BAB VIII MENGAMANKAN SISTEM INFORMASI

-
8.1 KERENTANAN SISTEM DAN PENYALAHGUNAAN
Jika Anda menjalankan bisnis hari ini, Anda perlu membuat keamanan dan mengendalikan prioritas utama. Keamanan mengacu pada kebijakan, prosedur, dan tindakan teknis yang digunakan untuk mencegah akses tidak sah, perubahan, pencurian, atau kerusakan fisik pada sistem informasi. Kontrol adalah metode, kebijakan, dan prosedur organisasi yang memastikan keamanan aset organisasi; akurasi dan keandalan catatannya; dan ketaatan operasional terhadap standar manajemen.

Mengapa Sistem Rentan
Bila data dalam jumlah besar disimpan dalam bentuk elektronik, mereka rentan terhadap lebih banyak jenis ancaman daripada bila ada dalam bentuk manual. Melalui jaringan komunikasi, sistem informasi di berbagai lokasi saling berhubungan. Potensi akses, penyalahgunaan, atau kecurangan yang tidak sah tidak terbatas pada satu lokasi namun dapat terjadi pada jalur akses manapun di jaringan.
Pengguna di lapisan klien dapat menyebabkan kerusakan dengan mengenalkan kesalahan atau dengan mengakses sistem tanpa otorisasi. Adalah mungkin untuk mengakses data yang mengalir melalui jaringan, mencuri data berharga selama pengiriman, atau mengubah pesan tanpa otorisasi. Radiasi bisa mengganggu jaringan di berbagai titik juga. Penyusup dapat meluncurkan serangan denial-ofservice atau perangkat lunak berbahaya untuk mengganggu pengoperasian situs Web agar dapat menghancurkan atau mengubah data perusahaan yang tersimpan dalam database atau file.
Kemitraan dalam negeri atau luar negeri dengan perusahaan lain menambah kerentanan sistem jika informasi berharga berada pada jaringan dan komputer di luar kendali organisasi. Popularitas perangkat mobile genggam untuk komputasi bisnis menambah kesengsaraan ini. Portabilitas membuat ponsel, smartphone, dan komputer tablet mudah hilang atau dicuri.
Kerentanan Internet
Jaringan publik yang besar, seperti Internet, lebih rentan daripada jaringan internal karena mereka hampir terbuka untuk siapa saja. Internet begitu besar sehingga ketika pelanggaran terjadi, mereka dapat memiliki dampak yang sangat luas. Ketika Internet menjadi bagian dari jaringan perusahaan, sistem informasi organisasi bahkan lebih rentan terhadap tindakan dari pihak luar. Layanan telepon berdasarkan teknologi Internet (lihat Bab 7) lebih rentan daripada jaringan suara yang diaktifkan jika jaringan tersebut tidak berjalan di atas jaringan pribadi yang aman. Kerentanan juga meningkat dari meluasnya penggunaan e-mail, pesan instan (Instant Messaging /IM), dan program berbagi file peer-to-peer.
Tantangan Keamanan Nirkabel
Baik jaringan Bluetooth dan Wi-Fi rentan terhadap hacking oleh para penyadap. Meski jangkauan jaringan Wi-Fi hanya beberapa ratus kaki, namun bisa diperpanjang hingga seperempat mil menggunakan antena luar. Jaringan area lokal (LAN) menggunakan standar 802.11 dapat dengan mudah ditembus oleh orang luar yang dipersenjatai dengan laptop, kartu nirkabel, antena luar, dan perangkat lunak peretasan. Hacker menggunakan alat ini untuk mendeteksi jaringan yang tidak terlindungi, memantau lalu lintas jaringan, dan, dalam beberapa kasus, mendapatkan akses ke Internet atau ke jaringan perusahaan.
     Standar keamanan awal yang dikembangkan untuk Wi-Fi, yang disebut Wired Equivalent Privacy (WEP), tidak begitu efektif. WEP dibangun ke dalam semua produk standar 802.11, namun penggunaannya opsional. Banyak pengguna yang lalai menggunakan fitur keamanan WEP, membuat mereka tidak terlindungi. Enkripsi dan sistem otentikasi yang lebih kuat sekarang tersedia, seperti Wi-Fi Protected Access 2 (WPA2), namun pengguna harus mau menginstalnya.

Perangkat Lunak Jahat: Virus, Worm, Trojan Horse, dan Spyware
Virus komputer adalah program perangkat lunak nakal yang melekat pada program perangkat lunak lain atau file data agar dapat dijalankan, biasanya tanpa sepengetahuan atau izin pengguna. Sebagian besar virus komputer mengirimkan muatan "payload." Muatannya mungkin relatif tidak berbahaya, seperti petunjuk untuk menampilkan pesan atau gambar, atau mungkin juga merusak program atau data yang merusak, menyumbat memori komputer, memformat ulang hard drive komputer, atau menyebabkan program berjalan tidak semestinya. Virus biasanya menyebar dari komputer ke komputer saat manusia melakukan tindakan, seperti mengirim lampiran e-mail atau menyalin file yang terinfeksi.
     Serangan terbaru berasal dari worm, yaitu program komputer independen yang menyalin dirinya dari satu komputer ke komputer lain melalui jaringan. Worms menghancurkan data dan program sekaligus mengganggu atau bahkan menghentikan pengoperasian jaringan komputer.
Kuda Trojan/Trojan Horse  adalah program perangkat lunak yang tampaknya tidak berbahaya namun kemudian melakukan sesuatu selain yang diharapkan, seperti Trojan Zeus yang dijelaskan dalam bab pembuka. Kuda Trojan itu sendiri bukanlah virus karena tidak meniru, namun seringkali cara virus atau kode berbahaya lainnya diperkenalkan ke sistem komputer. Istilah kuda Trojan didasarkan pada kuda kayu besar yang digunakan oleh orang-orang Yunani untuk mengelabui Trojans agar membuka gerbang ke kota mereka yang diperkaya selama Perang Troya.
     Serangan injeksi SQL adalah ancaman malware terbesar. Serangan injeksi SQL memanfaatkan kelemahan dalam perangkat lunak aplikasi Web kode yang buruk untuk mengenalkan kode program jahat ke dalam sistem dan jaringan perusahaan. Kerentanan ini terjadi ketika aplikasi Web gagal untuk benar memvalidasi atau menyaring data yang dimasukkan oleh pengguna di halaman Web, yang mungkin terjadi saat memesan sesuatu secara online.
     Beberapa jenis spyware juga berperan sebagai perangkat lunak berbahaya. Program kecil ini menginstal diri secara diam-diam di komputer untuk memantau aktivitas surfing pengguna Web dan menayangkan iklan. Beberapa bentuk spyware sangat jahat, program spyware lainnya me-reset home page browser Web, mengarahkan ulang permintaan pencarian, atau memperlambat kinerja dengan mengambil terlalu banyak memori.

Hacker dan Kejahatan Komputer
Hacker adalah individu yang berniat untuk mendapatkan akses tidak sah ke sistem komputer. Dalam komunitas hacking, istilah cracker biasanya digunakan untuk menunjukkan hacker dengan maksud kriminal, meski di media publik, istilah hacker dan cracker digunakan secara bergantian. Hacker dan cracker mendapatkan akses yang tidak sah dengan menemukan kelemahan dalam perlindungan keamanan yang digunakan oleh situs Web dan sistem komputer, sering memanfaatkan berbagai fitur Internet yang menjadikannya sistem terbuka yang mudah digunakan.
Spoofing dan Sniffing
Spoofing mungkin melibatkan pengalihan tautan Web ke alamat yang berbeda dari yang dimaksud, dengan situs menyamar sebagai tujuan yang dimaksudkan. Sniffer adalah jenis program penyadapan yang memonitor informasi yang dilakukan melalui jaringan. Bila digunakan secara sah, sniffer membantu mengidentifikasi titik-titik masalah jaringan potensial atau aktivitas kriminal pada jaringan, namun bila digunakan untuk tujuan kriminal, dapat merusak dan sangat sulit dideteksi. Sniffer memungkinkan hacker mencuri informasi kepemilikan dari manapun di jaringan.
Serangan Denial-Of-Service
Dalam serangan denial-of-service (DoS), hacker membanjiri server jaringan atau server Web dengan ribuan komunikasi palsu atau permintaan layanan untuk merusak jaringan. Jaringan menerima begitu banyak pertanyaan sehingga tidak dapat mengikuti mereka dan karenanya tidak tersedia untuk melayani permintaan yang sah. Serangan denial-of-service (DDoS) terdistribusi menggunakan banyak komputer untuk membanjiri dan membanjiri jaringan dari berbagai titik peluncuran.
     Pelaku serangan DoS sering menggunakan ribuan komputer "zombie" yang terinfeksi dengan perangkat lunak berbahaya tanpa sepengetahuan pemiliknya dan diatur menjadi botnet. Hacker membuat botnet ini dengan menginfeksi komputer orang lain dengan bot malware yang membuka pintu belakang dimana penyerang dapat memberikan instruksi. Komputer yang terinfeksi kemudian menjadi budak, atau zombie, yang melayani komputer master milik orang lain. Begitu seorang hacker menginfeksi komputer yang cukup, dia bisa menggunakan sumber daya botnet yang dikumpulkan untuk diluncurkan Serangan DDo, kampanye phishing, atau e-mail "spam" yang tidak diminta.
Kejahatan Komputer
Sebagian besar aktivitas hacker adalah tindak pidana. Tidak ada yang tahu besarnya masalah kejahatan komputer karena banyak perusahaan enggan melaporkan kejahatan komputer karena kejahatan tersebut mungkin melibatkan karyawan, atau kekhawatiran perusahaan bahwa mempublikasikan kerentanannya akan merugikan reputasinya. Jenis kejahatan komputer yang paling berbahaya adalah serangan DoS, mengenalkan virus, pencurian layanan, dan gangguan pada sistem komputer..
Pencurian Identitas
Pencurian identitas adalah kejahatan di mana penipu mendapatkan potongan informasi pribadi, seperti nomor identifikasi jaminan sosial, nomor lisensi pengemudi, atau nomor kartu kredit, untuk meniru identitas orang lain. Informasi tersebut dapat digunakan untuk mendapatkan kredit, barang dagangan, atau layanan atas nama korban atau memberikan kredensial palsu kepada si pencuri.
     Salah satu taktik yang semakin populer adalah bentuk spoofing yang disebut phishing. Phishing melibatkan penyiapan situs web palsu atau mengirim e-mail atau pesan teks yang terlihat seperti bisnis sah untuk meminta pengguna data pribadi rahasia. Teknik phishing baru yang disebut kembar jahat dan pharming lebih sulit dideteksi. Si kembar jahat adalah jaringan nirkabel yang berpura-pura menawarkan koneksi Wi-Fi yang dapat dipercaya ke Internet, seperti di lounge bandara, hotel, atau kedai kopi. Jaringan palsu terlihat identik dengan jaringan publik yang sah. Penipu mencoba menangkap nomor kartu sandi atau kartu kredit tanpa disadari pengguna yang masuk ke jaringan.
Klik Penipuan
Saat mengeklik iklan yang ditampilkan oleh mesin telusur, pengiklan biasanya membayar biaya untuk setiap klik, yang seharusnya mengarahkan calon pembeli ke produknya. Kecurangan klik terjadi saat program individual atau komputer men-klik palsu pada iklan online tanpa ada niat untuk mempelajari lebih lanjut tentang pengiklan atau melakukan pembelian.
Ancaman Global: Cyberterrorisme dan Cyberwarfare
Aktivitas cybercriminal yang telah kami jelaskan - meluncurkan perangkat lunak perusak, serangan denial-ofservice, dan probe phishing - tanpa batas. Sifat global Internet memungkinkan penjahat dunia maya beroperasi - dan membahayakan - di manapun di dunia. Perhatian meningkat bahwa kerentanan Internet atau jaringan lainnya membuat target digital untuk serangan digital oleh teroris, dinas intelijen asing, atau kelompok lain yang berusaha menciptakan gangguan dan kerugian yang luas. Serangan cyber semacam itu mungkin menargetkan perangkat lunak yang menjalankan jaringan listrik, sistem kontrol lalu lintas udara, atau jaringan bank-bank besar dan lembaga keuangan.

Ancaman Internal: Karyawan
Karyawan memiliki akses terhadap informasi istimewa, dan dengan adanya prosedur keamanan internal yang ceroboh, mereka sering dapat berkeliaran di seluruh sistem organisasi tanpa meninggalkan jejak. Studi telah menemukan bahwa kurangnya pengetahuan pengguna adalah penyebab terbesar pelanggaran keamanan jaringan. Banyak karyawan lupa password mereka untuk mengakses sistem komputer atau mengizinkan rekan kerja menggunakannya, yang membahayakan sistem. Penyerang berbahaya yang mencari akses sistem kadang-kadang mengelabui karyawan untuk mengungkapkan kata sandinya dengan berpura-pura menjadi anggota sah perusahaan yang membutuhkan informasi. Praktek ini disebut rekayasa sosial.

Kerentanan Perangkat Lunak
Kesalahan perangkat lunak menimbulkan ancaman konstan terhadap sistem informasi, menyebabkan kerugian produktivitas yang tak terhitung. Menumbuhkan kompleksitas dan ukuran program perangkat lunak, ditambah dengan permintaan untuk pengiriman tepat waktu ke pasar, telah berkontribusi pada peningkatan kekurangan perangkat lunak atau kerentanan.
     Masalah utama dengan perangkat lunak adalah adanya bug tersembunyi atau kode program yang cacat. Studi telah menunjukkan bahwa hampir tidak mungkin untuk menghilangkan semua bug dari program besar. Sumber utama bug adalah kompleksitas pengambilan keputusan.
   Kekurangan dalam perangkat lunak komersial tidak hanya menghalangi kinerja tetapi juga menciptakan kerentanan keamanan yang membuka jaringan ke penyusup. Setiap tahun perusahaan keamanan mengidentifikasi ribuan kerentanan perangkat lunak di perangkat lunak Internet dan PC. Untuk memperbaiki kekurangan perangkat lunak begitu diidentifikasi, vendor perangkat lunak membuat perangkat lunak kecil yang disebut tambalan untuk memperbaiki kekurangan tanpa mengganggu pengoperasian perangkat lunak dengan benar.

8.2 NILAI BISNIS DARI KEAMANAN DAN PENGENDALIAN
Keamanan dan pengendalian yang tidak memadai dapat menyebabkan pertanggungjawaban hukum yang serius. Bisnis harus melindungi tidak hanya aset informasi mereka sendiri, tetapi juga pelanggan, karyawan, dan mitra bisnis. Kegagalan untuk melakukannya dapat membuka perusahaan pada litigasi mahal untuk pemaparan data atau pencurian. Organisasi dapat dianggap bertanggung jawab atas risiko dan kerugian yang tidak perlu yang dibuat jika organisasi tersebut gagal mengambil tindakan protektif yang tepat untuk mencegah hilangnya informasi rahasia, korupsi data, atau pelanggaran privasi.

Bukti Elektronik dan Forensik Komputer
Pengamanan, pengendalian, dan pengelolaan arsip elektronik menjadi penting untuk menanggapi tindakan hukum. Sebagian besar bukti saat ini untuk kecurangan saham, penggelapan, pencurian rahasia dagang perusahaan, kejahatan komputer, dan banyak kasus perdata dalam bentuk digital. Selain informasi dari cetakan atau halaman yang diketik, kasus hukum saat ini semakin bergantung pada bukti yang diwakili sebagai data digital yang tersimpan pada disket portabel, CD, dan hard disk drive komputer, serta dalam e-mail, pesan instan, dan transaksi e-commerce melalui Internet. E-mail saat ini merupakan jenis bukti elektronik yang paling umum.
     Kebijakan penyimpanan dokumen elektronik yang efektif memastikan bahwa dokumen elektronik, e-mail, dan catatan lainnya terorganisir dengan baik, mudah diakses, dan tidak ditahan terlalu lama atau dibuang terlalu cepat. Ini juga mencerminkan kesadaran akan bagaimana caranya Pertahankan bukti potensial forensik komputer. Forensik komputer adalah pengumpulan, pemeriksaan, otentikasi, pelestarian, dan analisis data yang tersimpan pada atau diambil dari media penyimpanan komputer sedemikian rupa sehingga informasi bisa dijadikan bukti di pengadilan. Ini berkaitan dengan masalah berikut
  • Memulihkan data dari komputer sambil menjaga integritas evolusioner
  • Penyimpanan dan penanganan data elektronik dengan aman
  • Menemukan informasi penting dalam sejumlah besar data elektronik
  • Menyajikan informasi ke pengadilan

8.3 MEMBANGUN KERANGKA KERJA UNTUK KEAMANAN DAN PENGENDALIAN

Pengendalian Sistem Informasi
Kontrol sistem informasi bersifat manual dan otomatis dan terdiri dari kontrol umum dan kontrol aplikasi. Kontrol umum mengatur perancangan, keamanan, dan penggunaan program komputer dan keamanan file data secara umum di seluruh infrastruktur teknologi informasi organisasi. Secara keseluruhan, kontrol umum berlaku untuk semua aplikasi terkomputerisasi dan terdiri dari kombinasi perangkat keras, perangkat lunak, dan prosedur manual yang menciptakan lingkungan kontrol secara keseluruhan. Tabel 8-3 menjelaskan fungsi masing-masing kontrol umum.
     Kontrol aplikasi adalah kontrol khusus yang unik untuk setiap aplikasi terkomputerisasi. Ini termasuk prosedur otomatis dan manual yang memastikan bahwa hanya data resmi yang benar-benar dan diproses secara akurat oleh aplikasi tersebut. Kontrol aplikasi dapat diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan, dan (3) kontrol output.

Tabel 8-3         Kontrol Umum

Kontrol input memeriksa data untuk akurasi dan kelengkapan saat memasuki sistem. Ada kontrol input khusus untuk otorisasi masukan, konversi data, pengeditan data, dan penanganan kesalahan. Kontrol pemrosesan menentukan bahwa data sudah lengkap dan akurat selama pemutakhiran. Kontrol output memastikan bahwa hasil pengolahan komputer akurat, lengkap, dan terdistribusi dengan baik.

Penilaian Risiko
Penilaian risiko menentukan tingkat risiko perusahaan jika aktivitas atau proses tertentu tidak dikendalikan dengan benar. Tidak semua risiko dapat diantisipasi dan diukur, namun kebanyakan bisnis akan dapat memperoleh beberapa pemahaman tentang risiko yang mereka hadapi. Manajer bisnis yang bekerja dengan spesialis sistem informasi harus mencoba untuk menentukan nilai aset informasi, titik kerentanan, kemungkinan frekuensi suatu masalah, dan potensi kerusakan. Begitu risiko telah dinilai, pembangun sistem akan berkonsentrasi pada titik kontrol dengan kerentanan dan potensi kerugian terbesar.

Kebijakan Keamanan
Setelah Anda mengidentifikasi risiko utama pada sistem Anda, perusahaan Anda perlu mengembangkan kebijakan keamanan untuk melindungi aset perusahaan. Kebijakan keamanan terdiri dari informasi risiko peringkat laporan, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan ini.
     Kebijakan keamanan mendorong kebijakan yang menentukan penggunaan sumber daya informasi perusahaan yang dapat diterima dan anggota perusahaan memiliki akses terhadap aset informasinya. Kebijakan keamanan juga mencakup ketentuan pengelolaan identitas. Manajemen identitas terdiri dari proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna sistem yang valid dan mengendalikan akses mereka terhadap sumber daya sistem.

Perencanaan Pemulihan Bencana dan Perencanaan Kesiniambungan Bisnis
Perencanaan pemulihan bencana merencanakan rencana pemulihan layanan komputasi dan komunikasi setelah mereka terganggu. Rencana pemulihan bencana berfokus terutama pada masalah teknis yang terkait dalam menjaga agar sistem tetap berjalan, seperti file yang akan dibuat cadangan dan pemeliharaan sistem komputer cadangan atau layanan pemulihan bencana.
     Perencanaan kesinambungan bisnis berfokus pada bagaimana perusahaan dapat memulihkan operasi bisnis setelah terjadi bencana. Rencana kesinambungan bisnis mengidentifikasi proses bisnis yang penting dan menentukan rencana tindakan untuk menangani fungsi penting misi jika sistem turun. Manajer bisnis dan spesialis teknologi informasi perlu bekerja sama dalam kedua jenis rencana untuk menentukan sistem dan proses bisnis mana yang paling penting bagi perusahaan.

Peran Auditing
Agar manajemen mengetahui bahwa keamanan dan pengendalian sistem informasi efektif, organisasi harus melakukan audit yang komprehensif dan sistematis. Audit MIS memeriksa lingkungan keamanan keseluruhan perusahaan serta kontrol yang mengatur sistem informasi perorangan. Auditor harus melacak arus contoh transaksi melalui sistem dan melakukan pengujian, dengan menggunakan, jika sesuai, perangkat lunak audit otomatis. Audit MIS juga dapat memeriksa kualitas data. Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan personil. Audit menyeluruh bahkan akan mensimulasikan serangan atau bencana untuk menguji respons teknologi, staf sistem informasi, dan pelaku bisnis.

8.4 TEKNOLOGI DAN ALAT UNTUK MELINDUNGI SUMBER DAYA INFORMASI

Identitas Manajemen dan Otentikasi
Perangkat lunak manajemen identitas mengotomatisasi proses melacak semua pengguna dan hak istimewa sistem mereka, memberikan setiap identitas digital unik bagi pengguna untuk mengakses setiap sistem. Ini juga mencakup alat untuk mengotentikasi pengguna, melindungi identitas pengguna, dan mengendalikan akses ke sumber daya sistem.
     Untuk mendapatkan akses ke sistem, pengguna harus diberi otorisasi dan disahkan. Otentikasi mengacu pada kemampuan untuk mengetahui bahwa seseorang adalah siapa yang diklaimnya. Otentikasi sering ditegakkan dengan menggunakan kata sandi yang hanya diketahui oleh pengguna yang berwenang.
     Namun, pengguna sering lupa password, membaginya, atau memilih password yang buruk yang mudah ditebak, yang membahayakan keamanan. Teknologi otentikasi baru, seperti token, smart card, dan otentikasi biometrik, mengatasi beberapa masalah ini. Token adalah perangkat fisik, mirip dengan kartu identitas, yang dirancang untuk membuktikan identitas satu pengguna. Token adalah gadget kecil yang biasanya muat di gantungan kunci dan kode pos yang sering berubah. Kartu cerdas adalah perangkat seukuran kartu kredit yang berisi chip yang diformat dengan izin akses dan data lainnya. Otentikasi biometrik menggunakan sistem yang membaca dan menafsirkan sifat manusia individual, seperti sidik jari, iris, dan suara, untuk memberi atau menolak akses.

Firewalls, Sistem Deteksi Intrusi, dan Perangkat Lunak Antivirus
Firewall
Firewall adalah kombinasi perangkat keras dan perangkat lunak yang mengendalikan arus lalu lintas jaringan masuk dan keluar. Firewall bertindak seperti gatekeeper yang memeriksa kredensial setiap pengguna sebelum akses diberikan ke jaringan. Firewall mengidentifikasi nama, alamat IP, aplikasi, dan karakteristik lalu lintas masuk lainnya. Ini memeriksa informasi ini terhadap peraturan akses yang telah diprogramkan ke dalam sistem oleh administrator jaringan. Firewall mencegah komunikasi yang tidak sah masuk dan keluar dari jaringan.
     Untuk membuat firewall yang baik, administrator harus memelihara peraturan internal yang terperinci yang mengidentifikasi orang, aplikasi, atau alamat yang diizinkan atau ditolak. Firewall dapat menghalangi, namun tidak sepenuhnya mencegah, penetrasi jaringan oleh orang luar dan harus dipandang sebagai salah satu elemen dalam rencana keamanan secara keseluruhan.
Sistem Deteksi Intrusi
Sistem deteksi intrusi menampilkan alat pemantauan penuh waktu yang ditempatkan pada titik paling rentan atau "titik panas" jaringan perusahaan untuk mendeteksi dan mencegah penyusup terus-menerus. Sistem ini menghasilkan alarm jika menemukan kejadian yang mencurigakan atau anomali. Alat deteksi intrusi juga dapat disesuaikan untuk mematikan bagian jaringan yang sangat sensitif jika menerima lalu lintas yang tidak sah.
Perangkat Lunak Antivirus dan Antispyware
Perangkat lunak antivirus dirancang untuk memeriksa sistem komputer dan drive untuk mengetahui adanya virus komputer. Seringkali perangkat lunak ini menghilangkan virus dari daerah yang terinfeksi. Namun, kebanyakan perangkat lunak antivirus hanya efektif melawan virus yang sudah diketahui saat perangkat lunak itu ditulis. Agar tetap efektif, perangkat lunak antivirus harus terus diperbarui.
Unified Threat Management Systems
Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor keamanan digabungkan menjadi alat pengaman berbagai alat keamanan, termasuk firewall, jaringan pribadi virtual, sistem deteksi intrusi, dan penyaringan konten Web dan perangkat lunak antispam. Produk manajemen keamanan komprehensif ini disebut sistem manajemen ancaman terpadu (UTM). Meskipun awalnya ditujukan untuk usaha kecil dan menengah, produk UTM tersedia untuk semua ukuran jaringan.

Jaringan Keamanan Nirkabel
Terlepas dari kekurangannya, WEP memberikan sedikit margin keamanan jika pengguna Wi-Fi ingat untuk mengaktifkannya. Langkah awal yang sederhana untuk menggagalkan hacker adalah dengan menetapkan nama unik ke SSID jaringan Anda dan menginstruksikan router Anda untuk tidak menyiarkannya. Korporasi selanjutnya dapat meningkatkan keamanan Wi-Fi dengan menggunakannya bersamaan dengan teknologi virtual private network (VPN) saat mengakses data perusahaan internal.
     Terlepas dari kekurangannya, WEP memberikan sedikit margin keamanan jika pengguna Wi-Fi ingat untuk mengaktifkannya. Langkah awal yang sederhana untuk menggagalkan hacker adalah dengan menetapkan nama unik ke SSID jaringan Anda dan menginstruksikan router Anda untuk tidak menyiarkannya. Korporasi selanjutnya dapat meningkatkan keamanan Wi-Fi dengan menggunakannya bersamaan dengan teknologi virtual private network (VPN) saat mengakses data perusahaan internal.

Enkripsi dan Infrastruktur Kunci Publik
Enkripsi adalah proses mengubah teks biasa atau data menjadi teks sandi yang tidak dapat dibaca oleh orang lain selain pengirim dan penerima yang dituju. Data dienkripsi dengan menggunakan kode numerik rahasia, yang disebut kunci enkripsi, yang mengubah data biasa menjadi teks sandi. Pesan harus didekripsi oleh penerima.
     Dua metode untuk mengenkripsi lalu lintas jaringan di Web adalah SSL dan S-HTTP. Secure Sockets Layer (SSL) dan penerus Transport Layer Security (TLS) memungkinkan komputer klien dan server untuk mengelola aktivitas enkripsi dan dekripsi saat mereka berkomunikasi satu sama lain selama sesi Web yang aman. Secure Hypertext Transfer Protocol (S-HTTP) adalah protokol lain yang digunakan untuk mengenkripsi data yang mengalir melalui Internet, namun terbatas pada pesan individual, sedangkan SSL dan TLS dirancang untuk membuat sambungan aman antara dua komputer.
     Ada dua alternatif metode enkripsi: enkripsi kunci simetris dan enkripsi kunci publik. Dalam enkripsi kunci simetris, pengirim dan penerima membuat sesi Internet yang aman dengan membuat satu kunci enkripsi dan mengirimkannya ke penerima sehingga pengirim dan penerima berbagi kunci yang sama. Masalah dengan semua skema enkripsi simetris adalah kunci itu sendiri harus dibagi entah di antara pengirim dan penerima, yang memaparkan kunci pada orang luar yang mungkin bisa mencegat dan mendekripsi kuncinya.
     Bentuk enkripsi yang lebih aman yang disebut enkripsi kunci publik menggunakan dua kunci: satu shared (atau publik) dan satu benar-benar pribadi. Kuncinya secara matematis terkait sehingga data yang dienkripsi dengan satu kunci dapat didekripsi dengan hanya menggunakan kunci lainnya. Untuk mengirim dan menerima pesan, komunikator terlebih dahulu membuat pasangan kunci pribadi dan publik terpisah. Kunci publik disimpan dalam direktori dan kunci privat harus dirahasiakan. Pengirim mengenkripsi pesan dengan kunci publik penerima. Saat menerima pesan, penerima menggunakan kunci pribadinya untuk mendekripsikannya.

Memastikan Ketersediaan Sistem
Seiring perusahaan semakin mengandalkan jaringan digital untuk pendapatan dan operasi, mereka perlu melakukan langkah tambahan untuk memastikan bahwa sistem dan aplikasi mereka selalu tersedia.
     Dalam proses transaksi online, transaksi online yang dilakukan langsung diproses oleh komputer. Perubahan beraneka ragam pada database, pelaporan, dan permintaan informasi terjadi setiap saat. Sistem komputer yang toleran terhadap kesalahan mengandung komponen perangkat keras, perangkat lunak, dan power supply yang berlebihan yang menciptakan lingkungan yang menyediakan layanan tanpa gangguan terus-menerus. Komputer yang toleran terhadap kesalahan menggunakan rutinitas perangkat lunak khusus atau logika pengecekan mandiri yang terpasang di sirkuit mereka untuk mendeteksi kegagalan perangkat keras dan secara otomatis beralih ke perangkat cadangan.
     Toleransi kesalahan harus dibedakan dari komputasi dengan ketersediaan tinggi. Toleransi kesalahan dan komputasi dengan ketersediaan tinggi mencoba meminimalkan downtime. Downtime mengacu pada periode waktu dimana sistem tidak beroperasi. Namun, komputasi dengan ketersediaan tinggi membantu perusahaan pulih dengan cepat dari sistem crash, sedangkan toleransi kesalahan menjanjikan ketersediaan berkelanjutan dan penghapusan waktu pemulihan sama sekali.
Mengontrol Lalu Lintas Jaringan: Inspeksi Paket Dalam
Sebuah teknologi yang disebut inspeksi paket dalam (Deep Packet Inspection/DPI) membantu memecahkan masalah melambatnya jaringan. DPI memeriksa file data dan memilah materi online dengan prioritas rendah sambil memberikan prioritas lebih tinggi pada file penting bisnis. Berdasarkan prioritas yang ditetapkan oleh operator jaringan, ia memutuskan apakah paket data tertentu dapat berlanjut ke tujuannya atau harus diblokir atau ditunda sementara lalu lintas yang lebih penting.
Keamanan Outsourcing
Untuk menyediakan lingkungan komputasi dengan ketersediaan tinggi yang terjamin dengan sendirinya. Perusahaan dapat mengalihkan banyak fungsi keamanan ke penyedia layanan keamanan yang dikelola (Managed Security Providers/ MSSPs) yang memantau aktivitas jaringan dan melakukan pengujian kemampuan dan deteksi intrusi. SecureWorks, BT Managed Security Solutions Group, dan Symantec adalah penyedia layanan MSSP terkemuka.

Isu Keamanan Untuk Komputasi Awan dan Platform Mobile Digital
Keamanan di Komputasi Awan
Saat pemrosesan berlangsung di awan, akuntabilitas dan tanggung jawab untuk perlindungan data sensitif masih berada pada perusahaan yang memiliki data tersebut. Pengguna awan perlu mengonfirmasi bahwa terlepas dari mana data mereka disimpan atau ditransfer, pengguna tersebut dilindungi pada tingkat yang memenuhi persyaratan perusahaan mereka. Mereka harus menetapkan bahwa penyedia awan menyimpan dan memproses data di yurisdiksi tertentu sesuai dengan peraturan privasi yurisdiksi tersebut.
     Klien awan harus menemukan bagaimana penyedia awan memisahkan data perusahaan mereka dari perusahaan lain dan meminta bukti bahwa mekanisme enkripsi itu masuk akal. Penting juga untuk mengetahui bagaimana penyedia awan akan merespons jika terjadi bencana, apakah penyedia akan dapat memulihkan data Anda sepenuhnya, dan berapa lama waktu yang dibutuhkan. Pengguna awan juga harus bertanya apakah penyedia awan akan tunduk pada audit eksternal dan sertifikasi keamanan. Kontrol jenis ini dapat ditulis ke dalam perjanjian tingkat layanan (Service Level Agreement/SLA) sebelum melakukan penandatanganan dengan penyedia awan.
Mengamankan Platform Seluler
Perangkat mobile yang mengakses sistem perusahaan dan data memerlukan perlindungan khusus. Perusahaan harus memastikan bahwa kebijakan keamanan perusahaan mereka mencakup perangkat seluler, dengan rincian tambahan tentang bagaimana perangkat seluler harus didukung, dilindungi, dan digunakan. Mereka membutuhkan alat untuk mengotorisasi semua perangkat yang digunakan; untuk menyimpan catatan inventaris yang akurat pada semua perangkat, pengguna, dan aplikasi seluler; untuk mengontrol pembaruan aplikasi; dan untuk mengunci perangkat yang hilang sehingga tidak dapat dikompromikan.
     Perusahaan harus mengembangkan panduan yang menetapkan platform mobile yang disetujui dan aplikasi perangkat lunak serta perangkat lunak dan prosedur yang diperlukan untuk akses jarak jauh sistem perusahaan. Perusahaan perlu memastikan bahwa semua smartphone selalu diperbarui dengan patch keamanan dan perangkat lunak antivirus / antispam terbaru, dan mereka harus mengenkripsi komunikasi bila memungkinkan.

Memastikan Kualitas Perangkat Lunak
Selain menerapkan keamanan dan pengendalian yang efektif, organisasi dapat meningkatkan kualitas dan keandalan sistem dengan menggunakan metrik perangkat lunak dan pengujian perangkat lunak yang ketat. Metrik perangkat lunak adalah penilaian yang obyektif terhadap sistem dalam bentuk pengukuran kuantitatif. Penggunaan metrik yang terus berlanjut memungkinkan departemen sistem informasi dan pengguna akhir untuk mengukur kinerja sistem secara bersama dan mengidentifikasi masalah saat terjadi.

     Pengujian awal, teratur, dan menyeluruh akan memberikan kontribusi yang signifikan terhadap kualitas sistem. Pengujian yang baik dimulai sebelum sebuah program perangkat lunak bahkan ditulis dengan menggunakan panduan - tinjauan terhadap spesifikasi atau dokumen desain oleh sekelompok kecil orang yang dipilih secara hati-hati berdasarkan keterampilan yang dibutuhkan untuk tujuan tertentu yang sedang diuji. Begitu pengembang mulai menulis program perangkat lunak, coding walkthrough juga bisa digunakan untuk mengulas kode program. Namun, kode harus diuji oleh komputer berjalan. Saat ditemukan kesalahan, sumber ditemukan dan dieliminasi melalui proses yang disebut debugging.

Sumber: buku Management Information Systems, MANAGING THE DIGITAL FIRM, TWELFTH EDITION, karya Kenneth C. Laudon dan Jane P. Laudon

Komentar

Posting Komentar

Postingan populer dari blog ini

BAB III SISTEM INFORMASI, ORGANISASI, DAN STRATEGI

-
Gambar
3.1 ORGANISASI DAN SISTEM INFORMASI Sistem informasi dan organisasi saling mempengaruhi satu sama lain. Sistem informasi dibangun oleh para manajer untuk melayani kepentingan perusahaan bisnis. Pada saat yang sama, organisasi harus sadar dan terbuka terhadap pengaruh sistem informasi untuk mendapatkan keuntungan dari teknologi baru. Interaksi antara teknologi informasi dan organisasi sangat kompleks dan dipengaruhi oleh banyak faktor penengah, termasuk struktur organisasi, proses bisnis, politik, budaya, lingkungan sekitar, dan keputusan manajemen (lihat Gambar 3-1). Gambar 3-1     Hubungan Dua-Jalan Antara Organisasi Dan Teknologi Informasi Apa Itu Organisasi? Organisasi adalah struktur sosial formal yang stabil yang mengambil sumber daya dari lingkungan dan memprosesnya untuk menghasilkan keluaran. Definisi teknis ini berfokus pada tiga elemen organisasi. Modal dan tenaga kerja merupakan faktor produksi utama yang disediakan oleh lingkungan. Organisasi (perusahaan) m
Baca selengkapnya

BAB XI MENGELOLA PENGETAHUAN

-
Gambar
11.1 LANSKAP MANAJEMEN PENGETAHUAN Sistem manajemen pengetahuan dan kolaborasi merupakan bidang investasi korporat dan pemerintah yang paling cepat berkembang. Manajemen pengetahuan telah menjadi tema penting di banyak perusahaan bisnis besar karena para manajer menyadari bahwa sebagian besar nilai perusahaan mereka bergantung pada kemampuan perusahaan untuk menciptakan dan mengelola pengetahuan. Dimensi Penting Pengetahuan Ada perbedaan penting antara data, informasi, pengetahuan, dan kebijaksanaan. Data adalah arus peristiwa atau transaksi yang ditangkap oleh sistem organisasi yang, dengan sendirinya, dan berguna untuk bertransaksi. Untuk mengubah data menjadi informasi yang berguna, perusahaan harus mengeluarkan sumber daya untuk mengatur data ke dalam kategori pemahaman, seperti laporan penjualan total bulanan, harian, regional, atau penyimpanan. Untuk mengubah informasi menjadi pengetahuan, perusahaan harus mengeluarkan sumber daya tambahan untuk menemukan pola, aturan, d
Baca selengkapnya

BAB XV MENGELOLA SISTEM GLOBAL

-
15.1 PERTUMBUHAN SISTEM INFORMASI INTERNASIONAL Telah muncul sistem ekonomi global dan tatanan dunia global yang didorong oleh jaringan maju dan sistem informasi. Tatanan dunia baru ini menyapu banyak perusahaan nasional, industri nasional, dan ekonomi nasional yang dikendalikan oleh politisi dalam negeri. Banyak perusahaan lokal akan digantikan oleh perusahaan jaringan bergerak cepat yang melampaui batas-batas nasional. Pertumbuhan perdagangan internasional telah secara radikal mengubah ekonomi domestik di seluruh dunia. Mengembangkan Arsitektur Sistem Informasi Internasional Arsitektur sistem informasi internasional terdiri dari sistem informasi dasar yang dibutuhkan oleh organisasi untuk mengkoordinasikan perdagangan di seluruh dunia dan kegiatan lainnya. Strategi dasar yang harus diikuti saat membangun sistem internasional adalah memahami lingkungan global tempat perusahaan Anda beroperasi. Ini berarti memahami keseluruhan kekuatan pasar, atau pembalap bisnis, yang mendoro
Baca selengkapnya