Chapter 8: MELINDUNGI SISTEM INFORMASI

A.KERENTANAN DAN PENYALAHGUNAAN SISTEM 

             1. Mengapa Sistem Rentan?

                        Bila data dalam jumlah besar disimpan dalam bentuk elektronik, mereka rentan terhadap lebih banyak jenis ancaman daripada bila ada dalam bentuk manual. Melalui jaringan komunikasi, sistem informasi di berbagai lokasi saling berhubungan. Potensi akses, penyalahgunaan, atau kecurangan yang tidak sah tidak terbatas pada satu lokasi namun dapat terjadi pada jalur akses manapun di jaringan. Jaringan publik yang besar, seperti Internet, lebih rentan daripada jaringan internal karena mereka hampir terbuka untuk siapa saja. Internet begitu besar sehingga ketika pelanggaran terjadi, mereka dapat memiliki dampak yang sangat luas. Ketika Internet menjadi bagian dari jaringan perusahaan, sistem informasi organisasi bahkan lebih rentan terhadap tindakan dari pihak luar. Apakah aman masuk ke jaringan nirkabel di bandara, perpustakaan, atau tempat umum lainnya? Itu tergantung pada seberapa waspada Anda. Bahkan jaringan nirkabel di rumah Anda rentan karena pita frekuensi radio mudah dipindai. Baik jaringan Bluetooth dan Wi-Fi rentan terhadap hacking oleh para penyadap. Meski jangkauan jaringan Wi-Fi hanya beberapa ratus kaki, namun bisa diperpanjang hingga seperempat mil menggunakan antena luar.

          2. MALICIOUS SOFTWARE: VIRUSES, WORMS, TROJAN HORSES, AND SPYWARE

                      Program perangkat lunak berbahaya disebut sebagai perangkat lunak perusak dan mencakup berbagai ancaman, seperti virus komputer, worm, dan trojan horse. Virus komputer adalah program perangkat lunak nakal yang melekat pada program perangkat lunak lain atau file data agar dapat dijalankan, biasanya tanpa sepengetahuan atau izin pengguna. Sebagian besar virus komputer mengirimkan muatan “payload.” Muatannya mungkin relatif tidak berbahaya, seperti petunjuk untuk menampilkan pesan atau gambar, atau mungkin juga merusak program atau data yang merusak, menyumbat memori komputer, memformat ulang hard drive komputer, atau menyebabkan program berjalan tidak semestinya. Serangan terbaru berasal dari worm, yaitu program komputer independen yang menyalin dirinya dari satu komputer ke komputer lain melalui jaringan. 

                        Trojan Horses adalah program perangkat lunak yang tampaknya tidak berbahaya namun kemudian melakukan sesuatu selain yang diharapkan, seperti Trojan Zeus yang dijelaskan dalam bab pembuka. Trojan Horses itu sendiri bukanlah virus karena tidak meniru, namun seringkali cara virus atau kode berbahaya lainnya diperkenalkan ke sistem komputer. 

                    Saat ini, serangan injeksi SQL adalah ancaman malware terbesar. Serangan injeksi SQL memanfaatkan kelemahan dalam perangkat lunak aplikasi Web kode yang buruk untuk mengenalkan kode program jahat ke dalam sistem dan jaringan perusahaan. Banyak pengguna menemukan spyware semacam itu mengganggu dan beberapa kritikus mengkhawatirkan pelanggarannya terhadap privasi pengguna komputer. Beberapa bentuk spyware sangat jahat. Keylogger merekam setiap keystroke yang dibuat di komputer untuk mencuri nomor seri untuk perangkat lunak, untuk meluncurkan serangan Internet, untuk mendapatkan akses ke akun e-mail, untuk mendapatkan kata sandi pada sistem komputer yang dilindungi, atau untuk mengambil informasi pribadi seperti nomor kartu kredit.

           3.Hacker Dan Kejahatan Komputer

             Seorang hacker adalah individu yang berniat untuk mendapatkan akses tidak sah ke sistem komputer. Dalam komunitas hacking, istilah cracker biasanya digunakan untuk menunjukkan hacker dengan maksud kriminal, meski di media publik, istilah hacker dan cracker digunakan secara bergantian. Aktivitas Hacker telah meluas melampaui gangguan sistem semata-mata termasuk pencurian barang dan informasi, serta kerusakan sistem dan cybervandalisme, gangguan, penghindaran, atau penghancuran situs Web atau sistem informasi perusahaan yang disengaja. 

            Hacker yang berusaha menyembunyikan identitas sebenarnya sering kali menipu, atau salah menggambarkan diri mereka sendiri dengan menggunakan alamat e-mail palsu atau menyamar sebagai orang lain. Spoofing mungkin melibatkan pengalihan tautan Web ke alamat yang berbeda dari yang dimaksud, dengan situs menyamar sebagai tujuan yang dimaksudkan. Sniffer adalah jenis program penyadapan yang memonitor informasi yang dilakukan melalui jaringan.

            4. Ancaman Internal : Karyawan

         Kita cenderung berpikir ancaman keamanan terhadap bisnis berasal dari luar organisasi.Sebenarnya, orang dalam perusahaan menimbulkan masalah keamanan yang serius. Karyawan memiliki akses terhadap informasi istimewa, dan dengan adanya prosedur keamanan internal yang ceroboh, mereka sering dapat berkeliaran di seluruh sistem organisasi tanpa meninggalkan jejak. Penyerang berbahaya yang mencari akses sistem kadang-kadang mengelabui karyawan untuk mengungkapkan kata sandinya dengan berpura-pura menjadi anggota sah perusahaan yang membutuhkan informasi. Praktek ini disebut rekayasa sosial.

           5.  Software Vulnerability

                 Kesalahan perangkat lunak menimbulkan ancaman konstan terhadap sistem informasi, menyebabkan kerugian produktivitas yang tak terhitung. Masalah utama dengan perangkat lunak adalah adanya bug tersembunyi atau kode program yang cacat. Studi telah menunjukkan bahwa hampir tidak mungkin untuk menghilangkan semua bug dari program besar. Untuk memperbaiki kekurangan perangkat lunak begitu diidentifikasi, vendor perangkat lunak membuat perangkat lunak kecil yang disebut tambalan untuk memperbaiki kekurangan tanpa mengganggu pengoperasian perangkat lunak dengan benar.

B. NILAI BISNIS DARI PENGAMANAN DAN PENGENDALIAN

             1. Persyaratan dan Peraturan untuk hukum Electronic Records Management

                      Peraturan pemerintah AS baru-baru ini memaksa perusahaan untuk mengambil keamanan dan kontrol yang lebih serius oleh mandat perlindungan data dari penyalahgunaan, paparan, danakses yang tidak sah. Perusahaan menghadapi kewajiban hukum baru untuk retensi danpenyimpanan catatan elektronik serta untuk perlindungan privasi, yaitu: ERM, HIPAA, Gramm-Leach-Bliley, dan Sarbanes-Oxley. 

             2. Bukti Elektronik dan Forensik Komputer

             Sebuah kebijakan retensi dokumen elektronik yang efektif memastikan bahwa dokumen elektronik, e-mail, dan catatan lainnya yang terorganisasi dengan baik, dapat diakses, dan tidak ditahan terlalu lama atau terlalu cepat dibuang. Hal ini juga mencerminkan kesadaran tentang bagaimana untuk menyimpan bukti potensi forensik komputer. Forensik komputer adalah koleksi ilmiah, pemeriksaan, otentikasi, pelestarian, dan analisis data dilaksanakan pada atau diambil dari media penyimpanan komputer sedemikian rupa bahwa informasi yang dapat digunakan sebagai bukti dalam pengadilan. Ini berkaitan dengan masalah berikut: 

            a. Memulihkan data dari komputer sambil menjaga integritas bukti.

            b. Aman menyimpan dan penanganan pemulihan data elektronik.

            c. Mencari informasi yang signifikan dalam volume besar data elektronik.         

           d. Menyajikan informasi untuk pengadilan 

             Bukti elektronik mungkin berada pada media penyimpanan komputer dalam bentuk file komputer dan sebagai data ambien, yang tidak terlihat oleh pengguna rata-rata. Sebuah contoh mungkin file yang telah dihapus pada PC hard drive. Data yang pengguna komputer mungkin telah dihapus pada media penyimpanan komputer dapat dipulihkan melalui berbagai teknik. Ahli forensik komputer mencoba untuk memulihkan data tersembunyi seperti untuk presentasisebagai bukti.

 

C.MENDIRIKAN KERANGKA KERJA UNTUK KEAMANAN DAN PENGENDALIAN

        1. Pengendalian Sistem Informasi

                    Kontrol sistem informasi bersifat manual dan otomatis dan terdiri dari kontrol umum dan kontrol aplikasi. Kontrol umum mengatur perancangan, keamanan, dan penggunaan program komputer dan keamanan file data secara umum di seluruh infrastruktur teknologi informasi organisasi. Kontrol umum mencakup kontrol perangkat lunak, kontrol perangkat keras fisik, kontrol operasi komputer, kontrol keamanan data, kontrol atas implementasi proses sistem, dan kontrol administratif. Kontrol aplikasi adalah kontrol khusus yang unik untuk setiap aplikasi terkomputerisasi, seperti pemrosesan gaji atau pemrosesan pesanan. Kontrol aplikasi dapat diklasifikasikan sebagai kontrol input, kontrol pemrosesan, dan kontrol output. 

                Kontrol input memeriksa data untuk akurasi dan kelengkapan saat memasuki sistem. Kontrol pemrosesan menentukan bahwa data sudah lengkap dan akurat selama pemutakhiran. Kontrol output memastikan bahwa hasil pengolahan komputer akurat, lengkap, dan terdistribusi dengan baik. 

       2.Tugas Berisiko 

 Sebelum perusahaan Anda melakukan sumber daya untuk mengendalikan sistem keamanan dan informasi, perusahaan harus mengetahui aset mana yang memerlukan perlindungan dan sejauh mana aset tersebut rentan. Penilaian risiko membantu menjawab pertanyaan- pertanyaan ini dan menentukan sekumpulan kontrol yang paling efektif untuk melindungi aset. Penilaian risiko menentukan tingkat risiko perusahaan jika aktivitas atau proses tertentu tidak dikendalikan dengan benar. 

     3. Kebijakan Keamanan 

            Kebijakan keamanan terdiri dari informasi risiko peringkat laporan, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan ini. Kebijakan penggunaan yang dapat diterima (AUP) mendefinisikan penggunaan sumber informasi dan peralatan komputasi perusahaan yang dapat diterima, termasuk komputer desktop dan laptop, perangkat nirkabel, telepon, dan Internet. Kebijakan keamanan juga mencakup ketentuan pengelolaan identitas. Manajemen identitas terdiri dari proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna sistem yang valid dan mengendalikan akses mereka terhadap sumber daya sistem.

     4. Perencamaam Pemulihan Bencana Dan Perencanaan Lanjutan Bisnis

             Perencanaan pemulihan bencana merencanakan rencana pemulihan layanan komputasi dan komunikasi setelah mereka terganggu. Perencanaan lanjutan bisnis memfokuskan pada bagaimana perusahaan dapat memulihkan operasi bisnis setelah terjadi bencana. Rencana kesinambungan bisnis mengidentifikasi proses bisnis yang penting dan menentukan rencana tindakan untuk menangani fungsi mission-critical jika sistem turun. 

    5. Peran Auditing

                 Audit MIS memeriksa lingkungan keamanan keseluruhan perusahaan serta kontrol yang mengatur sistem informasi perorangan. Auditor harus melacak arus contoh transaksi melalui sistem dan melakukan pengujian, dengan menggunakan, jika sesuai, perangkat lunak audit otomatis. Audit MIS juga dapat memeriksa kualitas data. Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan personil. Audit menyeluruh bahkan akan mensimulasikan serangan atau bencana untuk menguji respons teknologi, staf sistem informasi, dan pelaku bisnis. Daftar audit dan memberi peringkat semua kelemahan kontrol dan memperkirakan probabilitas kemunculannya. Ini kemudian menilai dampak finansial dan organisasi dari setiap ancaman. 

D. TEKNOLOGI DAN ALAT UNTUK MELINDUNGI SUMBER INFORMASI

          1. Management Identitas dan Otentikasi

                     Perusahaan besar dan menengah memiliki infrastruktur TI yang kompleks dan sistem yang berbeda, masing-masing dengan mengatur sendiri pengguna. Perangkat lunak manajemen identitas mengotomatisasi proses melacak semua pengguna ini dan hak istimewa sistem mereka, menetapkan setiap pengguna identitas digital yang unik untuk mengakses setiap sistem. Hal ini juga mencakup perangkat untuk otentikasi pengguna, melindungi identitaspengguna, dan mengendalikan akses ke sumber daya sistem. 

         2. Firewall, Intrusion Detection Systems, dan Antivirus Software 

                Tanpa perlindungan terhadap malware dan penyusup, terhubung ke Internet akan sangat berbahaya. 

            a. Firewall

                Firewall mencegah pengguna yang tidak sah mengakses jaringan pribadi. Firewall adalah kombinasi dari hardware dan software yang mengontrol arus lalu lintas jaringan masuk dan keluar. 

             b. Intrusion Detection Systems

                 Selain firewall, vendor keamanan komersial sekarang menyediakan alat-alat deteksi intrusi dan layanan untuk melindungi lalu lintas jaringan yang mencurigakan yang berupaya untuk mengakses file dan database. Sistem deteksi intrusi merupakan fitur alat pemantauan penuh waktu yang ditempatkan pada titik-titik yang paling rentan atau “hot spot” pada jaringan perusahaan untuk mendeteksi dan mencegah penyusup. Sistem ini akan menghasilkan alarm jika menemukan peristiwa atau anomali yang mencurigakan. Scanning software mencari pola untuk menunjukkan metode yang dikenal serangan komputer, seperti password yang buruk,memeriksa apakah file penting telah dihapus atau diubah, dan mengirimkan peringatan vandalisme atau sistem administrasi kesalahan. 

            c. Aplikasi Antivirus and Antispyware 

                 Rencana teknologi defensif yang kedua untuk individu dan bisnis harus mencakup perlindungan antivirus pada setiap komputer. Perangkat lunak antivirus dirancang untuk memeriksa sistem komputer dan drive terhadap kehadiran virus komputer. Seringkali perangkat lunak menghilangkan virus dari daerah yang terinfeksi. Namun, antivirus hanya efektif terhadap virus yang sudah dikenal ketika perangkat lunak dibuat. Untuk tetap efektif, antivirus harus terus diperbarui. 

         d.Sistem Manajemen Terpadu

                 Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor keamanan telah digabungkan menjadi satu kesatuan alat keamanan, termasuk firewall, jaringan pribadi virtual, sistem deteksi intrusi, dan konten Web penyaringan dan software antispam. Produk manajemen keamanan yang komprehensif ini disebut sistem manajemen ancaman terpadu (UTM). Meskipun awalnya ditujukan untuk bisnis kecil dan menengah, produk UTM tersedia untuk semua ukuran jaringan. Vendor terkemuka UTM termasuk palang, Fortinent, dan Check Point, dan vendor jaringan seperti Cisco Systems dan Juniper Networks menyediakan beberapa kemampuan UTM dalam peralatan mereka. 

    3. Mengamankan Jaringan Wireless 

           WEP menyediakan beberapa margin keamanan jika pengguna Wi-Fi ingat untuk mengaktifkannya. Langkah pertama yang sederhana untuk menggagalkan hacker adalah untuk menetapkan nama unik untuk SSID jaringan Anda dan menginstruksikan router Anda tidak menyiarkannya. Perusahaan dapat lebih meningkatkan keamanan Wi-Fi dengan menggunakannya dalam hubungannya dengan virtual private network (VPN) teknologi saat mengakses data internal perusahaan. 

    4. Enkripsi dan Kunci Infrastruktur Publik

             Banyak bisnis menggunakan enkripsi untuk melindungi informasi digital yang mereka menyimpan, mentransfer secara fisik, atau mengirim melalui Internet. Enkripsi adalah proses transformasi teks biasa atau data ke dalam teks cipher yang tidak dapat dibaca oleh orang lain selain pengirim dan penerima yang dimaksudkan. Data yang dienkripsi dengan menggunakan kode numerik rahasia, disebut kunci enkripsi, yang mengubah data biasa ke dalam teks cipher.Pesan harus didekripsi oleh penerima. Dua metode untuk mengenkripsi lalu lintas jaringan di Web adalah SSL dan S-HTTP. Secure Socket Layer (SSL) dan Transport Layer Security penerus nya (TLS) memungkinkan klien dan server komputer untuk mengelola kegiatan enkripsi dan dekripsi karena mereka berkomunikasi satu sama lain selama sesi Web aman. Aman Hypertext Transfer Protocol (S-HTTP) adalah protokol lain yang digunakan untuk mengenkripsi data yang mengalir melalui Internet, tetapi terbatas untuk pesan individu, sedangkan SSL dan TLS dirancang untuk membuat sambungan aman antara dua komputer. 


     5. Memastikan Ketersediaan Sistem

            Sebagai perusahaan semakin bergantung pada jaringan digital untuk pendapatan dan operasi,mereka perlu mengambil langkah-langkah tambahan untuk memastikan bahwa sistem dan aplikasi mereka selalu tersedia. 

     6. Memastikan Kualitas Software

             Selain menerapkan keamanan dan kontrol yang efektif, organisasi dapat meningkatkan kualitas dan keandalan sistem dengan menggunakan metrik perangkat lunak dan pengujian perangkat lunak yang ketat. Metrik perangkat lunak adalah penilaian obyektif dari sistem dalam bentuk pengukuran kuantitatif. Penggunaan berkelanjutan metrik memungkinkan pengguna sistem informasi departemen dan akhir untuk bersama-sama mengukur kinerja sistem dan mengidentifikasi masalah yang terjadi. Contoh metrik perangkat lunak meliputi jumlah transaksi yang dapat diproses di unit waktu tertentu, waktu respon online, jumlah cek gaji yang dicetak per jam, dan jumlah bug yang dikenal per seratus baris kode program. Untuk metrik menjadi sukses, mereka harus hati-hati dirancang, formal, objektif, dan digunakan secara konsisten.

 

 

Sumber ; C. Laudon, Kenneth dan Jane P. Laudon. (2012), Management Information Systems:Managing the Digital Firm. edisi ke-12; Pearson.

 

 

Komentar

Posting Komentar

Postingan populer dari blog ini

Chapter 5 : INFRASTRUKTUR TI DAN PERKEMBANGAN TEKNOLOGI

Gambar
A. INFRASTRUKTUR TI                Infrastruktur TI meliputi investasi di bidang perangkat keras, perangkat lunak, dan layanan seperti konsultasi, pendidikan, dan pelatihan yang diberikan kepada seluruh bagian perusahaan atau di seluruh seluruh unit bisnis di perusahaan. Infrastruktur TI perusahaan menyediakan landasan untuk melayani pelanggan, bekerja sama dengan vendor, dan mengelola proses bisnis internal perusahaan.                         1. Mendifinisikan Infrastruktur TI                 Infrastruktur TI terdiri dari seperangkat perangkat fisik dan aplikasi perangkat lunak yang dibutuhkan untuk mengoperasikan seluruh perusahaan. Tapi infrastruktur TI juga adalah seperangkat layanan menyeluruh yang dianggarkan oleh manajemen dan terdiri dari manusia dan kemampuan teknis. Layanan ini meliputi: Layanan yang dapa...
Baca selengkapnya