Rangkuman: Chapter 8

Referensi Buku: 

0132142856.01.MZZZZZZZ

Judul Buku : Management Information System (Managing Digital Firm), 12th Edition

Penulis       : Jane P. Laudon, Kenneth C. Laudon

Penerbit     : Prentice-Hall Inc.

 

Part Two: Information Technology Infrastructure

Chapter 8: Securing Information System (Melindungi Sistem Informasi)

8.1 Kerentanan Dan Penyalahgunaan Sistem

       Keamanan (security) merujuk kepada kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak berwenang, alterasi, pencurian dan kerusakan fisik pada sistem informasi.Pengendalian (control) adalah metode, kebijakan, dan prosedur organisasi yang memastikan keamanan asset organisasi, akurasi dan reliabilitaspencatatan, serta kepatuhan operasional pada standar manajemen.

Mengapa sistem sangat rentan?

       Melalui jaringan komunikasi, sistem informasi di beberapa lokasi yang berbeda saling terhubung.Potensi dari akses yang tidak berwenang, penyalahgunaan, atau penipuan tidak terbatas pada satu lokasi, tetapi dapat terjadi di titik akses manapun dalam jaringan.

Kesalahan sistem terjadi saat perangkat keras komputer tidak bekerja secara efektif, atau tidak terkonfigurasi secara benar, atau kerusakan yang disebabkan oleh penggunaan yang tidak tepat atau tindakan kriminal.Kesalahan dalam pemrograman, instalasi yang tidak tepat, atau perubahan tanpa izin menyebabkan kegagalan perangkat lunak komputer.Gangguan listrik, banjir, kebakaran, dan bencana alam lainnya juga dapat mengganggu sistem komputer.

Kerentanan Internet

       Jaringan publik yang luas, seperti internet, lebih rentan jika dibandingkan dengan jaringan internal karena terbuka secara virtual bagi siapa saja. Internet begitu besar sehingga ketika terjadi penyalahgunaan, akan memberikan dampak yang sangat meluas. Ketik internet menjadi bagian dari jaringan perusahaan, sistem informasi organisasi akan semakin rentan terhadap pihak luar.

Tantangan Keamanan Nirkabel

        Jaringan nirkabel dibanyak lokasi tidak memiliki proteksi dasar melawan war driving, dimana para pencuri dengar berkendara dekat gedung atau memarkir di luar mencoba untuk menahan lalu lintas jaringan nirkabel. Para penyusup juga menggunakan informasi yang telah mereka kumpulkan untuk merancang titik akses yang buruk pada saluran radio yang berbeda di lokasi fisik yang berdekatan dengan pengguna untuk memaksa network interface control (NIC) dari radio pengguna agar terhubung dengan titik akses tersebut.

 

Perangkat Lunak Berbahaya: Virus, Worms, Trojan Horses, dan Spyware

        Program perangkat lunak berbahaya (malicious software program) disebut sebagai malware dan mencakup berbagai ancaman, seperti virus komputer, worms, dan Trojan Horses.

  • Virus komputer adalah sebuah program perangkat lunak berbahaya yang mengikatkan dirinya pada program perangkat lunak lain atau arsip data yang akan dijalankan, biasanya tanpa sepengetahuan atau izin pengguna.
  • Worms merupakan perangkat lunak independen yang menggandaan dirinya sendiri dari satu komputer ke komputer lainnya melalui sebuah jaringan.
  • Trojan Horse adalah program perangkat llunak yang awal kemunculannya begitu jinak kemudian berubah menjadi sesuatu yang tidak diharapkan.

 

Peretas dan Kejahatan Komputer

        Seorang peretas (hacker) adalah individu yang berkeinginan untuk memperoleh akses tanpa izin dari sebuah sistem komputer.

  1. Spoofing dan Sniffing; peretas mencoba untuk menutupi identitas asli mereka dan biasanya membuat tipuan (spoofing) atau menggambarkan dengan salah diri mereka sendiri dengan menggunakan alamat surel palsi atau menyamar menjadi orang lain. Sedangkan sniffer adalah sebuah program penyadapan yang memantau informasi melalui sebuah jaringan.
  2. Serangan denial-of-service; dalam serangan ini peretas membanjiri server jaringan dan server web dengan ribuan layanan komunikasi atau permintaan palsu untuk mengacaukan jaringan. Distributed denial-of-service (DDoS) menyerang banyak penggunaan komputer untuk menenggelamkan dan membuat jarngan terbebani melalui banyak titik peluncuran.
  3. Kejahatan Komputer; sebagian besar kegiatan peretas adalah tindakan pidana dan kerentanan sistem yang telah dideskripsikan menjadi target dari bentuk kejahatan komputer. Kejahatan komputer yang memiliki daya rusak paling bear dari sisi ekonomi adalah serangan DDoS dengan memasukkan virus, pencurian layanan, dan gangguan sistem komputer.
  4. Pencurian Identitas; merupakan sebuah kejahatan dimana seorang penipu memperoleh sejumlah informasi penting yang bersifat personal, seperti nomor identifikasi jaminan sosial, nomor SIM, atau nomor kartu kredit untuk menipu orang lain.
  5. Click Fraud; terjadi ketika program individu atau perusahaan secara curang mengklik iklan online dan tanpa adanya niatan untuk mempelajari lebih jauh iklan tersebut atau melakukan pembelian.
  6. Ancaman Global: Cyberterrorism dan Cyberwarfare; cyberwarfare adalah kegiatan yang disponsori Negara yang dirancang untuk melumpuhkan dan mengalahkan Negara bagian atau Negara lain dengan melakukan penetrasi pada komputer atau jaringan yang bertujuan untuk menyebabkan kerusakan dan gangguan.

 

Ancaman Internal: Para Karyawan

       Pihak internal perusahaan dapat menjadi ancaman keamanan yang serius.Para karyawan memiliki akses menuju informasi rahasia dan dengan lemahnya prosedur keamanan internal, mereka biasanya dapat menjelajah keseluruhan sistem organisasi tanpa meninggalkan jejak.

 

Kerentanan Perangkat Lunak

       Kesalahan perangkat lunak memiliki ancaman konstan pada sistem informasi, menyebabkan kerugian yang tak terhitung dalam sisi produktivitas. Permasalahan terbesar dari perangkat lunak adalah keberadaan bugsyang tersembunyi atau kode program yang cacat. Kecacatan pada perangkat lunak tidak hanya menghalangi kinerja, tetapi juga menciptakan kerentanan keamanan yang membuka jaringan terhadap para penyusup. Untuk memperbaiki kecacatan perangkat lunak setelah mereka teridentifikasi, vendor perangkat lunak menciptakan bagian kecil dari perangkat lunak yang bernama patches untuk memperbaiki kecacatan tanpa mengganggu pengoperasian yang seharusnya dari perangkat lunak.

 

 

8.2 Nilai Bisnis Keamanan Dan Pengendalian

        Perusahaan-perusahaan memiliki informasi berharga untuk dilindungi.Sistem biasanya memuat data rahasia terkait pajak individu, asset keuangan, catatan medis, termasuk rahasia dagang, rancangan pengembangan produk terbaru, dan strategi pemasaran.

Persyaratan Hukum dan Peraturan Untuk Manajemen Arsip Elektronik

        Sistem informasi digunakan untuk mengumpulkan, menyimpan, dan mengirimkan data perundang-undangan mewajibkan perusahaan untuk memeprtimbangkan kemanan sistem informasi dan kontrol lainnya yang diperlukan untuk memastikan integritas, kerahasiaan, dan akurasi data mereka. Setiap aplikasi sistem yang berkaitan dengan pelaporan data keuangan penting membutuhkan pengendalian untuk memastikan bahwa data tersebut akurat.

 

Barang Bukti Elektronik dan Komputer Forensik

        Komputer forensik adalah pengumpulan, pengajian, autentisitas, penjagaan, dan analisis ilmiah terhadap data yang terdapat atau diambil dari media penyimpanan komputer dimana informasi dapat digunakan sebagai barang bukti di pengadilan. Komputer forensic mencakup beberapa permasalahan seperti di bawah ini:

  • Pemulihan data dari komputer sambil menjaga keutuhan barang bukti
  • Penyimpanan dan pengelolaan dengan aman dari data elektronik yang sudah dipulihkan
  • Menemukan informasi penting dari sejumlah besar data elektronik
  • Menampilkan informasi di pengadilan

Barang bukti elektronik dapat ditempatkan pada media penyimpanan komputer dalam bentuk arsip komputer dan sebagai sebuah data ambient, yang tidak terlihat oleh pengguna pada umumnya.

 

 

8.3 Membangun Kerangka Kemanan Dan Pengendalian

Pengendalian Sistem Informasi

        Pengendalian sistem informasi baik manual maupun otomatis terdiri atas kendali umum dan kendali aplikasi.Kendali umum berpengaruh atas desain, dan penggunaan program komputer dan keamanan arsip data secara umum dari semua infrastruktur teknologi informasi perusahaan. Sedangkan kendali aplikasi adalah pengendalian khusus dan spesifik pada setiap aplikasi yang terkomputerisasi, seperti proses pembayaran dan pemesanan. Kendali aplikasi dapat dikelompokkan menjadi kendali input, kendali pemrosesan, dan kendali output.

 

Penilaian Resiko

         Penilaian resiko menentukan keadaan tingkatan resiko perusahaan jika sebuah tindakan atau proses yang spesifik tidak dapat dikendalikan sebagaimana mestinya. Setelah resiko dinilai, pembuat sistem akan berkonsentrasi pada pengendalian titik-titik yang memiliki kerentanan dan potensi kerugian besar.

 

Kebijakan Keamanan

        Kebijakan keamanan (security policy) terdiri atas pernyataan  peringkat resiko informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan tersebut. Kebijakan keamanan juga mencakup penetapan manajemen identitas. Manajemen identitas terdiri atas proses bisnis dan peralatan perangkat lunak untuk mengidentifikasi pengguna yang sah pada sistem dan mengendalikan akses mereka terhadap sumber daya sistem.

 

Perencanaan Pemulihan Bencana dan Perencanaan Kesinambungan Bisnis

        Perencanaan pemulihan bencana adalah sebuah alat yang merancang rencana untuk merestorasi komputasi dan layanan komunikasi setelah perusahaan mengalami gangguan.Perencanaan kesinambungan bisnis memiliki fokus pada bagaimana perusahaan mengembalikan operasional bisnis setelah terjadinya bencana. Perencanaan kesinambungan bisnis mengidentifikasi proses bisnis yang utama dan menetapkan rencana tindakan untuk mengendalikan fungsi-fungsi penting saat sistem tidak bekerja.

 

Peran Auditing

        Audit Sistem Informasi Manajemen memeriksa lingkungan keamanan keseluruhan perusahaan sebagaimana mengendalikan pengaturan sistem informasi individu.Auditor sebaiknya menelusuri aliran beberapa transaksi pada sistem dan melakukan pengujian menggunakan, jika sesuai, perangkat audit otomatis.

 

 

8.4 Teknologi Dan Sarana Untuk Melindungi Sumber-Sumber Informasi

Manajemen Identitas dan Autentisitas

         Untuk memperoleh akses pada sistem, seorang pengguna harus diberi izin dan dikonfirmasi. Autentisitas mengacu pada kemampuan untuk mengetahui apakah seorang pengguna adalah seperti apa yang diakuinya. Teknologi autentisitas terbaru , seperti token, kartu pintar, dan autentisitas biometrik, mengatasi beberapa permasalahan tersebut.

 

Firewall, Sistem Deteksi Gangguan, Dan Perangkat Lunak Antivirus

  1. Firewall

Firewall mencegah pengguna tidak berwenang  dari mengakses jaringan privat. Firewall merupakan sebuah kombinasi dari perangkat keras dan perangkat lunak yang mengendalikan aliran masuk dan keluar lalu lintas jaringan. Firewall bertindak seperti penjaga gerbang yang memeriksa surat kepercayaan dari setiap pengguna sebelum memberikan akses pada jaringan.

  1. Sistem Deteksi Gangguan

Sistem ini mengutamakan alat pemonitor penuh waktu untuk ditempatkan pada titik-titik paling rentan atau hot spot dalam jaringan perusahaan untuk mendeteksi dan menghalangi penyusup secara terus menerus.

  1. Perangkat Lunak Antivrus dan Antispyware

Perangkat ini mencegah, mendeteksi, dan memindahkan malware, termasuk virus komputer, worms komputer, Trojan horse, spyware, dan adware.

  1. Sistem Manajemen Ancaman Terpadu

Untuk membantu perusahaan mengurangi biaya dan meningkatkan pengelolaan, penyedia keamanan telah mengombinasikan beragam sarana keamanan ke dalam satu peralatan tunggal, termasuk firewall, jaringan privat virtual, sistem deteksi gangguan, dan penyaringan konten web serta perangkat lunak anti-spam. Produk manajemen keamanan yang komprehensif disebut sistem manajemen ancaman terpadu.

 

Melindungi Jaringan Nirkabel

        Standar keamanan pertama yag dikembangkan untuk WiFi yang disebut Wired Equivalent Privacy (WEP) tidak begitu efektif dikarenakan kunci enkripsinya yang relatif mudah untuk dipecahkan.

 

Enkripsi dan Kunci Infrastruktur Publik

        Enkripsi merupakan proses transformasi teks dan data biasa menjadi teks tersandi yang tidak dapat dibaca oleh siapapun kecualipengirim dan penerima yang dituju. Data enkripsi dengan menggunakan kode numeric rahasia yang disebut kunci enkripsi yang mengubah data biasa menjadi teks tersandi.

Bentuk lain dari enkripsi yang lebih aman disebut enkripsi kunci public menggunakan dua kunci: satu digunakan untuk berbagi (atau publik) dan satu lagi benar-benar privat. Sertifikat digital merupakan arsip data yang digunakan untuk menetapkan identitas pengguna dan asset elektronik untuk perlindungan transaksi online.

 

Menjaga Ketersediaan Sistem

        Ketika perusahaan banyak menggantungkan pendapatan dan operasionalnya pada penggunaan jaringan digital, mereka perlu mengambil langkah tambahan untuk memastikan bahwa sistem dan aplikasi mereka selalu tersedia. Perusahaan yang bergerak pada industri penerbangann atau layanan keuangan dengan aplikasi penting yang mengharuskan proses transaksi online telah menggunakan sistem komputer fault-tolerant selama bertahun-tahun untuk memastikan 100% ketersediaan.

Pengendalian lalu lintas jaringan: inspeksi paket mendalam

        Sebuah teknologi yang disebut inspeksi paket mendalam membantu mengatasi masalah-masalah tersebut. DPI menguji arsip data dan memilah materi online yang memiliki prioritas rendah dan menempatkan prioritas yang lebih tinggi untuk arip-arsip bisnis yang penting.

Penggunaan alih daya untuk keamanan

       Banyak perusahaan terutama bisnis kecil, kekurangan sumber daya atau ahli untuk menyediakan lingkungan komputasi dengan ketersediaan tinggi yang aman. Mereka dapat melakukan alih daya berbagai fungsi pengamanan kepada managed security service provider yang memonitor aktivitas dan jaringan serta melakukan pengujian kerentanan dan deteksi gangguan.

 

Isu Keamanan terhadap cloud computing dan mobile digital platform

Keamanan dan Cloud Computing

        Ketika kegiatan pemrosesan terjadi dalam cloud computing, akuntabilitas dan tanggung jawab untuk perlindungan data sensitif masih berada pada perusahaan yang memiliki data tersebut. Aplikasi cloud computing berada pada pusat data dan server yang sangat jauh menyediakan layanan bisnis dan manajemen data untuk banyak klien korporasi. Pengguna layanan cloud computing perlu mengkonfirmasikan di mana data mereka disimpan dan dilindungi pada tingkat seperti apa untuk memenuhi persyaratan mereka. Perusahaan sebaiknya menetapkan penyedia layanan cloud computing agar menyimpan dan memproses data pada wilayah hukum tertentu serta mengikuti aturan kerahasiaan sesuai hukum wilayah tersebut.

Mengamankan Platforms Mobile

       Perusahaan sebaik mengenkripsi komunikasi jika memungkinkan. Semua pengguna perangkat mobile disarankan untuk menggunakan fitur kata sandi yang ditemukan di setiap smartphone.

 

Menjaga Kualitas Perangkat Lunak

        Sebagai tambahan untuk mengimplementasikan keefektifan keamanan dan pengendalian, organisasi dapat meningkatkan kualitas dan keandalan perangkat lunak dengan menggunakan metriks perangkat lunak dan pengujian perangkat lunak yang ketat.Metriks perangkat lunak merupakan penilaian objektif dari sistem dalam bentuk pengukuran yang terkuantifikasi. Penggunaan metriks yang sedang berjalan memungkinkan departemen sistem informasi dan pengguna akhir untuk bersama-sama mengukur kinerja sistem dan mengidentifikasi permasalahan yang terjadi.

About Flowry Adni Jannatia

Cirebonese-Who doesn't love banana? Give it to me.