bab 5 translet
TRANSCRIPT
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
1.1. Data dan Insiden Keamanan Perusahaan
Sampai 2002, sebagian besar masalah teknis infosec berasal dari yang bertugas di departemen TI.
Insiden ditangani berdasarkan "pembersihan" kasus per kasus daripada dengan melakukan pendekatan
pencegahan agar terlindung dari ancaman. Infosec dipandang sebagai biaya – bukan sebagai sumber
daya untuk mencegah gangguan bisnis dan melaksanakan tanggung jawab tata kelola. Pandangan
berbasis biaya ternyata berbahaya karena tidak sesuai untuk mengamankan perusahaan terhadap
resiko ketidakjujuran dan jangkauan kejahatan global dunia maya, malware, spyware, dan fraud. Biaya
“pembersihan” setelah satu insiden sudah mencapai puluhan atau ratusan juta dolar.
Ancaman terhadap infosec berasal mulai dari eksploitasi teknologi tinggi untuk mendapatkan
akses ke jaringan perusahaan dan database hingga taktik non-teknis seperti mencuri laptop dan apa
saja yang tersedia. Sebagian besar pelanggaran data melibatkan setidaknya kesalahan manusia atau
kesalahan tindakan, baik disengaja atau tidak disengaja. Ancaman yang berasal dari karyawan, disebut
sebagai ancaman internal, adalah rintangan utama yang sebagian besar disebabkan oleh sejumlah
besar cara yang tersedia bagi seorang karyawan untuk melakukan aktivitas berbahaya. Insiden internal
berikut dapat dicegah jika kebijakan infosec ketat dan pertahanan kuat. Insiden-insiden ini juga
menunjukkan bahwa para korban pelanggaran seringkali adalah pihak ketiga, seperti pelanggan, pasien,
pengguna jaringan sosial, perusahaan kartu kredit, dan shareholders.
Pada bulan Mei 2006, pencurian laptop dan pembobolan rumah karyawan Veteran Affais menelan
biaya wajib pajak sebesar $ 100 juta untuk perbaikan.
Pada Januari 2007, Perusahaan TJX mengungkapkan bahwa data dari 100 juta kartu kredit dan
debit telah dicuri oleh hacker mulai Juli 2005. Data pencurian TJX adalah pelanggaran terbesar
yang pernah terjadi hingga saat ini, berdasarkan jumlah catatan yang ada. Setelah pengungkapan,
bank mengatakan bahwa puluhan juta dolar berasal dari tuduhan penipuan pada kartu kredit.
Massachusetts Bankers Association menggugat TJX atas kelalaiannya. FTC mengajukan keluhan
menuduh TJX tidak memiliki langkah-langkah keamanan yang tepat untuk mencegah akses
informasi yang tidak sah, informasi personal pelanggan. Total biaya dari pelanggaran data adalah
sekitar $ 197 juta.
Tiga data pelanggaran medis terjadi di bulan Mei 2008. Peer-to-peer (P2P) file sharing yang tidak
sah menyebabkan pelanggaran data di Pusat Walter Reed Army Medical yang mengekspos data
pribadi dari 1.000 pasien. Pasien di Staten Island University Hospoital di New York diberitahu
bahwa komputer dengan catatan medis mereka telah dicuri. Informasi tentang pasien dari
Fransisco University of California San Medical Center telah diakses tanpa sengaja melalui Internet.
Pada bulan Februari 2008, perusahaan keamanan Symantec (symantec.com) memperingatkan
kesalahan pengunggah gambar ActiveX control, yang telah didistribusikan ke Facebook dan
pengguna MySpace. Hacker bisa mengeksploitasi kesalahan ini untuk menginstal kode berbahaya
pada komputer pengguna dan mengendalikan mereka. Akibatnya, hukum di Kanada menuduh
Kelompok V – PPAk Angkatan XV Page 1
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
Facebook dengan 22 pelanggaran privasi. Facebook mendapat serangan meningkat dari spammer
dan phisers, menurut kepala keamanan perusahaan.
Pada Juni 2008, Microsoft memperingatkan pengguna Windows XP dan Vista yang sudah
menginstal Safari pada mesin mereka bahwa mereka berada dalam risiko dan serangan kode
berbahaya.
Pada Januari 2008, T. Rowe Price mulai memberitahukan 35.000 klien nama dan nomor
pengamanan sosial telah diganggu. Pelanggaran tersebut berasal dari pencurian komputer
Desember 2007 dari penyedia kantor pelayanan pihak ketiga, yang sedang mempersiapkan
formulir pajak atas nama T. Rowe Price.
Nama, alamat e-mail dan rumah, dan nomor telepon dari 1,6 juta pencari kerja diperkirakan telah
terakses dari database Monster.com pada bulan Agustus 2007. Meskipun secara luas
digambarkan sebagai hacking, data secara tidak sengaja diakses oleh penyerang menggunakan
username dan password yang sah, mungkin dicuri dari perekrut profesional atau personil sumber
daya manusia yang menggunakan Monster.com untuk mencari calon karyawan.
Pada bulan November 2007, lembaga perpajakan UK mengungkapkan kehilangan disk tidak
terenkripsi yang berisi data pribadi, rincian bank, dan nomor ID nasional pada 25 juta pengadu
kejahatan anak-anak. Disk menghilang dalam transit perjalanan ke Kantor Nasional Audit UK.
Analis Gartner Inc memperkirakan bahwa penutupan rekening dikompromikan dan pembentukan
yang baru menelan biaya sekitar $ 500 juta.
Sumber daya informasi didistribusikan ke seluruh bagian dan di luar organisasi karena internet dan
teknologi nirkabel memperluas dan menghubungkan batas-batas organisasi. Waktu eksploitasi spyware
tercanggih saat ini dan pergerakan virus telah menyusut dari bulan ke hari. Waktu eksploitasi adalah
waktu yang telah berlalu antara kerentanan yang ditemukan dan ketika tereksploitasi. Staf TI memiliki
jangka waktu yang lebih pendek lagi untuk menemukan dan memperbaiki kelemahan sebelum
digunakan sebagai serangan.
Kelompok industri mengenakan standar mereka sendiri untuk melindungi pelanggan mereka dan
pencitraan anggota merek dan pendapatan mereka. Salah satu contoh adalah Payment Card Industry
Data Security Standard (PCI DSS) yang dibuat oleh Visa, MasterCard, American Express, dan Discover.
PCI diperlukan untuk semua anggota, pedagang atau penyedia jasa yang menyimpan, mengolah, atau
mengirimkan data pemegang kartu. Pada Juni 2008, Bagian 6,6 dari PCI DSS mulai berlaku penuh.
Singkatnya, bagian dari PCI DSS ini membutuhkan pedagang dan penyedia pembayaran kartu untuk
membuat agar aplikasi Web tertentu mereka aman. Jika dilakukan dengan benar, Bagian 6,6
mengamanatkan bahwa pengecer memastikan bahwa aplikasi Web terlindungi dari berbagai serangan
dengan menerapkan salah satu dari dua metode berikut:
1. Memiliki semua custom application code yang rentan dengan menggunakan aplikasi keamanan
perusahaan.
Kelompok V – PPAk Angkatan XV Page 2
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
2. Instal lapisan firewall di depan aplikasi Web. Setiap aplikasi akan memiliki firewall sendiri untuk
melindungi terhadap instruksi dan malware.
Tujuan dari PCI DSS adalah untuk meningkatkan kepercayaan pelanggan dalam e-commerce,
terutama ketika pembayaran online, dan meningkatkan keamanan Web dari pedagang online. Untuk
memotivasi kepatuhan terhadap standar-standar, hukuman bagi yang melanggar diberlakukan. Merek
kartu bisa menemukan pengecer, dan meningkatkan biaya transaksi untuk setiap transaksi kredit atau
kartu debit. Sebuah temuan ketidakpatuhan dapat menjadi dasar atas gugatan.
Gambar 5.1 Mengelola Internet Security
Langkah 1: Dukungan dan Komitmen Manajemen Senior. Pengaruh manajer senior diperlukan
untuk menerapkan dan memelihara keamanan, standar etika, praktik pribadi, dan pengendalian internal.
COSO mendefinisikan pengendalian internal sebagai proses yang dirancang untuk memberikan
keyakinan memadai mengenai operasi yang efektif dan keandalan pelaporan keuangan.
Langkah 2: Pelatihan dan Kebijakan Keamanan. Langkah berikutnya dalam membangun kefektifan
program keamanan TI yaitu dengan mengembangkan kebijakan keamana dan untuk memberikan
pelatihan untuk memastikan bahwa setiap orang menyadari serta memahaminya. Semakin besar
pemahaman tentang bagaimana keamanan mempengaruhi tingkat produksi, pelanggan dan hubungan
dengan pemasok, arus pendapatan, dan kewajiban manajemen, maka keamanan akan lebih akan
dilibatkan dalam proposal dan perencanaan bisnis.
Yang paling penting adalah acceptable use policy (AUP) yang menginformasikan pengguna mengenai
tanggung jawab mereka. AUP diperlukan karena dua alasan: (1) untuk mencegah penyalahgunaan
informasi dan sumber daya komputer, dan (2) untuk mengurangi eksposur untuk denda, sanksi, dan
kewajiban hukum.
Langkah 3: Prosedur dan Pelaksanaan Keamanan. Jika kepatuhan aktivitas pengguna tidak
dimonitor, AUP menjadi tidak berguna. Oleh karena itu, langkah selanjutnya adalah menerapkan
prosedur pemantauan, pelatihan, dan pelaksanaan AUP. Bisnis tidak mampu membayar biaya
keamanan yang sempurna dan tak terbatas, sehingga mereka menghitung tingkat perlindungan yang
tepat. Perhitungan ini berdasar pada exprosure risiko aset digital.
Kelompok V – PPAk Angkatan XV Page 3
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
Metode lain penilaian risiko adalah dampak bisnis analisis (Business Impact Analysis-BIA).
BIA adalah latihan yang menentukan dampak dari kehilangan dukungan atau ketersediaan suatu
sumber daya.
Langkah 4: Alat Keamanan: Perangkat Keras dan Perangkat Lunak. Langkah terakhir adalah
implementasi perangkat lunak dan perangkat keras yang dibutuhkan untuk mendukung kebijakan dan
melaksanakan praktik keamanan. Perlu diingat bahwa keamanan adalah proses yang berkelanjutan dan
bukan masalah yang dapat diselesaikan dengan perangkat keras atau perangkat lunak. Perangkat keras
dan perangkat lunak pertahanan keamanan tidak dapat melindungi dari praktek bisnis yang tidak
bertanggung jawab.
1.1. Ancaman dan Kerentanan IS
Salah satu kesalahan terbesar yang dilakukan manajer adalah meremehkan kerentanan dan ancaman.
Sebagian besar pekerja menggunakan PC dan laptop untuk kerja dan hiburan, dan di era multitasking,
mereka sering melakukan keduanya pada saat yang sama. Penggunaan ini cenderung berisiko, karena
karyawan terus terlibat dalam kebiasaan surfing dan komunikasi berbahaya yang dapat membuat
mereka lemah sehingga mengancam organisasi ataupun sistem keamanannya. Ancaman ini dapat
diklasifikasikan yang tidak disengaja atau disengaja.
Ancaman yang tidak disengaja terbagi dalam tiga kategori utama:
Kesalahan Manusia banyak berperan dalam masalah komputer. Kesalahan dapat terjadi pada
desain sistem perangkat keras atau sistem informasi. Juga bisa terjadi pada pemrograman,
pengujian, pengumpulan data, pemasukan data, otorisasi, dan instruksi. Tidak mengubah kata
kunci yang telah ada pada firewall menciptakan celah keamanan. Kesalahan manusia berkontribusi
pada sebagian besar masalah infosec dan pengendalian internal.
Bahaya Lingkungan meliputi gempa bumi, badai yang parah (misalnya, angin topan, badai salju,
atau badai pasir), banjir, gangguan listrik atau fluktuasi yang kuat, kebakaran (bahaya paling
umum), kerusakan AC, ledakan, kejatuhan radioaktif, dan kegagalan sistem pendingin air. Selain
kerusakan primer, sumber daya komputer bisa rusak oleh efek samping yang ada, seperti asap
dan air. Bahaya tersebut dapat mengganggu operasi komputer pada umumnya dan mengakibatkan
loading yang panjang dan biaya yang terlalu tinggi sementara komputer program dan file data
dibuat kembali.
Kegagalan Sistem Komputer dapat terjadi sebagai hasil dari manufaktur yang jelek, bahan cacat,
dan jaringan usang atau buruknya jaringan. Kerusakan yang tidak disengaja juga bisa terjadi
karena alasan lain, mulai dari kurangnya pengalaman hingga pengujian yang tidak memadai.
Kejahatan yang disengaja dilakukan di internet disebut kejahatan dunia maya. Hacker adalah
istilah yang sering digunakan untuk menggambarkan seseorang yang memperoleh akses tidak sah ke
sistem komputer. Black hat hackers, juga disebut sebagai cracker, adalah penjahat. Cracker adalah
hacker jahat, yang mungkin merupakan masalah serius bagi perusahaan.
Kelompok V – PPAk Angkatan XV Page 4
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
Hacker dan cracker mungkin melibatkan orang dalam yang tidak curiga dalam kejahatan mereka.
Dalam strategi yang disebut rekayasa sosial, penjahat atau mata-mata perusahaan menjebak orang
dalam agar memberi informasi atau akses kepada mereka. Social engineering adalah kumpulan taktik
yang digunakan untuk memanipulasi manusia dalam melakukan tindakan yang membocorkan informasi
rahasia.
Ada banyak metode serangan baru yang muncul. Dua pendekatan dasar yang digunakan dalam
serangan yang disengaja pada sistem komputer: manipulasi data dan serangan pemrograman
Manipulasi data adalah sarana umum serangan yang dibayangi oleh jenis-jenis serangan lain. Hal
ini mengacu pada serangan ketika seseorang melakukan kesalahan, membuat, atau memasukkan data
palsu ke dalam komputer, atau perubahan atau penghapusan data yang sudah ada. Manipulasi data
sangat berbahaya karena mungkin tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang
dalam untuk melakukan penipuan.
Serangan pemrograman populer dengan penjahat komputer yang menggunakan teknik
pemrograman untuk memodifikasi program komputer lainnya. Untuk jenis kejahatan ini, dibutuhkan
keterampilan dan pengetahuan pemrograman dari sistem yang dituju. Contohnya adalah virus, worm,
dan trojan horse, dan jenis kode berbahaya, yang disebut malware. Malware dapat digunakan untuk
memulai penolakan layanan (DoS) serangan. Sebuah serangan DoS terjadi ketika server atau situs
web menerima banjir lalu lintas - lalu lintas lebih jauh atau permintaan untuk layanan daripada kapasitas
yang ada.
Malware. Malware adalah perangkat lunak apa saja yang tidak diinginkan yang mengeksploitasi
kelemahan dalam perangkat lunak lain untuk mendapatkan akses terlarang. Pada tahun 2007, malware
berubah secara mendasar sebagai kriminal dengan menggunakan Internet sebagai jalan serangan
utama untuk menginfeksi komputer. Sejalan dengan banyaknya perusahaan yang lebih
mempertahankan gateway e-mail mereka terhadap penyusup dengan mekanisme keamanan yang lebih
kuat, penjahat cyber bergeser upaya mereka untuk menanam malware di situs Web tidak aman,
menunggu pengunjung, dan kemudian menginfeksi mereka. Gateway adalah titik akses jaringan yang
bertindak sebagai pintu masuk ke jaringan lain.
Virus. Sebuah metode serangan universal adalah virus, yaitu kode komputer (program). Metode
ini disebut demikian karena kemampuan program untuk menempelkan dirinya sendiri dan menginfeksi
program komputer lainnya, tanpa pemilik program menyadari telah terinfeksi. Ketika perangkat lunak
yang terinfeksi digunakan, virus menyebar, menyebabkan kerusakan pada program tersebut dan
mungkin ke yang lainnya.
Worm. Tidak seperti virus, worm menyebar tanpa campur tangan manusia, seperti memeriksa e-
mail atau transmisi file. Worm menggunakan jaringan untuk memperbanyak dan menginfeksi apa-apa
yang melekat pada files ─ termasuk komputer, perangkat genggam, situs Web, dan server. Worm dapat
Kelompok V – PPAk Angkatan XV Page 5
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
menyebar melalui instan atau pesan teks. Kemampuan worm untuk menyebarkan diri melalui jaringan
dapat menyumbat dan menurunkan kinerja sebuah jaringan, termasuk internet.
Trojan horse atau RAT. Trojan horse yang disebut sebagai backdoors karena mereka
memberikan penyerang akses ilegal ke jaringan atau account melalui port jaringan. Sebuah port
jaringan adalah titik temu fisik untuk komunikasi antara komputer dan perangkat lain pada alat dalam
sebuah jaringan. Trojan Remote Administration (RATs) adalah kelas backdoors yang memungkinkan
kontrol jarak jauh melalui mesin (terinfeksi) dilakukan.
Botnet mengemukakan komputer terinfeksi, serta jaringan komputer lain, dengan ancaman berikut
(Edwards, 2008):
Spyware: Zombies dapat diperintahkan untuk memantau dan mencuri data pribadi atau keuangan
Adware: Zombies dapat diperintahkan untuk mengunduh dan menampilkan iklan. Beberapa
zombie bahkan memaksa browser sistem yang terinfeksi untuk mengunjungi situs Web tertentu.
Spam: Sebagian besar email sampah dikirim melalui zombie. Pemilik komputer yang terinfeksi
biasanya tidak menyadari bahwa mesin mereka sedang digunakan untuk melakukan kejahatan.
Phishing: Zombies dapat mencari server lemah yang cocok untuk hosting situs Web phishing,
yang tampak seperti situs Web yang sah, untuk mengelabui pengguna agar memasukkan data
rahasia.
Serangan DoS: ancaman botnet yang mungkin paling tidak menyenangkan, dan salah satu yang
paling sulit untuk dilawan, yaitu di mana komputer yang terinfeksi dikumpulkan dan diperintahkan
secara overload dan melumpuhkan sebuah situs Web yang telah ditargetkan.
Kekuatan gabungan dari botnet dapat memindai dan menyatukan komputer lain yang kemudian
digunakan untuk setiap jenis kejahatan dan serangan terhadap komputer, server, dan jaringan.
Sejak malware dan botnet menggunakan banyak metode serangan dan strategi, beberapa alat
diperlukan untuk mendeteksi dan / atau menetralkan efeknya. Tiga pertahanan penting yaitu:
1. Teknologi Anti Malware: alat Anti malware yang dirancang untuk mendeteksi kode berbahaya
dan mencegah pengguna mengunduhnya. Mereka juga dapat memindai sistem untuk keberadaan
worm, trojan horse, dan jenis-jenis ancaman lain. Teknologi ini tidak menyediakan perlindungan
yang lengkap karena tidak dapat bertahan melawan zero-day exploits. Zero-day mengacu pada
hari dimana eksploitasi menyerang internet. Anti malware mungkin tidak dapat mendeteksi
eksploitasi yang belum diketahui.
2. Intrusion Detection Systems (IDS): Sesuai namanya, IDS memindai lalu lintas yang tidak biasa
atau mencurigakan. Sebuah IDS dapat mengidentifikasi awal serangan DoS dengan pola lalu
lintas, mengingatkan administrator jaringan untuk mengambil tindakan defensif, seperti beralih ke
alamat IP lain dan mengalihkan server kritis dari jalur serangan.
Kelompok V – PPAk Angkatan XV Page 6
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
3. Sistem Intrusion Prevention (IPS): Sebuah IPS dirancang untuk segera mengambil tindakan -
seperti memblokir alamat IP tertentu - setiap kali anomali arus lalu lintas terdeteksi. ASIC
(application specific integrated circuit) berbasis IPS memiliki daya kemampuan dan analisis untuk
mendeteksi dan memblokir serangan DoS, berfungsi seperti pemutus saklar otomatis.
5.3 Fraud dan Kejahatan Dimediasi Komputer
Kejahatan dapat dibagi menjadi 2 kategori: kejahatan dengan kekaerasan dan kejahatan tanpa
kekerasan. Fraud adalah kejahatan tanpa kekerasan. Fraud tidak menggunakan pistol atau pisau, tetapi
menggunakan kecurangan, kepercayaan, dan tipu daya. Pelaku fraud melakukan kejahatan mereka dengan
menyalahgunakan kekuatan posisi mereka atau mengambil keuntungan dari kepercayaan orang lain. Statistik
menunjukkan bahwa kejahatan kekerasan sedang menurun, tetapi fraud tinggi di sepanjang waktu dan tidak
menunjukkan tanda-tanda berkurang.
Kejahatan komputer sering muncul dengan nama-nama baru yang dengan cepat menjadi bagian dari
kosakata sehari-hari. Sebagai contoh, para peneliti spyware di perangkat lunak Webroot telah menemukan
setumpuk puluhan ribu identitas curian dari 125 negara yang mereka yakin dikumpulkan oleh varian baru dari
program Trojan, perusahaan bernama Trojan-Phisher-Rebery. Rebery adalah contoh dari sebuah trojan
perbankan, yang diprogram untuk hidup kembali ketika pengguna mengunjungi sejumlah perbankan online
atau situs e-commerce. Tanpa pertahanan yang kuat-termasuk AUP dan prosedur keamanan – e-commerce
dapat kehilangan banyak konsumen.
Bila pengguna menyalahgunakan pekerjaannya untuk keuntungan pribadi melalui penyalahgunaan
sumber daya organisasi atau aset, hal itu disebut fraud jabatan. Audit internal dan pengendalian internal
sangat penting untuk mencegah dan medeteksi terjadinya fraud.
TI memiliki peran penting dalam implementasi tata kelola perusahaan yang baik dan pencegahan
fraud. Regulator yang baik terlihat pada perusahaan yang dapat menunjukkan tata kelola perusahaan yang
baik dan melaksanakan manajemen risiko operasional dengan baik. Manajemen dan staf perusahaan seperti
ini akan menghabiskan sedikit waktu mengkhawatirkan tentang peraturan dan lebih banyak waktu menambah
nilai merek dan bisnis mereka.
Pengukuran pencegahan fraud internal didasarkan pada pengendalian yang sama digunakan untuk
mencegah gangguan eksternal – teknologi pertahanan perimeter, seperti firewall, e-mail scanner, dan akses
biometric.
Sebuah pendekatan yang menggabungkan risiko, keamanan, kepatuhan, dan spesialis IT sangat
meningkatkan pencegahan dan deteksi penipuan. Pencegahan adalah pendekatan yang paling hemat biaya,
karena deteksi dan penuntutan adalah biaya yang sangat besar selain biaya langsung dari kerugian yang
ditimbulkan.
Pencurian identitas
Kelompok V – PPAk Angkatan XV Page 7
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
Salah satu kejahatan terburuk dan paling umum adalah pencurian identitas. Pencurian seperti di
mana jaminan sosial individu dan nomor kartu kredit yang dicuri dan digunakan oleh pencuri bukan lagi hal
baru.
Selai itu, penjahat komputer tidak perlu kemampuan TI untuk mencuri laptop, telepon genggam, atau
PDA. Oleh karena itu, data tidak terenkripsi yang sensitif pada laptop atau perangkat genggam lain yang
dibawa meninggalkan kantor dapat meningkatkan risiko.
Ancaman Atas Keamanan Cyber
Lembaga Sans (SysAdmin, Audit, Networking, dan Security) menerbitkan daftar tahunan 10 ancaman teratas
keamanan cyber. Dua belas ahli keamanan cyber bekerja sama menyusun daftar serangan yang palinng
sering terjadi dan menyebabkan kerusakan substansial selama 2008 yaitu:
1. Meningkatnya kecanggihan serangan situs web yang mengeksploitasi kerentanan browser –
Terutama di situs web terpercaya.
2. Meningkatnya kecanggihan dan efektivitas dalam botnet.
3. Upaya spionase Cyber oleh organisasi dengan sumber daya yang baik dengan mengekstrak data
dalam jumlah besar, dan phising.
4. Ancaman telepon genggam, terutama terhadap resiko iPhone dan VoIP.
5. Serangan orang dalam.
6. Identitas curian lanjutan dari Bots yang sudah persisten.
7. Semakin berbahayanya Spyware.
8. Eksploitasi Aplikasi Keamanan Web.
9. Semakin canggihnya rekayasa sosial termasuk pencampuran phishing dengan VoIP dan event
phishing.
10. Supply chain menyerang perangkat yang terinfeksi (misalnya thumb drive, dan GPS) yang
didistribusikan oleh organisasi terpercaya.
Ada kecenderungan yang berkembang bagi pekerja untuk mengaburkan kehidupan pribadi dan
profesional. Misalnya, mereka surfing situs jaringan sosial atau IMing dengan teman-teman ketika sedang
bekerja. Dan mereka mengakses jaringan perusahaan dari hot spot ketika sedang berlibur. Kecenderungan
ini sangat berbahaya.
5.4 MANAJEMEN KEAMANAN PRAKTEK
Tujuan dari praktek manajemen keamanan TI adalah untuk mempertahankan semua komponen
sistem informasi, khususnya data, aplikasi perangkat lunak, perangkat keras, dan jaringan. Sebelum mereka
membuat keputusan mengenai pertahanan, orang yang bertanggung jawab terhadap keamanan harus
Kelompok V – PPAk Angkatan XV Page 8
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
memahami kebutuhan dan operasi bisnis, yang membentuk dasar dari strategi pertahanan yang telah
disesuaikan.
• Strategi Pertahanan
Strategi pertahanan dan pengendalian yang harus digunakan tergantung pada apa yang perlu dilindungi dan
analisis biaya-manfaat. Berikut ini adalah tujuan utama dari strategi pertahanan:
1. Pencegahan dan Penolakan
2. Deteksi.
3. Penahanan (yang mengandung kerusakan).
4. Pemulihan.
5. Koreksi.
6. Kesadaran dan kepatuhan.
Sebuah strategi pertahanan juga akan memerlukan beberapa pengendalian. Pengendalian Umum
yang dibentuk untuk melindungi sistem terlepas dari apllication tertentu. Misalnya, melindungi perangkat
keras dan mengendalikan akses ke pusat data adalah sesuatu independen pada aplikasi tertentu.
Pengendalian Aplikasi adalah usaha perlindungan yang dimaksudkan untuk melindungi aplikasi tertentu.
Pengendalian Umum
Kategori utama dari Pengendalian Umum adalah pengendalian fisik, pengendalian akses,
pengendalian keamanan data, pengendalian jaringan komunikasi, dan pengendalian administratif.
Pengendalian Fisik. Keamanan fisik mengacu pada perlindungan fasilitas dan sumber daya
komputer. Ini termasuk melindungi kekayaan fisik seperti komputer, pusat data, perangkat lunak, manual,
dan jaringan. Hal ini menyediakan perlindungan melawan bahaya yang paling alami seperti halnya terhadap
beberapa bahaya yang berasal dari makhluk hidup. Keamanan fisik yang sesuai dapat mencakup beberapa
pengendalian seperti berikut ini:
1. Kesesuai desain dengan pusat data.
2. Pelindung terhadap medan elektromagnetik
3. Kebakaran baik pencegahan, deteksi, dan sistem pemadam, termasuk sistem sprinkler, pompa
air, dan fasilitas drainase yang memadai.
4. Penutup listrik darurat dan baterai cadangan, yang harus berada dalam kondisi beroperasi.
5. Perancangan dengan baik, dipelihara, dan dioperasikan dengan sistem pendingin udara.
6. Alarm detektor gerakan yang mendeteksi intrusi fisik.
Pengendalian Akses, yaitu manajemen kepada siapa yang berhak dan tidak berhak untuk menggunakan
perangkat lunak dan keras milik perusahaan. Metode pengendalian akses, seperti firewall dan daftar
pengendalian akses, membatasi akses ke suatu jaringan, database, file atau data. Pengendalian akses
Kelompok V – PPAk Angkatan XV Page 9
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
melibatkan otorisasi dan otentifikasi, yang juga dikenal dengan identifikasi pengguna. Metode otentifikasi
termasuk:
Sesuatu yang hanya diketahui pengguna, misalnya kata kunci
Sesuatu yang hanya dimiliki pengguna, misalnya smart card atau token
Sesuatu yang hanya digunakan pengguna, misalnya tandatangan, suara, sidik jari, atau pemindai
retina; implementasi melalui pengendalian biometrik, yang dapat bersifat fisik atau perilaku.
Pengendalian Biometrik. Suatu pengendalian biometrik adalah metode otomatis yang memverifikasi
identitas seseorang, berdasarkan karakteristik fisik atau perilaku. Kebanyakan sistem biometrik
mencocokkan beberapa karakteristik pribadi terhadap profil yang telah disimpan sebelumnya. Yang paling
umum dalam biometric adalah:
Sidik ibu jari atau sidik jari. Setiap pengguna saat ingin akses, ibu jari atau sidik jari (jari scan)
dicocokkan dengan template yang berisi sidik jari orang yang berwenang untuk mengidentifikasi dia.
Pemindai retina. Dilakukan pencocokan antara pola dari pembuluh darah di retina yang sedang
dipindai dengan gambar retina yang sudah disimpan sebelumnya.
Pemindai Suara. Dicocokkan antara suara pengguna dan pola suara yang telah disimpan pada
template sebelumnya.
Tanda tangan. Tanda tangan dicocokkan dengan tanda tangan otentik yang telah disimpan
sebelumnya. Metode ini dapat dilengkapi dengan sistem foto ID-card.
Pengendalian biometrik sekarang telah terintegrasi ke banyak perangkat keras dan perangkat lunak e-
business. Pengendalian biometrik memiliki beberapa keterbatasan: tidak akurat dalam kasus tertentu, dan
beberapa orang menganggapnya sebagai pelanggaran privasi.
Pengendalian Administrasi. Pengendalian administratif berurusan dengan mengeluarkan pedoman dan
memantau kepatuhan terhadap pedoman.
Pengendalian Aplikasi
Serangan canggih yang ditujukan untuk tingkat aplikasi, dan banyak aplikasi tidak dirancang untuk
menahan serangan tersebut. Untuk bertahan hidup lebih baik, metodologi proses-informasi digantikan
dengan teknologi agen. Agen cerdas, juga disebut sebagai softbots atau knowbots, adalah aplikasi yang
sangat cerdas. Istilah ini umumnya berarti aplikasi yang memiliki tingkat reaktivitas, otonomi, dan
kemampuan beradaptasi-seperti yang diperlukan dalam situasi serangan yang tidak terduga.
5.5 Keamanan Jaringan (Network Security)
Kelompok V – PPAk Angkatan XV Page 10
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
Sebagai pencegahan, setiap perusahaan sebaiknya mengimplemantasikan produk pengendalian
akses jaringan (network access control atau NAC). Peralatan NAC berbeda dari teknologi dan praktik
keamanan tradisional yang lebih fokus pada akses file. Walaupun keamanan tingkatan file diperlukan untuk
melindungi data, hal ini tidak menyimpan otorisasi pengguna diluar jaringan pada satu tempat. NAC
membantu bisnis melindungi jaringannya dari kriminalitas.
Pengukuran keamanan jaringan terdiri dari tiga lapisan yaitu keamanan di sekeliling (akses),
pengesahan dan otorisasi.
KEAMANAN DI SEKELILING DAN FIREWALLS
Tujuan utama dari keamanan di sekeliling adalah pengawasan akses. Teknologi ini digunakan untuk
melindungi dari malware dan sekelilingnya. Teknologi lainnya adalah firewalls. Firewalls adalah sistem atau
kelompok sistem yang menyelenggarakan kebijakan kontrol akses diantara dua jaringan. Firewalls biasanya
digunakan sebagai penghalang antara intranet perusahaan yang terlindung atau jaringan internal lainnya
dengan internet yang tidak terlindungi. Firewalls mengikuti aturan yang ketat seperti lalu lintas perizinan atau
blok, sehingga firewalls yang berhasil adalah yang dirancang dengan peraturan yang jelas dan spesifik
tentang yang dapat diloloskan. Beberapa firewalls mungkin berada di dalam satu sitem informasi. Firewalls
tidak menghentikan virus yang tersembunyi di jaringan. Virus dapat melewati firewalls terlebih apabila
tersembunyi pada lampiran e-mail.
Seluruh lalu lintas internet harus melalui firewall, tapi tidak berlaku bagi IM dan lalu lintas wireless
yang membawa malware ke jaringan dan aplikasi di komputer penerimanya. Firewalls tidak mengontrol
apapun terjadi setelah pengguna resmi telah mengesahkan dan mengotorisasi untuk mengakses aplikasi
pada jaringan. Pada kasus ini, firewalls dibutuhkan tapi tidak menghalangi secara keseluruhan.
PENGESAHAN DAN OTORISASI JARINGAN
Tujuan utama dari pengesahan adalah untuk membuktikan identitas. Maksudnya adalah
mengidentifikasi pengguna resmi dan menentukan kegiatan yang dapat dilakukan.
Kelompok V – PPAk Angkatan XV Page 11
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
Terdapat dua faktor pengesahan yang juga disebut multifaktor pengesahan. Dengan kedua faktor
pengesahan tersebut, informasi lain harus memverifikasi identitas pengguna.
Ada tiga pertanyaan kunci untuk menanyakan kapan sistem pengesahan dilakukan:
1. Siapa kau? Apakah orang tersebut pekerja, partner, atau konsumen? Level pengesahan akan
berbeda bagi setiap jenis orangnya
2. Dimana kau? Misalnya, pekerja yang telah menggunakan lencana untuk memasuki gedung kurang
risikonya dibanding pekerja atau partner yang masuk secara sedikit demi sedikit
3. Apa yang diinginkan? Apakah orang ini mengakses secara peka atau pemilik informasi atau
pengguna data?
Ketika berhubungan dengan aplikasi konsumen seperti perbankan online dan e-commerce,
pengesahan yang kuat harus seimbang dengan kenyamanan. Apabila pengesahan terlalu sulit untuk bank
dan toko online, pengguna akan kembali pada cara manual. Terdapat penjualan antara peningkatan
perlindungan dan kehillangan konsumen dari channel online.
Otorisasi merujuk kepada meminta perizinan kepada individu atau kelompok untuk melakukan
kegiatan tertentu dengan komputer, biasanya berdasarkan verifikasi identitas. Sistem pengamanan ketika
mengesahkan pengguna, akan menyakinkan bahwa pengguna melakukan kegiatan yang telah diotorisasi.
JARINGAN KEAMANAN WIRELESS
Jaringan wireless lebih sulit dilindungi dibanding jalur kabel. Sensitivitas yang ada pada jaringan jalur
kabel konvensional di terapkan pada teknologi wireless. Titik akses wireless (wireless access points atau Aps
atau WAPs) dibalik firewall dan pelindung keamanan lainnya dapat bertolak belakang dengan jaringan. Data
yang sensitif yang tidak terbaca maupun yang terbaca dengan teknologi kriptografik lemah digunakan untuk
wireless seperti privasi eqivalen kabel (wired equivalent privacy atau WEP), dan di salurkan melalui dua
peralatan wireless yang diinterupsi dan disingkap. Peralatan wireless peka terhadap serangan DoS karena
pengganggu dapat meningkatkan konektivitas ke pengawas manajemen jaringan sehingga mengganggu dan
melumpuhkan operasi. Penganalisis paket wireless seperti AirSnot dan WEPcrack, tersedia menempatkan
jaringan wireless pada risiko yang besar.
Kelompok V – PPAk Angkatan XV Page 12
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
5.6. Pengendalian Internal dan Manajemen Pemenuhan
Lingkungan pengendalian internal adalah suatu atmosfer kerja yang di susun oleh perusahaan
untuk pekerjanya. Pengendalian internal (internal control) adalah suatu proses yang dirancang untuk
mencapai: (1) reabilitas laporan keuangan, (2) efisiensi operasi, (3) pemenuhan hukum, (4) regulasi dan
kebijakan, (5) penjagaan aset.
PENGENDALIAN INTERNAL DIHARAPKAN MEMENUHI SOX
Kelompok V – PPAk Angkatan XV Page 13
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
SOX adalah hukum anti kecurangan (fraud). Hal ini mendorong dilaporkannya bisnis secara lebih baik
dan pengungkapan pelanggaran GAAP, sehingga dibutuhkan untuk ditemukan akar masalah fraud itu.
REGULASI ANTI-FRAUD SELURUH DUNIA
Basel II merekomendasikan bahwa sistem pengukuran risiko internal dapat konsisten dengan tujuh
jenis potensi rugi:
1. Fraud internal
2. Fraud ekstrenal
3. Praktik pegawai dan keamanan lokasi bekerja
4. Klien, produk, dan praktik bisnis
5. Kerusakan aset fisik
6. Gangguan bisnis dan kegagalan sistem
7. Eksekusi, pengantaran, dan manajemen proses
Mengatur risiko menjadi salah satu isu penting bagi regulator dan institusi keuangan. Beberapa tahun
yang lalu, institusi mengorbankan biaya yang tinggi untuk menghindari risiko. Bagaimanapun, perkembangan
penelitian dan peningkatan dalam TI telah meningkatkan pengukuran dan manajemen atas risiko.
5.7 KELANGSUNGAN BISNIS DAN PERENCANAAN PEMULIHAN BENCANA
Kelompok V – PPAk Angkatan XV Page 14
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
Bencana dapat terjadi tanpa peringatan sebelumnya. Pertahanan yang terbaik adalah dengan bersiap-
siap. Olehnya, terdapat suatu elemen penting dalam sistem keamanan apa saja yang disebut rencana
kelangsungan bisnis, juga dikenal dengan rencana pemulihan bencana. Rencana ini menguraikan proses
bisnis yang mana yang harus dipulihkan dari bencana besar. Kerusakan pada seluruh (atau sebagian besar)
dari fasilitas komputer dapat menimbulkan kerusakan signifikan. Karenanya, hal ini untuk kebanyakan
organisasi sulit untuk mendapatkan asuransi bagi komputer-komputer dan sistem informasi mereka tanpa
menunjukkan suatu rencana pemulihan dan pencegahan bencana.
Perencanaan Kelangsungan Usaha
Pemulihan bencana adalah rantai dari kejadian yang menghubungkan rencana kelangsungan usaha terhadap
pencegahan dan terhadap pemulihan. Berikut ini adalah beberapa pendapat mengenai proses ini:
Tujuan dari rencana pemulihan bisnis adalah untuk menjaga jalannya bisnis setelah suatu bencana
muncul. Setiap fungsi dalam bisnis harus punya rencana kapabilitas pemulihan yang valid.
Perencanaan pemulihan adalah bagian dari perlindungan asset. Setiap organisasi harus
memberikan tanggung jawab kepada manajemen untuk mengidentifikasi dan melindungi aset di
dalam bidang penngawasan fungsional mereka.
Perencanaan harus berfokus utama pada pemulihan dari kehilangan seluruh kapabilitas.
Bukti kapabilitas biasanya menyertakan beberapa jenis analisis apakah-jika yang menunjukkan
rencana pemulihan yang dilakukan pada saat itu.
Semua aplikasi kritis harus diidentifikasi dan prosedur pemulihannya dijabarkan dalam rencana.
Rencana harus ditulis sehingga lebih efektif ketika bencana terjadi, tidak hanya untuk memuaskan
auditor.
Rencana harus disimpan di tempat yang aman; kopian harus diberikan kepada seluruh manajer
kunci atau harus tersedia dalam intranet. Rencana harus diaudit secara periodik.
Perencanaan pemulihan bencana dapat menjadi sangat kompleks, dan mungkin memerlukan beberapa bulan
untuk diselesaikan. Dengan menggunakan perangkat lunak khusus, pekerjaan perencanaan dapat dijalankan.
Penghindaran Bencana. Penghindaran bencana adalah suatu pendekatan berorientasi lebih ke arah
pencegahan. Idenya adalah untuk meminimalisasi kesempatan dari bencana yang bisa dihindari (misalnya
kebakaran atau ancaman lain yang disebabkan manusia). Sebagai contoh, banyak perusahaan
menggunakan suatu alat yang disebut uninterrupted power supply (UPS), yang menyediakan daya jika terjadi
hilang daya.
5.8 PENGAUDITAN DAN MANAJEMEN RISIKO
Mengimplementasikan pengawasan di dalam sebuah organisasi dapat menjadi tugas yang sangat
sulit, khususnya pada perusahaan besar terdesentralisasi dimana pengawasan administratif mungkin sulit
Kelompok V – PPAk Angkatan XV Page 15
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
untuk dijalankan. Dari berbagai jenis masalah terkait implementasi pengawasan, dijelaskan tiga hal disini:
pengauditan sistem informasi, analisis risiko, dan tren keamanan IT, termasuk kegunaan dari sistem intelijensi
lanjutan.
Pengawasan dibuat untuk menyakinkan bahwa sistem informasi berjalan dengan baik. Pengawasan
dapat diinstal dalam sistem yang orisinil, atau dapat ditambahkan ketika sistem sedang beroperasi.
Menginstal pengawasan adalah sesuatu yang penting tetapi tidak cukup hanya itu. Penting juga untuk
menjawab pertanyaan-pertanyaan berikut ini: Apakah pengawasan yang telah terinstal sudah sesuai?
Apakah ini efektif? Apakah ini dapat dipercaya? Apakah terjadi pelanggaran keamanan? Jika ya, apa langkah
yang dibutuhkan untuk mencegah hal tersebut terjadi lagi? Pertanyaan-pertanyaan ini harus dijawab oleh
pengamat independen dan tidak memihak. Pengamat inilah yang melakukan pekerjaan pengauditan sistem
informasi.
Pengauditan Sistem Informasi
Audit adalah satu bagian penting dari sistem pengawasan apapun. Pengauditan dapat dipandang
sebagai salah satu lapisan tambahan dari pengawasan atau penjagaan. Hal ini dianggap sebagai salah satu
alat pencegah tindakan kriminal, utamanya untuk orang dalam. Auditor berusaha untuk menjawab pertanyaan
seperti di bawah ini:
Apakah pengawasan yang cukup telah ada dalam sistem? Area mana yang tidak tercakup dalam
pengawasan?
Pengawasan yang mana yang tidak diperlukan?
Apakah pengawasan diimplementasikan dengan baik?
Apakah pengawasan efektif? Jika ya, apakah mereka mengecek output dari sistem?
Apakah terdapat pemisahan yang jelas dari tugas-tugas para karyawannya?
Apakah ada prosedur untuk menjamin pengawasan?
Apakah ada prosedur untuk memastikan pelaporan dan tindakan perbaikan jika terjadi pelanggaran
pengawasan?
Mengaudit Website adalah ukuran pencegahan yang baik untuk mengatur risiko yang berkaitan
dengan hukum. Risiko legal adalah hal penting dalam sistem TI apapun, tetapi dalam sistem Web hal ini
bahkan menjadi lebih penting karena terkait konten yang terdapat dalam situs, yang dapat mengganggu
orang lain atau dapat merusak hak cipta atau regulasi lainnya. Mengaudit EC juga menjadi lebih kompleks
sejak, adanya tambahan pada Web site, seseorang harus mengaudit order taking, order fulfillment, dan
sistem pendukung lainnya.
Risk Management dan Analisis Biaya-Manfaat
Biasanya tidak ekonomis untuk menyiapkan pencegahan terhadap seluruh ancaman yang dapat terjadi.
Olehnya itu, seorang program keamanan TI harus menyediakan suatu proses untuk menaksir ancaman dan
Kelompok V – PPAk Angkatan XV Page 16
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
memutuskan yang mana yang akan dipersiapkan dan yang mana yang akan diabaikan atau disediakan
pencegahan yang mengurangi ancaman yang ada.
Analisis Risk-Management. Analisis risk-management dapat dilakukan dengan menggunakan paket
perangkat lunak DSS. Perhitungan yang sederhana ditunjukkan berikut ini:
Kerugian yang diestimasikan = P1 x P2 x L
Dimana:
P1 = kemungkinan serangan (estimasi, berdasarkan perkiraan)
P2 = kemungkinan serangan berhasil terjadi (estimasi, berdasarkan perkiraan)
L = kerugian yang muncul jika serangan berhasil
Contoh:
P1 = .02, P2 = .10, L = $1,000,000
Maka, kerugian yang diestimasi dari serangan seperti ini adalah
P1 x P2 x L = 0.02 x 0.1 x $1,000,000 = $2,000
Jumlah dari kerugian dapat tergantung pada durasi dari sistem berhenti beroperasi. Olehnya, dimasukkan
tambahan durasi dalam analisis.
Masalah Etika. Mengimplementasikan program keamanan menimbulkan banyak masalah etika. Pertama,
beberapa kalangan menolak monitoring apapun terhadap aktivitas individual. Melakukan pengawasan
tertentu bagi sebagian orang dianggap melanggar kebebasan berbicara atau hak sipil lainnya. Penelitian
Gartner Group menunjukkan bahwa bahkan setelah serangan teroris pada 9/11/2001, hanya 26 persen warga
negara Amerika yang menyetujui database ID Nasional. Penggunaan biometrik dianggap melanggar banyak
hal pribadi.
Penanganan dilema privasi versus keamanan adalah sesuatu yang sulit. Terdapat kewajiban etika dan
legal yang harus dilakukan perusahaan yang melanggar privasi dari karyawan dan mengawasi tindakan
mereka. Secara khusus, pengukuran keamanan TI dibutuhkan untuk melindungi dari kerugian, kewajiban,
dan litigasi. Kerugian bukan hanya dari finansial, tetapi juga termasuk kehilangan informasi, pelanggan,
rekanan dagang, imej merek, dan kemampuan untuk menjalankan bisnis, terkait adanya tindakan dari
pembajak, malware, atau pegawai. Kewajiban berasal dari dua doktrin legal: respondeat superior dan
kewajiban pemeliharaan. Respondeat superior membuat pemberi kerja bertanggung jawab untuk kesalahan
yang dilakukan pekerjanya yang muncul dalam lingkup pekerjaan mereka. Dengan teknologi nirkabel dan
mobile workforce, lingkup pekerjaan telah meluas melewati perimeter yang ditetapkan perusahaan. Pada
doktrin kewajiban pemeliharaan, manajer senior dan direktur memiliki kewajiban fiduciary untuk
Kelompok V – PPAk Angkatan XV Page 17
Ch. 5 Keamanan Perusahaan Dan Kelangsungan Bisnis
menggunakan pemeliharaan yang masuk akal untuk melindungi operasi bisnis perusahaan. Litigasi atau
tuntutan hukum berasal dari kegagalan memenuhi kewajiban regulasi dan legal perusahaan.
Kelompok V – PPAk Angkatan XV Page 18