Keamanan Perusahaan Dan Kelangsungan Bisnis

1.1.     Data dan Insiden Keamanan Perusahaan

Sampai 2002, sebagian besar masalah teknis infosec berasal dari yang bertugas di departemen TI. Insiden ditangani berdasarkan “pembersihan” kasus per kasus daripada dengan melakukan pendekatan pencegahan agar terlindung dari ancaman. Infosec dipandang sebagai biaya – bukan sebagai sumber daya untuk mencegah gangguan bisnis dan melaksanakan tanggung jawab tata kelola. Pandangan berbasis biaya ternyata berbahaya karena tidak sesuai untuk mengamankan perusahaan terhadap resiko ketidakjujuran ​​dan jangkauan kejahatan global dunia maya, malware, spyware, dan fraud. Biaya “pembersihan” setelah satu insiden sudah mencapai puluhan atau ratusan juta dolar.

Ancaman terhadap infosec berasal mulai dari eksploitasi teknologi tinggi untuk mendapatkan akses ke jaringan perusahaan dan database hingga taktik non-teknis seperti mencuri laptop dan apa saja yang tersedia. Sebagian besar pelanggaran data melibatkan setidaknya kesalahan manusia atau kesalahan tindakan, baik disengaja atau tidak disengaja. Ancaman yang berasal dari karyawan, disebut sebagai ancaman internal, adalah rintangan utama yang sebagian besar disebabkan oleh sejumlah besar cara yang tersedia bagi seorang karyawan untuk melakukan aktivitas berbahaya. Insiden internal berikut dapat dicegah jika kebijakan infosec ketat dan pertahanan kuat. Insiden-insiden ini juga menunjukkan bahwa para korban pelanggaran seringkali adalah pihak ketiga, seperti pelanggan, pasien, pengguna jaringan sosial, perusahaan kartu kredit, dan shareholders.

  • Pada bulan Mei 2006, pencurian laptop dan pembobolan rumah karyawan Veteran Affais menelan biaya wajib pajak sebesar $ 100 juta untuk perbaikan.
  • Pada Januari 2007, Perusahaan TJX mengungkapkan bahwa data dari 100 juta kartu kredit dan debit telah dicuri oleh hacker mulai Juli 2005. Data pencurian TJX adalah pelanggaran terbesar yang pernah terjadi hingga saat ini, berdasarkan jumlah catatan yang ada. Setelah pengungkapan, bank mengatakan bahwa puluhan juta dolar berasal dari tuduhan penipuan pada kartu kredit. Massachusetts Bankers Association menggugat TJX atas kelalaiannya. FTC mengajukan keluhan menuduh TJX tidak memiliki langkah-langkah keamanan yang tepat untuk mencegah akses informasi yang tidak sah, informasi personal pelanggan. Total biaya dari pelanggaran data adalah sekitar $ 197 juta.
  • Tiga data pelanggaran medis terjadi di bulan Mei 2008. Peer-to-peer (P2P) file sharing yang tidak sah menyebabkan pelanggaran data di Pusat Walter Reed Army Medical yang mengekspos data pribadi dari 1.000 pasien. Pasien di Staten Island University Hospoital di New York diberitahu bahwa komputer dengan catatan medis mereka telah dicuri. Informasi tentang pasien dari Fransisco University of California San Medical Center telah diakses tanpa sengaja melalui Internet.
  • Pada bulan Februari 2008, perusahaan keamanan Symantec (symantec.com) memperingatkan kesalahan pengunggah gambar ActiveX control, yang telah didistribusikan ke Facebook dan pengguna MySpace. Hacker bisa mengeksploitasi kesalahan ini untuk menginstal kode berbahaya pada komputer pengguna dan mengendalikan mereka. Akibatnya, hukum di Kanada menuduh Facebook dengan 22 pelanggaran privasi. Facebook mendapat serangan meningkat dari spammer dan phisers, menurut kepala keamanan perusahaan.
  • Pada Juni 2008, Microsoft memperingatkan pengguna Windows XP dan Vista yang sudah menginstal Safari pada mesin mereka bahwa mereka berada dalam risiko dan serangan kode berbahaya.
  • Pada Januari 2008, T. Rowe Price mulai memberitahukan 35.000 klien nama dan nomor pengamanan sosial telah diganggu. Pelanggaran tersebut berasal dari pencurian komputer Desember 2007 dari penyedia kantor pelayanan pihak ketiga, yang sedang mempersiapkan formulir pajak atas nama T. Rowe Price.
  • Nama, alamat e-mail dan rumah, dan nomor telepon dari 1,6 juta pencari kerja diperkirakan telah terakses dari database Monster.com pada bulan Agustus 2007. Meskipun secara luas digambarkan sebagai hacking, data secara tidak sengaja diakses oleh penyerang menggunakan username dan password yang sah, mungkin dicuri dari perekrut profesional atau personil sumber daya manusia yang menggunakan Monster.com untuk mencari calon karyawan.
  • Pada bulan November 2007, lembaga perpajakan UK mengungkapkan kehilangan disk tidak terenkripsi yang berisi data pribadi, rincian bank, dan nomor ID nasional pada 25 juta pengadu kejahatan anak-anak. Disk menghilang dalam transit perjalanan ke Kantor Nasional Audit UK. Analis Gartner Inc memperkirakan bahwa penutupan rekening dikompromikan dan pembentukan yang baru menelan biaya sekitar $ 500 juta.

Sumber daya informasi didistribusikan ke seluruh bagian dan di luar organisasi karena internet dan teknologi nirkabel memperluas dan menghubungkan batas-batas organisasi. Waktu eksploitasi spyware tercanggih saat ini dan pergerakan virus telah menyusut dari bulan ke hari. Waktu eksploitasi adalah waktu yang telah berlalu antara kerentanan yang ditemukan dan ketika tereksploitasi. Staf TI memiliki jangka waktu yang lebih pendek lagi untuk menemukan dan memperbaiki kelemahan sebelum digunakan sebagai serangan.

Kelompok industri mengenakan standar mereka sendiri untuk melindungi pelanggan mereka dan pencitraan anggota merek dan pendapatan mereka. Salah satu contoh adalah Payment Card Industry Data Security Standard (PCI DSS) yang dibuat oleh Visa, MasterCard, American Express, dan Discover.
PCI diperlukan untuk semua anggota, pedagang atau penyedia jasa yang menyimpan, mengolah, atau mengirimkan data pemegang kartu. Pada Juni 2008, Bagian 6,6 dari PCI DSS mulai berlaku penuh. Singkatnya, bagian dari PCI DSS ini membutuhkan pedagang dan penyedia pembayaran kartu untuk membuat agar aplikasi Web tertentu mereka aman. Jika dilakukan dengan benar, Bagian 6,6 mengamanatkan bahwa pengecer memastikan bahwa aplikasi Web terlindungi dari berbagai serangan dengan menerapkan salah satu dari dua metode berikut:

  1. Memiliki semua custom application code yang rentan dengan menggunakan aplikasi keamanan perusahaan.
  2. Instal lapisan firewall di depan aplikasi Web. Setiap aplikasi akan memiliki firewall sendiri untuk melindungi terhadap instruksi dan malware.

Tujuan dari PCI DSS adalah untuk meningkatkan kepercayaan pelanggan dalam e-commerce, terutama ketika pembayaran online, dan meningkatkan keamanan Web dari pedagang online. Untuk memotivasi kepatuhan terhadap standar-standar, hukuman bagi yang melanggar diberlakukan. Merek kartu bisa menemukan pengecer, dan meningkatkan biaya transaksi untuk setiap transaksi kredit atau kartu debit. Sebuah temuan ketidakpatuhan dapat menjadi dasar atas gugatan.

Gambar 5.1 Mengelola Internet Security

 

Langkah 1: Dukungan dan Komitmen Manajemen Senior.  Pengaruh manajer senior diperlukan untuk menerapkan dan memelihara keamanan, standar etika, praktik pribadi, dan pengendalian internal. COSO  mendefinisikan pengendalian internal sebagai proses yang dirancang untuk memberikan keyakinan memadai mengenai operasi yang efektif dan keandalan pelaporan keuangan.

Langkah 2: Pelatihan dan Kebijakan Keamanan. Langkah berikutnya dalam membangun kefektifan program keamanan TI yaitu dengan mengembangkan kebijakan keamana dan untuk memberikan pelatihan untuk memastikan bahwa setiap orang menyadari serta memahaminya. Semakin besar pemahaman tentang bagaimana keamanan mempengaruhi tingkat produksi, pelanggan dan hubungan dengan pemasok, arus pendapatan, dan kewajiban manajemen, maka keamanan akan lebih akan dilibatkan dalam proposal dan perencanaan bisnis.

Yang paling penting adalah acceptable use policy (AUP) yang menginformasikan pengguna mengenai tanggung jawab mereka. AUP diperlukan karena dua alasan: (1) untuk mencegah penyalahgunaan informasi dan sumber daya komputer, dan (2) untuk mengurangi eksposur untuk denda, sanksi, dan kewajiban hukum.

Langkah 3: Prosedur dan Pelaksanaan Keamanan. Jika kepatuhan aktivitas pengguna tidak dimonitor, AUP menjadi tidak berguna. Oleh karena itu, langkah selanjutnya adalah menerapkan prosedur pemantauan, pelatihan, dan pelaksanaan AUP. Bisnis tidak mampu membayar biaya keamanan yang sempurna dan tak terbatas, sehingga mereka menghitung tingkat perlindungan yang tepat. Perhitungan ini berdasar pada exprosure risiko aset digital.

Metode lain penilaian risiko adalah dampak bisnis analisis (Business Impact Analysis-BIA). BIA adalah latihan yang menentukan dampak dari kehilangan dukungan atau ketersediaan suatu sumber daya.

Langkah 4: Alat Keamanan: Perangkat Keras dan Perangkat Lunak. Langkah terakhir adalah implementasi perangkat lunak dan perangkat keras yang dibutuhkan untuk mendukung kebijakan dan melaksanakan praktik keamanan. Perlu diingat bahwa keamanan adalah proses yang berkelanjutan dan bukan masalah yang dapat diselesaikan dengan perangkat keras atau perangkat lunak. Perangkat keras dan perangkat lunak pertahanan keamanan tidak dapat melindungi dari praktek bisnis yang tidak bertanggung jawab.

5.1.   

5.2.    Ancaman dan Kerentanan IS

Salah satu kesalahan terbesar yang dilakukan manajer adalah meremehkan kerentanan dan ancaman. Sebagian besar pekerja menggunakan PC dan laptop untuk kerja dan hiburan, dan di era multitasking, mereka sering melakukan keduanya pada saat yang sama. Penggunaan ini cenderung berisiko, karena karyawan terus terlibat dalam kebiasaan surfing dan komunikasi berbahaya yang dapat membuat mereka lemah sehingga mengancam organisasi ataupun sistem keamanannya. Ancaman ini dapat diklasifikasikan yang tidak disengaja atau disengaja.

Ancaman yang tidak disengaja terbagi dalam tiga kategori utama:

  • Kesalahan Manusia banyak berperan dalam masalah komputer. Kesalahan dapat terjadi pada desain sistem perangkat keras atau sistem informasi. Juga bisa terjadi pada pemrograman, pengujian, pengumpulan data, pemasukan data, otorisasi, dan instruksi. Tidak mengubah kata kunci yang telah ada pada firewall menciptakan celah keamanan. Kesalahan manusia berkontribusi pada sebagian besar masalah infosec dan pengendalian internal.
  • Bahaya Lingkungan meliputi gempa bumi, badai yang parah (misalnya, angin topan, badai salju, atau badai pasir), banjir, gangguan listrik atau fluktuasi yang kuat, kebakaran (bahaya paling umum), kerusakan AC, ledakan, kejatuhan radioaktif, dan kegagalan sistem pendingin air. Selain kerusakan primer, sumber daya komputer bisa rusak oleh efek samping yang ada, seperti asap dan air. Bahaya tersebut dapat mengganggu operasi komputer pada umumnya dan mengakibatkan loading yang panjang dan biaya yang terlalu tinggi sementara komputer program dan file data dibuat kembali.
  • Kegagalan Sistem Komputer dapat terjadi sebagai hasil dari manufaktur yang jelek, bahan cacat, dan jaringan usang atau buruknya jaringan. Kerusakan yang tidak disengaja juga bisa terjadi karena alasan lain, mulai dari kurangnya pengalaman hingga pengujian yang tidak memadai.

Kejahatan yang disengaja dilakukan di internet disebut kejahatan dunia maya. Hacker adalah istilah yang sering digunakan untuk menggambarkan seseorang yang memperoleh akses tidak sah ke sistem komputer. Black hat hackers, juga disebut sebagai cracker, adalah penjahat. Cracker adalah hacker jahat, yang mungkin merupakan masalah serius bagi perusahaan.

Hacker dan cracker mungkin melibatkan orang dalam yang tidak curiga dalam kejahatan mereka. Dalam strategi yang disebut rekayasa sosial, penjahat atau mata-mata perusahaan menjebak orang dalam  agar memberi informasi atau akses kepada mereka. Social engineering adalah kumpulan taktik yang digunakan untuk memanipulasi manusia dalam melakukan tindakan yang membocorkan informasi rahasia.

Ada banyak metode serangan baru yang muncul. Dua pendekatan dasar yang digunakan dalam serangan yang disengaja pada sistem komputer: manipulasi data dan serangan pemrograman

Manipulasi data adalah sarana umum serangan yang dibayangi oleh jenis-jenis serangan lain. Hal ini mengacu pada serangan ketika seseorang melakukan kesalahan, membuat, atau memasukkan data palsu ke dalam komputer, atau perubahan atau penghapusan data yang sudah ada. Manipulasi data sangat berbahaya karena mungkin tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang dalam untuk melakukan penipuan.

Serangan pemrograman populer dengan penjahat komputer yang menggunakan teknik pemrograman untuk memodifikasi program komputer lainnya. Untuk jenis kejahatan ini, dibutuhkan keterampilan dan pengetahuan pemrograman dari sistem yang dituju. Contohnya adalah virus, worm, dan trojan horse, dan jenis kode berbahaya, yang disebut malware.  Malware dapat digunakan untuk memulai penolakan layanan (DoS) serangan. Sebuah serangan DoS terjadi ketika server atau situs web menerima banjir lalu lintas – lalu lintas lebih jauh atau permintaan untuk layanan daripada kapasitas yang ada.

Malware. Malware adalah perangkat lunak apa saja yang tidak diinginkan yang mengeksploitasi kelemahan dalam perangkat lunak lain untuk mendapatkan akses terlarang. Pada tahun 2007, malware berubah secara mendasar sebagai kriminal dengan menggunakan Internet sebagai jalan serangan utama untuk menginfeksi komputer. Sejalan dengan banyaknya perusahaan yang lebih mempertahankan gateway e-mail mereka terhadap penyusup dengan mekanisme keamanan yang lebih kuat, penjahat cyber bergeser upaya mereka untuk menanam malware di situs Web tidak aman, menunggu pengunjung, dan kemudian menginfeksi mereka. Gateway adalah titik akses jaringan yang bertindak sebagai pintu masuk ke jaringan lain.

Virus. Sebuah metode serangan universal adalah virus, yaitu kode komputer (program). Metode ini disebut demikian karena kemampuan program untuk menempelkan dirinya sendiri dan menginfeksi program komputer lainnya, tanpa pemilik program menyadari telah terinfeksi. Ketika perangkat lunak yang terinfeksi digunakan, virus menyebar, menyebabkan kerusakan pada program tersebut dan mungkin ke yang lainnya.

Worm. Tidak seperti virus, worm menyebar tanpa campur tangan manusia, seperti memeriksa e-mail atau transmisi file. Worm menggunakan jaringan untuk memperbanyak dan menginfeksi apa-apa yang melekat pada files ─ termasuk komputer, perangkat genggam, situs Web, dan server. Worm dapat menyebar melalui instan atau pesan teks. Kemampuan worm untuk menyebarkan diri melalui jaringan dapat menyumbat dan menurunkan kinerja sebuah jaringan, termasuk internet.

Trojan horse atau RAT. Trojan horse yang disebut sebagai backdoors karena mereka memberikan penyerang akses ilegal ke jaringan atau account melalui port jaringan. Sebuah port jaringan adalah titik temu fisik untuk komunikasi antara komputer dan perangkat lain pada alat dalam sebuah jaringan. Trojan Remote Administration (RATs) adalah kelas backdoors yang memungkinkan kontrol jarak jauh melalui mesin (terinfeksi) dilakukan.

Botnet mengemukakan komputer terinfeksi, serta jaringan komputer lain, dengan ancaman berikut (Edwards, 2008):

  • Spyware: Zombies dapat diperintahkan untuk memantau dan mencuri data pribadi atau keuangan
  • Adware: Zombies dapat diperintahkan untuk mengunduh dan menampilkan iklan. Beberapa zombie bahkan memaksa browser sistem yang terinfeksi untuk mengunjungi situs Web tertentu.
  • Spam: Sebagian besar email sampah dikirim melalui zombie. Pemilik komputer yang terinfeksi biasanya tidak menyadari bahwa mesin mereka sedang digunakan untuk melakukan kejahatan.
  • Phishing: Zombies dapat mencari server lemah yang cocok untuk hosting situs Web phishing, yang tampak seperti situs Web yang sah, untuk mengelabui pengguna agar memasukkan data rahasia.
  • Serangan DoS: ancaman botnet yang mungkin paling tidak menyenangkan, dan salah satu yang paling sulit untuk dilawan, yaitu di mana komputer yang terinfeksi dikumpulkan dan diperintahkan secara overload dan melumpuhkan sebuah situs Web yang telah ditargetkan.

Kekuatan gabungan dari botnet dapat memindai dan menyatukan komputer lain yang kemudian digunakan untuk setiap jenis kejahatan dan serangan terhadap komputer, server, dan jaringan.

Sejak malware dan botnet menggunakan banyak metode serangan dan strategi, beberapa alat diperlukan untuk mendeteksi dan / atau menetralkan efeknya. Tiga pertahanan penting yaitu:

  1. 1.          Teknologi Anti Malware: alat Anti malware yang dirancang untuk mendeteksi kode berbahaya dan mencegah pengguna mengunduhnya. Mereka juga dapat memindai sistem untuk keberadaan worm, trojan horse, dan jenis-jenis ancaman lain. Teknologi ini tidak menyediakan perlindungan yang lengkap karena tidak dapat bertahan melawan zero-day exploits. Zero-day mengacu pada hari dimana eksploitasi menyerang internet. Anti malware mungkin tidak dapat mendeteksi eksploitasi yang belum diketahui.
  2. 2.          Intrusion Detection Systems (IDS): Sesuai namanya, IDS memindai lalu lintas yang tidak biasa atau mencurigakan. Sebuah IDS dapat mengidentifikasi awal serangan DoS dengan pola lalu lintas, mengingatkan administrator jaringan untuk mengambil tindakan defensif, seperti beralih ke alamat IP lain dan mengalihkan server kritis dari jalur serangan.
  3. 3.          Sistem Intrusion Prevention (IPS): Sebuah IPS dirancang untuk segera mengambil tindakan – seperti memblokir alamat IP tertentu – setiap kali anomali arus lalu lintas terdeteksi. ASIC (application specific integrated circuit) berbasis IPS memiliki daya kemampuan dan analisis untuk mendeteksi dan memblokir serangan DoS, berfungsi seperti pemutus saklar otomatis.

5.3 Fraud dan Kejahatan Dimediasi Komputer

Kejahatan dapat dibagi menjadi 2 kategori: kejahatan dengan kekaerasan dan kejahatan tanpa kekerasan. Fraud adalah kejahatan tanpa kekerasan. Fraud tidak menggunakan pistol atau pisau, tetapi menggunakan kecurangan, kepercayaan, dan tipu daya. Pelaku fraud melakukan kejahatan mereka dengan menyalahgunakan kekuatan posisi mereka atau mengambil keuntungan dari kepercayaan orang lain. Statistik menunjukkan bahwa kejahatan kekerasan sedang menurun, tetapi fraud tinggi di sepanjang waktu dan tidak menunjukkan tanda-tanda berkurang.

Kejahatan komputer sering muncul  dengan nama-nama baru yang dengan cepat menjadi bagian dari kosakata sehari-hari. Sebagai contoh, para peneliti spyware di perangkat lunak Webroot telah menemukan setumpuk puluhan ribu identitas curian dari 125 negara yang mereka yakin dikumpulkan oleh varian baru dari program Trojan, perusahaan bernama Trojan-Phisher-Rebery. Rebery adalah contoh dari sebuah trojan perbankan, yang diprogram untuk hidup kembali ketika pengguna mengunjungi sejumlah perbankan online atau situs e-commerce. Tanpa pertahanan yang kuat-termasuk AUP dan prosedur keamanan – e-commerce dapat kehilangan banyak konsumen.

Bila pengguna menyalahgunakan pekerjaannya untuk keuntungan pribadi melalui penyalahgunaan sumber daya organisasi atau aset, hal itu disebut fraud jabatan. Audit internal dan pengendalian internal sangat penting untuk mencegah dan medeteksi terjadinya fraud.

TI memiliki peran penting dalam implementasi tata kelola  perusahaan yang baik dan pencegahan fraud. Regulator yang baik terlihat pada perusahaan yang dapat menunjukkan tata kelola perusahaan yang baik dan melaksanakan manajemen risiko operasional dengan baik. Manajemen dan staf perusahaan seperti ini akan menghabiskan sedikit waktu mengkhawatirkan tentang peraturan dan lebih banyak waktu menambah nilai merek dan bisnis mereka.

Pengukuran pencegahan fraud internal didasarkan pada pengendalian yang sama digunakan untuk mencegah gangguan eksternal – teknologi pertahanan perimeter, seperti firewall, e-mail scanner, dan akses biometric.

Sebuah pendekatan yang menggabungkan risiko, keamanan, kepatuhan, dan spesialis IT sangat meningkatkan pencegahan dan deteksi penipuan.  Pencegahan adalah pendekatan yang paling hemat biaya, karena deteksi dan penuntutan adalah biaya yang sangat besar selain biaya langsung  dari kerugian yang ditimbulkan.

Pencurian identitas

Salah satu kejahatan terburuk dan paling umum adalah pencurian identitas.  Pencurian seperti di mana jaminan sosial individu dan nomor kartu kredit yang dicuri dan digunakan oleh pencuri bukan lagi hal baru.

Selai itu, penjahat komputer tidak perlu kemampuan TI untuk mencuri laptop, telepon genggam, atau PDA.  Oleh karena itu, data tidak terenkripsi yang sensitif pada laptop atau perangkat genggam lain yang dibawa meninggalkan kantor dapat meningkatkan risiko.

Ancaman Atas Keamanan Cyber

Lembaga Sans (SysAdmin, Audit, Networking, dan Security) menerbitkan daftar tahunan 10 ancaman teratas keamanan cyber. Dua belas ahli keamanan cyber bekerja sama menyusun daftar serangan yang palinng sering terjadi dan menyebabkan kerusakan substansial selama 2008 yaitu:

  1. Meningkatnya kecanggihan serangan situs web yang mengeksploitasi kerentanan browser – Terutama di situs web terpercaya.
  2. Meningkatnya kecanggihan dan efektivitas dalam botnet.
  3. Upaya spionase Cyber oleh organisasi dengan sumber daya yang baik dengan mengekstrak data dalam jumlah besar, dan phising.
  4. Ancaman telepon genggam, terutama terhadap resiko iPhone dan VoIP.
  5. Serangan orang dalam.
  6. Identitas curian lanjutan dari Bots yang sudah persisten.
  7. Semakin berbahayanya Spyware.
  8. Eksploitasi Aplikasi Keamanan Web.
  9. Semakin canggihnya rekayasa sosial termasuk pencampuran phishing dengan VoIP dan event phishing.
  10. Supply chain menyerang perangkat yang terinfeksi (misalnya thumb drive, dan GPS) yang didistribusikan oleh organisasi terpercaya.

Ada kecenderungan yang berkembang bagi pekerja untuk mengaburkan kehidupan pribadi dan profesional.  Misalnya, mereka surfing situs jaringan sosial atau IMing dengan teman-teman ketika sedang bekerja.  Dan mereka mengakses jaringan perusahaan dari hot spot ketika sedang berlibur.  Kecenderungan ini sangat berbahaya.

 

5.4 MANAJEMEN KEAMANAN PRAKTEK

Tujuan dari praktek manajemen keamanan TI adalah untuk mempertahankan semua komponen sistem informasi, khususnya data, aplikasi perangkat lunak, perangkat keras, dan jaringan. Sebelum mereka membuat keputusan mengenai pertahanan, orang yang bertanggung jawab terhadap keamanan harus memahami kebutuhan dan operasi bisnis, yang membentuk dasar dari strategi pertahanan yang telah disesuaikan.

• Strategi Pertahanan

Strategi pertahanan dan pengendalian yang harus digunakan tergantung pada apa yang perlu dilindungi dan analisis biaya-manfaat.  Berikut ini adalah tujuan utama dari strategi pertahanan:

  1. Pencegahan dan Penolakan
  2. Deteksi.
  3. Penahanan (yang mengandung kerusakan).
  4. Pemulihan.
  5. Koreksi.
  6. Kesadaran dan kepatuhan.

Sebuah strategi pertahanan juga akan memerlukan beberapa pengendalian. Pengendalian Umum yang dibentuk untuk melindungi sistem terlepas dari apllication tertentu. Misalnya, melindungi perangkat keras dan mengendalikan akses ke pusat data adalah sesuatu independen pada aplikasi tertentu. Pengendalian Aplikasi adalah usaha perlindungan yang dimaksudkan untuk melindungi aplikasi tertentu.

Pengendalian Umum

Kategori utama dari Pengendalian Umum adalah pengendalian fisik, pengendalian akses, pengendalian keamanan data, pengendalian jaringan komunikasi, dan pengendalian administratif.

Pengendalian Fisik. Keamanan fisik mengacu pada perlindungan fasilitas dan sumber daya komputer.  Ini termasuk melindungi kekayaan fisik seperti komputer, pusat data, perangkat lunak, manual, dan jaringan.  Hal ini menyediakan perlindungan melawan  bahaya yang paling alami seperti halnya terhadap beberapa bahaya yang berasal dari makhluk hidup.  Keamanan fisik yang sesuai dapat mencakup beberapa pengendalian seperti berikut ini:

  1. Kesesuai desain dengan pusat data.
  2. Pelindung terhadap medan elektromagnetik
  3. Kebakaran baik pencegahan, deteksi, dan sistem pemadam, termasuk sistem sprinkler, pompa air, dan fasilitas drainase yang memadai.
  4. Penutup listrik darurat dan baterai cadangan, yang harus berada dalam kondisi beroperasi.
  5. Perancangan dengan baik, dipelihara, dan dioperasikan dengan sistem pendingin udara.
  6. Alarm detektor gerakan yang mendeteksi intrusi fisik.

Pengendalian Akses, yaitu manajemen kepada siapa yang berhak dan tidak berhak untuk menggunakan perangkat lunak dan keras milik perusahaan. Metode pengendalian akses, seperti firewall dan daftar pengendalian akses, membatasi akses ke suatu jaringan, database, file atau data. Pengendalian akses melibatkan otorisasi dan otentifikasi, yang juga dikenal dengan identifikasi pengguna. Metode otentifikasi termasuk:

  • Sesuatu yang hanya diketahui pengguna, misalnya kata kunci
  • Sesuatu yang hanya dimiliki pengguna, misalnya smart card atau token
  • Sesuatu yang hanya digunakan pengguna, misalnya tandatangan, suara, sidik jari, atau pemindai retina; implementasi melalui pengendalian biometrik, yang dapat bersifat fisik atau perilaku.

Pengendalian Biometrik.  Suatu pengendalian biometrik adalah metode otomatis yang memverifikasi identitas seseorang, berdasarkan karakteristik fisik atau perilaku.  Kebanyakan sistem biometrik mencocokkan beberapa karakteristik pribadi terhadap profil yang telah disimpan sebelumnya.  Yang paling umum dalam biometric adalah:

  • Sidik ibu jari atau sidik jari.  Setiap pengguna saat ingin akses, ibu jari atau sidik jari (jari scan) dicocokkan dengan template yang berisi sidik jari orang yang berwenang untuk mengidentifikasi dia.
  • Pemindai retina.  Dilakukan pencocokan antara pola dari pembuluh darah di retina yang sedang dipindai dengan gambar retina yang sudah disimpan sebelumnya.
  • Pemindai Suara. Dicocokkan antara suara pengguna dan pola suara yang telah disimpan pada template sebelumnya.
  • Tanda tangan.  Tanda tangan dicocokkan dengan tanda tangan otentik yang telah disimpan sebelumnya. Metode ini dapat dilengkapi dengan sistem foto ID-card.

Pengendalian biometrik sekarang telah terintegrasi ke banyak perangkat keras dan perangkat lunak e-business. Pengendalian biometrik memiliki beberapa keterbatasan: tidak akurat dalam kasus tertentu, dan beberapa orang menganggapnya sebagai pelanggaran privasi.

Pengendalian Administrasi. Pengendalian administratif berurusan dengan mengeluarkan pedoman dan memantau kepatuhan terhadap pedoman.

 

Pengendalian Aplikasi

Serangan canggih yang ditujukan untuk tingkat aplikasi, dan banyak aplikasi tidak dirancang untuk menahan serangan tersebut.  Untuk bertahan hidup lebih baik, metodologi proses-informasi digantikan dengan teknologi agen.  Agen cerdas, juga disebut sebagai softbots atau knowbots, adalah aplikasi yang sangat cerdas.  Istilah ini umumnya berarti aplikasi yang memiliki tingkat reaktivitas, otonomi, dan kemampuan beradaptasi-seperti yang diperlukan dalam situasi serangan yang tidak terduga.

 

5.5 Keamanan Jaringan (Network Security)

Sebagai pencegahan, setiap perusahaan sebaiknya mengimplemantasikan produk pengendalian akses jaringan (network access control atau NAC).  Peralatan NAC berbeda dari teknologi dan praktik keamanan tradisional yang lebih fokus pada akses file. Walaupun keamanan tingkatan file diperlukan untuk melindungi data, hal ini tidak menyimpan otorisasi pengguna diluar jaringan pada satu tempat. NAC membantu bisnis melindungi jaringannya dari kriminalitas.

Pengukuran keamanan jaringan terdiri dari tiga lapisan yaitu keamanan di sekeliling (akses), pengesahan dan otorisasi.

KEAMANAN DI SEKELILING DAN FIREWALLS

Tujuan utama dari keamanan di sekeliling adalah pengawasan akses. Teknologi ini digunakan untuk melindungi dari malware dan sekelilingnya. Teknologi lainnya adalah firewalls. Firewalls adalah sistem atau kelompok sistem yang menyelenggarakan kebijakan kontrol akses diantara dua jaringan. Firewalls biasanya digunakan sebagai penghalang antara intranet perusahaan yang terlindung atau jaringan internal lainnya dengan internet yang tidak terlindungi. Firewalls mengikuti aturan yang ketat seperti lalu lintas perizinan atau blok, sehingga firewalls yang berhasil adalah yang dirancang dengan peraturan yang jelas dan spesifik tentang yang dapat diloloskan. Beberapa firewalls mungkin berada di dalam satu sitem informasi. Firewalls tidak menghentikan virus yang tersembunyi di jaringan. Virus dapat melewati firewalls terlebih apabila tersembunyi pada lampiran e-mail.

Seluruh lalu lintas internet harus melalui firewall, tapi tidak berlaku bagi IM dan lalu lintas wireless yang membawa malware ke jaringan dan aplikasi di komputer penerimanya. Firewalls tidak mengontrol apapun terjadi setelah pengguna resmi telah mengesahkan dan mengotorisasi untuk mengakses aplikasi pada jaringan. Pada kasus ini, firewalls dibutuhkan tapi tidak menghalangi secara keseluruhan.

 

 

 

 

 

 

 

PENGESAHAN DAN OTORISASI JARINGAN

Tujuan utama dari pengesahan adalah untuk membuktikan identitas. Maksudnya adalah mengidentifikasi pengguna resmi dan menentukan kegiatan yang dapat dilakukan.

Terdapat dua faktor pengesahan yang juga disebut multifaktor pengesahan. Dengan kedua faktor pengesahan tersebut, informasi lain harus memverifikasi identitas pengguna.

Ada tiga pertanyaan kunci untuk menanyakan kapan sistem pengesahan dilakukan:

  1. Siapa kau? Apakah orang tersebut pekerja, partner, atau konsumen? Level pengesahan akan berbeda bagi setiap jenis orangnya
  2. Dimana kau? Misalnya, pekerja yang telah menggunakan lencana untuk memasuki gedung kurang risikonya dibanding pekerja atau partner yang masuk secara sedikit demi sedikit
  3. Apa yang diinginkan? Apakah orang ini mengakses secara peka atau pemilik informasi atau pengguna data?

Ketika berhubungan dengan aplikasi konsumen seperti perbankan online dan e-commerce, pengesahan yang kuat harus seimbang dengan kenyamanan. Apabila pengesahan terlalu sulit untuk bank dan toko online, pengguna akan kembali pada cara manual. Terdapat penjualan antara peningkatan perlindungan dan kehillangan konsumen dari channel  online.

Otorisasi merujuk kepada meminta perizinan kepada individu atau kelompok untuk melakukan kegiatan tertentu dengan komputer, biasanya berdasarkan verifikasi identitas. Sistem pengamanan ketika mengesahkan pengguna, akan menyakinkan bahwa pengguna melakukan kegiatan yang telah diotorisasi.

JARINGAN KEAMANAN WIRELESS

Jaringan wireless lebih sulit dilindungi dibanding jalur kabel. Sensitivitas yang ada pada jaringan jalur kabel konvensional di terapkan pada teknologi wireless. Titik akses wireless (wireless access points atau Aps atau WAPs) dibalik firewall dan pelindung keamanan lainnya dapat bertolak belakang dengan jaringan. Data yang sensitif yang tidak terbaca maupun yang terbaca dengan teknologi kriptografik lemah digunakan untuk wireless seperti privasi eqivalen kabel (wired equivalent privacy atau WEP), dan di salurkan melalui dua peralatan wireless yang diinterupsi dan disingkap. Peralatan wireless peka terhadap serangan DoS karena pengganggu dapat meningkatkan konektivitas ke pengawas manajemen jaringan sehingga mengganggu dan melumpuhkan operasi. Penganalisis paket wireless seperti AirSnot dan WEPcrack, tersedia menempatkan jaringan wireless pada risiko yang besar.

 

 

 

 

 

 

 

 

5.6. Pengendalian Internal dan Manajemen Pemenuhan

Lingkungan pengendalian internal adalah suatu atmosfer kerja yang di susun oleh perusahaan untuk pekerjanya. Pengendalian internal (internal control) adalah suatu proses yang dirancang untuk mencapai: (1) reabilitas laporan keuangan, (2) efisiensi operasi, (3) pemenuhan hukum, (4) regulasi dan kebijakan, (5) penjagaan aset.

 

 

 

 

 

 

 

 

 

 

 

 

PENGENDALIAN INTERNAL DIHARAPKAN MEMENUHI SOX

SOX adalah hukum anti kecurangan (fraud). Hal ini mendorong dilaporkannya bisnis secara lebih baik dan pengungkapan pelanggaran GAAP, sehingga dibutuhkan untuk ditemukan akar masalah fraud itu.

 

 

 

 

 

 

 

REGULASI ANTI-FRAUD SELURUH DUNIA

Basel II merekomendasikan bahwa sistem pengukuran risiko internal dapat konsisten dengan tujuh jenis potensi rugi:

  1. Fraud internal
  2. Fraud ekstrenal
  3. Praktik pegawai dan keamanan lokasi bekerja
  4. Klien, produk, dan praktik bisnis
  5. Kerusakan aset fisik
  6. Gangguan bisnis dan kegagalan sistem
  7. Eksekusi, pengantaran, dan manajemen proses

Mengatur risiko menjadi salah satu isu penting bagi regulator dan institusi keuangan. Beberapa tahun yang lalu, institusi mengorbankan biaya yang tinggi untuk menghindari risiko. Bagaimanapun, perkembangan penelitian dan peningkatan dalam TI telah meningkatkan pengukuran dan manajemen atas risiko.

 

5.7 KELANGSUNGAN BISNIS DAN PERENCANAAN PEMULIHAN BENCANA

Bencana dapat terjadi tanpa peringatan sebelumnya. Pertahanan yang terbaik adalah dengan bersiap-siap. Olehnya, terdapat suatu elemen penting dalam sistem keamanan apa saja yang disebut rencana kelangsungan bisnis, juga dikenal dengan rencana pemulihan bencana. Rencana ini menguraikan proses bisnis yang mana yang harus dipulihkan dari bencana besar. Kerusakan pada seluruh (atau sebagian besar) dari fasilitas komputer dapat menimbulkan kerusakan signifikan. Karenanya, hal ini untuk kebanyakan organisasi sulit untuk mendapatkan asuransi bagi komputer-komputer dan sistem informasi mereka tanpa menunjukkan suatu rencana pemulihan dan pencegahan bencana.

Perencanaan Kelangsungan Usaha

Pemulihan bencana adalah rantai dari kejadian yang menghubungkan rencana kelangsungan usaha terhadap pencegahan dan terhadap pemulihan. Berikut ini adalah beberapa pendapat mengenai proses ini:

  • Tujuan dari rencana pemulihan bisnis adalah untuk menjaga jalannya bisnis setelah suatu bencana muncul. Setiap fungsi dalam bisnis harus punya rencana kapabilitas pemulihan yang valid.
  • Perencanaan pemulihan adalah bagian dari perlindungan asset. Setiap organisasi harus memberikan tanggung jawab kepada manajemen untuk mengidentifikasi dan melindungi aset  di dalam bidang penngawasan fungsional mereka.
  • Perencanaan harus berfokus utama pada pemulihan dari kehilangan seluruh kapabilitas.
  • Bukti kapabilitas biasanya menyertakan beberapa jenis analisis apakah-jika yang menunjukkan rencana pemulihan yang dilakukan pada saat itu.
  • Semua aplikasi kritis harus diidentifikasi dan prosedur pemulihannya dijabarkan dalam rencana.
  • Rencana harus ditulis sehingga lebih efektif ketika bencana terjadi, tidak hanya untuk memuaskan auditor.
  • Rencana harus disimpan di tempat yang aman; kopian harus diberikan kepada seluruh manajer kunci atau harus tersedia dalam intranet. Rencana harus diaudit secara periodik.

Perencanaan pemulihan bencana dapat menjadi sangat kompleks, dan mungkin memerlukan beberapa bulan untuk diselesaikan. Dengan menggunakan perangkat lunak khusus, pekerjaan perencanaan dapat dijalankan.

Penghindaran Bencana. Penghindaran bencana adalah suatu pendekatan berorientasi lebih ke arah pencegahan. Idenya adalah untuk meminimalisasi kesempatan dari bencana yang bisa dihindari (misalnya kebakaran atau ancaman lain yang disebabkan manusia). Sebagai contoh, banyak perusahaan menggunakan suatu alat yang disebut uninterrupted power supply (UPS), yang menyediakan daya jika terjadi hilang daya.

 

5.8 PENGAUDITAN DAN MANAJEMEN RISIKO

Mengimplementasikan pengawasan di dalam sebuah organisasi dapat menjadi tugas yang sangat sulit, khususnya pada perusahaan besar terdesentralisasi dimana pengawasan administratif mungkin sulit untuk dijalankan. Dari berbagai jenis masalah terkait implementasi pengawasan, dijelaskan tiga hal disini: pengauditan sistem informasi, analisis risiko, dan tren keamanan IT, termasuk kegunaan dari sistem intelijensi lanjutan.

Pengawasan dibuat untuk menyakinkan bahwa sistem informasi berjalan dengan baik. Pengawasan dapat diinstal dalam sistem yang orisinil, atau dapat ditambahkan ketika sistem sedang beroperasi. Menginstal pengawasan adalah sesuatu yang penting tetapi tidak cukup hanya itu. Penting juga untuk menjawab pertanyaan-pertanyaan berikut ini:  Apakah pengawasan yang telah terinstal sudah sesuai? Apakah ini efektif? Apakah ini dapat dipercaya? Apakah terjadi pelanggaran keamanan? Jika ya, apa langkah yang dibutuhkan untuk mencegah hal tersebut terjadi lagi? Pertanyaan-pertanyaan ini harus dijawab oleh pengamat independen dan tidak memihak. Pengamat inilah yang melakukan pekerjaan pengauditan sistem informasi.

Pengauditan Sistem Informasi

Audit adalah satu bagian penting dari sistem pengawasan apapun. Pengauditan dapat dipandang sebagai salah satu lapisan tambahan dari pengawasan atau penjagaan.  Hal ini dianggap sebagai salah satu alat pencegah tindakan kriminal, utamanya untuk orang dalam. Auditor berusaha untuk menjawab pertanyaan seperti di bawah ini:

  • Apakah pengawasan yang cukup telah ada dalam sistem? Area mana yang tidak tercakup dalam pengawasan?
  • Pengawasan yang mana yang tidak diperlukan?
  • Apakah pengawasan diimplementasikan dengan baik?
  • Apakah pengawasan efektif? Jika ya, apakah mereka mengecek output dari sistem?
  • Apakah terdapat pemisahan yang jelas dari tugas-tugas para karyawannya?
  • Apakah ada prosedur untuk menjamin pengawasan?
  • Apakah ada prosedur untuk memastikan pelaporan dan tindakan perbaikan jika terjadi pelanggaran pengawasan?

Mengaudit Website adalah ukuran pencegahan yang baik untuk mengatur risiko yang berkaitan dengan hukum. Risiko legal adalah hal penting dalam sistem TI apapun, tetapi dalam sistem Web hal ini bahkan menjadi lebih penting karena terkait konten yang terdapat dalam situs, yang dapat mengganggu orang lain atau dapat merusak hak cipta atau regulasi lainnya. Mengaudit EC juga menjadi lebih kompleks sejak, adanya tambahan pada Web site, seseorang harus mengaudit order taking, order fulfillment, dan sistem pendukung lainnya.

Risk Management dan Analisis Biaya-Manfaat

Biasanya tidak ekonomis untuk menyiapkan pencegahan terhadap seluruh ancaman yang dapat terjadi. Olehnya itu, seorang program keamanan TI harus menyediakan suatu proses untuk menaksir ancaman dan memutuskan yang mana yang akan dipersiapkan dan yang mana yang akan diabaikan atau disediakan pencegahan yang mengurangi ancaman yang ada.

Analisis Risk-Management.  Analisis risk-management dapat dilakukan dengan menggunakan paket perangkat lunak DSS. Perhitungan yang sederhana ditunjukkan berikut ini:

Kerugian yang diestimasikan = P1 x P2 x L

Dimana:

P1 = kemungkinan serangan (estimasi, berdasarkan perkiraan)

P2 = kemungkinan serangan berhasil terjadi (estimasi, berdasarkan perkiraan)

L  = kerugian yang muncul jika serangan berhasil

Contoh:

P1 = .02, P2 = .10, L = $1,000,000

Maka, kerugian yang diestimasi dari serangan seperti ini adalah

P1 x P2 x L = 0.02 x 0.1 x $1,000,000 = $2,000

Jumlah dari kerugian dapat tergantung pada durasi dari sistem berhenti beroperasi. Olehnya, dimasukkan tambahan durasi dalam analisis.

Masalah Etika. Mengimplementasikan program keamanan menimbulkan banyak masalah etika. Pertama, beberapa kalangan menolak monitoring apapun terhadap aktivitas individual. Melakukan pengawasan tertentu bagi sebagian orang dianggap melanggar kebebasan berbicara atau hak sipil lainnya. Penelitian Gartner Group menunjukkan bahwa bahkan setelah serangan teroris pada 9/11/2001, hanya 26 persen warga negara Amerika yang menyetujui database ID Nasional. Penggunaan biometrik dianggap melanggar banyak hal pribadi.

Penanganan dilema privasi versus keamanan adalah sesuatu yang sulit. Terdapat kewajiban etika dan legal yang harus dilakukan perusahaan yang melanggar privasi dari karyawan dan mengawasi tindakan mereka. Secara khusus, pengukuran keamanan TI dibutuhkan untuk melindungi dari kerugian, kewajiban, dan litigasi. Kerugian bukan hanya dari finansial, tetapi juga termasuk kehilangan informasi, pelanggan, rekanan dagang, imej merek, dan kemampuan untuk menjalankan bisnis, terkait adanya tindakan dari pembajak, malware, atau pegawai. Kewajiban berasal dari dua doktrin legal: respondeat superior dan kewajiban pemeliharaan. Respondeat superior membuat pemberi kerja bertanggung jawab untuk kesalahan yang dilakukan pekerjanya yang muncul dalam lingkup pekerjaan mereka. Dengan teknologi nirkabel dan mobile workforce, lingkup pekerjaan telah meluas melewati perimeter yang ditetapkan perusahaan. Pada doktrin kewajiban pemeliharaan, manajer senior dan direktur memiliki kewajiban fiduciary untuk menggunakan pemeliharaan yang masuk akal untuk melindungi operasi bisnis perusahaan. Litigasi atau tuntutan hukum berasal dari kegagalan memenuhi kewajiban regulasi dan legal perusahaan.

This entry was posted in Teknologi Informasi. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s