mengamankan sistem informasi
DESCRIPTION
MATERI UAS SISTEM INFORMASI MANAJEMEN STIE BANK BPD JATENG CHAPTER 8TRANSCRIPT
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 1/32
Mengamankan Sistem Informasi
Chapter 8
Rangkuman Indonesian version MIS
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 2/32
Sistem Kerentanan dan Penyalahgunaan
• keamanan
• Kebijakan, prosedur, dan langkah-langkah teknisyang digunakan untuk mencegah akses yang tidaksah, perubahan, pencurian, atau kerusakan fisik
terhadap sistem informasi• kontrol
• Metode, kebijakan, dan prosedur organisasi yangmemastikan:
•
Keselamatan aset organisasi• Akurasi dan keandalan catatan akuntansi
• Kepatuhan operasional standar manajemen
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 3/32
Sistem Kerentanan dan Penyalahgunaan
• Mengapa sistem rentan ?• Data Elektronik rentan terhadap banyak jenis ancaman
dari data manual
• Jaringan
• Potensi akses yang tidak sah, penyalahgunaan, ataukecurangan tidak terbatas pada lokasi tunggal tetapidapat terjadi pada setiap titik akses dalam jaringan
• Kerentanan ada pada setiap lapisan dan antaralapisan
• Misalnya kesalahan pengguna, virus, hacker, radiasi,perangkat keras atau perangkat lunak kegagalan,pencurian
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 4/32
Sistem Kerentanan dan Penyalahgunaan
• Kerentanan internet
• Jaringan publik, sehingga terbuka bagi siapa saja
• Ukuran internet berarti pelanggaran mungkin
memiliki dampak luas• Alamat IP tetap adalah target tetap untuk hacker
• Layanan telepon VoIP rentan terhadap intersepsi
• E-mail, pesan instan rentan terhadap perangkat
lunak berbahaya, intersepsi
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 5/32
Sistem Kerentanan dan
Penyalahgunaan • Tantangan keamanan Nirkabel
• Banyak jaringan rumah dan hotspot publik terbuka bagisiapa saja, jadi tidak aman, komunikasi terenkripsi
• LAN menggunakan standar 802.11 dapat dengan mudah
ditembus• Set pengidentifikasi Layanan (SSID) mengidentifikasi
jalur akses dalam? Jaringan Wi-Fi dan disiarkanbeberapa kali
• WEP (Wired Equivalent Privacy): Awal standar keamanan
Wi-Fi tidak sangat efektif sebagai jalur akses dan semuapengguna berbagi password yang sama
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 6/32
• Perangkat lunak berbahaya (program jahat)
• virus komputer
• Program perangkat lunak nakal yang menempel padaprogram lain atau file data
• Payload mungkin relatif jinak atau sangat merusak
• worm:
• Program mandiri yang salinan dirinya melalui jaringan
• Virus dan worm menyebar melalui:
•
File download perangkat lunak• Lampiran e-mail
• Pesan e-mail yang terinfeksi atau pesan instan
• Disk yang terinfeksi atau mesin
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 7/32
• Trojan horse
• Program perangkat lunak yang tampaknya jinak tapi kemudianmelakukan sesuatu yang lain dari yang diharapkan
• Tidak mereplikasi tetapi sering jalan bagi virus atau kodeberbahaya untuk memasuki sistem komputer
• spyware
• Program kecil diinstal diam-diam pada komputer untukmemantau aktivitas pengguna web surfing dan melayani iklan
• Key logger
• Merekam dan mengirimkan setiap keystroke pada komputer
• Mencuri nomor seri, password
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 8/32
• Hacker
• Individu yang berniat untuk mendapatkan akses tidaksah ke sistem komputer
• Cybervandalism
• Gangguan disengaja, perusakan, atau penghancuransitus Web atau sistem informasi perusahaan
• Spoofing
• Keliru, mis dengan menggunakan alamat e-mail palsuatau mengarahkan ke situs Web palsu
• Sniffer:
• Program Menguping yang memonitor informasiperjalanan melalui jaringan
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 9/32
• Denial-of-service (DoS):
• Banjir jaringan atau Web server dengan ribuanpermintaan palsu sehingga crash atau memperlambat
jaringan
•
Didistribusikan penolakan-of-service (DDoS) serangan• Menggunakan ratusan atau ribuan komputer
menggenangi dan membanjiri jaringan dari banyak titikpeluncuran
• botnet
• Koleksi "zombie" PC yang terinfeksi dengan perangkatlunak berbahaya tanpa sepengetahuan pemiliknya dandigunakan untuk meluncurkan DDoS atau melakukankejahatan lainnya
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 10/32
• Kejahatan komputer
• Komputer sebagai target kejahatan
• Mengakses komputer tanpa otoritas
• Melanggar kerahasiaan data komputerisasi dilindungi
• Komputer sebagai alat kejahatan• Pencurian rahasia dagang dan penyalinan yang tidak
sah tentang perangkat lunak atau kekayaanintelektual hak cipta
• Menggunakan e-mail untuk ancaman atau pelecehan
• Kejahatan komputer yang paling merusak ekonomi
• Serangan DoS dan virus
• Pencurian layanan dan gangguan sistem komputer
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 11/32
• Pencurian identitas
• Menggunakan informasi kunci pribadi (nomor jaminansosial, nomor SIM, atau nomor kartu kredit) untukmeniru orang lain
•
Phishing• Menyiapkan situs Web palsu atau mengirim pesan e-mail
yang terlihat seperti orang-orang dari bisnis yang sahuntuk meminta pengguna untuk data pribadi rahasia
• Kembar jahat
• Jaringan nirkabel palsu yang digunakan untukmenawarkan koneksi internet, maka untuk menangkappassword atau nomor kartu kredit
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 12/32
• Pharming
• Mengarahkan pengguna ke halaman Web palsu, bahkan ketika jenis individu alamat yang benar ke dalam browser
• Penipuan Komputer dan UU Penyalahgunaan (1986)
• Membuatnya ilegal untuk mengakses sistem komputer tanpaotorisasi
• Klik penipuan
• Curang mengklik iklan online tanpa niat belajar lebih banyaktentang pengiklan atau melakukan pembelian
• Cyberterrorism dan cyberwarfare:
• Setidaknya dua puluh negara diyakini mengembangkankemampuan cyberwarfare ofensif dan defensif
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 13/32
• Ancaman internal: Karyawan• Dalam perusahaan menimbulkan masalah keamanan yang
serius
• Akses ke dalam informasi-seperti kode keamanan danpassword
• Dapat meninggalkan sedikit jejak
• Pengguna kurangnya pengetahuan: penyebab tunggal terbesardari pelanggaran keamanan jaringan
• password berkompromi
• Social engineering
• Kesalahan diperkenalkan ke perangkat lunak dengan:
• Entri data yang salah, penyalahgunaan sistem
• Kesalahan dalam pemrograman, desain sistem
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 14/32
• Kerentanan perangkat lunak
• Kesalahan perangkat lunak adalah ancaman konstanuntuk sistem informasi
• Biaya ekonomi AS $ 59600000000 setiap tahun
• Dapat mengaktifkan program jahat menyelinappertahanan antivirus yang lalu
• Patch
• Dibuat oleh vendor perangkat lunak untuk memperbaruidan memperbaiki kerentanan
• Namun, mempertahankan patch pada perangkat semuaperusahaan memakan waktu dan berkembang lebihlambat dari program jahat
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 15/32
Nilai Bisnis Keamanan dan Kontrol
• Nilai bisnis keamanan dan kontrol
• Perlindungan informasi rahasia perusahaan danpribadi
• Nilai aset informasi
• Keamanan pelanggaran hasil perusahaan besardalam kerugian rata-rata 2,1% dari nilai pasar
• tanggung jawab hukum
• Manajemen Dokumen Elektronik (ERM)
• Kebijakan, prosedur, dan alat untuk mengelolaretensi, kehancuran, dan penyimpanan catatanelektronik
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 16/32
• Persyaratan hukum dan peraturan untuk ERM
• HIPAA
• Garis keamanan medis dan aturan privasi
• Gramm-Leach-Bliley Act
• Mengharuskan lembaga keuangan untuk menjaminkeamanan dan kerahasiaan data pelanggan
• Sarbanes-Oxley Act
• Membebankan tanggung jawab pada perusahaan danmanajemen mereka untuk menjaga akurasi danintegritas informasi keuangan yang digunakan secarainternal dan eksternal dirilis
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 17/32
• Bukti elektronik dan komputer forensik
• Kasus hukum saat ini semakin bergantung padabukti direpresentasikan sebagai data digital
• E-mail bukti elektronik yang paling umum• Pengadilan memberlakukan keuangan, bahkan
hukuman pidana yang berat untuk kehancuranyang tidak tepat dokumen elektronik,kegagalan untuk menghasilkan catatan, dankegagalan untuk menyimpan catatan denganbenar
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 18/32
• Forensik komputer
• Koleksi ilmiah, pemeriksaan, otentikasi,
pelestarian, dan analisis data pada media
penyimpanan komputer sehingga dapat
digunakan sebagai bukti di pengadilan
• Kesadaran forensik komputer harus
dimasukkan ke dalam proses perencanaan
kontingensi perusahaan
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 19/32
Membangun Kerangka untuk
Keamanan dan Kontrol• ISO 17799
• Standar internasional untuk keamanan dan kontrol menentukanpraktik terbaik dalam keamanan informasi sistem dan kontrol
• Penilaian Risiko
• Menentukan tingkat risiko kepada perusahaan jika aktivitas atau
proses tertentu yang tidak dikontrol dengan baik• Nilai aset informasi
• Tempat kerentanan
• Frekuensi Kemungkinan masalah
• Potensi kerusakan
• Setelah risiko yang dinilai, pembangun sistem berkonsentrasipada titik kontrol dengan kerentanan terbesar dan potensikerugian
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 20/32
Teknologi dan Alat untuk Keamanan
• kebijakan keamanan
• Laporan peringkat risiko informasi, mengidentifikasi tujuankeamanan dapat diterima, dan mengidentifikasi mekanismeuntuk mencapai tujuan-tujuan ini
• Chief Security Officer (CSO)
• Grup keamanan kepala di perusahaan-perusahaan besar• Bertanggung jawab untuk menegakkan kebijakan keamanan
• kelompok keamanan
• Mendidik dan melatih pengguna
• Menyimpan manajemen menyadari ancaman keamanan dan
kerusakan• Menjaga alat yang dipilih untuk melaksanakan keamanan
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 21/32
Teknologi dan Alat untuk Keamanan
• Acceptable Use Policy (AUP)
• Mendefinisikan penggunaan diterima sumber daya perusahaaninformasi dan peralatan komputasi
• Sebuah AUP baik mendefinisikan tindakan diterima untuk setiappengguna dan menentukan konsekuensi untuk ketidakpatuhan
• kebijakan otorisasi• Menentukan tingkat akses ke aset informasi untuk berbagai
tingkat pengguna
• Sistem manajemen Otorisasi
• Memungkinkan setiap akses pengguna hanya untuk bagian-
bagian dari sistem yang orang diizinkan masuk, berdasarkaninformasi yang ditetapkan oleh seperangkat aturan akses
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 22/32
Teknologi dan Alat untuk Keamanan
• Memastikan kelangsungan bisnis
• Sistem komputer fault-tolerant
• Pastikan ketersediaan 100%
• Memanfaatkan hardware berlebihan, perangkat lunak, komponenpower supply
•Kritis untuk proses transaksi online
• Tinggi ketersediaan komputasi
• Mencoba untuk meminimalkan downtime
• Membantu perusahaan segera pulih dari sistem crash
• Memanfaatkan server cadangan, pemrosesan terdistribusi,kapasitas penyimpanan yang tinggi, pemulihan bencana danrencana kelangsungan bisnis
• Berorientasi Pemulihan komputasi: Merancang sistem, kemampuan,alat-alat yang membantu dalam pemulihan cepat, memperbaikikesalahan
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 23/32
Teknologi dan Alat untuk Keamanan
• Perencanaan pemulihan bencana
• Mengembalikan layanan komputasi dan komunikasisetelah gempa, banjir, dll
• Dapat diserahkan kepada perusahaan pemulihan
bencana• Perencanaan keberlangsungan usaha
• Mengembalikan operasi bisnis setelah bencana
• Mengidentifikasi proses bisnis kritis dan menentukanbagaimana menangani mereka jika sistem turun
• Analisis dampak bisnis• Gunakan untuk mengidentifikasi sistem yang paling kritis
dan dampak pemadaman sistem terhadap bisnis
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 24/32
Teknologi dan Alat untuk Keamanan
• Audit
• MIS Audit: Memeriksa keamanan lingkungankeseluruhan perusahaan serta kontrol yang mengatursistem informasi individual
•
Audit keamanan: Ulasan teknologi, prosedur,dokumentasi, pelatihan, dan personil
• audit:
• Daftar dan peringkat semua kelemahan pengendalian
• Probabilitas Perkiraan terjadinya
• Menilai dampak keuangan dan organisasi masing-masing ancaman
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 25/32
Teknologi dan Alat untuk Keamanan
• Access control
• Kebijakan dan prosedur yang digunakan untukmencegah akses yang tidak benar dengan sistemyang tidak sah oleh orang dalam dan orang luar
• Pengguna harus disahkan dan dikonfirmasi• otentikasi:
• Biasanya ditetapkan oleh sistem sandi
• Teknologi otentikasi Baru:
• token• smart card
• otentikasi biometrik
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 26/32
Teknologi dan Alat untuk Keamanan
• firewall:
• Hardware dan software mengendalikan aruslalu lintas jaringan yang masuk dan keluar
• Mencegah akses yang tidak sah• teknologi skrining
• packet filtering
•
stateful inspeksi• Terjemahan alamat jaringan (NAT)
• Aplikasi proxy filtering
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 27/32
Teknologi dan Alat untuk Keamanan
• Sistem deteksi intrusi:
• Full-time, alat pemantauan real-time
• Ditempatkan di sebagian besar titik-titik
rawan jaringan perusahaan untukmendeteksi dan mencegah penyusup
• Perangkat lunak pemindaian mencari pola
seperti password yang buruk, penghapusanfile-file penting, dan memberitahukanadministrator
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 28/32
Teknologi dan Alat untuk Keamanan
• Antivirus software antispyware• Perangkat lunak antivirus:
• Cek sistem komputer dan drive untuk kehadiranvirus komputer
• Untuk tetap efektif, perangkat lunak antivirusharus terus diperbarui
• Perangkat lunak Antispyware:
• Banyak vendor perangkat lunak antivirus
terkemuka termasuk perlindungan terhadapspyware
• Alat Standalone tersedia (Ad-Aware, Spybot)
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 29/32
Teknologi dan Alat untuk Keamanan
• Mengamankan jaringan nirkabel
• WEP: Menyediakan beberapa ukuran keamanan jika
diaktifkan
• VPN teknologi: Dapat digunakan oleh perusahaan untuk
membantu keamanan
• Spesifikasi 802.11i: Perketat keamanan untuk LAN nirkabel
• Kunci enkripsi lagi yang tidak statis
•
Server otentikasi pusat• otentikasi bersama
• Wireless keamanan harus disertai dengan kebijakan dan
prosedur yang tepat untuk menggunakan perangkat
nirkabel
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 30/32
Teknologi dan Alat untuk Keamanan
• Penyandian:• Transformasi pesan ke dalam teks cipher, menggunakan
kunci enkripsi
• Receiver harus mendekripsi pesan yang disandikan
•Dua metode utama untuk mengenkripsi lalu lintas jaringan• Secure Socket Layer (SSL) / Transport Layer Security (TLS)
• Menetapkan koneksi yang aman antara duakomputer
• Aman HTTP (S-HTTP)
• Mengenkripsi setiap pesan
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 31/32
Teknologi dan Alat untuk Keamanan
• Dua metode enkripsi:• Enkripsi kunci simetris
• Bersama, kunci enkripsi tunggal dikirim ke
penerima• Enkripsi kunci publik
• Dua kunci, satu bersama / publik dan satupribadi
•Pesan dienkripsi dengan kunci publikpenerima tetapi hanya dapat diterjemahkandengan kunci pribadi penerima
7/14/2019 Mengamankan Sistem Informasi
http://slidepdf.com/reader/full/mengamankan-sistem-informasi 32/32
Teknologi dan Alat untuk Keamanan
• Tanda tangan digital
• Pesan terenkripsi yang hanya pengirim dengan kunci pribadi dapat
membuat
• Digunakan untuk memverifikasi keaslian dan konten pesan
•
Sertifikat digital• File data yang digunakan untuk menetapkan identitas pengguna dan
aset elektronik untuk perlindungan transaksi online
• Menggunakan pihak ketiga yang terpercaya, sertifikat otoritas (CA),
untuk memvalidasi identitas pengguna
• Public Key Infrastructure (PKI)
• Penggunaan kriptografi kunci publik bekerja sama dengan otoritas
sertifikat