Open in app

Sign in

Write

Sign in

KEAMANAN INFORMASI

Sari Dewi Situmorang
17 min readFeb 24, 2021

--

https://www.researchgate.net/

Keamanan Informasi atau Information Security adalah proteksi peralatan computer, fasilitas, data, dan informasi, baik computer maupun non- komputer dari penyalahgunaan oleh pihak-pihak yang tidak terotorisasi/ tidak berwenang.

Tujuan Keamanan Informasi:

  1. Kerahasiaan

Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.

2. Ketersediaan

Perusahaan menyediakan data dan informasi yang tersedia untuk pihak-pihak yang memiliki wewenang untuk menggunakanannya.

3. Integritas

Semua system informasi harus memberikan representasi akurat atas system fisik yang direpresentasikannya.

Karena itu, sangat penting bagi kita untuk melakukannya pelajari tentang keamanan informasi sehingga kita akan lebih siap saat memasuki dunia kerja. Maka, terdapat lima yang penting dalam menjaga keamanan informasi yaitu :

1. Introduction to Information Security

Keamanan dapat didefinisikan sebagai tingkat perlindungan terhadap aktivitas kriminal, bahaya, kerusakan, dan / atau kerugian. Mengikuti definisi luas ini, keamanan informasi mengacu pada semua proses dan kebijakan yang dirancang untuk melindungi informasi organisasi dan sistem informasi (SI) dari akses, penggunaan, pengungkapan, gangguan, modifikasi, atau perusakan yang tidak sah.

Organisasi mengumpulkan jumlah yang sangat besar informasi dan menggunakan berbagai sistem informasi yang tunduk pada berbagai ancaman. Ancaman terhadap sumber daya informasi adalah bahaya yang dapat menyebabkan sistem terpapar. Itu eksposur suatu sumber informasi adalah bahaya, kerugian, atau kerusakan yang dapat terjadi jika suatu ancaman membahayakan sumber daya itu. Kerentanan sumber daya informasi adalah kemungkinan bahwa sistem akan dirugikan oleh ancaman. Saat ini, lima faktor kunci berkontribusi pada meningkatnya kerentanan organisasi sumber daya informasi, sehingga jauh lebih sulit untuk mengamankannya:
• Saat ini lingkungan bisnis yang saling terhubung, saling bergantung, dan terhubung secara nirkabel
• Komputer dan perangkat penyimpanan yang lebih kecil, lebih cepat, lebih murah
• Penurunan keterampilan yang diperlukan untuk menjadi seorang hacker komputer
• Kejahatan terorganisir internasional yang mengambil alih kejahatan dunia maya
• Kurangnya dukungan manajemen

Berikut faktor-faktor Introduction to Information Security yaitu :

  1. Faktor pertama adalah evolusi sumber daya TI dari hanya mainframe menjadi yang paling tinggi saat ini kompleks, saling berhubungan, saling bergantung, lingkungan bisnis jaringan nirkabel. Itu Internet sekarang memungkinkan jutaan komputer dan jaringan komputer untuk berkomunikasi dengan bebas dan mulus satu sama lain.
  2. Faktor kedua mencerminkan fakta bahwa komputer modern dan perangkat penyimpanan (mis., Jempol drive atau fl ash drive) terus menjadi lebih kecil, lebih cepat, lebih murah, dan lebih portabel, dengan kapasitas penyimpanan yang lebih besar. Karakteristik ini membuat lebih mudah untuk mencuri atau kehilangan komputer atau perangkat penyimpanan yang berisi informasi sensitif dalam jumlah besar. Juga, jauh lebih banyak orang mampu membeli komputer yang kuat dan terhubung dengan murah ke Internet, sehingga meningkatkan potensi serangan terhadap aset informasi.
  3. Faktor ketiga adalah keterampilan komputasi yang diperlukan untuk menjadi seorang hacker menurun. Itu alasannya adalah bahwa Internet berisi informasi dan program komputer yang disebut script itu pengguna dengan sedikit keahlian dapat mengunduh dan menggunakan untuk menyerang sistem informasi apa pun yang terhubung ke Internet. (Pakar keamanan juga dapat menggunakan skrip ini untuk tujuan yang sah, seperti menguji keamanan berbagai sistem.)
  4. Faktor keempat adalah kejahatan terorganisir internasional mengambil alih kejahatan dunia maya. Cybercrime mengacu pada aktivitas ilegal yang dilakukan melalui jaringan komputer, khususnya Internet. iDefense (http://labs.idefense.com), sebuah perusahaan yang mengkhususkan diri dalam memberikan informasi keamanan kepada pemerintah dan perusahaan Fortune 500, menyatakan bahwa kelompok organisasi kriminal yang terorganisir dengan baik telah menguasai jaringan kejahatan global bernilai miliaran dolar.

2. Unintentional Threats to Information Systems

Sistem informasi rentan terhadap banyak potensi bahaya dan ancaman, seperti yang kita lihat pada Gambar. Dua kategori utama ancaman adalah ancaman yang tidak disengaja dan ancaman yang disengaja.

sumber: Rainer, R. K., Prince (2015)

Ancaman yang tidak disengaja adalah tindakan yang dilakukan tanpa niat jahat yang merupakan ancaman serius bagi keamanan informasi. Kategori utama dari ancaman yang tidak disengaja adalah kesalahan manusia.

Kesalahan Manusia (Human Errors)

Karyawan organisasi menjangkau luas dan dalam organisasi, dari juru tulis surat hingga CEO, dan di semua area fungsional.

Ada dua poin penting yang harus dibuat tentang karyawan.

  1. Pertama, semakin tinggi level karyawan, semakin besar ancaman yang ditimbulkannya terhadap keamanan informasi. Ini benar karena karyawan dengan level yang lebih tinggi biasanya memiliki akses yang lebih besar ke data perusahaan, dan mereka menikmati hak istimewa yang lebih besar pada sistem informasi organisasi.
  2. Kedua, karyawan di dua area organisasi merupakan ancaman yang sangat signifikan terhadap keamanan informasi: sumber daya manusia dan sistem informasi. Karyawan sumber daya manusia umumnya memiliki akses ke informasi pribadi yang sensitif tentang semua karyawan. Demikian juga, karyawan IS tidak hanya memiliki akses ke data organisasi yang sensitif, tetapi mereka sering mengontrol cara untuk membuat, menyimpan, mengirimkan, dan memodifikasi data tersebut.

Karyawan lainnya termasuk pekerja kontrak, konsultan, dan petugas kebersihan dan penjaga. Pekerja kontrak, seperti perekrutan sementara, dapat diabaikan dalam pengaturan keamanan informasi. Namun, karyawan ini sering kali memiliki akses ke jaringan perusahaan, sistem informasi, dan aset informasi. Konsultan, meskipun secara teknis bukan karyawan, melakukan pekerjaan untuk perusahaan. Bergantung pada jenis pekerjaan mereka, mereka mungkin juga memiliki akses ke jaringan perusahaan, sistem informasi, dan aset informasi. Kesalahan manusia memanifestasikan dirinya dalam berbagai cara, seperti yang ditunjukkan pada tabel di bawah ini.

sumber: Rainer, R. K., Prince (2015)

Rekayasa sosial ( Social Engineering)

Rekayasa sosial adalah serangan di mana pelaku menggunakan keterampilan sosial untuk mengelabui atau memanipulasi karyawan yang sah agar memberikan informasi rahasia perusahaan seperti sandi.

Contoh paling umum dari manipulasi psikologis terjadi ketika penyerang menyamar sebagai orang lain di telepon, seperti manajer perusahaan atau karyawan sistem informasi.

Penyerang mengklaim dia lupa kata sandinya dan meminta karyawan yang sah untuk memberinya kata sandi untuk digunakan. Tipuan umum lainnya termasuk menyamar sebagai pembasmi, teknisi AC, atau petugas pemadam kebakaran. Banyak contoh manipulasi psikologis.

Dua teknik rekayasa sosial lainnya adalah tailgating dan shoulder surfing. Tailgating adalah teknik yang dirancang untuk memungkinkan pelaku memasuki area terlarang yang dikendalikan dengan kunci atau entri kartu. Pelaku mengikuti dari dekat di belakang karyawan yang sah dan, ketika karyawan tersebut masuk, penyerang meminta dia untuk “menahan pintu.” Selancar bahu terjadi saat pelaku melihat layar komputer karyawan di atas bahu karyawan. Teknik ini sangat berhasil di tempat umum seperti di bandara dan di kereta komuter dan pesawat terbang.

3. Deliberate Threats to Information Systems

Apa saja ancaman yang disengaja terhadap sistem informasi ini?

  1. Spionase atau masuk tanpa izin
  2. Pemerasan informasi
  3. Sabotase atau vandalisme
  4. Pencurian peralatan atau informasi
  5. Pencurian identitas
  6. Kompromi terhadap kekayaan intelektual
  7. Serangan perangkat lunak
  8. Perangkat lunak alien
  9. Serangan pengawasan dan akuisisi data (SCADA)
  10. Terorisme Siber dan Perang Dunia Maya

Berikut penjelasan ancaman terhadap sistem informasi yaitu :

1. Espionage or Trespass (Spionase atau pelanggaran masuk)

Spionase atau pelanggaran yang terjadi ketika individu yang tidak berwenang mencoba untuk mendapatkan akses ilegal ke informasi organisasi. Spionase industri melintasi batas hukum. Bahkan akan membocorkan informasi tersebut ke pihak lain yang tidak berwenang.

Contoh:

Kasus terjadinya penyadapan oleh Australia terhadap dokumen rahasia Indonesia pada tahun 2013.

2. Information extortion (pemerasan informasi)

Pemerasan informasi terjadi ketika penyerang mengancam untuk mencuri atau benar-benar mencuri informasi dari sebuah perusahaan. Pelaku menuntut bayaran karena tidak mencuri informasi, untuk mengembalikan informasi yang dicuri, atau untuk menyetujui untuk tidak mengungkapkan informasi tersebut.

Contoh:

Pelaku meretas sistem informasi milik perusahaan dan akan mengancam akan membocorkan data-data milik perusahaan tersebut ke pesaingnya jika tidak diberikan bayaran sesuai dengan permintaan mereka.

3. Sabotase atau vandalisme

Sabotase dan vandalisme adalah tindakan sengaja yang melibatkan perusakan situs Web organisasi, berpotensi merusak citra organisasi dan menyebabkan pelanggan kehilangan kepercayaan. Satu bentuk vandalisme online adalah operasi hacktivist atau cyberactivist. Ini adalah kasus teknologi tinggi pembangkangan sipil untuk memprotes operasi, kebijakan, atau tindakan organisasi atau lembaga pemerintah.

Contoh :

Pada akun Twitter berbahasa Inggris untuk jaringan berita Arab Al Jazeera menjadi sasaran hacktivism. Associated Press melaporkan bahwa pendukung Presiden Suriah Bashar Assad menggunakan akun tersebut untuk men-tweet tautan dan pesan pro-Assad. Sabotase dapat dilakukan dengan berbagai cara oleh Hacker atau Cracker.

Hacker : para ahli komputer yang memiliki kekhususan data menjebol keamanan sistem komputer dengan tujuan publisitas

Cracker : penjebol sistem komputer yang bertujuan untuk melakukan pencurian atau merusak sistem.

4. Pencurian peralatan atau informasi

Perangkat komputasi dan perangkat penyimpanan menjadi lebih kecil namun lebih bertenaga dengan cepat penyimpanan yang ditingkatkan (mis., laptop, asisten digital pribadi, ponsel cerdas, kamera digital, ibu jari drive, dan iPod).

Hasilnya, perangkat ini menjadi lebih mudah untuk dicuri dan lebih mudah bagi penyerang digunakan untuk mencuri informasi. Salah satu bentuk pencurian, yang dikenal sebagai dumpster diving, adalah mengobrak-abrik iklan atau tempat sampah untuk menemukan informasi yang dibuang. File kertas, surat, memo, foto, ID, kata sandi, kartu kredit, dan bentuk informasi lainnya dapat ditemukan di tempat sampah.

  • Pencurian Identitas

Pencurian Identitas merupakan pencurian bagian yang muncul dari informasi pribadi atau kejahatan di mana seorang penipu mendapatkan informasi yang penting, seperti kartu kredit atau nomor jaminan sosial dengan tujuan mendapatkan layanan atas nama korban atau untuk mendapatkan data rahasia yang tidak tepat. Pencurian identitas telah berkembang pesat di internet. File kartu kredit adalah sasaran utama para hacker situs web. Situs e-commerce adalah sumber informasi pribadi yang luar biasa karena menyimpan nama, alamat, dan nomor telepon.

  • Pencurian Data

Pencurian data bisa terjadi ketika seseorang dengan sukarela memberikan data pribadi, tanpa menyadari bahwa data tersebut akan disalahgunakan. Namun bisa juga terjadi ketika pelaku meretas akun untuk memperoleh data pribadi. Pencurian data seringkali dilakukan oleh “orang dalam” untuk dijual.

Contoh :

Salah satu kasus yang terjadi pada Encyclopedia Britanica Company. Perusahaan ini menuduh seorang pegawainya menjual daftar nasabah ke sebuah pengiklan direct mail seharga $3 juta.

5. Pencurian identitas

Pencurian identitas adalah pencurian dengan sengaja terhadap identitas orang lain, dimana pada umumnya untuk mendapatkan akses ke informasi keuangannya atau untuk menjebaknya atas suatu kejahatan.

Contoh tindakan pencurian identitas yaitu :

• Mencuri surat atau mengambil isi email tanpa izin

• Mencuri informasi pribadi di database komputer

• Menembus organisasi yang menyimpan informasi pribadi dalam jumlah besar

• Meniru organisasi terpercaya dalam komunikasi elektronik (phishing)

6. KOMPROMI DENGAN KEKAYAAN INTELEKTUAL

Kekayaan intelektual adalah kekayaan yang dibuat oleh individu atau perusahaan dan dilindungi oleh undang-undang.

Melindungi kekayaan intelektual adalah masalah penting bagi orang yang mata pencahariannya di bidang pengetahuan.

Contoh :

  • rahasia dagang
  • paten
  • hak cipta

7. Software Attack (Serangan Perangkat Lunak)

Software attack atau disebut juga sebagai serangan perangkat lunak yang berbahaya yang sering terjadi dalam sistem dan rangkaian komputer. Adapun jenis ancaman yang sering dihadapi adalah:
A. Serangan Jarak jauh membutuhkan tindakan pengguna
1. Virus merupakan sebuah kode yang diciptakan untuk melakukan tindakan yang dapat merusak software dan hardware.

2. Worm merupakan segmen kode komputer yang melakukan tindakan yang dapat menurunkan jaringan secara drastis. Tujuan dari worm adalah untuk membuat backdoor di komputer.

3. Phishing attack menggunakan penipuan untuk memperoleh informasi pribadi yaitu dengan menyamar sebagai email atau pesan instan yang tampak resmi.

4. Spear phishing attack yaitu penipuan yang dilakukan melalui email atau messenger dengan memberikan sebuah link ke suatu situs palsu seperti contoh transaksi online

B. Serangan jarak jauh yang tidak membutuhkan tindakan pengguna

  1. Kegagalan layanan-menyerang
    Kegiatan ini berupa seseorang akan mengirimkan banyak permintaan informasi ke sistem komputer target yang tidak dapat ditangani.
  2. Penolakan Terdistribusi
    Serangan layanan yaitu penyerang mengambil alih banyak komputer biasanya menggunakan perangkat lunak berbahaya.

C. Serangan oleh programmer untuk mengembangkan sistem perangkat lunak

1. Trojan Horse Program: sistem yang secara diam-diam mengendalikan tingkat keamanan komputer dan membuat sistem dapat diakses secara remote kapan saja. Tujuan dari Trojan adalah memperoleh informasi dari target (password, kebiasaan pengguna yang tercatat dalam sistem log, data, dan lain-lain), dan mengendalikan target (memperoleh hak akses pada target).

2. Back Door: Biasanya sebuah kata sandi, yang hanya diketahui oleh penyerang, yang memungkinkan dia untuk mengakses sistem komputer sesuka hati, tanpa harus melalui prosedur keamanan apapun (juga disebut pintu jebakan).

3. Logic Bomb: Segmen kode komputer yang tertanam dalam program komputer organisasi yang ada dan dirancang untuk mengaktifkan dan melakukan tindakan destruktif pada waktu atau tanggal tertentu.

8. Alien Software (perangkat lunak asing )

Perangkat lunak asing adalah perangkat lunak rahasia yang diinstal pada komputer Anda melalui program duplikat, metode tous. Biasanya tidak berbahaya seperti virus, worm, atau trojan horse, tetapi memang demikian menggunakan sumber daya sistem yang berharga.

berikut merupakan yang termasuk kedalam perangkat lunak asing :

1.Spyware mengumpulkan informasi pribadi tentang pengguna tanpa persetujuan pengguna. Perangkat lunak asing memiliki 2 tipe spyware yaitu:

  • Keystroke loggers merekam keystrokes dan riwayat browsing Web.
  • Screen scrapers merekam terus menerus “film” dari apa yang dilakukan di layar.

2. Spamware adalah perangkat lunak asing yang dirancang untuk menggunakan komputer sebagai launchpad untuk spammer. Spam adalah email yang tidak diminta.

3. Cookies sejumlah kecil informasi yang disimpan website ke dalam komputer.

9. Serangan pengawasan dan akuisisi data (SCADA)

SCADA merupakan sistem kendali industri berbasis komputer yang dipakai untuk monitoring system atau control system. Sistem SCADA digunakan dalam memantau atau mengontrol proses kimia, fisik, serta transportasi. Serangan Pengawasan dan Akuisisi Data ini digunakan dalam proses pengilangan minyak, instalasi pengolahan air dan limbah, generator listrik, dan nuklir pembangkit listrik.

Sistem SCADA menjembatani antara peralatan fisik dengan sistem elektronik. Sistem SCADA terdiri dari beberapa sensor, master computer, dan infrastruktur komunikasi. SCADA membaca status dari data peralatan fisik, seperti mengukur tekanan, aliran, dan tegangan. Contohnya seperti dalam proses pengaturan kecepatan pompa.

Sensor terhubung dalam jaringan, dan setiap sensor biasanya memiliki alamat Internet (Protokol Internet, atau alamat IP). Jika ada penyerang yang mendapatkan akses ke dalam jaringan, maka akan dapat menyebabkan kerusakan yang serius, seperti mengganggu jaringan listrik di area yang luas, atau mengganggu operasi pabrik kimia atau nuklir besar.

10. Terorisme siber & Perang dunia maya

Cyberterrorism dan cyberwarfare merupakan tindakan berbahaya yang dilakukan penyerang atau keompok teroris dengan menggunakan target sistem komputer, terutama melalui Internet, yang menyebabkan kerusakan fisik (pada peralatan komputer), dan juga pada dunia nyata. Cyberterrorism dan cyberwarfare seringkali dilakukan untuk menganggu urusan politik.

Contohnya pada peretasan SONY. Meski peretasan tersebut tidak terbukti pada awal tahun 2015, pemerintah AS menganggap bahwa peretasan Sony adalah sebagai contoh perang dunia maya dilakukan oleh Korea Utara. Tindakan ini berkisar dari mengumpulkan data hingga menyerang infrastruktur yang kritis (misalnya, melalui sistem SCADA). Cyberterrorism biasanya dilakukan oleh individu atau kelompok, sedangkan cyberwarfare dilakukan oleh negara-bangsa.

4. What Organizations Are Doing to Protect Information Resources

Dimana mengatur sistem pertahanan yang tepat adalah begitu penting bagi seluruh perusahaan, ini adalah salah satu tanggung jawab utama dari setiap CIO yang bijaksana serta manajer fungsional yang mengendalikan sumber informasi. Faktanya, keamanan TI bisnis setiap orang dalam suatu organisasi. Selain masalah yang tertera , alasan lain mengapa sumber informasi yang sulit untuk dilindungi adalah bahwa industri perdagangan online tidak secara khusus ingin memasang pengamanan yang akan membuat penyelesaian transaksi menjadi lebih sulit atau rumit. Sebagai satu contoh, pedagang dapat meminta kata sandi atau nomor identifikasi pribadi untuk semua transaksi kartu kredit. Namun, persyaratan ini mungkin membuat orang enggan berbelanja on line. Untuk perusahaan kartu kredit, lebih murah untuk memblokir kartu kredit curian dan melanjutkan dari untuk menginvestasikan waktu dan uang untuk menuntut penjahat dunia maya.

sumber: Rainer, R. K., Prince (2015)

Resiko adalah kemungkinan bahwa suatu ancaman akan mempengaruhi sumber informasi. Tujuan dari resiko manajemen adalah mengidentifikasi, mengendalikan, dan meminimalkan dampak ancaman. Dengan kata lain, resiko manajemen berupaya mengurangi risiko ke tingkat yang dapat diterima. Manajemen risiko terdiri dari tiga proses: analisis risiko, mitigasi risiko, dan evaluasi pengendalian. Organisasi melakukan analisis risiko untuk memastikan bahwa program keamanan IS mereka hemat biaya. Analisis risiko melibatkan tiga langkah:

  1. menilai nilai setiap aset yang dilindungi,
  2. memperkirakan probabilitas bahwa setiap aset akan dikompromikan, dan
  3. membandingkan kemungkinan biaya aset dikompromikan dengan biaya perlindungan aset tersebut. Itu organisasi kemudian mempertimbangkan bagaimana memitigasi risiko.

Dalam mitigasi risiko, organisasi melakukan tindakan nyata terhadap risiko. Mitigasi risiko memiliki dua fungsi:

(1) menerapkan kontrol untuk mencegah terjadinya ancaman yang teridentifikasi, dan
(2) mengembangkan sarana pemulihan jika ancaman menjadi kenyataan. Ada beberapa strategi mitigasi risiko yang dapat diadopsi oleh organisasi. Tiga yang paling umum adalah penerimaan risiko, risiko batasan, dan pemindahan risiko.
Penerimaan risiko: Terima potensi risiko, terus beroperasi tanpa kontrol, dan serap
segala kerusakan yang terjadi.
Batasan risiko: Batasi risiko dengan menerapkan pengendalian yang meminimalkan dampak dari
ancaman.
Pemindahan risiko: Mentransfer risiko dengan menggunakan cara lain untuk mengkompensasi kerugian tersebut seperti dengan membeli asuransi.
Akhirnya, dalam evaluasi pengendalian, organisasi memeriksa biaya pelaksanaan tindakan pengendalian yang memadai terhadap nilai tindakan pengendalian tersebut. Jika biaya penerapan pengendalian lebih besar dari nilai aset yang dilindungi, pengendalian tersebut tidak hemat biaya. Di bagian selanjutnya, Anda akan mempelajari berbagai kontrol yang digunakan organisasi melindungi sumber informasi mereka.

5. Information Security Controls

Kontrol keamanan informasi adalah tindakan yang diambil untuk mengurangi risiko keamanan informasi seperti pelanggaran sistem informasi, pencurian data, dan perubahan tidak sah pada informasi atau sistem digital. Kontrol keamanan ini dimaksudkan untuk membantu melindungi ketersediaan, kerahasiaan, dan integritas data dan jaringan, dan biasanya diterapkan setelah penilaian risiko keamanan informasi.

Kontrol Fisik (Physical Controls)
Kontrol fisik mencegah individu yang tidak berhak mendapatkan akses ke fasilitas perusahaan. Kontrol fisik umum termasuk dinding, pintu, pagar, gerbang, kunci, lencana, penjaga, dan sistem alarm. Kontrol fisik yang lebih canggih termasuk sensor tekanan, suhu sensor, dan detektor gerakan. Salah satu kekurangan dari kontrol fisik adalah dapat membuat karyawan merasa tidak nyaman. Penjaga pantas mendapat perhatian khusus karena mereka memiliki pekerjaan yang sangat sulit, setidaknya untuk dua alasan. Pertama, pekerjaan mereka membosankan dan berulang-ulang dan umumnya tidak dibayar dengan baik. Kedua, jika penjaga melakukan pekerjaan mereka secara menyeluruh, karyawan lain melecehkan mereka, terutama jika mereka memperlambat proses memasuki fasilitas.

sumber: Rainer, R. K., Prince (2015)

Organisasi juga menerapkan langkah-langkah keamanan fisik yang membatasi pengguna komputer waktu dan lokasi masuk yang dapat diterima. Kontrol ini juga membatasi jumlah yang tidak berhasil upaya login, dan mereka mengharuskan semua karyawan untuk log off komputer mereka ketika mereka berangkat hari ini. Selain itu, mereka mengatur komputer karyawan untuk secara otomatis mengeluarkan pengguna setelah
periode tertentu tidak digunakan.

Access Controls

Kontrol akses membatasi individu yang tidak berwenang untuk menggunakan sumber informasi. Ini Kontrol melibatkan dua fungsi utama: otentikasi dan otorisasi. Otentikasi mengkonfirmasi identitas orang yang membutuhkan akses. Setelah orang tersebut diautentikasi (teridentifikasi),
langkah selanjutnya adalah otorisasi. Otorisasi menentukan tindakan, hak, atau hak istimewa mana seseorang memiliki, berdasarkan identitasnya yang telah diverifikasi. Mari kita periksa fungsi-fungsi ini lebih dekat.

  1. Autentikasi. Untuk mengotentikasi (mengidentifikasi) personel yang berwenang, organisasi dapat menggunakan satu atau lebih dari metode berikut: sesuatu pengguna, sesuatu yang dimiliki pengguna, sesuatu yang dilakukan pengguna, dan / atau sesuatu yang diketahui pengguna.Semua pengguna harus menggunakan kata sandi yang kuat, yang sulit ditemukan oleh peretas. Dasar pedoman untuk membuat kata sandi yang kuat adalah sebagai berikut:
    • Mereka harus sulit ditebak.
    • Harus panjang, bukan pendek.
    • Mereka harus memiliki huruf besar, huruf kecil, angka, dan karakter khusus.
    • Kata-kata itu tidak boleh dikenali.
    • Mereka tidak boleh menjadi nama apa pun atau siapa pun yang dikenal, seperti nama keluarga atau
    nama hewan peliharaan.
    • Mereka tidak boleh berupa rangkaian angka yang dapat dikenali, seperti nomor Jaminan Sosial atau
    ulang tahun.
  2. Otorisasi. Setelah pengguna diautentikasi dengan benar, hak dan hak istimewa yang mereka berhak atas sistem organisasi ditetapkan dalam proses yang disebut otorisasi. Hak istimewa adalah kumpulan operasi sistem komputer terkait yang dimiliki pengguna berwenang untuk melakukan. Perusahaan biasanya mendasarkan kebijakan otorisasi pada prinsip hak istimewa terkecil, yang menyatakan bahwa pengguna diberikan hak istimewa untuk suatu aktivitas hanya jika ada kebutuhan mereka untuk melakukan kegiatan itu

Communications Controls

Kontrol komunikasi (juga disebut kontrol jaringan) mengamankan pergerakan data jaringan. Kontrol komunikasi terdiri dari firewall fi, sistem anti-malware, daftar putih dan daftar hitam, enkripsi, jaringan pribadi virtual (VPN), keamanan lapisan transportasi, dan sistem pemantauan karyawan.

  • Firewall. Firewall adalah sistem yang mencegah jenis informasi tertentu bergerak antara jaringan tidak tepercaya, seperti Internet, dan jaringan pribadi, seperti jaringan perusahaan Anda. Sederhananya, firewall fi mencegah pengguna Internet yang tidak sah mengakses pribadi jaringan. Semua pesan yang masuk atau keluar dari jaringan perusahaan Anda melewati firewall fi. Firewall memeriksa setiap pesan dan memblokir yang tidak memenuhi aturan keamanan yang ditentukan. Firewall berkisar dari yang sederhana, untuk penggunaan di rumah, hingga yang sangat kompleks untuk penggunaan organisasi.
sumber: Rainer, R. K., Prince (2015)

didedikasikan untuk tugas itu. Zona demiliterisasi (DMZ) terletak di antara dua firewall. Pesan dari Internet terlebih dahulu harus melewati firewall fi eksternal. Jika mereka sesuai dengan aturan keamanan yang ditentukan, mereka kemudian dikirim ke server perusahaan yang terletak di DMZ. Server ini biasanya menangani permintaan halaman Web dan email. Semua pesan yang ditujukan untuk perusahaan jaringan internal (misalnya, intranetnya) harus melewati firewall fi internal, sekali lagi dengan miliknya sendiri mendefinisikan aturan keamanan, untuk mendapatkan akses ke jaringan pribadi perusahaan.

  • Sistem Anti-malware. Sistem anti-malware, juga disebut antivirus, atau AV, perangkat lunak paket perangkat lunak yang berupaya mengidentifikasi dan menghilangkan virus dan worm, serta perangkat lunak berbahaya lainnya. Perangkat lunak AV diimplementasikan di tingkat organisasi oleh departemen IS. Ratusan paket perangkat lunak AV saat ini tersedia. Di antara yang paling terkenal adalah Norton
    AntiVirus (www.symantec.com), McAfee VirusScan (www.mcafee.com), dan Trend Micro PCcillin (www.trendmicro.com).
  • Daftar Putih dan Daftar Hitam. Laporan oleh Yankee Group (www.yankeegroup.com), perusahaan riset dan konsultasi teknologi, menyatakan bahwa 99 persen organisasi telah menginstal sistem anti-malware, tetapi 62 persen masih mengalami serangan malware. Seperti yang telah kita lihat, sistem antimalware biasanya reaktif, dan malware terus menginfeksi perusahaan. Salah satu solusi untuk masalah ini adalah daftar putih. Whitelisting adalah proses yang dilakukan suatu perusahaan mengidentifikasi perangkat lunak yang memungkinkannya berjalan di komputernya. Daftar putih mengizinkan perangkat lunak yang dapat diterima untuk berjalan, dan mencegah perangkat lunak lain berjalan atau mengizinkan perangkat lunak baru dijalankan hanya di lingkungan yang dikarantina sampai perusahaan dapat memverifikasi validitasnya.
  • Enkripsi. Organisasi yang tidak memiliki saluran aman untuk mengirimkan informasi digunakan enkripsi untuk menghentikan penyadap yang tidak sah. Enkripsi adalah proses mengubah file
    pesan asli ke dalam bentuk yang tidak dapat dibaca oleh siapa pun kecuali penerima yang dituju. Semua sistem enkripsi menggunakan kunci, yaitu kode yang mengacak dan kemudian menerjemahkan kode
    pesan. Mayoritas sistem enkripsi menggunakan enkripsi kunci publik. Enkripsi kunci publik — juga dikenal sebagai enkripsi asimetris — menggunakan dua kunci berbeda: kunci publik dan privat kunci . Kunci publik (kunci pengunci) dan kunci privat (kunci pembuka) adalah
    dibuat secara bersamaan menggunakan rumus atau algoritma matematika yang sama. Karena keduanya kunci terkait secara matematis, data yang dienkripsi dengan satu kunci dapat didekripsi dengan menggunakan
    kunci lainnya. Kunci publik tersedia untuk umum di direktori yang dapat diakses semua pihak. Itu kunci pribadi dirahasiakan, tidak pernah dibagikan dengan siapa pun, dan tidak pernah dikirim melalui Internet.
sumber: Rainer, R. K., Prince (2015)

Business Continuity Planning

Strategi keamanan dasar untuk organisasi harus dipersiapkan untuk segala kemungkinan. Elemen penting dalam sistem keamanan apa pun adalah rencana kesinambungan bisnis, juga dikenal sebagai rencana pemulihan bencana. Kelangsungan bisnis adalah rangkaian peristiwa yang menghubungkan perencanaan dengan perlindungan dan pemulihan.
Tujuan dari rencana keberlangsungan bisnis adalah untuk memberikan arahan kepada orang-orang yang memelihara bisnis yang beroperasi setelah bencana terjadi. Karyawan menggunakan rencana ini untuk mempersiapkan, bereaksi, dan pulih dari peristiwa yang mempengaruhi keamanan aset informasi. Tujuannya adalah untuk memulihkan bisnis ke operasi normal secepat mungkin setelah serangan. Rencana itu dimaksudkan untuk memastikan bahwa fungsi bisnis penting terus berlanjut.

Information Systems Auditing

Perusahaan menerapkan kontrol keamanan untuk memastikan bahwa sistem informasi berfungsi dengan baik. Kontrol ini dapat dipasang di sistem asli, atau dapat ditambahkan setelah sistem dipasang dalam operasi. Penginstalan kontrol diperlukan tetapi tidak cukup untuk memberikan keamanan yang memadai.

  • Jenis Auditor dan Audit. Ada dua jenis auditor dan audit: internal dan
    luar. Audit IS biasanya merupakan bagian dari audit internal akuntansi, dan sering kali dilakukan oleh auditor internal perusahaan. Auditor eksternal meninjau temuan-temuan audit internal serta masukan, pemrosesan, dan keluaran dari sistem informasi. Eksternal audit sistem informasi seringkali merupakan bagian dari audit eksternal secara keseluruhan yang dilakukan oleh perusahaan akuntan publik (CPA) bersertifikat. Audit IS mempertimbangkan semua potensi bahaya dan kendali dalam sistem informasi. Saya berfokus pada masalah seperti operasi, integritas data, aplikasi perangkat lunak, keamanan dan privasi, anggaran dan pengeluaran, pengendalian biaya, dan produktivitas. Panduan tersedia untuk membantu auditor dalam pekerjaan mereka, seperti yang berasal dari Asosiasi Pengendalian dan Audit Sistem Informasi (www.isaca.org).
  • Bagaimana Mengaudit? Prosedur audit SI terbagi dalam tiga kategori:
  1. audit di sekitar komputer
  2. audit melalui komputer, dan
  3. audit dengan komputer.

Mengaudit di sekitar komputer berarti memverifikasi pemrosesan dengan memeriksa keluaran yang diketahui menggunakan input spesifik. Pendekatan ini paling efektif untuk sistem dengan keluaran terbatas. Dalam mengaudit melalui komputer, auditor memeriksa input, output, dan pemrosesan. Mereka meninjau program logika, dan mereka menguji data yang terkandung dalam sistem. Mengaudit dengan komputer berarti menggunakan kombinasi data klien, perangkat lunak auditor, dan perangkat keras klien dan auditor. Ini
Pendekatan memungkinkan auditor untuk melakukan tugas-tugas seperti simulasi menggunakan logika program penggajian
data langsung.

Refrensi :

  1. James A O’Brien “Introduction to Information System”. McGRAW-HILL, 15th Edition, 2010
  2. Rainer, R. K., Prince, B., Splettstoesser-Hogeterp, I., Sanchez-Rodriguez, C., & Ebrahimi, S. (2015). Introduction to information systems 6th Edition.s.

--

--

Sari Dewi Situmorang
Sari Dewi Situmorang

Written by Sari Dewi Situmorang

0 Followers
1 Following

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams