi oleh penerima.

Dua metode untuk mengenkripsi lalu lintas jaringan di Web adalah SSL dan S-HTTP. Secure Sockets Layer (SSL) dan penerus Transport Layer Security (TLS) memungkinkan komputer klien dan server untuk mengelola aktivitas enkripsi dan dekripsi saat mereka berkomunikasi satu sama lain selama sesi Web yang aman. Secure Hypertext Transfer Protocol (S-HTTP) adalah protokol lain yang digunakan untuk mengenkripsi data yang mengalir melalui Internet, namun terbatas pada pesan individual, sedangkan SSL dan TLS dirancang untuk membuat sambungan aman antara dua komputer.

Sertifikat digital adalah file data yang digunakan untuk menetapkan identitas pengguna dan aset elektronik untuk perlindungan transaksi online. Sistem sertifikat digital menggunakan pihak ketiga yang terpercaya, yang dikenal sebagai otoritas sertifikat (CA, atau otoritas sertifikasi), untuk memvalidasi identitas pengguna. Ada banyak CA di Amerika Serikat dan di seluruh dunia, termasuk VeriSign, IdenTrust, dan KeyPost Australia.

MEMASTIKAN SISTEM KETERSEDIAAN

Dalam proses transaksi online, transaksi online yang dilakukan langsung diproses oleh komputer. Perubahan beraneka ragam pada database, pelaporan, dan permintaan informasi terjadi setiap saat.

Sistem komputer yang toleran terhadap kesalahan mengandung komponen perangkat keras, perangkat lunak, dan power supply yang berlebihan yang menciptakan lingkungan yang menyediakan layanan tanpa gangguan terus-menerus.

Mengontrol Lalu Lintas Jaringan: Paket Inspeksi Yang Dalam

Sebuah teknologi yang disebut inspeksi paket dalam (DPI) membantu memecahkan masalah ini. DPI memeriksa file data dan memilah materi online dengan prioritas rendah sambil memberikan prioritas lebih tinggi pada file penting bisnis.

            Keamanan Outsourcing

Mereka dapat mengalihkan banyak fungsi keamanan ke penyedia layanan keamanan yang dikelola (monitor MSSP) yang memantau aktivitas jaringan dan melakukan pengujian kerentanan dan deteksi intrusi. SecureWorks, BT Managed Security Solutions Group, dan Symantec adalah penyedia layanan MSSP terkemuka.

ISU KEAMANAN UNTUK KOMPUTASI CLOUD DAN PLATFORM DIGITAL DIGITAL

Pengguna cloud perlu mengonfirmasi bahwa terlepas dari mana data mereka disimpan atau ditransfer, pengguna tersebut dilindungi pada tingkat yang memenuhi persyaratan perusahaan mereka. Mereka harus menetapkan bahwa penyedia cloud menyimpan dan memproses data di yurisdiksi tertentu sesuai dengan peraturan privasi yurisdiksi tersebut. Klien cloud harus menemukan bagaimana penyedia cloud memisahkan data perusahaan mereka dari perusahaan lain dan meminta bukti bahwa mekanisme enkripsi itu masuk akal. Penting juga untuk mengetahui bagaimana penyedia cloud akan merespons jika terjadi bencana, apakah penyedia akan dapat memulihkan data Anda sepenuhnya, dan berapa lama waktu yang dibutuhkan. Pengguna cloud juga harus bertanya apakah penyedia cloud akan tunduk pada audit eksternal dan sertifikasi keamanan. Kontrol jenis ini dapat ditulis ke dalam perjanjian tingkat layanan (SLA) sebelum melakukan penandatanganan dengan penyedia cloud.

Mengamankan Platform Seluler

Perusahaan harus mengembangkan panduan yang menetapkan platform mobile yang disetujui dan aplikasi perangkat lunak serta perangkat lunak dan prosedur yang diperlukan untuk akses jarak jauh sistem perusahaan. Perusahaan perlu memastikan bahwa semua smartphone selalu diperbarui dengan patch keamanan dan perangkat lunak antivirus / antispam terbaru, dan mereka harus mengenkripsi komunikasi bila memungkinkan.

MEMASTIKAN KUALITAS PERANGKAT LUNAK

Pengujian yang baik dimulai sebelum sebuah program perangkat lunak bahkan ditulis dengan menggunakan panduan - tinjauan terhadap spesifikasi atau dokumen desain oleh sekelompok kecil orang yang dipilih secara hati-hati berdasarkan keterampilan yang dibutuhkan untuk tujuan tertentu yang sedang diuji. Begitu pengembang mulai menulis program perangkat lunak, coding walkthrough juga bisa digunakan untuk mengulas kode program. Namun, kode harus diuji oleh komputer berjalan. Saat ditemukan kesalahan, sumber ditemukan dan dieliminasi melalui proses yang disebut debugging. Anda dapat mengetahui lebih lanjut tentang berbagai tahap pengujian yang diperlukan untuk menerapkan sistem informasi pada Bab 13. Trek Belajar Kami juga berisi deskripsi metodologi untuk mengembangkan program perangkat lunak yang juga berkontribusi terhadap kualitas perangkat lunak.

 Sumber : Management Information Systems. 12th edition. Kenneth C. Laudon and Jane P. Laudon.