BAB 7 KEAMANAN SISTEM INFORMASI

Tinjauan Sekilas

Sistim keamanan informasi adalah subsistem organisasi yang mengendalikan resiko-resiko khusus yang berhubungan dengan sistim informasi berbasis-komputer

Sistim keamanan komputer mempunyai unsur-unsur dasar setiap sistem informasi, seperti perangkat keras, database, prosedur-prosedur, dan laporan- Hasil Sasaran Belajar

menganalisis kerawanan dan ancaman-ancaman di ₂ dalam sistim informasi.

Mampu mengidentifikasi ancaman-ancaman pasif dan aktif sistim informasi . Hasil Sasaran Belajar

₄ keamanan informasi .

Mampu membahas kontingensi perencanaan dan praktek pengelolaan risiko bencana lainnya.

Sasaran Belajar 1

Mampu menguraikan pendekatan umum untuk menganalisis kerawanan dan ancaman-ancaman di dalam sistim informasi Daur hidup Sistim Sekuritas Informasi

Sistem keamanan komputer dikembangkan dengan menerapkan metoda-metoda yang telah mapan yang terdiri dari : analisis sistem; desain; implementasi; dan operasi, evaluasi, serta kendali. Siklus Hidup Sistem Keamanan Informasi Fase Siklus Hidup Sasaran

Analisis Sistem Analisis kerentanan sistem informasi terutama yang berhubungan dengan hambatan dan kerugian yang mungkin timbul.

Siklus Hidup Sistem Keamanan Informasi Fase Siklus Hidup Sasaran

Implementasi Sistem Implementasi ukuran keamanan seperti rancangan

Sistim Keamanan Informasi di dalam Organisasi

Sistim keamanan informasi harus diatur oleh seorang kepala petugas keamanan (Chief Security

Officer).

Untuk menjaga independensinya, CSO harus bertanggungjawab secara langsung kepada dewan direktur.

Analisa Kerentanan dan Ancaman

Ada dua pendekatan dasar yang dipakai untuk meneliti kerentanan dan ancaman-ancaman sistem _1. informasi: _2. Pendekatan kwantitatif untuk penaksiran risiko Pendekatan kwalitatif Analisa Kerentanan dan Ancaman

Di dalam pendekatan kwantitatif untuk penaksiran risiko, setiap kemungkinan kerugian dihitung sesuai hasil biaya kerugian perorangan dikalikan dengan kemungkinan munculnya.

Terdapat beberapa kesulitan di dalam menerapkan pendekatan kwantitatif untuk menaksir kerugian.

Analisa Kerentanan dan Ancaman 1

Kesulitan mengidentifikasi biaya relevan per kerugian dan kemungkinan-kemungkinan yang _2. terkait.

Kesulitan menaksir kemungkinan dari suatu kegagalan yang memerlukan peramalan masa depan. Analisa Kerentanan dan Ancaman

Pendekatan kwalitatif untuk penaksiran risiko

dilakukan dengan mengurutkan kerentanan dan ancaman sistim, dan menyusun secara subyektif menurut sumbangan mereka terhadap kemungkinan total kerugian perusahaan.

Terlepas metoda yang digunakan, setiap analisa harus mencakup kemungkinan kerugian untuk

Analisa Kerentanan dan Ancaman 1

_2. gangguan bisnis kehilangan perangkat lunak _3.

_4. kehilangan data kehilangan perangkat keras _5.

_6. kehilangan fasilitas-fasilitas kehilangan layanan dan pegawai.

Sasaran Belajar 2

Identifikasi ancaman-ancaman pasif dan aktif sistim informasi . Kerentanan dan Ancaman

Apa yang dimaksud dengan kerentanan?

Kerentanan adalah suatu kelemahan di suatu sistem.

Apa yang dimaksud dengan ancaman?

Ancaman adalah suatu eksploitasi potensial kerentanan sistem.

Kerentanan dan Ancaman

_1.

Dua kategori ancaman sistem: _2. Ancaman-ancaman aktif Ancaman-ancaman pasif Kerentanan dan Ancaman

Contoh ancaman aktif adalah penipuan komputer dan sabotase komputer.

Contoh ancaman pasif adalah sistim bermasalah, seperti karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen. Individu yang Menimbulkan Ancaman Sistem Informasi

Suatu serangan yang sukses di satu sistem informasi memerlukan akses ke perangkat keras, file data sensitip, atau program kritis.

Tiga kategori individu yang bisa menimbulkan serangan ke sistem informasi:

Individu yang Menimbulkan

Ancaman Sistem Informasi

Karyawan sistim informasi meliputi: 1.

Karyawan pemeliharaan komputer 2. Programmer 3. Operator komputer dan jaringan 4. Karyawan administrasi sistim informasi 5. Karyawan pengendalian data Individu yang Menimbulkan Ancaman Sistem Informasi

Para pemakai terdiri dari kelompok orang yang beragam dan satu sama lain dapat dibedakan berdasarkan kegiatan fungsional mereka tanpa memandang pengolahan data. Individu yang Menimbulkan Ancaman Sistem Informasi

Pengganggu adalah setiap orang yang mengakses peralatan, data elektronik, atau memfile tanpa otorisasi yang tepat.

Siapakah hacker?

Hacker adalah seorang pengganggu yang Individu yang Menimbulkan Ancaman Sistem Informasi

Jenis-jenis lain dari pengganggu-pengganggu?

unnoticed intruders wiretappers

piggybackers

impersonating intruders Ancaman-ancaman Aktif Sistim Informasi

Metoda-metoda yang biasa dipakai untuk melakukan penipuan sistim informasi :

manipulasi masukan

gangguan program gangguan file secara langsung Ancaman-ancaman Aktif Sistim Informasi

Dalam banyak kasus penipuan komputer, manipulasi masukan adalah metoda yang paling banyak digunakan.

Metoda ini memerlukan paling sedikit kecakapan teknis . Ancaman-ancaman Aktif Sistim Informasi

Gangguan program barangkali metoda yang paling sedikit digunakan untuk melakukan penipuan komputer.

Metoda ini memerlukan ketrampilan-ketrampilan programming yang hanya dikuasai hanya oleh beberapa orang.

Ancaman-ancaman Aktif Sistim Informasi

Trapdoor adalah suatu bagian program komputer yang mengizinkan (membiarkan) seseorang untuk mengakses program dengan melewati pengamanan normal program tersebut.

Gangguan file secara langsung terjadi ketika Ancaman-ancaman Aktif Sistim Informasi

Pencurian data adalah masalah yang serius di dalam bisnis sekarang ini.

Di dalam industri yang sangat kompetitif, informasi kwalitatif dan kwantitatif tentang pesaing nya terus menerus dicari.

Sabotase komputer adalah suatu bahaya yang Ancaman-ancaman Aktif Sistim Informasi

Karyawan yang tidak puas, bisa menjadi para pelaku sabotase sistem komputer.

Beberapa metoda dari sabotase:

Logic bomb

Trojan horse

virus program virus Ancaman-ancaman Aktif Sistim Informasi

Apa yang dimaksud Worm?

Worm adalah suatu jenis dari virus komputer yang menyebar dengan sendirinya di atas suatu jaringan komputer.

Salah satu jenis penggelapan sumber daya komputer adalah ketika penggunaan sumber daya komputer-

Sasaran Belajar 3

Identifikasi aspek kunci dari suatu sistim

keamanan informasi.

Sistim Keamanan Informasi

Pengendalian ancaman-ancaman dapat tercapai dengan menerapkan pengukuran keamanan dan rencana darurat.

Pengukuran keamanan berfokus pada pencegahan dan pendeteksian ancaman-ancaman.

Rencana kontingensi berfokus pada perbaikan Lingkungan Kendali

Lingkungan Pengendalian adalah dasar efektivitas keseluruhan sistem pengendalian.

Lingkungan pengendalian bergantung pada ₁ faktor-faktor berikut: Filosofi dan Gaya Operasi Manajemen Lingkungan Pengendalian

Semua karyawan perlu menerima pendidikan di

mengenai masalah keamanan.

₂ Aturan keamanan harus dimonitor.

Struktur Organisasi

Dalam banyak organisasi, akuntansi, komputasi, dan pengolahan semuanya diorganisir di bawah chief Lingkungan Pengendalian

Di dalam lini organisasi harus ditentukan siapa yang bertanggung jawab atas pembuatan keputusan yang secara langsung bersinggungan kepada perangkat ₃ lunak akuntansi dan prosedur akuntansi.

Dewan Komisaris dan Komite-komitenya

Dewan Komisaris harus menugaskan suatu komite audit . Lingkungan Pengendalian

Komite ini harus menugaskan atau menyetujui janji temu ₄ dari suatu pemeriksa intern.

Metoda-metoda Penugasan Otoritas dan Tanggung

jawab

Tanggung-jawab semua posisi harus didokumentasikan secara hati-hati dengan menggunakan bagan struktur

organisasi, manual-manual kebijakan, dan diskripsi Lingkungan Pengendalian

Pengendalian harus dibentuk terutama yang bersinggungan kepada penggunaan dan tanggung- jawab semua sumber daya yang berkenaan dengan komputer dan sistem informasi.

Harus ditetapkan anggaran-anggaran:

pengadaan peralatan dan perangkat lunak, Lingkungan Pengendalian biaya operasi, dan

pemakaian.

Di dalam ketiga kategori tersebut, biaya yang sebenarnya harus dibandingkan dengan jumlah yang dianggarkan.

Perbedaan yang signifikan harus diselidiki . Lingkungan Pengendalian

Sistim keamanan komputer harus terus menerus teraudit dan dimodifikasi untuk memenuhi kebutuhan perubahan.

Semua modifikasi sistim itu harus diterapkan sesuai kebijakan-kebijakan keamanan yang telah ditentukan. Lingkungan Pengendalian

Pemisahan tugas, pengawasan yang cukup, rotasi pekerjaan, liburan-liburan yang dipaksakan, dan cek sekali lagi semuanya. Lingkungan Pengendalian Pengaruh dari Luar

Sistem informasi perusahaan harus sesuai dan memenuhi semua hukum dan peraturan-peraturan pemerintah dan negara.

Pengendalian Ancaman-ancaman

Aktif

Cara utama untuk mencegah penggelapan dan sabotase adalah menerapkan jenjang memadai pada pengendalian akses.

Tiga jenjang pengendalian akses: 1.

Site-access controls 2. System-access controls 3. Pengendalian Ancaman-ancaman Aktif

1 Site-Access Controls

Tujuan pengendalian akses fisik adalah untuk memisahkan secara fisik, individu yang tidak memiliki otorisasi dari sumberdaya komputer yang ada.

Pemisahan fisik ini harus diterapkan pada Pengendalian Ancaman-ancaman Aktif

Seluruh pemakai diharuskan menggunakan kartu identitas keamanan.

Tempat pengolahan data harus berada dalam gedung tertutup yang dikelilingi pagar.

Suatu sistim masukan sangat tegas harus digunakan.

Pengendalian Ancaman-ancaman Aktif

Telephone TV Monitor Locked Door Locked Door (opened from LOBBY inside vault) Service Locked Door

Window (entrance) Pengendalian Ancaman-ancaman Aktif

Pengendalian akses sistem adalah pengendalian yang

berbentuk perangkat lunak, yang dirancang untuk

mencegah pemanfaatan sistem oleh orang yang tidak berhak.

Pengendali ini membuktikan keaslian pemakai dengan

ID pemakai, kata sandi, alamat protokol internet, dan Pengendalian Ancaman-ancaman Aktif ₃ File-Access Controls

Pengendalian akses file mencegah akses yang tidak sah ke file data dan file-file program.

Pengendalian akses file paling pokok adalah penetapan petunjuk otorisasi dan prosedur- prosedur untuk mengakses dan mengubah file-file. Pengendalian Ancaman-ancaman Pasif

Ancaman-ancaman pasif termasuk permasalahan kegagalan tenaga dan perangkat keras.

Pengendalian untuk ancaman pasif dapat bersifat preventif atau korektif.

Pengendalian Preventive

Sistem Toleransi Kesalahan menggunakan pemonitoran dan pencadangan. Pengendalian Ancaman-ancaman Pasif

Jika salah satu bagian sistem gagal, bagian cadangan akan segera mengambil alih dan sistem akan melanjutkan operasi dengan sedikit atau tanpa ₂ interupsi.

Corrective Controls File backup digunakan untuk memperbaiki kesalahan.

Pengendalian Ancaman-ancaman Pasif

₁ Tiga tipe backup: ₂ Full backups ₃ Incremental backups

Differential backups

Sasaran Belajar 4

Diskusikan perencanaan kontingensi dan praktek

manajemen resiko bencana lain

Manajemen Resiko Bencana

Manajemen resiko bencana sangat penting untuk memastikan kesinambungan operasi dalam hal terjadi suatu bencana.

Manajemen resiko bencana berhubungan dengan pencegahan dan perencanaan kontingensi.

Pencegahan bencana merupakan langkah awal Manajemen Resiko Bencana

Hasil penelitian menunjukkan frekwensi bencana dari berbagai sebab:

Bencana alam 30%

Tindakan yang disengaja 45% Kesalahan manusia 25%

Data ini menunjukkan bahwa prosentase besar dari Manajemen Resiko Bencana

Rencana pemulihan bencana harus diterapkan di tingkatan yang paling tinggi di perusahaan.

Langkah pertama untuk mengembangkan rencana pemulihan bencana harus memperoleh dukungan dari manager senior dan menyiapkan suatu komite perencanaan. Manajemen Resiko Bencana

Perancangan rencana pemulihan bencana meliputi tiga komponen utama:

1. Menilai kebutuhan-kebutuhan penting perusahaan.

2. Membuat daftar prioritas daftar pemulihan.

3. Menetetapkan strategi dan prosedur pemulihan. Manajemen Resiko Bencana

Rancangan strategi pemulihan perlu mempertimbangkan hal-hal:

pusat respons darurat

prosedur-prosedur ekskalasi dan perubahan pelaksanaan pemrosesan

rencana relokasi dan penggantian pegawai

rencana penyediaan cadangan, dan rencana

BAB 7 KEAMANAN SISTEM INFORMASI

Sasaran Belajar 1

Analisa Kerentanan dan Ancaman 1

Analisa Kerentanan dan Ancaman 1

Sasaran Belajar 2

Pengendalian Ancaman-ancaman Aktif

Sasaran Belajar 4

Dokumen yang terkait

BAB I PENDAHULUAN A. Latar Belakang - W10 PENDAHULUAN SKKNI PROGRAMMER

BAB 1 TIPE DATA - BAB 1

BAB 4 QUEUE (ANTREAN) - BAB 4

BAB 7 POHON BINAR - BAB 7

SOP AUDIT KEAMANAN KOMPUTER

MASALAH KEAMANAN SISTEM KOMPUTER ETIKA

KEAMANAN DARI DEVIL PROGRAM

SISTEM KEAMANAN TEKNOLOGI INFORMASI

SISTEM KEAMANAN TEKNOLOGI INFORMASI

KEAMANAN DARI DEVIL PROGRAM

Dukungan

Links

BAB 7 KEAMANAN SISTEM INFORMASI

Sasaran Belajar 1

Analisa Kerentanan dan Ancaman 1

Analisa Kerentanan dan Ancaman 1

Sasaran Belajar 2

Pengendalian Ancaman-ancaman Aktif

Sasaran Belajar 4

Dokumen yang terkait

BAB I PENDAHULUAN A. Latar Belakang - W10 PENDAHULUAN SKKNI PROGRAMMER

BAB 1 TIPE DATA - BAB 1

BAB 4 QUEUE (ANTREAN) - BAB 4

BAB 7 POHON BINAR - BAB 7

SOP AUDIT KEAMANAN KOMPUTER

MASALAH KEAMANAN SISTEM KOMPUTER ETIKA

KEAMANAN DARI DEVIL PROGRAM

SISTEM KEAMANAN TEKNOLOGI INFORMASI

SISTEM KEAMANAN TEKNOLOGI INFORMASI

KEAMANAN DARI DEVIL PROGRAM

Dokumen yang Anda mencari sudah siap untuk unduhkan