Kelompok_1_-_IT_Security,_Crime,_Compliance,_and_Continuity

Sistem Teknologi
Informasi
It Security, Crime,
Compliance, And Continuity
TUGAS
SISTEM TEKNOLOGI INFORMASI
Rmk ch-5
IT SECURITY, CRIME, COMPLIANCE, AND CONTINUITY
Kelompok I :
 Ikmar Masykur
 Mohamad Ilham
 Rizky Khaerani
 Fitrah Apriany
PROGRAM PENDIDIKAN PROFESI AKUNTANSI
UNIVERSITAS HASANUDDIN
MAKASSAR
2013
Kelompok 1
Page 0
Sistem Teknologi
Informasi
It Security, Crime,
Compliance, And Continuity
A. DATA DAN KEJADIAN YANG BERKAITAN DENGAN KEAMANAN PERUSAHAAN
Mengontrol fisik dan memperkecil akses ke sistem dan informasi tertentu selalu
merupakan tantangan TI. Sebagian besar pelanggaran menyangkut kesalahan manusia atau
kesalahan tindakan, baik disengaja atau tidak disengaja. Ancaman karyawan, disebut sebagai
ancaman internal, adalah rintangan utama yang sebagian besar disebabkan oleh sejumlah
besar cara yang dapat dilakukan seorang karyawan untuk melakukan aktivitas berbahaya.
Insiden internal berikut dapat dicegah jika kebijakan infosec ketat dan pertahanan telah
ditingkatkan. Seringkali para korban merupakan pihak ketiga, seperti pelanggan, pasien,
pengguna jaringan sosial, perusahaan kartu kredit, dan pemegang saham. Waktu eksploitasi
spyware tercanggih dan virus saat ini telah menyusut dari bulan ke hari. Waktu eksploitasi
adalah waktu yang telah lewat antara ketika kerentanan yang ditemukan dan ketika hal tersebut
telah dieksploitasi. Staf TI memiliki jangka waktu lebih pendek untuk menemukan dan
memperbaiki kelemahan tersebut sebelum terjadi suatu serangan.
Data harus dilindungi dari skema serangan yang ada sekarang dan di masa depan, dan
pertahanan harus memenuhi peraturan pemerintah dan peraturan internasional. SOX, GrammLeach-Billey Act (GLB), Federal Information Security Management Act (FISMA), and USA
Patriot Act in the United States; Japan’s Personal Information Protection Act; Canada’s
Personal Information Protection and Electronic Document Act (PIPEDA); Australia’s Federal
Privacy Act; the United Kingdom’s Data Protection Act; and Base II (jasa keuangan global)
semuanya mewajibkan untuk memberikan perlindungan terhadap data pribadi.
Kelompok industri menggunakan standar mereka sendiri untuk melindungi pelanggan dan
anak perusahaan serta pendapatan mereka. Salah satu contoh adalah Payment Card Industry
Data Security Standard (PCI DSS) dibuat oleh Visa, MasterCard, American Express, dan
Discover. PCI diperlukan untuk semua anggota, pedagang atau penyedia jasa yang
menyimpan, mengolah, atau mengirimkan data pemegang kartu. Tujuan dari PCI DSS adalah
untuk meningkatkan kepercayaan pelanggan dalam e-commerce, terutama ketika pembayaran
dilakukan secara online, dan untuk meningkatkan keamanan Web dari pedagang online. Untuk
memotivasi agar mengikuti standar tersebut, diberikan hukuman bagi yang melanggar.
Kelompok 1
Page 1
Sistem Teknologi
Informasi
It Security, Crime,
Compliance, And Continuity
Tiga faktor utama yang menyebabkan terjadinya kejahatan pada TI yaitu :

Kesalahan (human error).

Kurang berfungsinya sistem

Ketidakpahaman terhadap dampak dari penambahan software yang tidak kompeten
pada sistem yang ada.
Keamanan TI dan model internal kontrol dimulai dengan komitmen dan dukungan senior
manajemen, yang seluruhnya terdiri dari empat langkah yaitu:
Langkah 1: Dukungan dan Komitmen Manajemen Senior.
Langkah 2: Pelatihan dan Kebijakan Keamanan.
Langkah 3: Penegakan dan Prosedur Keamanan.
Langkah 4: Keamanan Peralatan: Hardware dan Software.
B. ANCAMAN DAN KERENTANAN SI
Ancaman terhadap sistem informasi dapat digolongkan menjadi dua, yaitu:
1. Ancaman yang tidak disengaja
Ancaman yang tidak disengaja terbagi dalam tiga kategori utama:
• Kesalahan Manusia (Human errors)
• Bahaya Lingkungan (environmental hazards)
• Kegagalan Sistem Komputer (computer sistems failures)
2. Ancaman yang disengaja
Contoh dari ancaman yang disengaja meliputi : pencurian data, penggunaan data yang
tidak sesuai, pencurian mainframe waktu komputer, pencurian peralatan dan / atau program,
pemanipulasian yang disengaja dalam menangani, memasuki, memproses, mentransfer atau
memrogram data, mogok kerja, kerusuhan atau sabotase; bahaya kerusakan pada sumber
daya komputer: kerusakan dari virus dan serangan serupa, dan pelanggaran lain yang
menggunakan komputer dan penipuan melalui internet seperti hacker dan cracker.
Kelompok 1
Page 2
Sistem Teknologi
Informasi
It Security, Crime,
Compliance, And Continuity
Dua pendekatan dasar yang digunakan dalam serangan yang disengaja pada sistem komputer,
yaitu:
• Manipulasi data (Data Tampering)
• Serangan Menggunakan program Tertentu (Programming Attacks)
Contohnya adalah virus, worm, dan trojan horse, yang merupakan jenis kode yang berbahaya,
yang disebut malware.
Selain malware, ada juga yang disebut botnets yaitu semacam zombie atau virus yang
mengekspos komputer terinfeksi, serta komputer jaringan lain, dengan ancaman seperti
Spyware, Adware, Spam, Phishing, Serangan DoS.
Tiga pertahanan penting adalah sebagai berikut:
1.
Perangkat lunak antivirus: Alat anti-malware yang dirancang untuk mendeteksi kode
berbahaya dan mencegah pengguna men-download.
2.
Sistem deteksi intrusi (IDS): Seperti namanya, sebuah IDS scan untuk lalu lintas yang tidak
biasa atau mencurigakan. Sebuah IDS dapat mengidentifikasi awal serangan DoS oleh tepuk
lalu lintastern, memperingatkan administrator jaringan untuk mengambil tindakan defensif,
seperti switching ke alamat IP lain dan mengalihkan server kritis dari jalur serangan.
3.
Sistem pencegahan intrusi (IPS): IPS dirancang untuk segera mengambil tindakan-seperti
memblokir IP tertentu alamat-setiap kali anomali lalu lintas aliran terdeteksi. IPSS ASIC (aplikasispesifik sirkuit terpadu) berbasis memiliki kekuatan dan kemampuan analisis untuk mendeteksi
dan memblokir serangan DoS, berfungsi agak seperti pemutus sirkuit otomatis.
Kelompok 1
Page 3
Sistem Teknologi
Informasi
It Security, Crime,
Compliance, And Continuity
C. FRAUD DAN KEJAHATAN MELALUI KOMPUTER
Kejahatan dapat dibagi menjadi dua kategori yaitu kejahatan dengan kekerasan dan
tanpa kekerasan. Statistik menunjukkan bahwa kejahatan dengan kekerasan menurun,
sedangkan fraud (termasuk kejahatan tanpa kekerasan) semakin meningkat dan tidak
menunjukkan tanda-tanda menurun.
Sebuah pendekatan yang menyeluruh yang menggabungkan resiko, keamanan,
kepatuhan, dan spesialis IT secara besar meningkatkan pencegahan dan pendeteksian Fraud.
Pencegahan adalah pendekatan yang paling efektif untuk mencegah timbulya biaya yang lebih
yang diakibatkan oleh Fraud.
PRAKTEK MANAJEMEN KEAMANAN TI
Tujuan dari manajemen keamanan IT adalah untuk mempertahankan semua komponen
sistem informasi, khususnya data, aplikasi software, hardware (perangkat keras), dan jaringan
(network).
Dibawah ini merupakan tujuan utama strategi pertahanan :

Pencegahan dan Penangkalan. Pengendalian yang dirancang akan mencegah
terjadinya kesalahan, menghalangi para kriminal untuk menyerang sistem, dan
mencegah akses dari pihak yang tidak memiliki otoritas.

Deteksi. Deteksi dapat dijalankan pada banyak kasus dengan menggunakan software
diagnosis khusus dengan biaya yang rendah.

Pengurangan dari kerusakan. Tujuannya adalah untuk meminimalisir atau membatasi
kerugian ketika terjadi kegagalan pemakaian.

Pemulihan. Sebuah rencana pemulihan menjelaskan bagaimana memperbaiki
kerusakan sistem informasi secepat mungkin. Mengganti komponen yang rusak
merupakan langkah yang lebih cepat untuk pemulihan dari pada memperbaiki.

Perbaikan. Perbaikan yang disebabkan oleh kerusakan sistem dapat mencegah
masalah yang akan terjadi lagi.

Kesadaran dan Kepatuhan. Seluruh Anggota organisasi harus dididik tentang resiko
dan harus patuh terhadap aturan keamanan dan peraturan lainnya.
Kelompok 1
Page 4
Sistem Teknologi
Informasi
It Security, Crime,
Compliance, And Continuity
Strategi pertahanan juga membutuhkan beberapa kontrol seperti pengendalian umum
(general controls) dan pengendalian aplikasi (application controls). Pengendalian umum
dilaksanakan untuk melindungi sistem selain dari aplikasi tertentu.
Kategori utama dalam pengendalian umum, yaitu:
1. Pengendalian Fisik.
2. Pengendalian akses.
3. Pengendalian administratif.
Pengendalian aplikasi mengacu pada perlindungan terhadap aplikasi tertentu dengan
menggunakan sebuah software yang disebut intelligent agents yang mengacu pada aplikasi
yang sangat pintar yang dapat bereaksi, otonomi, dan dapat beradaptasi terhadap serangan
yang tidak dapat diprediksi.
D. KEAMANAN JARINGAN
Sebagai
pertahanan,
perusahaan
membutuhkan
pengimplementasian
produk
Pengendalian Akses Jaringan (NAC). Ukuran keamanan jaringan meliputi tiga lapisan :
parameter keamanan (akses), autontikasi, dan otorisasi. Tujuan utama keamanan parameter
adalah pengendalian akses yang digunakan untuk menghadapi serangan malware. Teknologi
yang lain yaitu firewalls. Tujuan utama dari otentikasi adalah untuk membuktikan identitas.
Otorisasi merujuk kepada perizinan bagi individu atau kelompok untuk melakukan kegiatan
tertentu dengan komputer, biasanya berdasarkan verifikasi identitas.
MANAJEMEN PEMENUHAN DAN PENGENDALIAN INTERN
Lingkungan pengendalian internal adalah suatu atmosfer kerja yang di susun oleh
perusahaan untuk pekerjanya. Pengendalian internal (internal control) adalah suatu proses
yang dirancang untuk mencapai:
(1) reabilitas laporan keuangan,
(2) efisiensi operasi,
(3) pemenuhan hukum,
Kelompok 1
Page 5
Sistem Teknologi
Informasi
It Security, Crime,
Compliance, And Continuity
(4) regulasi dan kebijakan,
(5) penjagaan aset..
KELANGSUNGAN BISNIS DAN PERENCANAAN PEMULIHAN BENCANA
Bencana dapat terjadi tanpa peringatan. Pertahanan terbaik harus dipersiapkan. Oleh
karena itu, elemen penting dalam setiap sistem keamanan adalah rencana kelangsungan bisnis
(business continuity plan), juga dikenal sebagai rencana pemulihan bencana (disaster recovery
plan).
Pemulihan bencana adalah rantai peristiwa yang menghubungkan kesinambungan
rencana bisnis untuk perlindungan dan pemulihan. Penghindaran bencana adalah suatu
pendekatan berorientasi lebih ke arah pencegahan. Idenya adalah untuk meminimalisasi
kesempatan dari bencana yang bisa dihindari (misalnya kebakaran atau ancaman lain yang
disebabkan manusia). Sebagai contoh, banyak perusahaan menggunakan suatu alat yang
disebut uninterrupted power supply (UPS), yang menyediakan daya jika daya tiba-tiba hilang.
E.
PENGAUDITAN DAN MANAJEMEN RISIKO
Pengauditan dapat dipandang sebagai salah satu lapisan tambahan dari pengawasan atau
penjagaan. Hal ini dianggap sebagai salah satu alat pencegah tindakan kriminal, utamanya
untuk orang dalam. Mengaudit Website adalah ukuran pencegahan yang baik untuk mengatur
risiko yang berkaitan dengan hukum. Risiko hukum adalah hal yang penting dalam sistem TI
apapun, tetapi dalam sistem Web hal ini bahkan menjadi lebih penting karena terkait konten
yang terdapat dalam situs, yang dapat mengganggu orang lain atau dapat merusak hak cipta
atau regulasi lainnya.
Untuk menaksir besarnya biaya yang akan dihadapi atas suatu bencana biasanya
digunakan Analisis Risk-Management. Analisis risk-management dapat dilakukan dengan
menggunakan paket perangkat lunak DSS. Perhitungan yang sederhana ditunjukkan berikut ini:
Kerugian yang diestimasikan = P1 x P2 x L
Dimana:
P1 = kemungkinan serangan (estimasi, berdasarkan perkiraan)
Kelompok 1
Page 6
Sistem Teknologi
Informasi
It Security, Crime,
Compliance, And Continuity
P2 = kemungkinan serangan berhasil terjadi (estimasi, berdasarkan perkiraan)
L = kerugian yang muncul jika serangan berhasil
Contoh:
P1 = .02, P2 = .10, L = $1,000,000
Maka, kerugian yang diestimasi dari serangan seperti ini adalah
P1 x P2 x L = 0.02 x 0.1 x $1,000,000 = $2,000
Jumlah dari kerugian dapat tergantung pada durasi dari sistem berhenti beroperasi. Olehnya,
dimasukkan tambahan durasi dalam analisis.
Mengimplementasikan program keamanan menimbulkan banyak masalah etika. Pertama,
beberapa kalangan menolak monitoring apapun terhadap aktivitas individual. Melakukan
pengawasan tertentu bagi sebagian orang dianggap melanggar kebebasan berbicara atau hak
sipil lainnya.
Kelompok 1
Page 7