BAB 9 - Desi Rianti

advertisement
Tujuan belajar
setelah mempelajari bab ini diharapkan :
1. memahami kebutuhan organisasi akan keamanan dan
pengendalian
2. memahami bahwa keamanan informasi berkaitan
dengan keamanan semua sumber daya informasi,bukan
hanya peranti keras dan data
3. memahami tiga tujuan utama keamanan informasi
4. Memahami bahwa manajemen keamanan informasi
terdiri dari 2 area : manajemen keamanan informasi dan
manajemen keberlangsungan bisnis
5. melihat hubungan yang logis antara
ancaman,risiko,dan pengendalian
6. memahami apa saja ancaman keamanan yang utama
7. memahami apa saja risiko keamanan yang utama
8. memahami berbagai kekhawatiran keamanan ecommerce dan bagaimana perusahaan-perusahaan kartu
kredit mengatasinya
9. mengetahui proses implementasi kebijakan keamanan
informasi
10. mengenali cara-cara pengendalian keamanan yang
populer
11. mengetahui tindakan-tindakan pemerintah dan
kalangan industri yang memengaruhi keamanan
informasi
12. mengetahui cara mendapatkan sertifikasi profesional
dalam keamanan dan pengendalian
13. mengetahui jenis-jenis rencana yang termasuk
dalam perencanaan kontinjensi
PENDAHULUAN
semua organisasi memiliki kebutuhan untuk menjaga agar
sumber daya informasi mereka aman. Kalangan industri telah
lama menyadari kebutuhan untuk menjaga kemananan dari para
kriminal komputer, dan sekarang pemerintah telah mempertinggi
tingkat keamanan sebagai salah satu cara untuk memerangi
terorisme. Ketika organisasi-organisasi ini mengimplementasikan
pengendalian keamanan versus ketersediaan serta keamanan
versus hak pribadi harus diatasi.
KEBUTUHAN ORGANISASI AKAN
KEAMANAN DAN PENGENDALIAN
dalam dunia masa kini, banyak organisasi semakin sadar
akan pentingnya menjaga seluruh sumber daya
mereka,baik yang bersifat virtual maupun fisik, agar
aman dari ancaman baik dalam maupun luar. Sistem
komputer yang pertama hanya memiliki sedikit
perlindungan keamanan, namun hal ini berubah saat
perang vietnam ketika sejumlah instalasi komputer
dirusak oleh para pemrotes
Pemerintah federal amerika serikat sekarang menerapkan
pencegahan dan pengendalian yang serupa,melalui otoritas
patriot act ( undang-undang patriot ) dan office of homeland
security ( dinas keamanan dalam negeri ). Pendekatanpendekatan yang dimulai oleh kalangan industri dicontoh dan
diperluas. Ketika pencegahan federal ini diimplementasikan , dua
isu penting harus diatasi. isu yang pertama adalah keamanan
versus hak-hak individu. Tantangannya adalah bagaimana
mengimplementasikan kemananan yang cukup serta alat-alat
pengendalian yang tidak melanggar hak individu yang dijamin
oleh konstitusi.
Isu yang kedua adalah keamanan versus ketersediaan.
Isu ini amat menonjol pada bidang pelayanan medis,di
mana kekhawatiran akan privasi catatan medis individu
menjadi pusat perhatian. Keamanan catatan medis saat
ini sedang diperluas sehingga melibatkan mikrochip
yang ditanamkan pada pasien,selain data medis yang
disimpan di komputer.
KEAMANAN INFORMASI
saat pemerintah dan kalangan industri mulai
menyadari kebutuhan untuk mengamankan sumber
daya informasi mereka,perhatian nyaris terfokus
secara ekslusif pada perlindungan peranti keras dan
data
Maka istilah keamanan sistem ( system security ) pun
digunakan. Istilah keamanan informasi ( information
security ) digunakan untuk mendeskripsikan perlindungan
baik peralatan komputer dan non komputer,fasilitas,data, dan
informasi dari penyalahgunaan pihak-pihak yang tidak
berwenang.
Tujuan keamanan informasi
keamanan informasi ditujukan untuk mencapai tiga
tujuan utama, yaitu :
1. kerahasiaan. Perusahaan berusaha melindungi data
dan informasinya dari pengungkapan kepada orangorang yang tidak berwenang
2. ketersediaan. Tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
Manajemen keamanan informasi
aktivitas untuk menjaga agar sumber daya informasi
tetap aman disebut manajemen keamanan informasi.
Sedangkan aktivitas untuk menjaga agar perusahaan dan
sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan
bisnis.
CIO adalah orang yang untuk memikul tanggung jawab
atas keamanan informasi,namun kebanyakan organisasi
mulai menunjuk orang-orang tertentu yang dapat
mencurahkan perhatian penuh terhadap aktivitas ini.
Jabatan direktur keamanan sistem informasi
perusahaan (corporate information system security
officer-CISSO) digunakan untuk individu di dalam
organisasi,biasanya anggota dari unit sistem
informasi,yang bertanggung jawab atas keamanan
informasi perusahaan tersebut.
pada bentuknya yang paling dasar,manajemen
keamanan informasi terdiri atas 4 tahap:
mengidentifikasi ancaman yang dapat menyerang
sumber daya informasi perusahaan;mendefinisikan
risiko yang dapat disebabkan oleh ancaman-ancaman
tersebut;menentukan kebijakan keamanan informasi;
serta mengimplementasikan pengendalian untuk
mengatasi risiko-risiko tersebut. Istilah manajemen
risiko dibuat untuk menggambarkan pendekatan
inidimana tingkat keamanan sumber daya informasi
Figur 9.1 strategi
Mengidentifikasi
kan ancaman
keamanan
informasi
Mendefinisikan
risiko
Menentukan
kebijakan
keamanan
informasi
Mengimplement
asikan
pengendalian
ANCAMAN
ancaman keamanan informasi adalah
orang,organisasi,mekanisme,atau peristiwa yang
memiliki potensi untuk membahayakan sumber daya
informasi perusahaan. Ketika kita membayangkan
ancaman keamanan informasi,adalah sesuatu yang alami
jika kita membayangkan beberapa kelompok atau
beberapa orang di luar perusahaan tersebut yang
melakukan tindakan yang disengaja.
Ancaman internal dan eksternal
ancaman internal mencakup bukan hanya karyawan
perusahaan,tetapi juga pekerja
temporer,konsultan,kontraktor,dan bahkan mitra bisnis
perusahaan tersebut. Ancaman internal diperkirakan
menghasilkan kerusakan yang secara potensi lebih
serius jika dibandingkan dengan ancaman
eksternal,dikarenakan pengetahuan ancaman internal
yang lebih mendalam akan sistem tersebut.
Tindakan kecelakaan dan disengaja
tidak semua ancaman merupakan tindakan disengaja
yang dilakukan dengan tujuan mencelakai. Beberapa
merupakn kecelakaan,yang disebabkan oleh orangorang di dalam ataupun di luar perusahaan. Sama halnya
di mana keamanan informasi harus ditujukan untuk
mencegah ancaman yang disengaja,sistem keamanan
juga harus mengeliminasi atau mengurangi
kemungkinan terjadinya kerusakan yang disebabkan
kecelakaan.
JENIS ANCAMAN
semua orang pernah mendengar mengenai virus komputer.
Sebenarnya virus hanyalah salah satu contoh jenis peranti
lunak yang menyandang nama peranti lunak
berbahaya(malicious software). Malicious software, atau
malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu sistem
dan melakukan fungsi-fungsi yang tidak diharapkan oleh
pemilik sistem. Fungsi-fungsi tersebut dapat menghapus
file atau menyebabkan sistem tersebut berhenti.
Terdapat beberapa jenis peranti lunak yang
berbahayaselain virus,terdapat pula worm,trojan,adware,
dan spyware.virus adalah program komputer yang dapat
mereplikasi dirinya sendiri tanpa dapat diamati oleh si
pengguna dan menempelkan salinan dirinya pada
program-program dan boot sector lain. Tidak seperti virus
, worm(cacing) tidak dapat mereplikasi dirinya sendiri di
dalam sistem,tapi dapat menyebarkan salinannya melalui
e-mail. Trojan horse ( kuda troya ) tidak dapat
mereplikasi ataupun mendistribusikan dirinya sendiri si
pengguna menyebarkannya sebagai suatu perangkat.
hardware memunculkan pesan-pesan iklan yang
mengganggu,dan spyware mengumpulkan data dari
mesin pengguna. Program anti spyware sering kali
menyerang cookies,yaitu file teks kecil yang di letakkan
perusahaan di hard drive pelanggan untuk mencatat
minat belanja pelanggan mereka. Menghapus cookies
menggunakan program anti spyware menciptakan
kekhawatiran di kalangan beberapa pemasar.solusi yang
paling efektif yang memungkinkan adalah menghalangi
antispyware untuk menghapus cookies pihak pertama
yang di simpan perusahaan untuk pelanggannya,tapi
hanya menghapus cookies pihak ketiga yang di letakkan
oleh perusahaan lain.
risiko keamanan informasi (information security
risk ) didefinisikan sebagai potensi output yang tidak di
harapkan dari pelanggaran keamanan informasi oleh
ancaman keamanan informasi. Semua risiko mewakili
tindakan yang terotorisasi. Risiko-risiko seperti ini
dibagi menjadi 4 jenis;pengungkapan informasi yang
tidak terotorisasi dan pencurian,penggunaan yang tidak
terotorisasi,penghancuran yang tidak terotorisasi dan
penolakan layanan,serta modifikasi yang tidak
terotorisasi.
Pengungkapan Informasi Yang
Tidak Terotorisasi dan Pencurian
Suatu basis data dan perpustakaan peranti lunak
tersedia bagi orang-orang yang seharusnya tidak
berhak memiliki akses., hasilnya adalah hilangnya
informasi atau uang.
Contoh : mata-mata industri dapat memperoleh
informasi mengenai kompetisi yang beharga, dan
kriminal komputer dapat menyeludupkan dana
perusahaan.
Penggunaan yang tidak terotorisasi
Penggunaan ini terjadi ketika orang-orang yang
biasanya tidak berhak menggunakan sumber daya
perusahaan mampu melakukan hal tersebut.
Contoh kejahatan komputer yang disebut “Hacker”
yang memandang keamanan informasi sebagai suatu
tantangan yang harus diatasi. Misalnya Hacker dapat
memasuki jaringan komputer sebuah perusahaan,
mendapat akses kedalam sistem telepon, dan
melakukan sambungan telepon jarak jauh tanpa
otorisasi.
Modifikasi yang tidak terotorisasi
• Perubahan dapat dilakukan pada data,informasi,dan
peranti lunak perusahaan.beberapa perubahan
dapat berlangsung tanpa disadari dan menyebabkan
para pengguna output sistem tersebut mengambil
keputusan salah, salah satunya adalah perubahan
nilai pada catatan akademis seorang siswa.
PERSOALAN E-COMMERCE
• E-commerce: (perdagangan
ektronik)memperkenalkan suatu permasalahan
keamanan baru. Dan menurut sebuah survei yang
dilakukan oleh Gartner Group, pemalsuan kartu
kredit 12 kali lebih sering terjadi untuk para peritel ecommerce dibandingkan dengan para pedagang yang
berurusan dengan pelanggan mereka secara
langsung.
Praktik Keamanan yang Diwajibkan
oleh Visa
• Visa mengumumkan 10 praktik terkait keamanan
yang diharapkan perusahaan ini. Untuk diikuti oleh
paritelnya. Diantaranya yaitu :
• a .memasang dan memelihara firewall
• b. memperbarui keamanan
• c. melakukan enkripsi pada data yang disimpan
• d. melakukan ekripsi pada data yang dikirimkan
• e. menggunakan dan memperbaiki peranti lunak
antivirus
• F. membatasi akses data kepada orang-orang yang
ingin tahu
• g. memberikan ID unik kepada setiap orang yang
memiliki kemudahan mengakses data
• h. memantau akses data dengan ID unik
• I. Tidak menggunakan kata sandi default yang
disediakan oleh vendor
Manajemen Risiko
• Diidentifikasikan sebagai salah satu dari dua strategi
untuk mencapai keamanan informasi. Risiko dapat
dikelola dengan mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya. Terdiri atas 4
langkah.
• 1. identifikasi aset bisnis yang harus dilindungi dari
risiko
• 2. menyadari risikonya
• 3. menentukan tingkatan dampak pada perusahaan
jika risiko benar terjadi
• 4. menganalisis kelemahan perusahaan tersebut
• Tingkat keparahan dari dampak parah ini
diklasifikasikan untuk membuat perusahaan
bankrut atau sangat membatasi kemampuan
perusahaan tersebut.
• Dampak signifikan menyebabkan kerusakan
dengan biaya yang signifikan tetapi
perusahaan tersebut akan selamat.
• Dampak minor,kerusakan yang mirip dengan
terjadi dalam operasional sehari-hari.
Tingkat Dampak dan Kelemahan
Menentukan Pengendalian
Dampak parah
Dampak signifikan
Dampak minor
Kelemahan tingkat
tinggi
Melaksanakan
analisis
kelemahan.harus
meningkatkan
pengendalian
Melaksanakan
analisis
kelemahan.harus
meningkatkan
pengendalian.
Analisis kelemahan
tidak dibutuhkan
Kelemahan tingkat
menegah
Melaksanakan
analisis kelemahan.
Sebaiknya
meningkatkan
pengendalian
Melaksananakan
analisis kelemahan,
sebaiknya
meningkatkan
pengendalian
Analisis kelemahan
tidak dibutuhkan
Kelemahan tingkat
rendah
Melaksanakan
analisis kelemahan,
menjaga
pengendalian tetap
ketat.
Melaksanakan
analisis kelemahan,
menjaga
pengendalian tetap
ketat.
Analisis kelemahan
tidak dibutuhkan.
Kebijakan Keamanan Informasi
• Mengabaikan apakah perusahaan mengikuti strategi
manajemen risiko kepatuhan tolak ukur maupun
tidak. Suatu kebijakan yang menerapkan kebijakan
keamanannya dengan pendekatan yang
bertahap.figur 9.3 mengilustrasikan 5 fase
implementasi kebijakan keamanan.
• Fase 1. inisiasi proyek : tim yang menyusun kebijakan
keamanan yang din bentuk dan suatu komite akan
mencangkup manajer dari wilayah dimana kebijakan
akan diterapkan
• Fase 2. penyusunan kebijakan: tim proyek
berkonsultasi dengan semua pihak yang
berminat & berpengaruh oleh proyek.
• Fase 3. Konsultasi & persetujuan : berkonsultasi
dengan manjemen untuk memberitaukan
temuannya. Serta untuk mendapatkan pandangan
mengenai persyaratan kebijakan
• Fase 4. kesadaran dan edukasi: program pelatihan
kesadaran dan edukasi dilaksanakan dalam unit
organisasi
• Fase 5. penyebarluasan kebijakan: disebarluaskan
oleh seluruh unit organisasi dimana kebijakan dapat
diterapkan.
Tim proyek
Fase 1
Inislasi proyek
Fase 2
Penyusunan
kebijakan
Fase 3
konsultasi dan
persetujuan
Fase 4
Kesadaran dan
pendidikan
Fase 5
Penyebarluasan
kebijakan
Penetapan
Komite pengawas
proyek keamanan
konsultasi
konsultasi
Pihak yang berminat
dan terpengaruh
manajemen
Pelatihan kesadaran
& edukasi kebijakan
Kebijakan keamanan
Unit organisasi
Unit organisasi
• Figur 9.3 {penyusunan kebijakan keamanan}
pengendalian
Pengendalian(control) mekanisme yang diterapkan
baik untuk melindungi perusahaan dari risiko atau
meminimalkan dampak risiko pada perusahaan jika
risiko tersebut terjadi.pengendalian dibagi menjadi
tiga kategori yaitu :
• Teknis
• Formal
• Dan Informal
• PENGENDALIAN TEKHNIS(tehnical control)
pengendalian yang menjadi satu di dalam
sistem dan dibuat oleh penyusun sistem
selama masa siklus penyusunan sistem.
Sistem Deteksi Gangguan
• Logika dasar dari sistem deteksi gangguan adalah
mengenali upaya pelanggaran keamanan sebelum
memiliki kesempatan untuk melakukan perusakan.
Salah satu contoh yang baik adalah “peranti lunak
proteksi virus” yang terbukti efektif elewan virus
yang terkirim melalui e-mail.
firewall
Berfungsi sebagai penyaring dan penghalang yang
membatasi aliran data ke perusahaan tersebut dan
internet. Dibuatnya suatu pengaman terpisah untuk
untuk masing-masing komputer.
Tiga jenis firewall adalah penyaring paket, tingkat
sirkuit, dan tingkat aplikasi.
Pengendalian Kriptografis
• Data dan informasi yang tersimpan dan ditranmisikan
dapat dilindungi dari pengungkapan yang tidak
terotorisasi dengan kriptografi yaitu penggunaan
kode yang menggunakan proses matematika.
• Popularitas kriptografi semakin meningkat karena ecommerce dan produk ditunjukan untuk
meningkatkan keamanan e-commerence
PENGENDALIAN FORMAL
• mencangkup penentuan cara berperilaku,
dokumentasi prosedur, dan praktik yang diharapkan.
Pengendalian ini bersifat formal, karena manjemen
menghabiskan bayak waktu untuk menyusunnya,
mendokumentasikan dalam bentuk tulisan dan
diharapkan untuk berlaku dalam jangka panjang.
Pengendalian Informal
• Mencangkup program-program pelatihan dan
edukasi serta program pembangunan manajemen.
Pengendalian ini berkaitan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung
program keamanan tersebut.
Meletakan manajemen
keberlangsungan bisnis pada
tempatnya
manajemen keberlangsungan bisnis merupakan salah
satu bidang penggunaan komputer dimana kita
dapat melihat perkembangan besar. Tersedia pula
rencana dalam paket sehingga perusahaan dapat
mengadaptasi ke dalam kebutuhan khususnya.
Sistem komputer TAMP memasarkan sistem
pemulihan bencana yang mencangkup sistem
manajemen basis data, intruksi, dan perangkat yang
dapat digunakan untuk mempersiapkan rencana
pemulihan.
Sekian Presentasi Bab 9
Terimakasih dan
Wasalamualaikum.WR.WB
Download