mengamankan sistem informasi

7/14/2019 Mengamankan Sistem Informasi

http://slidepdf.com/reader/full/mengamankan-sistem-informasi 1/32

Mengamankan Sistem Informasi

Chapter 8

Rangkuman Indonesian version MIS



Sistem Kerentanan dan Penyalahgunaan

• keamanan

• Kebijakan, prosedur, dan langkah-langkah teknisyang digunakan untuk mencegah akses yang tidaksah, perubahan, pencurian, atau kerusakan fisik

terhadap sistem informasi• kontrol

• Metode, kebijakan, dan prosedur organisasi yangmemastikan:

•

Keselamatan aset organisasi• Akurasi dan keandalan catatan akuntansi

• Kepatuhan operasional standar manajemen




• Mengapa sistem rentan ?• Data Elektronik rentan terhadap banyak jenis ancaman

dari data manual

• Jaringan

• Potensi akses yang tidak sah, penyalahgunaan, ataukecurangan tidak terbatas pada lokasi tunggal tetapidapat terjadi pada setiap titik akses dalam jaringan

• Kerentanan ada pada setiap lapisan dan antaralapisan

• Misalnya kesalahan pengguna, virus, hacker, radiasi,perangkat keras atau perangkat lunak kegagalan,pencurian




• Kerentanan internet

• Jaringan publik, sehingga terbuka bagi siapa saja

• Ukuran internet berarti pelanggaran mungkin

memiliki dampak luas• Alamat IP tetap adalah target tetap untuk hacker

• Layanan telepon VoIP rentan terhadap intersepsi

• E-mail, pesan instan rentan terhadap perangkat

lunak berbahaya, intersepsi



Sistem Kerentanan dan

Penyalahgunaan • Tantangan keamanan Nirkabel

• Banyak jaringan rumah dan hotspot publik terbuka bagisiapa saja, jadi tidak aman, komunikasi terenkripsi

• LAN menggunakan standar 802.11 dapat dengan mudah

ditembus• Set pengidentifikasi Layanan (SSID) mengidentifikasi

jalur akses dalam? Jaringan Wi-Fi dan disiarkanbeberapa kali

• WEP (Wired Equivalent Privacy): Awal standar keamanan

Wi-Fi tidak sangat efektif sebagai jalur akses dan semuapengguna berbagi password yang sama



• Perangkat lunak berbahaya (program jahat)

• virus komputer

• Program perangkat lunak nakal yang menempel padaprogram lain atau file data

• Payload mungkin relatif jinak atau sangat merusak

• worm:

• Program mandiri yang salinan dirinya melalui jaringan

• Virus dan worm menyebar melalui:

•

File download perangkat lunak• Lampiran e-mail

• Pesan e-mail yang terinfeksi atau pesan instan

• Disk yang terinfeksi atau mesin



• Trojan horse

• Program perangkat lunak yang tampaknya jinak tapi kemudianmelakukan sesuatu yang lain dari yang diharapkan

• Tidak mereplikasi tetapi sering jalan bagi virus atau kodeberbahaya untuk memasuki sistem komputer

• spyware

• Program kecil diinstal diam-diam pada komputer untukmemantau aktivitas pengguna web surfing dan melayani iklan

• Key logger

• Merekam dan mengirimkan setiap keystroke pada komputer

• Mencuri nomor seri, password



• Hacker

• Individu yang berniat untuk mendapatkan akses tidaksah ke sistem komputer

• Cybervandalism

• Gangguan disengaja, perusakan, atau penghancuransitus Web atau sistem informasi perusahaan

• Spoofing

• Keliru, mis dengan menggunakan alamat e-mail palsuatau mengarahkan ke situs Web palsu

• Sniffer:

• Program Menguping yang memonitor informasiperjalanan melalui jaringan



• Denial-of-service (DoS):

• Banjir jaringan atau Web server dengan ribuanpermintaan palsu sehingga crash atau memperlambat

jaringan

•

Didistribusikan penolakan-of-service (DDoS) serangan• Menggunakan ratusan atau ribuan komputer

menggenangi dan membanjiri jaringan dari banyak titikpeluncuran

• botnet

• Koleksi "zombie" PC yang terinfeksi dengan perangkatlunak berbahaya tanpa sepengetahuan pemiliknya dandigunakan untuk meluncurkan DDoS atau melakukankejahatan lainnya



• Kejahatan komputer

• Komputer sebagai target kejahatan

• Mengakses komputer tanpa otoritas

• Melanggar kerahasiaan data komputerisasi dilindungi

• Komputer sebagai alat kejahatan• Pencurian rahasia dagang dan penyalinan yang tidak

sah tentang perangkat lunak atau kekayaanintelektual hak cipta

• Menggunakan e-mail untuk ancaman atau pelecehan

• Kejahatan komputer yang paling merusak ekonomi

• Serangan DoS dan virus

• Pencurian layanan dan gangguan sistem komputer



• Pencurian identitas

• Menggunakan informasi kunci pribadi (nomor jaminansosial, nomor SIM, atau nomor kartu kredit) untukmeniru orang lain

•

Phishing• Menyiapkan situs Web palsu atau mengirim pesan e-mail

yang terlihat seperti orang-orang dari bisnis yang sahuntuk meminta pengguna untuk data pribadi rahasia

• Kembar jahat

• Jaringan nirkabel palsu yang digunakan untukmenawarkan koneksi internet, maka untuk menangkappassword atau nomor kartu kredit



• Pharming

• Mengarahkan pengguna ke halaman Web palsu, bahkan ketika jenis individu alamat yang benar ke dalam browser

• Penipuan Komputer dan UU Penyalahgunaan (1986)

• Membuatnya ilegal untuk mengakses sistem komputer tanpaotorisasi

• Klik penipuan

• Curang mengklik iklan online tanpa niat belajar lebih banyaktentang pengiklan atau melakukan pembelian

• Cyberterrorism dan cyberwarfare:

• Setidaknya dua puluh negara diyakini mengembangkankemampuan cyberwarfare ofensif dan defensif



• Ancaman internal: Karyawan• Dalam perusahaan menimbulkan masalah keamanan yang

serius

• Akses ke dalam informasi-seperti kode keamanan danpassword

• Dapat meninggalkan sedikit jejak

• Pengguna kurangnya pengetahuan: penyebab tunggal terbesardari pelanggaran keamanan jaringan

• password berkompromi

• Social engineering

• Kesalahan diperkenalkan ke perangkat lunak dengan:

• Entri data yang salah, penyalahgunaan sistem

• Kesalahan dalam pemrograman, desain sistem



• Kerentanan perangkat lunak

• Kesalahan perangkat lunak adalah ancaman konstanuntuk sistem informasi

• Biaya ekonomi AS $ 59600000000 setiap tahun

• Dapat mengaktifkan program jahat menyelinappertahanan antivirus yang lalu

• Patch

• Dibuat oleh vendor perangkat lunak untuk memperbaruidan memperbaiki kerentanan

• Namun, mempertahankan patch pada perangkat semuaperusahaan memakan waktu dan berkembang lebihlambat dari program jahat



Nilai Bisnis Keamanan dan Kontrol

• Nilai bisnis keamanan dan kontrol

• Perlindungan informasi rahasia perusahaan danpribadi

• Nilai aset informasi

• Keamanan pelanggaran hasil perusahaan besardalam kerugian rata-rata 2,1% dari nilai pasar

• tanggung jawab hukum

• Manajemen Dokumen Elektronik (ERM)

• Kebijakan, prosedur, dan alat untuk mengelolaretensi, kehancuran, dan penyimpanan catatanelektronik



• Persyaratan hukum dan peraturan untuk ERM

• HIPAA

• Garis keamanan medis dan aturan privasi

• Gramm-Leach-Bliley Act

• Mengharuskan lembaga keuangan untuk menjaminkeamanan dan kerahasiaan data pelanggan

• Sarbanes-Oxley Act

• Membebankan tanggung jawab pada perusahaan danmanajemen mereka untuk menjaga akurasi danintegritas informasi keuangan yang digunakan secarainternal dan eksternal dirilis



• Bukti elektronik dan komputer forensik

• Kasus hukum saat ini semakin bergantung padabukti direpresentasikan sebagai data digital

• E-mail bukti elektronik yang paling umum• Pengadilan memberlakukan keuangan, bahkan

hukuman pidana yang berat untuk kehancuranyang tidak tepat dokumen elektronik,kegagalan untuk menghasilkan catatan, dankegagalan untuk menyimpan catatan denganbenar



• Forensik komputer

• Koleksi ilmiah, pemeriksaan, otentikasi,

pelestarian, dan analisis data pada media

penyimpanan komputer sehingga dapat

digunakan sebagai bukti di pengadilan

• Kesadaran forensik komputer harus

dimasukkan ke dalam proses perencanaan

kontingensi perusahaan



Membangun Kerangka untuk

Keamanan dan Kontrol• ISO 17799

• Standar internasional untuk keamanan dan kontrol menentukanpraktik terbaik dalam keamanan informasi sistem dan kontrol

• Penilaian Risiko

• Menentukan tingkat risiko kepada perusahaan jika aktivitas atau

proses tertentu yang tidak dikontrol dengan baik• Nilai aset informasi

• Tempat kerentanan

• Frekuensi Kemungkinan masalah

• Potensi kerusakan

• Setelah risiko yang dinilai, pembangun sistem berkonsentrasipada titik kontrol dengan kerentanan terbesar dan potensikerugian



Teknologi dan Alat untuk Keamanan

• kebijakan keamanan

• Laporan peringkat risiko informasi, mengidentifikasi tujuankeamanan dapat diterima, dan mengidentifikasi mekanismeuntuk mencapai tujuan-tujuan ini

• Chief Security Officer (CSO)

• Grup keamanan kepala di perusahaan-perusahaan besar• Bertanggung jawab untuk menegakkan kebijakan keamanan

• kelompok keamanan

• Mendidik dan melatih pengguna

• Menyimpan manajemen menyadari ancaman keamanan dan

kerusakan• Menjaga alat yang dipilih untuk melaksanakan keamanan




• Acceptable Use Policy (AUP)

• Mendefinisikan penggunaan diterima sumber daya perusahaaninformasi dan peralatan komputasi

• Sebuah AUP baik mendefinisikan tindakan diterima untuk setiappengguna dan menentukan konsekuensi untuk ketidakpatuhan

• kebijakan otorisasi• Menentukan tingkat akses ke aset informasi untuk berbagai

tingkat pengguna

• Sistem manajemen Otorisasi

• Memungkinkan setiap akses pengguna hanya untuk bagian-

bagian dari sistem yang orang diizinkan masuk, berdasarkaninformasi yang ditetapkan oleh seperangkat aturan akses




• Memastikan kelangsungan bisnis

• Sistem komputer fault-tolerant

• Pastikan ketersediaan 100%

• Memanfaatkan hardware berlebihan, perangkat lunak, komponenpower supply

•Kritis untuk proses transaksi online

• Tinggi ketersediaan komputasi

• Mencoba untuk meminimalkan downtime

• Membantu perusahaan segera pulih dari sistem crash

• Memanfaatkan server cadangan, pemrosesan terdistribusi,kapasitas penyimpanan yang tinggi, pemulihan bencana danrencana kelangsungan bisnis

• Berorientasi Pemulihan komputasi: Merancang sistem, kemampuan,alat-alat yang membantu dalam pemulihan cepat, memperbaikikesalahan




• Perencanaan pemulihan bencana

• Mengembalikan layanan komputasi dan komunikasisetelah gempa, banjir, dll

• Dapat diserahkan kepada perusahaan pemulihan

bencana• Perencanaan keberlangsungan usaha

• Mengembalikan operasi bisnis setelah bencana

• Mengidentifikasi proses bisnis kritis dan menentukanbagaimana menangani mereka jika sistem turun

• Analisis dampak bisnis• Gunakan untuk mengidentifikasi sistem yang paling kritis

dan dampak pemadaman sistem terhadap bisnis




• Audit

• MIS Audit: Memeriksa keamanan lingkungankeseluruhan perusahaan serta kontrol yang mengatursistem informasi individual

•

Audit keamanan: Ulasan teknologi, prosedur,dokumentasi, pelatihan, dan personil

• audit:

• Daftar dan peringkat semua kelemahan pengendalian

• Probabilitas Perkiraan terjadinya

• Menilai dampak keuangan dan organisasi masing-masing ancaman




• Access control

• Kebijakan dan prosedur yang digunakan untukmencegah akses yang tidak benar dengan sistemyang tidak sah oleh orang dalam dan orang luar

• Pengguna harus disahkan dan dikonfirmasi• otentikasi:

• Biasanya ditetapkan oleh sistem sandi

• Teknologi otentikasi Baru:

• token• smart card

• otentikasi biometrik




• firewall:

• Hardware dan software mengendalikan aruslalu lintas jaringan yang masuk dan keluar

• Mencegah akses yang tidak sah• teknologi skrining

• packet filtering

•

stateful inspeksi• Terjemahan alamat jaringan (NAT)

• Aplikasi proxy filtering




• Sistem deteksi intrusi:

• Full-time, alat pemantauan real-time

• Ditempatkan di sebagian besar titik-titik

rawan jaringan perusahaan untukmendeteksi dan mencegah penyusup

• Perangkat lunak pemindaian mencari pola

seperti password yang buruk, penghapusanfile-file penting, dan memberitahukanadministrator




• Antivirus software antispyware• Perangkat lunak antivirus:

• Cek sistem komputer dan drive untuk kehadiranvirus komputer

• Untuk tetap efektif, perangkat lunak antivirusharus terus diperbarui

• Perangkat lunak Antispyware:

• Banyak vendor perangkat lunak antivirus

terkemuka termasuk perlindungan terhadapspyware

• Alat Standalone tersedia (Ad-Aware, Spybot)




• Mengamankan jaringan nirkabel

• WEP: Menyediakan beberapa ukuran keamanan jika

diaktifkan

• VPN teknologi: Dapat digunakan oleh perusahaan untuk

membantu keamanan

• Spesifikasi 802.11i: Perketat keamanan untuk LAN nirkabel

• Kunci enkripsi lagi yang tidak statis

•

Server otentikasi pusat• otentikasi bersama

• Wireless keamanan harus disertai dengan kebijakan dan

prosedur yang tepat untuk menggunakan perangkat

nirkabel




• Penyandian:• Transformasi pesan ke dalam teks cipher, menggunakan

kunci enkripsi

• Receiver harus mendekripsi pesan yang disandikan

•Dua metode utama untuk mengenkripsi lalu lintas jaringan• Secure Socket Layer (SSL) / Transport Layer Security (TLS)

• Menetapkan koneksi yang aman antara duakomputer

• Aman HTTP (S-HTTP)

• Mengenkripsi setiap pesan




• Dua metode enkripsi:• Enkripsi kunci simetris

• Bersama, kunci enkripsi tunggal dikirim ke

penerima• Enkripsi kunci publik

• Dua kunci, satu bersama / publik dan satupribadi

•Pesan dienkripsi dengan kunci publikpenerima tetapi hanya dapat diterjemahkandengan kunci pribadi penerima




• Tanda tangan digital

• Pesan terenkripsi yang hanya pengirim dengan kunci pribadi dapat

membuat

• Digunakan untuk memverifikasi keaslian dan konten pesan

•

Sertifikat digital• File data yang digunakan untuk menetapkan identitas pengguna dan

aset elektronik untuk perlindungan transaksi online

• Menggunakan pihak ketiga yang terpercaya, sertifikat otoritas (CA),

untuk memvalidasi identitas pengguna

• Public Key Infrastructure (PKI)

• Penggunaan kriptografi kunci publik bekerja sama dengan otoritas

sertifikat

mengamankan sistem informasi

Documents