Review Perkuliahan|Information Security

a) Information Security (Informasi Keamanan)

Security merupakan tingkat perlindungan terhadap aktivitas kriminal, bahaya, kerusakan, dan / atau kerugian. Sedangkan information security merupakan semua proses dan kebijakan yang dirancang untuk melindungi informasi organisasi dan sistem informasi (SI) dariakses, penggunaan, pengungkapan, gangguan, modifikasi, atau perusakan yang tidak sah. Anda telah melihatnya sistem informasi dan informasi dapat dikompromikan oleh tindakan kriminal yang disengaja dan olehapa pun yang dapat mengganggu berfungsinya sistem informasi organisasi.

Ada lima faktor kunci berkontribusi pada meningkatnya kerentanan organisasi sumber daya informasi, sehingga jauh lebih sulit untuk mengamankannya:

· Saat ini lingkungan bisnis yang saling terhubung, saling bergantung, dan terhubung secara nirkabel

· Komputer dan perangkat penyimpanan yang lebih kecil, lebih cepat, lebih murah

· Penurunan keterampilan yang diperlukan untuk menjadi seorang hacker komputer

· Kejahatan terorganisir internasional yang mengambil alih kejahatan dunia maya

· Kurangnya dukungan manajemen

b) Unintentional Threats to Information Systems (Ancaman yang Tidak Disengaja terhadap Sistem Informasi)

1. Human Errors

Ada dua poin penting yang harus dibuat para karyawan:

· Semakin tinggi level karyawan, semakin besar ancaman yang ditimbulkannya informasi keamanan karena karyawan dengan level yang lebih tinggi biasanya memiliki akses yang lebih besar pada data perusahaan, dan mereka menikmati hak istimewa yang lebih besar pada sistem informasi organisasi.

· Karyawan di dua area organisasi merupakan ancaman yang sangat signifikan terhadap keamanan informasi: karyawan sumber daya manusia (memiliki akses ke informasi pribadi yang sensitif tentang semua karyawan)dan karyawan sistem informasi(tidak hanya memiliki akses ke data organisasi yang sensitif tetapi juga sering mengontrol sarana untuk membuat, menyimpan, mengirimkan, dan memodifikasi data tersebut).

2. Social Engineering (Rekayasa sosial)

Rekayasa sosial adalah serangan di mana pelakunya menggunakan keterampilan sosial untuk mengelabui atau memanipulasi karyawan yang sah untuk memberikan informasi rahasia perusahaan seperti kata sandi.

Contohnya: manipulasi psikologis terjadi saat penyerang meniru identitas seseorang lain di telepon, seperti manajer perusahaan atau karyawan sistem informasi. Itu penyerang mengklaim bahwa dia lupa kata sandinya dan meminta karyawan yang sah untuk memberinya kata sandi menggunakan. Taktik umum lainnya termasuk menyamar sebagai pembasmi, teknisi AC, atau petugas pemadam kebakaran.

c) Deliberate Threats to Information Systems (Ancaman yang Disengaja terhadap Sistem Informasi)

• Spionase atau pelanggaran

• Pemerasan informasi

• Sabotase atau vandalisme

• Pencurian peralatan atau informasi

• Pencurian identitas

• Kompromi terhadap kekayaan intelektual

• Serangan perangkat lunak

• Perangkat lunak alien

• Serangan pengawasan dan akuisisi data (SCADA)

• Terorisme dunia maya dan perang dunia maya

d) Risk Mitigation

Resiko adalah kemungkinan bahwa suatu ancaman akan mempengaruhi sumber informasi. Sebelum organisasi menghabiskan banyak waktu dan uang untuk melindungi sumber informasi mereka terlebih dahulu mereka melakukan manajemen risiko(mengidentifikasi, mengendalikan, dan meminimalkan dampak ancaman). Dengan kata lain, resiko manajemen berupaya mengurangi risiko ke tingkat yang dapat diterima.

Manajemen risiko terdiri dari tiga proses:

· Risk analysis (Analisis risiko): memastikan bahwa program keamanan IS mereka hemat biaya. Analisis risiko melibatkan tiga langkah:

a. Menilai nilai setiap aset yang dilindungi,

b. Memperkirakan probabilitas bahwa setiap aset akan dikompromikan, dan

c. Membandingkan kemungkinan biaya aset dikompromikan dengan biaya perlindungan aset tersebut.

· Risk mitigation (Mitigasi risiko)

Fungsinya: menerapkan kontrol untuk mencegah terjadinya ancaman yang teridentifikasi dan mengembangkan sarana pemulihan jika ancaman menjadi kenyataan.

Adapun 3 strategi umum mitigasi risiko yang dapat diadopsi oleh organisasi yaitu,

- Risk acceptance (Penerimaan risiko): Terima potensi risiko, terus beroperasi tanpa kontrol, dan serap segala kerusakan yang terjadi.

- Risk limitation (Batasan risiko): Batasi risiko dengan menerapkan pengendalian yang meminimalkan dampak dari ancaman.

- Risk transference (Pemindahan risiko): Mentransfer risiko dengan menggunakan cara lain untuk mengkompensasi kerugian tersebut seperti dengan membeli asuransi.

· Controls evaluation (Evaluasi pengendalian): organisasi memeriksa biaya pelaksanaan tindakan pengendalian yang memadai terhadap nilai tindakan pengendalian tersebut. Jika biaya penerapan pengendalian lebih besar dari nilai aset yang dilindungi, pengendalian tersebut tidak hemat biaya.

e) Information Security Controls (Kontrol Keamanan Informasi)

· Physical Controls: Kontrol fisik mencegah pihak asing mendapatkan akses ke fasilitas perusahaan.

Contohnya: security (penjaga), antivirus dan pemasangan CCTV. Dimana membatasi pengguna komputer seperti menerapkan waktu untuk para pengguna, mengatur komputer pengguna untuk secara otomatis mengeluarkan pengguna setelah periode tertentu tidak digunakan.

· Access Controls: Kontrol akses membatasi pihak asing untuk menggunakan sumber informasi.

Dua fungsi utama: otentikasi (mengkonfirmasi identitas orang yang membutuhkan akses) dan otorisasi (menentukan tindakan, hak, atau hak istimewa mana seseorang memiliki, berdasarkan identitasnya yang telah diverifikasi. contoh kontrol akses seperti menggunakan ID Card, sidik jari, login (email, password.

· Communication Controls: Kontrol yang mengamankan pergerakan data atau disebut network control.

terdiri dari:

1. Firewalls: mencegah siapa pun atau apa pun memasuki jaringan Anda.

2. Anti-Malware system: mencegah, mendeteksi, dan menghapus malware.

3. Whitelisting and blacklisting: Whitelisting adalah daftar dari sekumpulan web domain ataupun alamat email, dan URL yang terindikasi tidak “aman” sehingga secara otomatis akan diblokir oleh komputer maupun jaringan agar tidak dapat diakses. Sedangkan blacklisting adalah daftar yang diperbolehkan untuk diakses oleh komputer atau jaringan dimana terdapat sekumpulan URL, web domain maupun alamat email yang “aman”.

4. Encryption: proses mengambil teks biasa, seperti pesan teks atau email, dan mengacak nya menjadi format yang tidak dapat dibaca — disebut “teks sandi”. Ini membantu melindungi kerahasiaan data digital baik yang disimpan di sistem komputer atau dikirim melalui jaringan seperti internet.

5. VPNs (Virtual private networks): memberi pengguna privasi dan anonimitas online dengan membuat jaringan pribadi dari koneksi internet publik. VPN menutupi alamat protokol internet (IP) pengguna sehingga tindakan online pengguna hampir tidak dapat dilacak.

6. Transport layer security: protokol kriptografi yang dirancang untuk memberikan keamanan komunikasi melalui jaringan komputer. Situs web dapat menggunakan Transport Layer Security untuk mengamankan semua komunikasi antara penyedia dan peramban web.

7. Employee monitoring systems: sistem pemantauan karyawan, yang memeriksa komputer karyawan, aktivitas email, dan aktivitas berselancar Internet. Produk-produk ini berguna untuk mengidentifikasi karyawan yang menghabiskan terlalu banyak waktu untuk berselancar di Internet untuk alasan pribadi, yang mengunjungi situs Web yang meragukan, atau yang mengunduh musik secara ilegal.

Gambar Hubungan Antara Physical Controls, Acces Controls, Communication Controls

Source: R. Kelly Rainer, P. Brad,Introduction to Information Systems: Sixth Edition, John Wiley & Sons, Inc., 2016.