bab 5 translet

Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis

1.1. Data dan Insiden Keamanan Perusahaan

Sampai 2002, sebagian besar masalah teknis infosec berasal dari yang bertugas di departemen TI.

Insiden ditangani berdasarkan "pembersihan" kasus per kasus daripada dengan melakukan pendekatan

pencegahan agar terlindung dari ancaman. Infosec dipandang sebagai biaya – bukan sebagai sumber

daya untuk mencegah gangguan bisnis dan melaksanakan tanggung jawab tata kelola. Pandangan

berbasis biaya ternyata berbahaya karena tidak sesuai untuk mengamankan perusahaan terhadap

resiko ketidakjujuran dan jangkauan kejahatan global dunia maya, malware, spyware, dan fraud. Biaya

“pembersihan” setelah satu insiden sudah mencapai puluhan atau ratusan juta dolar.

Ancaman terhadap infosec berasal mulai dari eksploitasi teknologi tinggi untuk mendapatkan

akses ke jaringan perusahaan dan database hingga taktik non-teknis seperti mencuri laptop dan apa

saja yang tersedia. Sebagian besar pelanggaran data melibatkan setidaknya kesalahan manusia atau

kesalahan tindakan, baik disengaja atau tidak disengaja. Ancaman yang berasal dari karyawan, disebut

sebagai ancaman internal, adalah rintangan utama yang sebagian besar disebabkan oleh sejumlah

besar cara yang tersedia bagi seorang karyawan untuk melakukan aktivitas berbahaya. Insiden internal

berikut dapat dicegah jika kebijakan infosec ketat dan pertahanan kuat. Insiden-insiden ini juga

menunjukkan bahwa para korban pelanggaran seringkali adalah pihak ketiga, seperti pelanggan, pasien,

pengguna jaringan sosial, perusahaan kartu kredit, dan shareholders.

Pada bulan Mei 2006, pencurian laptop dan pembobolan rumah karyawan Veteran Affais menelan

biaya wajib pajak sebesar $ 100 juta untuk perbaikan.

Pada Januari 2007, Perusahaan TJX mengungkapkan bahwa data dari 100 juta kartu kredit dan

debit telah dicuri oleh hacker mulai Juli 2005. Data pencurian TJX adalah pelanggaran terbesar

yang pernah terjadi hingga saat ini, berdasarkan jumlah catatan yang ada. Setelah pengungkapan,

bank mengatakan bahwa puluhan juta dolar berasal dari tuduhan penipuan pada kartu kredit.

Massachusetts Bankers Association menggugat TJX atas kelalaiannya. FTC mengajukan keluhan

menuduh TJX tidak memiliki langkah-langkah keamanan yang tepat untuk mencegah akses

informasi yang tidak sah, informasi personal pelanggan. Total biaya dari pelanggaran data adalah

sekitar $ 197 juta.

Tiga data pelanggaran medis terjadi di bulan Mei 2008. Peer-to-peer (P2P) file sharing yang tidak

sah menyebabkan pelanggaran data di Pusat Walter Reed Army Medical yang mengekspos data

pribadi dari 1.000 pasien. Pasien di Staten Island University Hospoital di New York diberitahu

bahwa komputer dengan catatan medis mereka telah dicuri. Informasi tentang pasien dari

Fransisco University of California San Medical Center telah diakses tanpa sengaja melalui Internet.

Pada bulan Februari 2008, perusahaan keamanan Symantec (symantec.com) memperingatkan

kesalahan pengunggah gambar ActiveX control, yang telah didistribusikan ke Facebook dan

pengguna MySpace. Hacker bisa mengeksploitasi kesalahan ini untuk menginstal kode berbahaya

pada komputer pengguna dan mengendalikan mereka. Akibatnya, hukum di Kanada menuduh

Kelompok V – PPAk Angkatan XV


Facebook dengan 22 pelanggaran privasi. Facebook mendapat serangan meningkat dari spammer

dan phisers, menurut kepala keamanan perusahaan.

Pada Juni 2008, Microsoft memperingatkan pengguna Windows XP dan Vista yang sudah

menginstal Safari pada mesin mereka bahwa mereka berada dalam risiko dan serangan kode

berbahaya.

Pada Januari 2008, T. Rowe Price mulai memberitahukan 35.000 klien nama dan nomor

pengamanan sosial telah diganggu. Pelanggaran tersebut berasal dari pencurian komputer

Desember 2007 dari penyedia kantor pelayanan pihak ketiga, yang sedang mempersiapkan

formulir pajak atas nama T. Rowe Price.

Nama, alamat e-mail dan rumah, dan nomor telepon dari 1,6 juta pencari kerja diperkirakan telah

terakses dari database Monster.com pada bulan Agustus 2007. Meskipun secara luas

digambarkan sebagai hacking, data secara tidak sengaja diakses oleh penyerang menggunakan

username dan password yang sah, mungkin dicuri dari perekrut profesional atau personil sumber

daya manusia yang menggunakan Monster.com untuk mencari calon karyawan.

Pada bulan November 2007, lembaga perpajakan UK mengungkapkan kehilangan disk tidak

terenkripsi yang berisi data pribadi, rincian bank, dan nomor ID nasional pada 25 juta pengadu

kejahatan anak-anak. Disk menghilang dalam transit perjalanan ke Kantor Nasional Audit UK.

Analis Gartner Inc memperkirakan bahwa penutupan rekening dikompromikan dan pembentukan

yang baru menelan biaya sekitar $ 500 juta.

Sumber daya informasi didistribusikan ke seluruh bagian dan di luar organisasi karena internet dan

teknologi nirkabel memperluas dan menghubungkan batas-batas organisasi. Waktu eksploitasi spyware

tercanggih saat ini dan pergerakan virus telah menyusut dari bulan ke hari. Waktu eksploitasi adalah

waktu yang telah berlalu antara kerentanan yang ditemukan dan ketika tereksploitasi. Staf TI memiliki

jangka waktu yang lebih pendek lagi untuk menemukan dan memperbaiki kelemahan sebelum

digunakan sebagai serangan.

Kelompok industri mengenakan standar mereka sendiri untuk melindungi pelanggan mereka dan

pencitraan anggota merek dan pendapatan mereka. Salah satu contoh adalah Payment Card Industry

Data Security Standard (PCI DSS) yang dibuat oleh Visa, MasterCard, American Express, dan Discover.

PCI diperlukan untuk semua anggota, pedagang atau penyedia jasa yang menyimpan, mengolah, atau

mengirimkan data pemegang kartu. Pada Juni 2008, Bagian 6,6 dari PCI DSS mulai berlaku penuh.

Singkatnya, bagian dari PCI DSS ini membutuhkan pedagang dan penyedia pembayaran kartu untuk

membuat agar aplikasi Web tertentu mereka aman. Jika dilakukan dengan benar, Bagian 6,6

mengamanatkan bahwa pengecer memastikan bahwa aplikasi Web terlindungi dari berbagai serangan

dengan menerapkan salah satu dari dua metode berikut:

1. Memiliki semua custom application code yang rentan dengan menggunakan aplikasi keamanan

perusahaan.



2. Instal lapisan firewall di depan aplikasi Web. Setiap aplikasi akan memiliki firewall sendiri untuk

melindungi terhadap instruksi dan malware.

Tujuan dari PCI DSS adalah untuk meningkatkan kepercayaan pelanggan dalam e-commerce,

terutama ketika pembayaran online, dan meningkatkan keamanan Web dari pedagang online. Untuk

memotivasi kepatuhan terhadap standar-standar, hukuman bagi yang melanggar diberlakukan. Merek

kartu bisa menemukan pengecer, dan meningkatkan biaya transaksi untuk setiap transaksi kredit atau

kartu debit. Sebuah temuan ketidakpatuhan dapat menjadi dasar atas gugatan.

Gambar 5.1 Mengelola Internet Security

Langkah 1: Dukungan dan Komitmen Manajemen Senior. Pengaruh manajer senior diperlukan

untuk menerapkan dan memelihara keamanan, standar etika, praktik pribadi, dan pengendalian internal.

COSO mendefinisikan pengendalian internal sebagai proses yang dirancang untuk memberikan

keyakinan memadai mengenai operasi yang efektif dan keandalan pelaporan keuangan.

Langkah 2: Pelatihan dan Kebijakan Keamanan. Langkah berikutnya dalam membangun kefektifan

program keamanan TI yaitu dengan mengembangkan kebijakan keamana dan untuk memberikan

pelatihan untuk memastikan bahwa setiap orang menyadari serta memahaminya. Semakin besar

pemahaman tentang bagaimana keamanan mempengaruhi tingkat produksi, pelanggan dan hubungan

dengan pemasok, arus pendapatan, dan kewajiban manajemen, maka keamanan akan lebih akan

dilibatkan dalam proposal dan perencanaan bisnis.

Yang paling penting adalah acceptable use policy (AUP) yang menginformasikan pengguna mengenai

tanggung jawab mereka. AUP diperlukan karena dua alasan: (1) untuk mencegah penyalahgunaan

informasi dan sumber daya komputer, dan (2) untuk mengurangi eksposur untuk denda, sanksi, dan

kewajiban hukum.

Langkah 3: Prosedur dan Pelaksanaan Keamanan. Jika kepatuhan aktivitas pengguna tidak

dimonitor, AUP menjadi tidak berguna. Oleh karena itu, langkah selanjutnya adalah menerapkan

prosedur pemantauan, pelatihan, dan pelaksanaan AUP. Bisnis tidak mampu membayar biaya

keamanan yang sempurna dan tak terbatas, sehingga mereka menghitung tingkat perlindungan yang

tepat. Perhitungan ini berdasar pada exprosure risiko aset digital.



Metode lain penilaian risiko adalah dampak bisnis analisis (Business Impact Analysis-BIA).

BIA adalah latihan yang menentukan dampak dari kehilangan dukungan atau ketersediaan suatu

sumber daya.

Langkah 4: Alat Keamanan: Perangkat Keras dan Perangkat Lunak. Langkah terakhir adalah

implementasi perangkat lunak dan perangkat keras yang dibutuhkan untuk mendukung kebijakan dan

melaksanakan praktik keamanan. Perlu diingat bahwa keamanan adalah proses yang berkelanjutan dan

bukan masalah yang dapat diselesaikan dengan perangkat keras atau perangkat lunak. Perangkat keras

dan perangkat lunak pertahanan keamanan tidak dapat melindungi dari praktek bisnis yang tidak

bertanggung jawab.

1.1. Ancaman dan Kerentanan IS

Salah satu kesalahan terbesar yang dilakukan manajer adalah meremehkan kerentanan dan ancaman.

Sebagian besar pekerja menggunakan PC dan laptop untuk kerja dan hiburan, dan di era multitasking,

mereka sering melakukan keduanya pada saat yang sama. Penggunaan ini cenderung berisiko, karena

karyawan terus terlibat dalam kebiasaan surfing dan komunikasi berbahaya yang dapat membuat

mereka lemah sehingga mengancam organisasi ataupun sistem keamanannya. Ancaman ini dapat

diklasifikasikan yang tidak disengaja atau disengaja.

Ancaman yang tidak disengaja terbagi dalam tiga kategori utama:

Kesalahan Manusia banyak berperan dalam masalah komputer. Kesalahan dapat terjadi pada

desain sistem perangkat keras atau sistem informasi. Juga bisa terjadi pada pemrograman,

pengujian, pengumpulan data, pemasukan data, otorisasi, dan instruksi. Tidak mengubah kata

kunci yang telah ada pada firewall menciptakan celah keamanan. Kesalahan manusia berkontribusi

pada sebagian besar masalah infosec dan pengendalian internal.

Bahaya Lingkungan meliputi gempa bumi, badai yang parah (misalnya, angin topan, badai salju,

atau badai pasir), banjir, gangguan listrik atau fluktuasi yang kuat, kebakaran (bahaya paling

umum), kerusakan AC, ledakan, kejatuhan radioaktif, dan kegagalan sistem pendingin air. Selain

kerusakan primer, sumber daya komputer bisa rusak oleh efek samping yang ada, seperti asap

dan air. Bahaya tersebut dapat mengganggu operasi komputer pada umumnya dan mengakibatkan

loading yang panjang dan biaya yang terlalu tinggi sementara komputer program dan file data

dibuat kembali.

Kegagalan Sistem Komputer dapat terjadi sebagai hasil dari manufaktur yang jelek, bahan cacat,

dan jaringan usang atau buruknya jaringan. Kerusakan yang tidak disengaja juga bisa terjadi

karena alasan lain, mulai dari kurangnya pengalaman hingga pengujian yang tidak memadai.

Kejahatan yang disengaja dilakukan di internet disebut kejahatan dunia maya. Hacker adalah

istilah yang sering digunakan untuk menggambarkan seseorang yang memperoleh akses tidak sah ke

sistem komputer. Black hat hackers, juga disebut sebagai cracker, adalah penjahat. Cracker adalah

hacker jahat, yang mungkin merupakan masalah serius bagi perusahaan.



Hacker dan cracker mungkin melibatkan orang dalam yang tidak curiga dalam kejahatan mereka.

Dalam strategi yang disebut rekayasa sosial, penjahat atau mata-mata perusahaan menjebak orang

dalam agar memberi informasi atau akses kepada mereka. Social engineering adalah kumpulan taktik

yang digunakan untuk memanipulasi manusia dalam melakukan tindakan yang membocorkan informasi

rahasia.

Ada banyak metode serangan baru yang muncul. Dua pendekatan dasar yang digunakan dalam

serangan yang disengaja pada sistem komputer: manipulasi data dan serangan pemrograman

Manipulasi data adalah sarana umum serangan yang dibayangi oleh jenis-jenis serangan lain. Hal

ini mengacu pada serangan ketika seseorang melakukan kesalahan, membuat, atau memasukkan data

palsu ke dalam komputer, atau perubahan atau penghapusan data yang sudah ada. Manipulasi data

sangat berbahaya karena mungkin tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang

dalam untuk melakukan penipuan.

Serangan pemrograman populer dengan penjahat komputer yang menggunakan teknik

pemrograman untuk memodifikasi program komputer lainnya. Untuk jenis kejahatan ini, dibutuhkan

keterampilan dan pengetahuan pemrograman dari sistem yang dituju. Contohnya adalah virus, worm,

dan trojan horse, dan jenis kode berbahaya, yang disebut malware. Malware dapat digunakan untuk

memulai penolakan layanan (DoS) serangan. Sebuah serangan DoS terjadi ketika server atau situs

web menerima banjir lalu lintas - lalu lintas lebih jauh atau permintaan untuk layanan daripada kapasitas

yang ada.

Malware. Malware adalah perangkat lunak apa saja yang tidak diinginkan yang mengeksploitasi

kelemahan dalam perangkat lunak lain untuk mendapatkan akses terlarang. Pada tahun 2007, malware

berubah secara mendasar sebagai kriminal dengan menggunakan Internet sebagai jalan serangan

utama untuk menginfeksi komputer. Sejalan dengan banyaknya perusahaan yang lebih

mempertahankan gateway e-mail mereka terhadap penyusup dengan mekanisme keamanan yang lebih

kuat, penjahat cyber bergeser upaya mereka untuk menanam malware di situs Web tidak aman,

menunggu pengunjung, dan kemudian menginfeksi mereka. Gateway adalah titik akses jaringan yang

bertindak sebagai pintu masuk ke jaringan lain.

Virus. Sebuah metode serangan universal adalah virus, yaitu kode komputer (program). Metode

ini disebut demikian karena kemampuan program untuk menempelkan dirinya sendiri dan menginfeksi

program komputer lainnya, tanpa pemilik program menyadari telah terinfeksi. Ketika perangkat lunak

yang terinfeksi digunakan, virus menyebar, menyebabkan kerusakan pada program tersebut dan

mungkin ke yang lainnya.

Worm. Tidak seperti virus, worm menyebar tanpa campur tangan manusia, seperti memeriksa e-

mail atau transmisi file. Worm menggunakan jaringan untuk memperbanyak dan menginfeksi apa-apa

yang melekat pada files ─ termasuk komputer, perangkat genggam, situs Web, dan server. Worm dapat



menyebar melalui instan atau pesan teks. Kemampuan worm untuk menyebarkan diri melalui jaringan

dapat menyumbat dan menurunkan kinerja sebuah jaringan, termasuk internet.

Trojan horse atau RAT. Trojan horse yang disebut sebagai backdoors karena mereka

memberikan penyerang akses ilegal ke jaringan atau account melalui port jaringan. Sebuah port

jaringan adalah titik temu fisik untuk komunikasi antara komputer dan perangkat lain pada alat dalam

sebuah jaringan. Trojan Remote Administration (RATs) adalah kelas backdoors yang memungkinkan

kontrol jarak jauh melalui mesin (terinfeksi) dilakukan.

Botnet mengemukakan komputer terinfeksi, serta jaringan komputer lain, dengan ancaman berikut

(Edwards, 2008):

Spyware: Zombies dapat diperintahkan untuk memantau dan mencuri data pribadi atau keuangan

Adware: Zombies dapat diperintahkan untuk mengunduh dan menampilkan iklan. Beberapa

zombie bahkan memaksa browser sistem yang terinfeksi untuk mengunjungi situs Web tertentu.

Spam: Sebagian besar email sampah dikirim melalui zombie. Pemilik komputer yang terinfeksi

biasanya tidak menyadari bahwa mesin mereka sedang digunakan untuk melakukan kejahatan.

Phishing: Zombies dapat mencari server lemah yang cocok untuk hosting situs Web phishing,

yang tampak seperti situs Web yang sah, untuk mengelabui pengguna agar memasukkan data

rahasia.

Serangan DoS: ancaman botnet yang mungkin paling tidak menyenangkan, dan salah satu yang

paling sulit untuk dilawan, yaitu di mana komputer yang terinfeksi dikumpulkan dan diperintahkan

secara overload dan melumpuhkan sebuah situs Web yang telah ditargetkan.

Kekuatan gabungan dari botnet dapat memindai dan menyatukan komputer lain yang kemudian

digunakan untuk setiap jenis kejahatan dan serangan terhadap komputer, server, dan jaringan.

Sejak malware dan botnet menggunakan banyak metode serangan dan strategi, beberapa alat

diperlukan untuk mendeteksi dan / atau menetralkan efeknya. Tiga pertahanan penting yaitu:

1. Teknologi Anti Malware: alat Anti malware yang dirancang untuk mendeteksi kode berbahaya

dan mencegah pengguna mengunduhnya. Mereka juga dapat memindai sistem untuk keberadaan

worm, trojan horse, dan jenis-jenis ancaman lain. Teknologi ini tidak menyediakan perlindungan

yang lengkap karena tidak dapat bertahan melawan zero-day exploits. Zero-day mengacu pada

hari dimana eksploitasi menyerang internet. Anti malware mungkin tidak dapat mendeteksi

eksploitasi yang belum diketahui.

2. Intrusion Detection Systems (IDS): Sesuai namanya, IDS memindai lalu lintas yang tidak biasa

atau mencurigakan. Sebuah IDS dapat mengidentifikasi awal serangan DoS dengan pola lalu

lintas, mengingatkan administrator jaringan untuk mengambil tindakan defensif, seperti beralih ke

alamat IP lain dan mengalihkan server kritis dari jalur serangan.



3. Sistem Intrusion Prevention (IPS): Sebuah IPS dirancang untuk segera mengambil tindakan -

seperti memblokir alamat IP tertentu - setiap kali anomali arus lalu lintas terdeteksi. ASIC

(application specific integrated circuit) berbasis IPS memiliki daya kemampuan dan analisis untuk

mendeteksi dan memblokir serangan DoS, berfungsi seperti pemutus saklar otomatis.

5.3 Fraud dan Kejahatan Dimediasi Komputer

Kejahatan dapat dibagi menjadi 2 kategori: kejahatan dengan kekaerasan dan kejahatan tanpa

kekerasan. Fraud adalah kejahatan tanpa kekerasan. Fraud tidak menggunakan pistol atau pisau, tetapi

menggunakan kecurangan, kepercayaan, dan tipu daya. Pelaku fraud melakukan kejahatan mereka dengan

menyalahgunakan kekuatan posisi mereka atau mengambil keuntungan dari kepercayaan orang lain. Statistik

menunjukkan bahwa kejahatan kekerasan sedang menurun, tetapi fraud tinggi di sepanjang waktu dan tidak

menunjukkan tanda-tanda berkurang.

Kejahatan komputer sering muncul dengan nama-nama baru yang dengan cepat menjadi bagian dari

kosakata sehari-hari. Sebagai contoh, para peneliti spyware di perangkat lunak Webroot telah menemukan

setumpuk puluhan ribu identitas curian dari 125 negara yang mereka yakin dikumpulkan oleh varian baru dari

program Trojan, perusahaan bernama Trojan-Phisher-Rebery. Rebery adalah contoh dari sebuah trojan

perbankan, yang diprogram untuk hidup kembali ketika pengguna mengunjungi sejumlah perbankan online

atau situs e-commerce. Tanpa pertahanan yang kuat-termasuk AUP dan prosedur keamanan – e-commerce

dapat kehilangan banyak konsumen.

Bila pengguna menyalahgunakan pekerjaannya untuk keuntungan pribadi melalui penyalahgunaan

sumber daya organisasi atau aset, hal itu disebut fraud jabatan. Audit internal dan pengendalian internal

sangat penting untuk mencegah dan medeteksi terjadinya fraud.

TI memiliki peran penting dalam implementasi tata kelola perusahaan yang baik dan pencegahan

fraud. Regulator yang baik terlihat pada perusahaan yang dapat menunjukkan tata kelola perusahaan yang

baik dan melaksanakan manajemen risiko operasional dengan baik. Manajemen dan staf perusahaan seperti

ini akan menghabiskan sedikit waktu mengkhawatirkan tentang peraturan dan lebih banyak waktu menambah

nilai merek dan bisnis mereka.

Pengukuran pencegahan fraud internal didasarkan pada pengendalian yang sama digunakan untuk

mencegah gangguan eksternal – teknologi pertahanan perimeter, seperti firewall, e-mail scanner, dan akses

biometric.

Sebuah pendekatan yang menggabungkan risiko, keamanan, kepatuhan, dan spesialis IT sangat

meningkatkan pencegahan dan deteksi penipuan. Pencegahan adalah pendekatan yang paling hemat biaya,

karena deteksi dan penuntutan adalah biaya yang sangat besar selain biaya langsung dari kerugian yang

ditimbulkan.

Pencurian identitas



Salah satu kejahatan terburuk dan paling umum adalah pencurian identitas. Pencurian seperti di

mana jaminan sosial individu dan nomor kartu kredit yang dicuri dan digunakan oleh pencuri bukan lagi hal

baru.

Selai itu, penjahat komputer tidak perlu kemampuan TI untuk mencuri laptop, telepon genggam, atau

PDA. Oleh karena itu, data tidak terenkripsi yang sensitif pada laptop atau perangkat genggam lain yang

dibawa meninggalkan kantor dapat meningkatkan risiko.

Ancaman Atas Keamanan Cyber

Lembaga Sans (SysAdmin, Audit, Networking, dan Security) menerbitkan daftar tahunan 10 ancaman teratas

keamanan cyber. Dua belas ahli keamanan cyber bekerja sama menyusun daftar serangan yang palinng

sering terjadi dan menyebabkan kerusakan substansial selama 2008 yaitu:

1. Meningkatnya kecanggihan serangan situs web yang mengeksploitasi kerentanan browser –

Terutama di situs web terpercaya.

2. Meningkatnya kecanggihan dan efektivitas dalam botnet.

3. Upaya spionase Cyber oleh organisasi dengan sumber daya yang baik dengan mengekstrak data

dalam jumlah besar, dan phising.

4. Ancaman telepon genggam, terutama terhadap resiko iPhone dan VoIP.

5. Serangan orang dalam.

6. Identitas curian lanjutan dari Bots yang sudah persisten.

7. Semakin berbahayanya Spyware.

8. Eksploitasi Aplikasi Keamanan Web.

9. Semakin canggihnya rekayasa sosial termasuk pencampuran phishing dengan VoIP dan event

phishing.

10. Supply chain menyerang perangkat yang terinfeksi (misalnya thumb drive, dan GPS) yang

didistribusikan oleh organisasi terpercaya.

Ada kecenderungan yang berkembang bagi pekerja untuk mengaburkan kehidupan pribadi dan

profesional. Misalnya, mereka surfing situs jaringan sosial atau IMing dengan teman-teman ketika sedang

bekerja. Dan mereka mengakses jaringan perusahaan dari hot spot ketika sedang berlibur. Kecenderungan

ini sangat berbahaya.

5.4 MANAJEMEN KEAMANAN PRAKTEK

Tujuan dari praktek manajemen keamanan TI adalah untuk mempertahankan semua komponen

sistem informasi, khususnya data, aplikasi perangkat lunak, perangkat keras, dan jaringan. Sebelum mereka

membuat keputusan mengenai pertahanan, orang yang bertanggung jawab terhadap keamanan harus



memahami kebutuhan dan operasi bisnis, yang membentuk dasar dari strategi pertahanan yang telah

disesuaikan.

• Strategi Pertahanan

Strategi pertahanan dan pengendalian yang harus digunakan tergantung pada apa yang perlu dilindungi dan

analisis biaya-manfaat. Berikut ini adalah tujuan utama dari strategi pertahanan:

1. Pencegahan dan Penolakan

2. Deteksi.

3. Penahanan (yang mengandung kerusakan).

4. Pemulihan.

5. Koreksi.

6. Kesadaran dan kepatuhan.

Sebuah strategi pertahanan juga akan memerlukan beberapa pengendalian. Pengendalian Umum

yang dibentuk untuk melindungi sistem terlepas dari apllication tertentu. Misalnya, melindungi perangkat

keras dan mengendalikan akses ke pusat data adalah sesuatu independen pada aplikasi tertentu.

Pengendalian Aplikasi adalah usaha perlindungan yang dimaksudkan untuk melindungi aplikasi tertentu.

Pengendalian Umum

Kategori utama dari Pengendalian Umum adalah pengendalian fisik, pengendalian akses,

pengendalian keamanan data, pengendalian jaringan komunikasi, dan pengendalian administratif.

Pengendalian Fisik. Keamanan fisik mengacu pada perlindungan fasilitas dan sumber daya

komputer. Ini termasuk melindungi kekayaan fisik seperti komputer, pusat data, perangkat lunak, manual,

dan jaringan. Hal ini menyediakan perlindungan melawan bahaya yang paling alami seperti halnya terhadap

beberapa bahaya yang berasal dari makhluk hidup. Keamanan fisik yang sesuai dapat mencakup beberapa

pengendalian seperti berikut ini:

1. Kesesuai desain dengan pusat data.

2. Pelindung terhadap medan elektromagnetik

3. Kebakaran baik pencegahan, deteksi, dan sistem pemadam, termasuk sistem sprinkler, pompa

air, dan fasilitas drainase yang memadai.

4. Penutup listrik darurat dan baterai cadangan, yang harus berada dalam kondisi beroperasi.

5. Perancangan dengan baik, dipelihara, dan dioperasikan dengan sistem pendingin udara.

6. Alarm detektor gerakan yang mendeteksi intrusi fisik.

Pengendalian Akses, yaitu manajemen kepada siapa yang berhak dan tidak berhak untuk menggunakan

perangkat lunak dan keras milik perusahaan. Metode pengendalian akses, seperti firewall dan daftar

pengendalian akses, membatasi akses ke suatu jaringan, database, file atau data. Pengendalian akses



melibatkan otorisasi dan otentifikasi, yang juga dikenal dengan identifikasi pengguna. Metode otentifikasi

termasuk:

Sesuatu yang hanya diketahui pengguna, misalnya kata kunci

Sesuatu yang hanya dimiliki pengguna, misalnya smart card atau token

Sesuatu yang hanya digunakan pengguna, misalnya tandatangan, suara, sidik jari, atau pemindai

retina; implementasi melalui pengendalian biometrik, yang dapat bersifat fisik atau perilaku.

Pengendalian Biometrik. Suatu pengendalian biometrik adalah metode otomatis yang memverifikasi

identitas seseorang, berdasarkan karakteristik fisik atau perilaku. Kebanyakan sistem biometrik

mencocokkan beberapa karakteristik pribadi terhadap profil yang telah disimpan sebelumnya. Yang paling

umum dalam biometric adalah:

Sidik ibu jari atau sidik jari. Setiap pengguna saat ingin akses, ibu jari atau sidik jari (jari scan)

dicocokkan dengan template yang berisi sidik jari orang yang berwenang untuk mengidentifikasi dia.

Pemindai retina. Dilakukan pencocokan antara pola dari pembuluh darah di retina yang sedang

dipindai dengan gambar retina yang sudah disimpan sebelumnya.

Pemindai Suara. Dicocokkan antara suara pengguna dan pola suara yang telah disimpan pada

template sebelumnya.

Tanda tangan. Tanda tangan dicocokkan dengan tanda tangan otentik yang telah disimpan

sebelumnya. Metode ini dapat dilengkapi dengan sistem foto ID-card.

Pengendalian biometrik sekarang telah terintegrasi ke banyak perangkat keras dan perangkat lunak e-

business. Pengendalian biometrik memiliki beberapa keterbatasan: tidak akurat dalam kasus tertentu, dan

beberapa orang menganggapnya sebagai pelanggaran privasi.

Pengendalian Administrasi. Pengendalian administratif berurusan dengan mengeluarkan pedoman dan

memantau kepatuhan terhadap pedoman.

Pengendalian Aplikasi

Serangan canggih yang ditujukan untuk tingkat aplikasi, dan banyak aplikasi tidak dirancang untuk

menahan serangan tersebut. Untuk bertahan hidup lebih baik, metodologi proses-informasi digantikan

dengan teknologi agen. Agen cerdas, juga disebut sebagai softbots atau knowbots, adalah aplikasi yang

sangat cerdas. Istilah ini umumnya berarti aplikasi yang memiliki tingkat reaktivitas, otonomi, dan

kemampuan beradaptasi-seperti yang diperlukan dalam situasi serangan yang tidak terduga.

5.5 Keamanan Jaringan (Network Security)



Sebagai pencegahan, setiap perusahaan sebaiknya mengimplemantasikan produk pengendalian

akses jaringan (network access control atau NAC). Peralatan NAC berbeda dari teknologi dan praktik

keamanan tradisional yang lebih fokus pada akses file. Walaupun keamanan tingkatan file diperlukan untuk

melindungi data, hal ini tidak menyimpan otorisasi pengguna diluar jaringan pada satu tempat. NAC

membantu bisnis melindungi jaringannya dari kriminalitas.

Pengukuran keamanan jaringan terdiri dari tiga lapisan yaitu keamanan di sekeliling (akses),

pengesahan dan otorisasi.

KEAMANAN DI SEKELILING DAN FIREWALLS

Tujuan utama dari keamanan di sekeliling adalah pengawasan akses. Teknologi ini digunakan untuk

melindungi dari malware dan sekelilingnya. Teknologi lainnya adalah firewalls. Firewalls adalah sistem atau

kelompok sistem yang menyelenggarakan kebijakan kontrol akses diantara dua jaringan. Firewalls biasanya

digunakan sebagai penghalang antara intranet perusahaan yang terlindung atau jaringan internal lainnya

dengan internet yang tidak terlindungi. Firewalls mengikuti aturan yang ketat seperti lalu lintas perizinan atau

blok, sehingga firewalls yang berhasil adalah yang dirancang dengan peraturan yang jelas dan spesifik

tentang yang dapat diloloskan. Beberapa firewalls mungkin berada di dalam satu sitem informasi. Firewalls

tidak menghentikan virus yang tersembunyi di jaringan. Virus dapat melewati firewalls terlebih apabila

tersembunyi pada lampiran e-mail.

Seluruh lalu lintas internet harus melalui firewall, tapi tidak berlaku bagi IM dan lalu lintas wireless

yang membawa malware ke jaringan dan aplikasi di komputer penerimanya. Firewalls tidak mengontrol

apapun terjadi setelah pengguna resmi telah mengesahkan dan mengotorisasi untuk mengakses aplikasi

pada jaringan. Pada kasus ini, firewalls dibutuhkan tapi tidak menghalangi secara keseluruhan.

PENGESAHAN DAN OTORISASI JARINGAN

Tujuan utama dari pengesahan adalah untuk membuktikan identitas. Maksudnya adalah

mengidentifikasi pengguna resmi dan menentukan kegiatan yang dapat dilakukan.



Terdapat dua faktor pengesahan yang juga disebut multifaktor pengesahan. Dengan kedua faktor

pengesahan tersebut, informasi lain harus memverifikasi identitas pengguna.

Ada tiga pertanyaan kunci untuk menanyakan kapan sistem pengesahan dilakukan:

1. Siapa kau? Apakah orang tersebut pekerja, partner, atau konsumen? Level pengesahan akan

berbeda bagi setiap jenis orangnya

2. Dimana kau? Misalnya, pekerja yang telah menggunakan lencana untuk memasuki gedung kurang

risikonya dibanding pekerja atau partner yang masuk secara sedikit demi sedikit

3. Apa yang diinginkan? Apakah orang ini mengakses secara peka atau pemilik informasi atau

pengguna data?

Ketika berhubungan dengan aplikasi konsumen seperti perbankan online dan e-commerce,

pengesahan yang kuat harus seimbang dengan kenyamanan. Apabila pengesahan terlalu sulit untuk bank

dan toko online, pengguna akan kembali pada cara manual. Terdapat penjualan antara peningkatan

perlindungan dan kehillangan konsumen dari channel online.

Otorisasi merujuk kepada meminta perizinan kepada individu atau kelompok untuk melakukan

kegiatan tertentu dengan komputer, biasanya berdasarkan verifikasi identitas. Sistem pengamanan ketika

mengesahkan pengguna, akan menyakinkan bahwa pengguna melakukan kegiatan yang telah diotorisasi.

JARINGAN KEAMANAN WIRELESS

Jaringan wireless lebih sulit dilindungi dibanding jalur kabel. Sensitivitas yang ada pada jaringan jalur

kabel konvensional di terapkan pada teknologi wireless. Titik akses wireless (wireless access points atau Aps

atau WAPs) dibalik firewall dan pelindung keamanan lainnya dapat bertolak belakang dengan jaringan. Data

yang sensitif yang tidak terbaca maupun yang terbaca dengan teknologi kriptografik lemah digunakan untuk

wireless seperti privasi eqivalen kabel (wired equivalent privacy atau WEP), dan di salurkan melalui dua

peralatan wireless yang diinterupsi dan disingkap. Peralatan wireless peka terhadap serangan DoS karena

pengganggu dapat meningkatkan konektivitas ke pengawas manajemen jaringan sehingga mengganggu dan

melumpuhkan operasi. Penganalisis paket wireless seperti AirSnot dan WEPcrack, tersedia menempatkan

jaringan wireless pada risiko yang besar.



5.6. Pengendalian Internal dan Manajemen Pemenuhan

Lingkungan pengendalian internal adalah suatu atmosfer kerja yang di susun oleh perusahaan

untuk pekerjanya. Pengendalian internal (internal control) adalah suatu proses yang dirancang untuk

mencapai: (1) reabilitas laporan keuangan, (2) efisiensi operasi, (3) pemenuhan hukum, (4) regulasi dan

kebijakan, (5) penjagaan aset.

PENGENDALIAN INTERNAL DIHARAPKAN MEMENUHI SOX



SOX adalah hukum anti kecurangan (fraud). Hal ini mendorong dilaporkannya bisnis secara lebih baik

dan pengungkapan pelanggaran GAAP, sehingga dibutuhkan untuk ditemukan akar masalah fraud itu.

REGULASI ANTI-FRAUD SELURUH DUNIA

Basel II merekomendasikan bahwa sistem pengukuran risiko internal dapat konsisten dengan tujuh

jenis potensi rugi:

1. Fraud internal

2. Fraud ekstrenal

3. Praktik pegawai dan keamanan lokasi bekerja

4. Klien, produk, dan praktik bisnis

5. Kerusakan aset fisik

6. Gangguan bisnis dan kegagalan sistem

7. Eksekusi, pengantaran, dan manajemen proses

Mengatur risiko menjadi salah satu isu penting bagi regulator dan institusi keuangan. Beberapa tahun

yang lalu, institusi mengorbankan biaya yang tinggi untuk menghindari risiko. Bagaimanapun, perkembangan

penelitian dan peningkatan dalam TI telah meningkatkan pengukuran dan manajemen atas risiko.

5.7 KELANGSUNGAN BISNIS DAN PERENCANAAN PEMULIHAN BENCANA



Bencana dapat terjadi tanpa peringatan sebelumnya. Pertahanan yang terbaik adalah dengan bersiap-

siap. Olehnya, terdapat suatu elemen penting dalam sistem keamanan apa saja yang disebut rencana

kelangsungan bisnis, juga dikenal dengan rencana pemulihan bencana. Rencana ini menguraikan proses

bisnis yang mana yang harus dipulihkan dari bencana besar. Kerusakan pada seluruh (atau sebagian besar)

dari fasilitas komputer dapat menimbulkan kerusakan signifikan. Karenanya, hal ini untuk kebanyakan

organisasi sulit untuk mendapatkan asuransi bagi komputer-komputer dan sistem informasi mereka tanpa

menunjukkan suatu rencana pemulihan dan pencegahan bencana.

Perencanaan Kelangsungan Usaha

Pemulihan bencana adalah rantai dari kejadian yang menghubungkan rencana kelangsungan usaha terhadap

pencegahan dan terhadap pemulihan. Berikut ini adalah beberapa pendapat mengenai proses ini:

Tujuan dari rencana pemulihan bisnis adalah untuk menjaga jalannya bisnis setelah suatu bencana

muncul. Setiap fungsi dalam bisnis harus punya rencana kapabilitas pemulihan yang valid.

Perencanaan pemulihan adalah bagian dari perlindungan asset. Setiap organisasi harus

memberikan tanggung jawab kepada manajemen untuk mengidentifikasi dan melindungi aset di

dalam bidang penngawasan fungsional mereka.

Perencanaan harus berfokus utama pada pemulihan dari kehilangan seluruh kapabilitas.

Bukti kapabilitas biasanya menyertakan beberapa jenis analisis apakah-jika yang menunjukkan

rencana pemulihan yang dilakukan pada saat itu.

Semua aplikasi kritis harus diidentifikasi dan prosedur pemulihannya dijabarkan dalam rencana.

Rencana harus ditulis sehingga lebih efektif ketika bencana terjadi, tidak hanya untuk memuaskan

auditor.

Rencana harus disimpan di tempat yang aman; kopian harus diberikan kepada seluruh manajer

kunci atau harus tersedia dalam intranet. Rencana harus diaudit secara periodik.

Perencanaan pemulihan bencana dapat menjadi sangat kompleks, dan mungkin memerlukan beberapa bulan

untuk diselesaikan. Dengan menggunakan perangkat lunak khusus, pekerjaan perencanaan dapat dijalankan.

Penghindaran Bencana. Penghindaran bencana adalah suatu pendekatan berorientasi lebih ke arah

pencegahan. Idenya adalah untuk meminimalisasi kesempatan dari bencana yang bisa dihindari (misalnya

kebakaran atau ancaman lain yang disebabkan manusia). Sebagai contoh, banyak perusahaan

menggunakan suatu alat yang disebut uninterrupted power supply (UPS), yang menyediakan daya jika terjadi

hilang daya.

5.8 PENGAUDITAN DAN MANAJEMEN RISIKO

Mengimplementasikan pengawasan di dalam sebuah organisasi dapat menjadi tugas yang sangat

sulit, khususnya pada perusahaan besar terdesentralisasi dimana pengawasan administratif mungkin sulit



untuk dijalankan. Dari berbagai jenis masalah terkait implementasi pengawasan, dijelaskan tiga hal disini:

pengauditan sistem informasi, analisis risiko, dan tren keamanan IT, termasuk kegunaan dari sistem intelijensi

lanjutan.

Pengawasan dibuat untuk menyakinkan bahwa sistem informasi berjalan dengan baik. Pengawasan

dapat diinstal dalam sistem yang orisinil, atau dapat ditambahkan ketika sistem sedang beroperasi.

Menginstal pengawasan adalah sesuatu yang penting tetapi tidak cukup hanya itu. Penting juga untuk

menjawab pertanyaan-pertanyaan berikut ini: Apakah pengawasan yang telah terinstal sudah sesuai?

Apakah ini efektif? Apakah ini dapat dipercaya? Apakah terjadi pelanggaran keamanan? Jika ya, apa langkah

yang dibutuhkan untuk mencegah hal tersebut terjadi lagi? Pertanyaan-pertanyaan ini harus dijawab oleh

pengamat independen dan tidak memihak. Pengamat inilah yang melakukan pekerjaan pengauditan sistem

informasi.

Pengauditan Sistem Informasi

Audit adalah satu bagian penting dari sistem pengawasan apapun. Pengauditan dapat dipandang

sebagai salah satu lapisan tambahan dari pengawasan atau penjagaan. Hal ini dianggap sebagai salah satu

alat pencegah tindakan kriminal, utamanya untuk orang dalam. Auditor berusaha untuk menjawab pertanyaan

seperti di bawah ini:

Apakah pengawasan yang cukup telah ada dalam sistem? Area mana yang tidak tercakup dalam

pengawasan?

Pengawasan yang mana yang tidak diperlukan?

Apakah pengawasan diimplementasikan dengan baik?

Apakah pengawasan efektif? Jika ya, apakah mereka mengecek output dari sistem?

Apakah terdapat pemisahan yang jelas dari tugas-tugas para karyawannya?

Apakah ada prosedur untuk menjamin pengawasan?

Apakah ada prosedur untuk memastikan pelaporan dan tindakan perbaikan jika terjadi pelanggaran

pengawasan?

Mengaudit Website adalah ukuran pencegahan yang baik untuk mengatur risiko yang berkaitan

dengan hukum. Risiko legal adalah hal penting dalam sistem TI apapun, tetapi dalam sistem Web hal ini

bahkan menjadi lebih penting karena terkait konten yang terdapat dalam situs, yang dapat mengganggu

orang lain atau dapat merusak hak cipta atau regulasi lainnya. Mengaudit EC juga menjadi lebih kompleks

sejak, adanya tambahan pada Web site, seseorang harus mengaudit order taking, order fulfillment, dan

sistem pendukung lainnya.

Risk Management dan Analisis Biaya-Manfaat

Biasanya tidak ekonomis untuk menyiapkan pencegahan terhadap seluruh ancaman yang dapat terjadi.

Olehnya itu, seorang program keamanan TI harus menyediakan suatu proses untuk menaksir ancaman dan



memutuskan yang mana yang akan dipersiapkan dan yang mana yang akan diabaikan atau disediakan

pencegahan yang mengurangi ancaman yang ada.

Analisis Risk-Management. Analisis risk-management dapat dilakukan dengan menggunakan paket

perangkat lunak DSS. Perhitungan yang sederhana ditunjukkan berikut ini:

Kerugian yang diestimasikan = P1 x P2 x L

Dimana:

P1 = kemungkinan serangan (estimasi, berdasarkan perkiraan)

P2 = kemungkinan serangan berhasil terjadi (estimasi, berdasarkan perkiraan)

L = kerugian yang muncul jika serangan berhasil

Contoh:

P1 = .02, P2 = .10, L = $1,000,000

Maka, kerugian yang diestimasi dari serangan seperti ini adalah

P1 x P2 x L = 0.02 x 0.1 x $1,000,000 = $2,000

Jumlah dari kerugian dapat tergantung pada durasi dari sistem berhenti beroperasi. Olehnya, dimasukkan

tambahan durasi dalam analisis.

Masalah Etika. Mengimplementasikan program keamanan menimbulkan banyak masalah etika. Pertama,

beberapa kalangan menolak monitoring apapun terhadap aktivitas individual. Melakukan pengawasan

tertentu bagi sebagian orang dianggap melanggar kebebasan berbicara atau hak sipil lainnya. Penelitian

Gartner Group menunjukkan bahwa bahkan setelah serangan teroris pada 9/11/2001, hanya 26 persen warga

negara Amerika yang menyetujui database ID Nasional. Penggunaan biometrik dianggap melanggar banyak

hal pribadi.

Penanganan dilema privasi versus keamanan adalah sesuatu yang sulit. Terdapat kewajiban etika dan

legal yang harus dilakukan perusahaan yang melanggar privasi dari karyawan dan mengawasi tindakan

mereka. Secara khusus, pengukuran keamanan TI dibutuhkan untuk melindungi dari kerugian, kewajiban,

dan litigasi. Kerugian bukan hanya dari finansial, tetapi juga termasuk kehilangan informasi, pelanggan,

rekanan dagang, imej merek, dan kemampuan untuk menjalankan bisnis, terkait adanya tindakan dari

pembajak, malware, atau pegawai. Kewajiban berasal dari dua doktrin legal: respondeat superior dan

kewajiban pemeliharaan. Respondeat superior membuat pemberi kerja bertanggung jawab untuk kesalahan

yang dilakukan pekerjanya yang muncul dalam lingkup pekerjaan mereka. Dengan teknologi nirkabel dan

mobile workforce, lingkup pekerjaan telah meluas melewati perimeter yang ditetapkan perusahaan. Pada

doktrin kewajiban pemeliharaan, manajer senior dan direktur memiliki kewajiban fiduciary untuk



menggunakan pemeliharaan yang masuk akal untuk melindungi operasi bisnis perusahaan. Litigasi atau

tuntutan hukum berasal dari kegagalan memenuhi kewajiban regulasi dan legal perusahaan.


bab 5 translet

Documents