Categories
Uncategorized

CHAPTER 8

NAMA:Naufal Aflah H

NIM:1908845

CHAPTER 8

MENGAPA SISTEM RENTAN

Ketika sejumlah besar data disimpan dalam bentuk elektronik, mereka menjadi rentan

untuk lebih banyak jenis ancaman daripada saat mereka ada dalam bentuk manual.

Melalui jaringan komunikasi, sistem informasi di lokasi yang berbeda

saling berhubungan. Potensi akses tidak sah, penyalahgunaan, atau penipuan

tidak terbatas pada satu lokasi tetapi dapat terjadi di titik akses mana pun di jaringan.

Gambar 8-1 mengilustrasikan ancaman paling umum terhadap informasi kontemporer.

sistem tion. Mereka dapat berasal dari teknis, organisasi, dan lingkungan

faktor yang diperparah oleh keputusan manajemen yang buruk. Di multi-tier

lingkungan komputasi klien / server diilustrasikan di sini, kerentanan ada di

setiap lapisan dan dalam komunikasi antar lapisan. Kerusakan sistem jika perangkat keras komputer rusak, tidak dikonfigurasi

benar, atau rusak karena penggunaan yang tidak benar atau tindakan kriminal. Kesalahan dalam program-

kesalahan, penginstalan yang tidak tepat, atau perubahan yang tidak sah menyebabkan perangkat lunak komputer

gagal. Listrik padam, banjir, kebakaran, atau bencana alam lainnya juga dapat mengganggu

sistem komputer.

Kemitraan domestik atau lepas pantai dengan perusahaan lain menambah vul-

nerability jika informasi berharga berada di jaringan dan komputer di luar

kontrol organisasi. Tanpa pengamanan yang kuat, data berharga bisa didapat

hilang, hancur, atau bisa jatuh ke tangan yang salah, mengungkapkan perdagangan yang penting

rahasia atau informasi yang melanggar privasi pribadi.

Popularitas perangkat seluler genggam untuk komputasi bisnis menambah

kesengsaraan ini. Portabilitas membuat ponsel, smartphone, dan komputer tablet

mudah hilang atau dicuri. Ponsel cerdas memiliki kelemahan keamanan yang sama dengan yang lain

Perangkat Internet, dan rentan terhadap penetrasi dan perangkat lunak berbahaya

dari luar. Pada tahun 2009, pakar keamanan mengidentifikasi 30 kelemahan keamanan dalam perangkat lunak

dan sistem operasi smartphone buatan Apple, Nokia, dan BlackBerry

pembuat Research in Motion.

Bahkan aplikasi yang telah dikembangkan secara khusus untuk perangkat seluler dapat

pernah berubah menjadi perangkat lunak jahat. Misalnya, pada Desember 2009, Google

menarik lusinan aplikasi perbankan seluler dari Android Market karena mereka

bisa saja diperbarui untuk mendapatkan kredensial perbankan pelanggan.

Ponsel cerdas yang digunakan oleh eksekutif perusahaan mungkin berisi data sensitif seperti

angka penjualan, nama pelanggan, nomor telepon, dan alamat email. Penyusup

mungkin dapat mengakses jaringan perusahaan internal melalui perangkat ini.

Kerentanan Internet

Jaringan publik yang besar, seperti Internet, lebih rentan daripada internal

jaringan karena hampir terbuka untuk siapa saja. Internet sangat besar

bahwa ketika pelanggaran benar-benar terjadi, hal itu dapat memiliki dampak yang sangat luas.

Saat internet menjadi bagian dari jaringan perusahaan, organisasi

sistem informasi bahkan lebih rentan terhadap tindakan dari pihak luar.

Komputer yang selalu terhubung ke Internet dengan modem kabel atau

saluran digital subscriber line (DSL) lebih terbuka untuk penetrasi oleh pihak luar

karena mereka menggunakan alamat Internet tetap di mana mereka dapat dengan mudah diidentifikasi.

(Dengan layanan dial-up, alamat Internet sementara ditetapkan untuk masing-masing

sesi.) Alamat Internet tetap menciptakan target tetap untuk peretas.

Layanan telepon berbasis teknologi Internet (lihat Bab 7) lebih

rentan dibandingkan jaringan suara yang dialihkan jika tidak berjalan melalui jaringan yang aman

jaringan pribadi. Sebagian besar lalu lintas Voice over IP (VoIP) melalui Internet publik tidak

dienkripsi, sehingga siapa pun yang memiliki jaringan dapat mendengarkan percakapan. Peretas

dapat mencegat percakapan atau mematikan layanan suara dengan membanjiri server

mendukung VoIP dengan lalu lintas palsu.

Kerentanan juga meningkat dari meluasnya penggunaan email, instan

olahpesan (IM), dan program berbagi file peer-to-peer. E-mail mungkin berisi

lampiran yang berfungsi sebagai papan loncatan untuk perangkat lunak berbahaya atau tidak resmi

akses ke sistem perusahaan internal. Tantangan Keamanan Nirkabel

Apakah aman untuk masuk ke jaringan nirkabel di bandara, perpustakaan, atau publik lainnya

lokasi? Itu tergantung pada seberapa waspada Anda. Bahkan jaringan nirkabel di file

rumah rentan karena pita frekuensi radio mudah dipindai. Kedua

Jaringan Bluetooth dan Wi-Fi rentan terhadap peretasan oleh penyadap.

Meskipun jangkauan jaringan Wi-Fi hanya beberapa ratus kaki, itu bisa

diperpanjang hingga seperempat mil menggunakan antena eksternal. Area lokal

jaringan (LAN) yang menggunakan standar 802.11 dapat dengan mudah ditembus oleh

siders dipersenjatai dengan laptop, kartu nirkabel, antena eksternal, dan peretasan lunak-

ware. Peretas menggunakan alat ini untuk mendeteksi jaringan yang tidak dilindungi, memantau jaringan

lalu lintas, dan, dalam beberapa kasus, mendapatkan akses ke Internet atau jaringan perusahaan.

Teknologi transmisi Wi-Fi dirancang untuk memudahkan stasiun

temukan dan dengarkan satu sama lain. Pengenal set layanan (SSID) yang mengidentifikasi

titik akses dalam jaringan Wi-Fi disiarkan beberapa kali dan dapat dipilih

cukup mudah oleh program pelacak penyusup (lihat Gambar 8-2). KERENTANAN PERANGKAT LUNAK

Kesalahan perangkat lunak menimbulkan ancaman konstan terhadap sistem informasi, menyebabkan tak terhitung kerugian dalam produktivitas. Meningkatnya kompleksitas dan ukuran program perangkat lunak,

berjanji dengan tuntutan pengiriman tepat waktu ke pasar, telah berkontribusi pada

peningkatan kelemahan atau kerentanan perangkat lunak Misalnya, terkait database

kesalahan perangkat lunak mencegah jutaan JP Morgan Chase ritel dan bisnis kecil

pelanggan mengakses rekening bank online mereka selama dua hari di bulan September

2010 (Dash, 2010).

Masalah utama dengan perangkat lunak adalah adanya bug atau program tersembunyi

cacat kode. Penelitian telah menunjukkan bahwa hampir tidak mungkin untuk menghilangkan semua

bug dari program besar. Sumber utama bug adalah kompleksitas keputusan

kode pembuatan sion. Program yang relatif kecil dengan beberapa ratus baris akan

Ada puluhan keputusan yang mengarah ke ratusan atau bahkan ribuan jalan yang berbeda.

Program penting di sebagian besar perusahaan biasanya jauh lebih besar, berisi-

membuat puluhan ribu atau bahkan jutaan baris kode, masing-masing dengan berkali-kali

pilihan dan jalur dari program yang lebih kecil.

Cacat nol tidak dapat dicapai dalam program yang lebih besar. Selesaikan pengujian secara sederhana

itu tidak mungkin. Program pengujian penuh yang berisi ribuan pilihan dan

jutaan jalur akan membutuhkan ribuan tahun. Bahkan dengan pengujian yang ketat,

Anda tidak akan tahu dengan pasti bahwa sebuah perangkat lunak dapat diandalkan hingga

produk membuktikan dirinya setelah banyak penggunaan operasional.

Cacat dalam perangkat lunak komersial tidak hanya menghambat kinerja tetapi juga membuat kerentanan keamanan yang membuka jaringan untuk penyusup. Setiap tahun keamanan

perusahaan mengidentifikasi ribuan kerentanan perangkat lunak di Internet dan perangkat lunak PC

ware. Misalnya, pada tahun 2009, Symantec mengidentifikasi 384 kerentanan browser:

169 di Firefox, 94 di Safari, 45 di Internet Explorer, 41 di Chrome, dan 25 di

Opera. Beberapa dari kerentanan ini sangat penting (Symantec, 2010).

Untuk memperbaiki kekurangan perangkat lunak setelah diidentifikasi, vendor perangkat lunak

membuat potongan-potongan kecil perangkat lunak yang disebut patch untuk memperbaiki tanpa cacat

mengganggu pengoperasian perangkat lunak yang benar. Contohnya adalah Microsoft

Windows Vista Service Pack 2, dirilis pada April 2009, yang mencakup beberapa

peningkatan keamanan untuk melawan malware dan peretas. Terserah pengguna

perangkat lunak untuk melacak kerentanan ini, menguji, dan menerapkan semua patch. Proses ini

disebut manajemen tambalan.

Karena infrastruktur TI perusahaan biasanya sarat dengan banyak

aplikasi bisnis, instalasi sistem operasi, dan sistem lainnya

layanan, memelihara tambalan pada semua perangkat dan layanan yang digunakan oleh sebuah perusahaan

seringkali memakan waktu dan mahal. Malware sedang dibuat begitu cepat

perusahaan memiliki sedikit waktu untuk menanggapi antara waktu kerentanan

dan tambalan diumumkan dan perangkat lunak berbahaya muncul untuk dieksploitasi

kerentanan.

Kebutuhan untuk merespon begitu cepat torrent kerentanan keamanan bahkan

menciptakan cacat pada perangkat lunak yang dimaksudkan untuk memerangi mereka, termasuk populer

produk antivirus. Apa yang terjadi pada musim semi 2010 menjadi McAfee, seorang pemimpin

vendor perangkat lunak antivirus komersial adalah contohnya, seperti yang dibahas di

Sesi Interaktif tentang Manajemen. PERSYARATAN HUKUM DAN PERATURAN

PENGELOLAAN CATATAN ELEKTRONIK

Peraturan pemerintah AS baru-baru ini memaksa perusahaan untuk mengambil keamanan dan

kontrol lebih serius dengan mengamanatkan perlindungan data dari penyalahgunaan,

eksposur, dan akses tidak sah. Perusahaan menghadapi kewajiban hukum baru untuk

penyimpanan dan penyimpanan catatan elektronik serta untuk perlindungan privasi.

Jika Anda bekerja di industri perawatan kesehatan, perusahaan Anda harus mematuhinya

Undang-Undang Portabilitas dan Akuntabilitas Jaminan Kesehatan (HIPAA) tahun 1996.

HIPAA menguraikan aturan dan prosedur keamanan medis dan privasi untuk

menyederhanakan administrasi penagihan perawatan kesehatan dan mengotomatiskan

transfer data perawatan kesehatan antara penyedia perawatan kesehatan, pembayar, dan rencana.

Ini mengharuskan anggota industri perawatan kesehatan untuk menyimpan informasi pasien

selama enam tahun dan memastikan kerahasiaan catatan tersebut. Ini menentukan

privasi, keamanan, dan standar transaksi elektronik untuk perawatan kesehatan

penyedia yang menangani informasi pasien, memberikan sanksi untuk pelanggaran

privasi medis, pengungkapan catatan pasien melalui email, atau tidak sah

akses jaringan.

Jika Anda bekerja di sebuah perusahaan yang menyediakan jasa keuangan, perusahaan Anda akan membutuhkannya

mematuhi Undang-Undang Modernisasi Layanan Keuangan 1999, yang lebih dikenal sebagai

Undang-Undang Gramm-Leach-Bliley setelah sponsor kongresnya. Tindakan ini

mewajibkan lembaga keuangan untuk memastikan keamanan dan kerahasiaan

data pelanggan. Data harus disimpan pada media yang aman, dan keamanan khusus

tindakan harus dilakukan untuk melindungi data tersebut di media penyimpanan dan selama

pengiriman.

Jika Anda bekerja di perusahaan publik, perusahaan Anda harus melakukannya

mematuhi Reformasi Akuntansi Perusahaan Terbuka dan Investor

Protection Act of 2002, lebih dikenal sebagai Sarbanes-Oxley Act setelahnya

sponsor Senator Paul Sarbanes dari Maryland dan Perwakilan Michael

Oxley dari Ohio. Undang-undang ini dirancang untuk melindungi investor setelah keuangan

skandal di Enron, WorldCom, dan perusahaan publik lainnya. Itu memaksakan

tanggung jawab pada perusahaan dan manajemen mereka untuk menjaga

semangat dan integritas informasi keuangan yang digunakan secara internal dan

dirilis secara eksternal. Salah satu Jalur Pembelajaran untuk bab ini dibahas

Sarbanes-Oxley secara rinci.

 PENGENDALIAN SISTEM INFORMASI

Pengendalian sistem informasi bersifat manual dan otomatis dan terdiri dari

kontrol umum dan kontrol aplikasi. Kontrol umum mengatur

desain, keamanan, dan penggunaan program komputer dan keamanan file data di

umum di seluruh infrastruktur teknologi informasi organisasi.

Secara keseluruhan, kontrol umum berlaku untuk semua aplikasi terkomputerisasi dan

terdiri dari kombinasi perangkat keras, perangkat lunak, dan prosedur manual itu

menciptakan lingkungan pengendalian secara keseluruhan.

Kontrol umum meliputi kontrol perangkat lunak, kontrol perangkat keras fisik,

kontrol operasi komputer, kontrol keamanan data, kontrol atas implementasi

tation proses sistem, dan kontrol administratif. Tabel 8-3 menjelaskan

fungsi dari masing-masing kontrol ini.

Kontrol aplikasi adalah kontrol khusus yang unik untuk setiap komputerisasi

aplikasi, seperti penggajian atau pemrosesan pesanan. Mereka termasuk keduanya otomatis

dan prosedur manual yang memastikan bahwa hanya data resmi yang lengkap

dan diproses secara akurat oleh aplikasi itu. Kontrol aplikasi bisa

diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan, dan (3) kontrol output.

Kontrol masukan memeriksa keakuratan dan kelengkapan data saat masuk

sistem. Ada kontrol masukan khusus untuk otorisasi masukan, data

konversi, pengeditan data, dan penanganan kesalahan. Kontrol pemrosesan menetapkan itu

data lengkap dan akurat selama pembaruan. TUGAS BERESIKO

Sebelum perusahaan Anda menggunakan sumber daya untuk keamanan dan sistem informasi

pengendalian, ia harus mengetahui aset mana yang membutuhkan perlindungan dan sejauh mana

aset ini rentan. Penilaian risiko membantu menjawab pertanyaan-pertanyaan ini

dan menentukan rangkaian pengendalian yang paling hemat biaya untuk melindungi aset.Penilaian risiko menentukan tingkat risiko bagi perusahaan jika aktivitas tertentu

ity atau proses tidak terkontrol dengan baik. Tidak semua risiko bisa diantisipasi dan

diukur, tetapi sebagian besar bisnis akan dapat memperoleh beberapa pemahaman tentang

risiko yang mereka hadapi. Manajer bisnis bekerja dengan sistem informasi

spesialis harus mencoba untuk menentukan nilai aset informasi, poin

kerentanan, kemungkinan frekuensi masalah, dan potensi kerusakan.

Misalnya, jika suatu peristiwa kemungkinan besar terjadi tidak lebih dari sekali dalam setahun, dengan a

maksimal kerugian $ 1.000 bagi organisasi, tidaklah bijaksana untuk membelanjakan $ 20.000

pada desain dan pemeliharaan kontrol untuk melindungi dari peristiwa itu.

Namun, jika peristiwa yang sama bisa terjadi setidaknya sekali sehari, dengan potensi

kerugian lebih dari $ 300.000 setahun, mungkin $ 100.000 dihabiskan untuk pengendalian

sepenuhnya sesuai.

Tabel 8-4 mengilustrasikan hasil sampel dari penilaian risiko untuk pesanan online

sistem pemrosesan yang memproses 30.000 pesanan per hari. Kemungkinan masing-masing

eksposur yang terjadi selama periode satu tahun dinyatakan sebagai persentase. Itu

kolom berikutnya menunjukkan kemungkinan kerugian tertinggi dan terendah yang dapat diharapkan

setiap kali pemaparan terjadi dan kerugian rata-rata dihitung dengan menambahkan

angka tertinggi dan terendah bersama-sama dan dibagi dua. Tahunan yang diharapkan

kerugian untuk setiap eksposur dapat ditentukan dengan mengalikan kerugian rata-rata dengan nya

kemungkinan terjadinya.

Penilaian risiko ini menunjukkan bahwa kemungkinan terjadinya kegagalan daya

dalam periode satu tahun adalah 30 persen. Kehilangan transaksi ketertiban sementara daya

turun bisa berkisar dari $ 5.000 hingga $ 200.000 (rata-rata $ 102.500) untuk setiap kejadian-

rence, tergantung pada berapa lama pemrosesan dihentikan. Probabilitas embez-

zlementasi yang terjadi selama periode tahunan sekitar 5 persen, dengan potensi kerugian mulai dari $ 1.000 hingga $ 50.000 (dan rata-rata $ 25.500) untuk setiap kejadian.

Kesalahan pengguna memiliki kemungkinan 98 persen terjadi selama periode tahunan, dengan

kerugian mulai dari $ 200 hingga $ 40.000 (dan rata-rata $ 20.100) untuk setiap kejadian-

rence.

Setelah risiko dinilai, pembuat sistem akan berkonsentrasi pada

titik kontrol dengan kerentanan dan potensi kerugian terbesar. Pada kasus ini,

Pengendalian harus berfokus pada cara-cara untuk meminimalkan risiko kegagalan daya dan pengguna

kesalahan karena kerugian tahunan yang diantisipasi paling tinggi untuk area ini. Sistem Deteksi Intrusi

Selain firewall, vendor keamanan komersial kini menyediakan intrusi

alat dan layanan deteksi untuk melindungi dari lalu lintas jaringan yang mencurigakan dan

mencoba mengakses file dan database. Fitur sistem deteksi intrusi

alat pemantauan penuh waktu ditempatkan di titik yang paling rentan atau “titik panas”

jaringan perusahaan untuk mendeteksi dan mencegah penyusup secara terus menerus. Sistem gen-

membuat alarm jika menemukan peristiwa yang mencurigakan atau tidak wajar. Perangkat lunak pemindaian

mencari pola yang menunjukkan metode serangan komputer yang diketahui, seperti

kata sandi buruk, periksa untuk melihat apakah file penting telah dihapus atau dimodifikasi,

dan mengirimkan peringatan vandalisme atau kesalahan administrasi sistem. Monitoring

perangkat lunak memeriksa peristiwa yang sedang terjadi untuk menemukan serangan keamanan di

kemajuan. Alat deteksi intrusi juga dapat disesuaikan untuk mematikan a

bagian jaringan yang sangat sensitif jika menerima lalu lintas yang tidak sah.

Perangkat Lunak Antivirus dan Antispyware

Rencana teknologi pertahanan untuk individu dan bisnis harus disertakan

perlindungan antivirus untuk setiap komputer. Perangkat lunak antivirus dirancang untuk periksa sistem komputer dan drive apakah ada virus komputer.

Seringkali perangkat lunak menghilangkan virus dari area yang terinfeksi. Namun, kebanyakan

perangkat lunak antivirus hanya efektif melawan virus yang sudah dikenal saat

perangkat lunak telah ditulis. Agar tetap efektif, perangkat lunak antivirus harus

diperbarui terus-menerus. Produk antivirus tersedia untuk berbagai jenis

perangkat seluler dan genggam selain server, workstation, dan desktop

PC.

Vendor perangkat lunak antivirus terkemuka, seperti McAfee, Symantec, dan Trend

Micro, telah menyempurnakan produknya dengan menyertakan perlindungan terhadap spyware.

Alat perangkat lunak antispyware seperti Ad-Aware, Spybot S & D, dan Spyware Doctor

juga sangat membantu.

Sistem Manajemen Ancaman Terpadu

Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor keamanan

telah digabungkan menjadi satu alat berbagai alat keamanan, termasuk api-

dinding, jaringan pribadi virtual, sistem deteksi intrusi, dan konten Web

perangkat lunak penyaringan dan antispam. Manajemen keamanan yang komprehensif ini

produk disebut sistem manajemen ancaman terpadu (UTM). Meskipun

awalnya ditujukan untuk bisnis kecil dan menengah, produk UTM tersedia

mampu untuk semua ukuran jaringan. Vendor UTM terkemuka termasuk Crossbeam,

Fortinent, dan Check Point, dan vendor jaringan seperti Cisco Systems dan

Juniper Networks menyediakan beberapa kemampuan UTM di peralatannya.

MENGAMANKAN JARINGAN NIRKABEL

Terlepas dari kekurangannya, WEP memberikan beberapa margin keamanan jika pengguna Wi-Fi ingat

ber untuk mengaktifkannya. Langkah pertama sederhana untuk menggagalkan peretas adalah dengan menetapkan yang unik

beri nama ke SSID jaringan Anda dan perintahkan router Anda untuk tidak menyiarkannya.

Perusahaan dapat lebih meningkatkan keamanan Wi-Fi dengan menggunakannya bersama

teknologi jaringan pribadi virtual (VPN) saat mengakses perusahaan internal

data.

Pada bulan Juni 2004, grup perdagangan industri Wi-Fi Alliance menyelesaikan 802.11i

spesifikasi (juga disebut sebagai Wi-Fi Protected Access 2 atau WPA2) itu

menggantikan WEP dengan standar keamanan yang lebih kuat. Alih-alih enkripsi statis

kunci yang digunakan di WEP,

Leave a Reply

Your email address will not be published. Required fields are marked *