Add to collection(s) Add to saved
  1. Bisnis

TUGAS_STI_PPAK5 - Universitas Hasanuddin

advertisement 
Tugas: Makalah Sistem Informasi Teknologi
“IT Security, Crime, Compliance, and Continuity”
OLEH:
KELOMPOK 1
WA ODE RAYYANI
038/PPAk-XVII/2013
YULIANA ADITYANINGSIH
031/ PPAk-XVII/2013
RIA REZKI AMALIA
039/ PPAk-XVII/2013
PROGRAM PENDIDIKAN PROFESI AKUNTANSI
UNIVERSITAS HASANUDDIN
MAKASSAR
2013
1
BAB I
PENDAHULUAN
Keamanan informasi mengenai risiko untuk data, sistem informasi, dan
jaringan. Peristiwa keamanan informasi ini menciptakan risiko bisnis dan hukum,
seperti ketika operasi diganggu atau hukum pribadi yang dilanggar. Risiko
manajemen TI menyangkut sistem keamanan perusahaan sementara memastikan
ketersediaannya; perencanaan untuk pemulihannya dan kontinuitas bisnis; yang
memenuhi dengan regulasi pemerintah dan lisensi persetujuannya; memelihara
kontrol internalnya; dan melindungi organisasi dari adanya peningkatan pada
bermacam-macam ancaman seperti virus worm, spyware, dan malware.
2
BAB II
PEMBAHASAN
A. Protecting Data and Business Operations
Apa yang dimaksud dengan keamanan informasi dan jaringan? Sebagian
besar orang akan menyebut hardware dan software pada jawaban mereka; sebagai
contoh, firewalls, enskripsi, antivirus, antispam, anti-spyware, anti-phising, dan
masih banyak lagi. Firewalls dan sistem deteksi gangguan keamanan ditempatkan
melalui jaringan untuk mengawasi dan mengendalikan lalu lintas masuk dan
keluar dari sebuah jaringan. Perlindungan data dan operasi bisnis melibatkan
semua hal berikut:
1. Membuat data dan dokumen yang tersedia dan dapat diakses 24/7 sekaligus
membatasi akses secara simultan.
2. Menerapkan dan menegakkan prosedur dan penggunaan kebijakan yang
dapat diterima untuk data, hardware, software, dan jaringan yang dimiliki
perusahaan.
3. Mempromosikan berbagi informasi yang aman dan legal antara pihak yang
berwenang dengan mitra.
4. Memastikan kepatuhan terhadap peraturan pemerintah dan undang-undang.
5. Mencegah serangan dengan memiliki pertahanan intrusi jaringan di tempat.
6. Mendeteksi, mendiagnosis, dan bereaksi terhadap insiden dan serangan
secara real time.
7. Memelihara pengendalian internal untuk mencegah manipulasi data dan
catatan.
8. Memulihkan dari bencana bisnis dan gangguan dengan cepat.
Keamanan TI
Hal ini meliputi perlindungan informasi, jaringan komunikasi, dan
operasi e-commerce dan tradisional untuk menjamin kerahasiaan, integritas,
ketersediaan, dan penggunaan resmi. Risiko keamanan TI adalah risiko bisnis
yang dapat berasal dari dalam, luar, organisasi cyber criminal, atau malware.
Malware adalah perangkat lunak berbahaya yang mengacu pada virus, worm,
trojan horse, spyware, dan semua jenis lain dari program yang mengganggu,
3
merusak, atau tidak diinginkan. Secara umum, langkah-langkah keamanan TI
telah fokus pada perlindungan terhadap orang luar dan malware. Perusahaan
menderita kerugian yang luar biasa dari kecurangan yang dilakukan oleh
karyawan baik yang disengaja maupun tidak disengaja, penipuan, kebakaran,
banjir, atau bencana alam lainnya.
Know Your Enemy And Your Risks
Perusahaan banyak menderita kerugian dari penipuan yang dilakukan
karyawan. Ancaman karyawan, disebut sebagai ancaman internal, adalah
rintangan utama yang sebagian besar disebabkan oleh sejumlah besar cara yang
dapat dilakukan seorang karyawan untuk melakukan aktivitas berbahaya. Insiden
internal berikut dapat dicegah jika kebijakan yang ketat dan pertahanan telah
ditingkatkan. Seringkali para korban merupakan pihak ketiga, seperti pelanggan,
pengguna jaringan sosial, perusahaan kartu kredit, dan pemegang saham. Waktu
eksploitasi spyware tercanggih dan virus saat ini telah menyusut dari bulan ke
hari. Waktu eksploitasi adalah waktu yang telah lewat antara ketika kerentanan
yang ditemukan dan ketika hal tersebut telah dieksploitasi. Staf TI memiliki
jangka waktu lebih pendek untuk menemukan dan memperbaiki kelemahan
tersebut sebelum terjadi suatu serangan.
Peraturan Pemerintah
Data harus dilindungi dari skema serangan yang ada sekarang dan di
masa depan, dan pertahanan harus memenuhi peraturan pemerintah dan peraturan
internasional. SOX, Gramm-Leach-Billey Act (GLB), Federal Information
Security Management Act (FISMA), and USA Patriot Act in the United States;
Japan’s Personal Information Protection Act; Canada’s Personal Information
Protection and Electronic Document Act (PIPEDA); Australia’s Federal Privacy
Act; the United Kingdom’s Data Protection Act; and Base II (jasa keuangan
global) semuanya mewajibkan untuk memberikan perlindungan terhadap data
pribadi.
Standar Industri
Kelompok industri menggunakan standar mereka sendiri untuk
melindungi pelanggan dan anak perusahaan serta pendapatan mereka. Salah satu
contoh adalah Payment Card Industry Data Security Standard (PCI DSS) dibuat
4
oleh Visa, MasterCard, American Express, dan Discover. PCI diperlukan untuk
semua anggota, pedagang atau penyedia jasa yang menyimpan, mengolah, atau
mengirimkan data pemegang kartu. Tujuan dari PCI DSS adalah untuk
meningkatkan kepercayaan pelanggan dalam e-commerce, terutama ketika
pembayaran dilakukan secara online, dan untuk meningkatkan keamanan Web
dari pedagang online. Untuk memotivasi agar mengikuti standar tersebut,
diberikan hukuman bagi yang melanggar.
IT Security Defense-in-Depth Model
Keamanan TI dan model pengendalian internal dimulai dengan
komitmen dan dukungan senior manajemen. Prinsip dasarnya adalah bahwa ketika
satu lapisan pertahanan gagal, maka lapisan lainnya akan
memberikan
perlindungan yang seluruhnya yang terdiri dari empat langkah yaitu:
Langkah 1: Dukungan dan Komitmen Manajemen Senior. Manajemen senior
dibutuhkan untuk implementasi dan memelihara keamanan, standar etika, praktik
pribadi, dan internal kontrol.
Langkah 2: Pelatihan dan Kebijakan Keamanan. Langkah selanjutnya membangun
efektivitas keamanan program TI untuk mengembangkan kebijakan keamanan dan
menyediakan latihan untuk menjamin setiap orang dapat memahaminya.
Langkah 3: Penegakan dan Prosedur Keamanan. Jika aktivitas pengguna tidak
diawasi untuk kepatuha, AUP sangat berguna.
Langkah 4: Keamanan Peralatan: Hardware dan Software. Langkah terakhir
dalam model ini adalah mengimplementasi software dan hardware yang
dibutuhkan untuk mendukung dan menguatkan keamanan AUP.
B. Is Vulnerabilities and Threats
Ancaman terhadap sistem informasi dapat digolongkan menjadi dua,
yaitu ancaman tidak disengaja maupun tidak disengaja. Ancaman disengaja dibagi
ke dalam tiga kategori utama, yaitu:
1. Kesalahan manusia (human errors) dapat terjadi dalam desain hardware
atau sistem informasi. Hal ini juga dapat terjadi selama pemrograman,
5
pengujian, atau entri data. Kesalahan manusia juga mencakup pengguna
yang tidak terlatih atau tidak sadar menanggapi phishing atau mengabaikan
prosedur keamanan.
2. Bahaya lingkungan (environmental hazards) termasuk gunung berapi,
gempa bumi, badai salju, banjir, gangguan listrik atau fluktuasi yang kuat,
kebakaran (bahaya yang paling umum), AC rusak (defective air
conditioning), ledakan, kejatuhan radioaktif, dan kegagalan sistem
pendingin air.
3. Kegagalan sistem komputer (computer sistems failures) dapat terjadi
sebagai hasil dari manufaktur yang buruk, bahan rusak, dan perbaikan
jaringan atau jaringan yang buruk. Kegagalan fungsi yang tidak disengaja
juga bisa terjadi karena alasan lain, mulai dari kurangnya pengalaman untuk
pengujian memadai.
Ancaman disengaja termasuk pencurian data, penggunaan data yang
tidak tepat (misalnya, memanipulasi input), pencurian mainframe waktu
komputer, pencurian peralatan dan/atau program; manipulasi yang disengaja
dalam penanganan, input, pengolahan, transfer, atau pemrograman data,
pemogokan buruh, kerusuhan, atau sabotase, kerusakan berbahaya pada sumber
daya komputer, kerusakan dari virus dan serangan serupa, dan pelanggaran
komputer lain-lain dan penipuan Internet. Hacker cenderung melibatkan orang
dalam kejahatan mereka, menggunakan taktik yang disebut social engineering.
Social engineering digunakan untuk tujuan bisnis (noncriminal) juga. Misalnya,
iklan menggunakan rekayasa sosial (misalnya, menjanjikan kekayaan atau
kebahagiaan) untuk meyakinkan orang untuk membeli produk atau jasa mereka.
IT Attacks
Ada banyak jenis serangan muncul secara teratur. Terdapat dua jenis
serangan
IT,
yaitu
perusakan
data/data
tampering
dan
serangan
program/programing attack. Perusakan data adalah serangan umum yang
dibayangi oleh berbagai jenis serangan. Hal ini mengacu pada serangan dimana
seseorang memasukkan data palsu atau penipuan ke komputer atau merubah dan
menghapus data yang ada. Perusakan data sangat serius karena mungkin tidak
6
terdeteksi. Hal ini merupakan metode yang sering digunakan oleh seseorang
dalam melakukan penipuan.
Botnets adalah kumpulan bot (komputer terinfeksi oleh robot software).
Botnets semacam zombie atau virus yang mengekspos komputer terinfeksi, serta
komputer jaringan lain, dengan ancaman seperti Spyware, Adware, Spam,
Phishing, Serangan DoS. Sejak malware dan botnet menggunakan banyak metode
serangan dan strategi, beberapa alat yang diperlukan untuk mendeteksi dan/atau
menetralisir efeknya. Tiga pertahanan penting dalam mendeteksi malware dan
botnet yaitu: 1) Antivirus software, 2) Sistem Deteksi Penyusup (Intrusion
detection systems_IDS), dan 3) Sistem Pencegahan Penyusup (Intrusion
prevention systems_IPS).
C. Fraud, Crimes and Violations
Kejahatan dapat dibagi menjadi dua kategori tergantung pada taktik yang
digunakan untuk menanganinya: kejahatan tanpa kekerasan dengan kejahatan
dengan kekerasan. Fraud merupakan kejahatan tanpa kekerasan karena tidak
menggunakan senjata atau pisau, pelakunya menggunakan penipuan dan tipu daya
dengan menyalahgunakan kekuasaan atau posisi mereka dengan mengambil
keuntungan
dari
kepercayaan,
kebodohan,
atau
kemalasan
orang
lain.
Occupational fraud mengacu pada penyalahgunaan aset yang disengaja oleh
karyawan untuk keuntungan pribadi. Audit internal dan pengendalian internal
sangat penting untuk pencegahan dan mendeteksi fraud.
TI memiliki peran penting dalam menunjukkan tata kelola perusahaan
yang efektif dan pencegahan fraud. Regulator terlihat baik pada perusahaan yang
dapat menunjukkan tata kelola perusahaan yang baik dan praktek terbaik
manajemen risiko operasional. Manajemen dan staf perusahaan tersebut kemudian
dapat menghabiskan waktu yang mengkhawatirkan tentang peraturan dan lebih
banyak waktu menambahkan nilai pada merek dan bisnis mereka. Tindakan
pencegahan fraud internal didasarkan pada pengendalian yang sama digunakan
untuk mencegah intrusi eksternal, perimeter pertahanan teknologi, seperti firewall,
e-mail scanner, dan akses biometrik. Mereka juga didasarkan pada prosedur
sumber daya manusia (SDM), seperti perekrutan, pemeriksaan dan pelatihan.
7
Strategi pertahanan dan pengendalian yang seharusnya digunakan
tergantung pada apa yang perlu dilindungi dan analisis biaya-manfaat. Berikut
adalah tujuan utama dari strategi pertahanan, yaitu:
1. Prevention and deterrence. Pengendalian dirancang secara benar agar dapat
mencegah kesalahan yang terjadi, mencegah penjahat yang menyerang
sistem, dan menolak akses kepada orang-orang.
2. Detection.
Deteksi
dapat
dilakukan dalam banyak kasus
dengan
menggunakan perangkat lunak diagnostik khusus, dengan biaya minimal.
3. Containment meminimalkan atau mengurangi kerugian malfungsi yang
terjadi. Hal ini juga disebut pengendalian kerusakan.
4. Recovery. Sebuah rencana pemulihan menjelaskan bagaimana memperbaiki
sistem informasi yang rusak secepat mungkin.
5. Correction. Mengoreksi penyebab sistem yang rusak dapat mencegah
masalah terjadi lagi.
6. Awareness and compliance. Semua anggota organisasi harus dididik tentang
bahaya dan harus sesuai dengan aturan keamanan dan peraturan.
Jaminan Informasi dan Manajemen Risiko
Tujuan dari manajemen keamanan TI adalah untuk mempertahankan
semua komponen sistem informasi, khususnya data, aplikasi software, hardware
(perangkat keras), dan jaringan (network). Dibawah ini merupakan tujuan utama
strategi pertahanan :
1. Pencegahan dan Penangkalan. Pengendalian yang dirancang akan
mencegah terjadinya kesalahan, menghalangi para kriminal untuk
menyerang sistem, dan mencegah akses dari pihak yang tidak memiliki
otoritas.
2. Deteksi.
Deteksi
dapat
dijalankan
pada
banyak
kasus
dengan
menggunakan software diagnosis khusus dengan biaya yang rendah.
3. Pengurangan dari kerusakan. Tujuannya adalah untuk meminimalisir atau
membatasi kerugian ketika terjadi kegagalan pemakaian.
8
4. Pemulihan.
Sebuah
rencana
pemulihan
menjelaskan
bagaimana
memperbaiki kerusakan sistem informasi secepat mungkin. Mengganti
komponen yang rusak merupakan langkah yang lebih cepat untuk
pemulihan dari pada memperbaiki.
5. Perbaikan. Perbaikan yang disebabkan oleh kerusakan sistem dapat
mencegah masalah yang akan terjadi lagi.
6. Kesadaran dan Kepatuhan. Seluruh Anggota organisasi harus dididik
tentang resiko dan harus patuh terhadap aturan keamanan dan peraturan
lainnya.
Strategi pertahanan juga membutuhkan beberapa kontrol seperti
pengendalian umum (general controls) dan pengendalian aplikasi (application
controls). Pengendalian umum dilaksanakan untuk melindungi sistem selain dari
aplikasi tertentu. Kategori utama dalam pengendalian umum, yaitu:
1. Pengendalian fisik.
2. Pengendalian akses.
3. Pengendalian administratif.
Pengendalian aplikasi mengacu pada perlindungan terhadap aplikasi
tertentu dengan menggunakan sebuah software yang disebut intelligent agents
yang mengacu pada aplikasi yang sangat pintar yang dapat bereaksi, otonomi, dan
dapat beradaptasi terhadap serangan.
D. Network Security
Sebagai
suatu
bentuk
pertahanan,
perusahaan
perlu
untuk
mengimplementasikan produk pengendalian akses jaringan (network access
control/ NAC). Alat NAC berbeda dari teknologi keamanan tradisional dan
prakteknya berfokus pada akses file. Sementara lima tingkat keamanan sangat
berguna untuk melindungi data tidak menjaga pengguna yang tidak sah dari
jaringan di tempat pertama. Teknologi NAC, dipihak lain, membantu bisnis
menguci jaringan mereka dari tindakan kriminal.
9
Pengukuran keamanan jaringan meliputi tiga jenis pertahanan, yang
mengacu pada lapisan, yakni:

Lapisan pertama: keamanan perimeter untuk mengendalikan akses pada
jaringan. Contohnya software antivirus dan firewalls

Lapisan kedua: Autentikasi untuk memeriksa identitas dari orang yang
meminta akses ke jaringan. Misalnya nama pengguna dan kata kunci

Lapisan ketiga: Autorisasi untuk mengendalikan apa .yang pengguna dapat
lakukan sekali mereka dapat diberikan akses pada jaringan.
Network authentication and authorization
Tujuan utama otentikasi adalah bukti identitas untuk mengidentifikasi
pengguna yang sah dan menentukan tindakan yang diizinkan untuk dilakukan.
Ada tiga pertanyaan kunci ketika membuat sistem otentikasi, yaitu: 1) Siapa kau?
Apakah seorang atau karyawan, mitra, atau pelanggan? Tingkat otentikasi yang
berbeda akan diatur untuk jenis orang yang berbeda; 2) Dimana kau? Sebagai
contoh, seorang karyawan yang telah mengakses jaringan kurang berisiko
daripada seorang karyawan atau mitra yang logging jarak jauh. Seseorang log on
dari alamat IP yang diketahui kurang dari risiko dari seseorang log on dari Nigeria
atau Kazakhstan; dan 3) Apa yang kau inginkan? Apakah orang ini mengakses
informasi sensitif atau kepemilikan atau hanya mendapatkan akses ke data?
E. Internal Control and Compliance
Lingkungan pengendalian internal adalah lingkungan kerja dimana
perusahaan diatur untuk karyawannya. Pengendalian internal adalah proses yang
dirancang untuk mencapai tujuan berikut: 1) Pelaporan keuangan yang handal; 2)
Efisiensi operasional; 3) Kepatuhan terhadap hukum, peraturan, dan kebijakan;
dan 4) usaha perlindungan aset.
Pengendalian internal diperlukan untuk kepatuhan. Sarbanes-Oxley Act
(SOX) adalah undang-undang anti-fraud. Hal ini memaksa pelaporan bisnis yang
lebih akurat dan pengungkapan prinsip akuntansi yang berlaku umum (generally
accepted accounting principles-GAAP) pelanggaran, sehingga perlu untuk
mencari dan membasmi penipuan. SOX dan SEC membuat jelas bahwa jika
10
pengendalian dapat diabaikan, maka tidak ada pengendalian. Oleh karena itu,
pencegahan penipuan dan deteksi sistem pemantauan yang efektif diperlukan.
F. Business Continuity and Auditing
Rencana bisnis berkelanjutan yang juga dikenal sebagai rencana
pemulihan bencana menguraikan proses dimana bisnis harus pulih dari bencana
besar. Penghancuran semua (atau sebagian besar) fasilitas komputer dapat
menyebabkan kerusakan yang signifikan. Hal ini sulit bagi banyak organisasi
untuk mendapatkan asuransi untuk komputer dan sistem informasi tanpa
menunjukkan pencegahan bencana yang memuaskan dan rencana pemulihan.
Pemulihan bencana adalah rantai peristiwa yang menghubungkan rencana bisnis
berkelanjutan untuk perlindungan dan pemulihan. Beberapa pemikiran kunci
tentang proses ini, yaitu: 1) Tujuan dari rencana bisnis berkelanjutan adalah untuk
menjaga bisnis berjalan setelah bencana terjadi. Setiap fungsi dalam bisnis harus
memiliki rencana kemampuan pemulihan yang valid; 2) Perencanaan pemulihan
merupakan bagian dari perlindungan aset. Setiap organisasi harus menetapkan
tanggung jawab kepada manajemen untuk mengidentifikasi dan melindungi aset
dalam lingkup pengendalian fungsional mereka; 3) Perencanaan harus fokus
terlebih dahulu pada pemulihan dari kerugian total dari semua kemampuan; 4)
Bukti kemampuan biasanya melibatkan beberapa jenis analisis what-if yang
menunjukkan rencana pemulihan saat ini; 5) Semua aplikasi penting harus
diidentifikasi dan prosedur pemulihannya ditangani dalam rencana; 6 Rencana
tersebut harus ditulis sehingga akan efektif dalam kasus bencana, bukan hanya
untuk memuaskan auditor; dan 6) Rencana tersebut harus disimpan di tempat yang
aman dan harus diaudit secara berkala.
11
BAB III
KESIMPULAN
Firewalls dan sistem deteksi gangguan keamanan ditempatkan melalui
jaringan untuk mengawasi dan mengendalikan lalu lintas masuk dan keluar dari
sebuah jaringan. Perlindungan data dan operasi bisnis melibatkan semua hal
berikut:
1. Membuat data dan dokumen yang tersedia dan dapat diakses 24/7
sekaligus membatasi akses secara simultan.
2. Menerapkan dan menegakkan prosedur dan penggunaan kebijakan yang
dapat diterima untuk data, hardware, software, dan jaringan yang dimiliki
perusahaan.
3. Mempromosikan berbagi informasi yang aman dan legal antara pihak yang
berwenang dengan mitra.
4. Memastikan kepatuhan terhadap peraturan pemerintah dan undangundang.
5. Mencegah serangan dengan memiliki pertahanan intrusi jaringan di
tempat.
6. Mendeteksi, mendiagnosis, dan bereaksi terhadap insiden dan serangan
secara real time.
7. Memelihara pengendalian internal untuk mencegah manipulasi data dan
catatan.
8. Memulihkan dari bencana bisnis dan gangguan dengan cepat.
Risiko keamanan TI adalah risiko bisnis yang dapat berasal dari dalam,
luar, organisasi cyber criminal, atau malware. Malware adalah perangkat lunak
berbahaya yang mengacu pada virus, worm, trojan horse, spyware, dan semua
jenis lain dari program yang mengganggu, merusak, atau tidak diinginkan. Secara
umum, langkah-langkah keamanan TI telah fokus pada perlindungan terhadap
orang luar dan malware. Perusahaan menderita kerugian yang luar biasa dari
kecurangan yang dilakukan oleh karyawan baik yang disengaja maupun tidak
disengaja, penipuan, kebakaran, banjir, atau bencana alam lainnya.
12
DAFTAR PUSTAKA
Turban, Efraim & Linda Volonino. 2012. Information Technology for
Management. International Student Version. Edition 8th. John Wiley &
Sons (Asia) Pte Ltd.
13
Related documents
keamanan sistem operasi
keamanan sistem operasi
etika, penipuan dan pengendalian internal
etika, penipuan dan pengendalian internal
1__Konsep Dasar Komunikasi 2016
1__Konsep Dasar Komunikasi 2016
KOMUNIKASI NON VERBAL Pesan dari Tindakan, Tempat, Waktu
KOMUNIKASI NON VERBAL Pesan dari Tindakan, Tempat, Waktu
Etika Pemasaran dan Tanggung Jawab Sosial dalam Perencanaan
Etika Pemasaran dan Tanggung Jawab Sosial dalam Perencanaan
Kelompok_1_-_IT_Security,_Crime,_Compliance,_and_Continuity
Kelompok_1_-_IT_Security,_Crime,_Compliance,_and_Continuity
Pengaman Jaringan - E
Pengaman Jaringan - E
2-Malware and Social Engineering - E
2-Malware and Social Engineering - E
perusahaan dan manajemen global ti
perusahaan dan manajemen global ti
“Kebenaran dan Kejujuran dalam Berbagai Media Komunikasi” Bab
“Kebenaran dan Kejujuran dalam Berbagai Media Komunikasi” Bab
Peran SIPF dalam Perlindungan Investor
Peran SIPF dalam Perlindungan Investor
Elemen Komputer Grafik Software hardware Data
Elemen Komputer Grafik Software hardware Data
Download
advertisement