bab 8 melindungi sistem informasi
DESCRIPTION
Cara melindungi Sistem Informasi PerusahaanTRANSCRIPT
BAB 8 MELINDUNGI SISTEM INFORMASI
8.1 KERENTANAN DAN PENYALAHGUNAAN SISTEM
Ketika sejumlah data penting dalam bentuk elektronik, maka data tersebut rentan
terhadap berbagai jenis ancaman, daripada data yang tersimpan secara manual.
Ancaman-ancaman tersebut bisa saja berasal dari faktor teknis, organisasi, dan
lingkungan yang diperparah oleh akibat keputusan manajemen yang buruk. Mengapa
sistem dapat menjadi rentan disebabkan sebagai berikut:
Pengguna dalam lapisan klien dapat menyebabkan kerusakan, dengan cara
melakukan kesalahan, mengakses tanpa izin, atau secra tidak sengaja
mengunduh (download) spyware dan virus.
Hacker melalui berbagai tipu musliahta dapat mengakses data yang mengalir
dalam jaringan, mencuri data yang penting selama pengiriman, atau
mengubah pesan tanpa izin.
Penyusup melancarkan penolakan layanan (denial-of-service-DOS) atau
piranti lunak berbahaya yg bertujuan utk menggangu operasi situs Web
Bagi perusahaan atau individu di dalam menyimpan data-data penting yang
menyangkut privasi atau kerahasiaan perusahaan, apalagi perusahaan yang
menggunakan web, sangat rentan terhadap penyalahgunaan, karena pada dasarnya
web mempunyai akses yang sangat luas dan dapat diakses oleh semua orang,
membuat sistem perusahaan dengan mudah mendapat serangan yang pada
umumnya berasal dari pihak luar, seperti hacker. Seorang hacker adalah seseorang
yang ingin mendapatkan akses secara tidak sah dari suatu sistem komputer, dan
biasanya hacker ini memiliki maksud kriminal dengan tujuan tertentu, seperti karena
tujuan keuntungan, kejahatan atau kesenangan pribadi.
Contemporary Security Challenges and Vulnerabilities
Aktivitas hacker tidak hanya terbatas menyusup ke dalam sistem, tetapi juga mencuri
barang dan informasi dalam dan bisa merusak sistem melalui serangan, diantaranya
serangan DoS (Distributed Denial-of-Service), yaitu jaringan serangan penolakan
layanan terdistribusi yang menggunakan ribuan komputer untuk membanjiri
jaringan sasaran. DoS seringkali membuat situs mati dan tidak dapat diakses oleh
pengguna yang sah. Bagi perusahaan dengan jaringan WiFi, tidak menjamin terlepas
dari para penyusup yang dengan mudah menggunakan program-program sniffer dan
spoofing untuk mendapatkan alamat untuk mengakses tanpa izin, yang
memungkinkan hacker mampu mencuri informasi berharga dari jaringan manapun,
termasuk pesan e-mail, file serta laporan penting perusahaan.
Kerusakan sistem informasi juga bisa terjadi karena adanya peranti lunak yang
berbahaya, seperti virus komputer yang menempelkan diri ke program lainnya tanpa
sepengetahuan dan seizin pengguna.
Ancaman lainnya yatu worm (cacing) yang mengakibatkan kehancuran data dan
program serta bisa menghentikan kerja jaringan komputer. Trojan Horse adalah
program peranti lunak yang dianggap tidak terlalu berbahaya, tetapi bisa menjadi
jalan bagi virus lainnya untuk masuk ke dalam sistem komputer, dan spyware adalah
peranti lunak berbahaya yang memasang diri secara sembunyi-sembunyi di
komputer untuk memantau kegiatan penelusuran web oleh pengguna komputer.
Figure 10-1
Kejahatan dalam sistem informasi juga meliputi pencurian identitas, seperti yang
dilakukan oleh pelaku phishing, yang membuat situs palsu atau mengirim pesan e-
mail yang mirip dengan pesan yang berasal dari perusahaan yang sah. Dengan
maksud untuk meminta pengguna mengisi data pribadi mereka yang sangat rahasia,
seperti no rekening pribadi pengguna. Selain itu, pengguna akhir dalam sistem
informasi juga dapat melakukan kesalahan. Kita cenderung berpikir bahwa ancaman
keamanan data dalam perusahaan hanyan berasal dari luar, tetapi pada
kenyataannya, ada pihak internal perusahaan yang bisa mengancam keamanan, yaitu
karyawan, mereka pada umumnya mempunyai akses informasi yang istimewa,
karena kesalahan memasukkan data dan prosedur keamanan internal yang buruk
dalam perusahaan, mereka dapat menjelajahi sistem perusahaan tanpa
meninggalkan jejak.
Kerentanan Internet
Jaringan publik yang besar seperti internet, lebih rentan jaringan internal karena
terbika bagi siapapun. Internet begitu besar dan begitu cepat sehingga ketika
penyalahgunaan terjadi, dampaknya tersebar sagat luas hanya dengan hitungan
menit. Ketika jaringan perusahaan terhubung ke internet, sistem informasi
perusahaan rentan serangan dari luar.
Tantangan Pengamanan Nirkabel.
Teknologi pengiriman wifi dirancang untuk memudahkan para pengguna untuk
menerima ataupun memancarkan signal. Servis set identifiers (SSID) yang
mengidentifikasi titik akses dalam jaringan wifi.
Standard keaamanan mula-mula yang dikembangkan untuk wifi, yang disebut
wired equivalen privasi (WEP) sangat tidak efisien. WEP dipasang dalam suatu
produk berstandar 802.11, akan tetapi penggunaannya obsional. Banyak pengguna
lalai dalam penggunaan fitur WEB sehingga tidak terlindungi.
Tantangan Bagi Keamanan Wi-Fi
Piranti Lunak Berbahaya: Virus, Worm, Trojan Horse, Dan Spyware
1 Virus computer adalah program peranti lunak berbahaya yang menempel dirinya
keprogram lainnya atau file data untuk dieksekusi, biasanya tanpa sepengetahuan
dan seizin pengguna.
2 Trojan horse (kuda troya) adalah program peranti lunak yang tampaknya tidak
berbahaya tetapi justru berbuat sesuatu yang tidak diperkirakan.
3 Beberapa spyware juga bertindak sebagai peranti lunak berbahaya program kerja
ini memasang diri secara tersembunyi untuk memantau kegiatan penulusaran
WEB oleh pengguna computer dan untuk memunculkan iklan
Hacker Dan Vandalisme Maya
Seorang hacker adalah seseorang yang ingin mendapatkan akses tidak sah ke dalam
sistem computer. Aktivitas hacker telah meluas tidak hanya sekedar menyusup
kedalam sistem tetapi juga meliputi pencurian barang dan informasi, begitu pula
dengan merusak sistem dan melakukan vandalisme maya yaitu gangguan,
kerusakan, penghancuran situs atau sistem perusahaan secara sengaja.
Spoofing dan Sniffing
Hecker yang mencoba menyembunyikan identitas aslinya sering kali memalsukan
identitas dengan menggunakan alamat e-mail palsu atau menyamar sebagai orang
lain. Spoofing juga dapat berupa pengalihan jalur situs WEB kesebuah alamat yang
berbeda dari yang diinginkan, dengan situs yang disamarkan dengan tujuan yang
Figure 10-2
disamarkan. Contohnya jika hacker mengalihkan pelanggan pada sebuah situs palsu
yang kelihatannya hampir mirip sekali dengan situs yang asli, ia kemudian dapat
mengumpulkan dan memproses perintah, dan efektif mencuri bisnis selain juga
dengan informasi sensitif pelanggan dari situs aslinya. Sedangkan Sniffer adalah
jenis program pencuri informasi yang memantau informasi dalam sebuah jaringan.
Terdapat juga aktivitas hacker dalam serangan penolakan layanan (Denial of Service-
DOS attack), hacker membanjiri server jaringan web dengan ribuan komunikasi palsu
atau permohonan layanan palsu untuk menyusup kedalam jaringan server. Serangan
penolakan layanan terdidtribusi menggunakan ratusan , ribuan computer untuk
membanjiri jaringan sasaran dari banyak peluncuran.
Kejahatan Komputer dan Terorisme Maya
Tidak satu seorang pun yang mengetahui besarnya masalah kejahatan computer
berapa banyak sistem yang diserbu, berapa banyak pihak yang terlibat atau total
kerusakan ekonomi. yang paling berbahaya dari segi ekonomis serangan DoS, virus
pencurian layanan, gangguan sistem komputer. Bentuk kejahatan tersebut diataranya
(1)pencurian identitas, erupakan kejahatan sorang penipu mendapatkan informasi
pribadi yang penting, seperti nomer jaminan social, untuk menyamarkan sebagai
orang lain. Pencurian indentitas telah berkembang di internet, file kartu kredit adalah
sasaran utama hacker dalam situs web, situe e-comerce, dan e-mail berupa spam.
Pencurian identitas dilakukan dengan Pharming, adalah kegiatan mengalihkan
pengguna kehalaman web palsu, bahkan ketika seseorang mengetikkan alamat web
yang benar pada aplikasi penjajahnya. (2) Click Fraud yaitu penipuan lewat klik
terjadi ketia seseorang ingin curang mengklik sebuah iklan on-line tanpa maksud
mempelajari lebih lanjut tentang pemsang iklannya atau melakukan pembelian.
8.2 NILAI BISNIS DARI PENGAMANAN DAN PENGENDALIAN
Kebanyakan perusahaan memiliki aset informasi yang sangat penting untuk
dilindungi, seperti informasi aset keuangan atau mengenai rahasia perdagangan, dan
keengganan perusahaan menghabiskan anggarannya untuk keamanan, karena dinilai
tidak secara langsung berhubungan dengan pendapatan penjualan. Padahal
keamanan sebuah perusahaan bisa terancam dan perusahaan bisa menderita
kerugiaan yang lebih besar dari yang diperkirakan. Perusahaan harus melindungi
tidak hanya aset informasinya sendiri, tetapi juga milik pelanggan, karyawan dan
mitra bisnisnya.
Kegagalan dalam melakukan hal ini akan membuat perusahaan tersebut dapat
dituntut dalam proses pengadilan, karena mengekpos data atau melakukan
pencurian data. Undang-undang baru seperti HIPAA (Health Insurance Portability
and Accountability Act), undang-undang Gramm- Leach-Bliley (undang-undang
Modernisasi Jasa Keuangan), undang-undang Sarbanes-Oxley (undang-undang
Reformasi Akuntansi Perusahaan Publik dan Perlindungan Terhadap Investor),
mengharuskan perusahaan untuk mempraktikkan manajemen catatan elektronik
yang ketat dan mematuhi standar-standar yang tegas dalam hal pengamanan, privasi
dan kontrol. Tindakan hukum yang membutuhkan bukti-bukti elektronik dan ilmu
forensik komputer juga mengharuskan perusahaan memberikan perhatiaan lebih
pada masalah pengamanan manajeman catatan elektronik.
8.3 MERANCANG KERANGKA KERJA ORGANISASIONAL DALAM PENGAMANAN
DAN PENGENDALIAAN
Teknologi bukan hal utama yang harus mendapatkan perhatiaan khusus dalam
pengamanan dan pengendalian, tetapi apabila tidak adanya kebijakan manajemen
yang cerdas, bakan teknologi yang secanggih apapun juga akan dikalahkan dengan
mudah. Adanya kebijakan manajemen yang cerdas dengan menetapkan suatu
kerangka pengorganisasian dan pengelolaan dalam pengamanan dan pengendalian
untuk menggunakan teknologi dengan efektif untuk melindungi sumber informasi
perusahaan. Dalam menentukan kebijakan dalam hal pengamanan, perusahaan harus
terlebih dahulu mengetahui aset-aset mana saja yang membutuhkan perlindungan
data dan sejauh mana akses-akses tersebut terancam.
Penilaian resiko membantu menjawab pertanyaan tersebut dan menentukan
perangkat pengendalian mana yang paling efektif dari segi biaya untuk melindungi
aset perusahaan. Setelah berhasil mengidentifikasi resiko utama bagi sistem dalam
perusahaan. Selanjutnya perlu membangun dan mengembangkan kebijakan
keamanan dengan merencanakan keberlangsungan bisnis pada saat terjadi bencana
atau kekacauan untuk melindungi aset perusahaan, yang terdiri dari kebijakan
penggunaan yang diterima, yaitu penggunaan sumber-sumber informasi perusahaan
dan perangkat komputasi yang diizinkan, kebijakan otorisasi, yang menentukan
tingkat akses yang berbeda ke aset informasi untuk tingkat pengguna yang berbeda
pula.
Profil Keamanan Sistem Personalia
Rencana pemulihan bencana, merancang cara-cara merestorasi layanan komputasi
dan komunikasi setelah terganggu oleh suatu peristiwa seperti gempa bumi, fokus
utamanya adalah menjaga agar sistem tetap baik dan berjalan. Perencanaan
keberlangsungan bisnis, terfokus pada bagaimana perusahaan dapat mengembalikan
operasi bisnis setelah dilanda bencana. Mengidentifikasikan proses -proses bisnis
yang penting dan menentukan rencana tindakan untuk menangani fungsi-fungsi
kritis jika sistemnya mati.
8.4 MENGEVALUASI BERBAGAI PERANGKAT DAN TEKNOLOGI YANG PALING
PENTING UNTUK MELINDUNGI SUMBER-SUMBER INFORMASI.
Perusahaan memerlukan upaya khusus untuk melindungi sistem dan data, sehingga
mendukung dalam proses bisnis, apalagi perusahaan digital. Sejumlah aturan dan
teknologi tersedia untuk mengamankan sistem dan data, di antaranya:
1. Perangkat autentikasi seperti token, kartu pintar dan autentikasi biometrik, biasa
digunakan untuk mengetahui pengguna sistem.
2. Firewall yang digunakan untuk menjaga agar pengguna tidak sah tidak masuk ke
jaringan pribadi.
Figure 10-5
3. Sistem deteksi gangguan, melakukan pemantauan yang diletakkan di titik-titik
yang paling rentan dalam jaringan perusahaan untuk secara kontinyu mendeteksi
dan menghalangi para penyusup.
4.Peranti lunak anti virus dirancang untuk memeriksa adanya virus komputer dalam
sistem dan drive komputer.
5. Ekripsi, pengodean dan pengacauan pesan, merupakan teknologi yang biasa
digunakan untuk pengamanan dalam mengirim data melalui internet dan jaringan
Wi-Fi.
6. Tanda tangan digital dan sertifikat digital, digunakan untuk membantu proses
autentikasi lebih jauah lagi pada saat transaksi elektronik.
Firewall Perusahaan
Enkripsi dan Infrastruktur Kunci Publik
Banyak perusahaan menggunakan enkripsi untuk melindungi informasi digital yang
disimpan, ditransfer secara fisik, atau dikirim melalui internet. Enkripsi adalh proses
mengubah teks atau data menjadi bersandi rahasia (cipher) yang tidak dapat dibaca oleh
siapapun selain pengirim dan penerima yang dimaksudkan. Data dienkripsi menggunakan
kode numerik rahasia, yang dinamakan kunci enkripsi, yang mengubah data biasa menjadi
teks bersandi rahasia. Pesan harus dideskripsi oleh penerima.
Figure 10-7
Enkripsi Kunci Publik
Figure 10-8