ANCAMAN DAN KEAMANAN SISTEM INFORMASI DI PERUSAHAAN ASURANSI Kelompok 1
• Tipe
– tipe ancaman terhadap keamanan sistem
• Interupsi
(interuption)
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau tak berguna. Interupsi merupakan ancaman terhadap ketersediaan.
Contoh : penghancuran bagian perangkat keras, seperti harddisk, pemotongan kabel komunikasi.
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau tak berguna. Interupsi merupakan ancaman terhadap ketersediaan.
Contoh : penghancuran bagian perangkat keras, seperti harddisk, pemotongan kabel komunikasi.
• Intersepsi
(interception)
Pihak tak diotorisasi dapat mengakses sumber daya. Interupsi merupakan ancaman terhadap kerahasiaan. Pihak tak diotorisasi dapat berupa orang atau program komputer.
Contoh : penyadapan untuk mengambil data rahasia, mengetahui file tanpa diotorisasi.
Pihak tak diotorisasi dapat mengakses sumber daya. Interupsi merupakan ancaman terhadap kerahasiaan. Pihak tak diotorisasi dapat berupa orang atau program komputer.
Contoh : penyadapan untuk mengambil data rahasia, mengetahui file tanpa diotorisasi.
• Modifikasi
(modification)
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Modifikasi merupakan ancaman terhadap integritas.
Contoh : mengubah nilai-nilai file data, mengubah program sehingga bertindak secara berbeda, memodifikasi pesan-pesan yang ditransmisikan pada jaringan.
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Modifikasi merupakan ancaman terhadap integritas.
Contoh : mengubah nilai-nilai file data, mengubah program sehingga bertindak secara berbeda, memodifikasi pesan-pesan yang ditransmisikan pada jaringan.
• Fabrikasi
(fabrication)
Pihak tak diotorisasi menyisipkan/memasukkan objek-objek palsu ke sistem. Fabrikasi merupakan ancaman terhadap integritas.
Contoh : memasukkan pesan-pesan palsu ke jaringan, penambahan record ke file.
Pihak tak diotorisasi menyisipkan/memasukkan objek-objek palsu ke sistem. Fabrikasi merupakan ancaman terhadap integritas.
Contoh : memasukkan pesan-pesan palsu ke jaringan, penambahan record ke file.
• Kejahatan
Komputer dan Terorisme Maya
• Pencurian
Identitas adalah pencurian bagian kuncul dari informasi pribadi atau kejahatan
di mana seorang penipu mendapatkan informasi yang penting, seperti kartu kredit
atau nomor jaminan sosial dengan tujuan mendapatkan layanan atas nama korban
atau untuk mendapatkan data rahasia yang tidak tepat. Pencurian identitas telah
berkembang pesat di internet. file kartu kredit adalah sasaran utama para
hacker situs web. Situs e-commerce adalah sumber informasi pribadi yang luar
biasa karena menyimpan nama, alamat, dan nomor telepon.
• Click
Fraud (penipuan lewat klik) adalah : mengklik dengan curang iklan online
berbayar untuk mengahasilkan biaya per klik yang tak semestinya. Penipuan lewat
klik terjadi seseorang atau program computer dengan curang mengeklik sebuah
iklan online tanpa maksud mempelajari lebih lanjut tentang pemasangan iklannya
atau melakukan pembelian.
• Terorisme
maya dan perang maya , semakin besar perhatian difokuskan pada kerentanan
internet arau jaringan lainnya yang dapat dimanfaatkan oleh teroris, badan
intel luar negeri atau kelompok lain untuk menciptakan gangguan dan bahaya
luas. Serangan maya seperti itu sasaranya mungkin berupa perantik lunak yang
menjalankan pembagian listrik, mengendalikan lalu lintas udara atau jaringan
bank-bank aatau institusi keunagan besar.
• Keamanan
sistem informasi
Keamanan sistem Informasi terdiri dari perlindungan terhadap
aspek-aspek berikut:
• Confidentiality
(kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan
bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin
kerahasiaan data yang dikirim, diterima dan disimpan.
• Integrity
(integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak
yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta
metode prosesnya untuk menjamin aspek integrity ini.
• Availability
(ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan,
memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait
(aset yang berhubungan bilamana diperlukan).
• Pengendalian
Sistem Informasi
• Kontrol
Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas
• Kontrol
Pengembangan dan Pengendalian Sistem
Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting. Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri.
Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting. Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri.
• Kontrol
Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan.
Termasuk dalam kontrol ini:
Pembatasan akan akses terhadap data
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa saja yang pernah memilikinya
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan.
Termasuk dalam kontrol ini:
Pembatasan akan akses terhadap data
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa saja yang pernah memilikinya
• Kontrol
terhadap personel pengoperasi
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan dengan tegas. Selain itu, [ara [ersonel yang bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log) benar-benar terpelihara.
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan dengan tegas. Selain itu, [ara [ersonel yang bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log) benar-benar terpelihara.
• Kontrol
terhadap peralatan
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.
• Kontrol
terhadap penyimpanan arsip
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai
• Pengendalian
terhadap virus
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.
• Proteksi
fisik terhadap pusat data
Untuk menjaga hal-hal yangtidak diinginkan terhadap pusat data, factor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar.
Untuk menjaga hal-hal yangtidak diinginkan terhadap pusat data, factor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar.
• Kontrol
Perangkat Keras
Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem ini dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan sedikit interupsi.
Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem ini dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan sedikit interupsi.
• Kontrol
Akses Terhadap Sistem Komputer
Untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu password-nya. Setelah pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses sesuai dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh waktu. Kontrol akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator basis data mengatur agar pemakai X bisa mengubah data A, tetapi pemakai Y hanya bisa membaca isi berkas tersebut.
Untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu password-nya. Setelah pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses sesuai dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh waktu. Kontrol akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator basis data mengatur agar pemakai X bisa mengubah data A, tetapi pemakai Y hanya bisa membaca isi berkas tersebut.
• Kontrol
Terhadap Sistem Informasi
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi
• Kesimpulan
• Keamanan
system informasi tidak hanya dilihat hanya dari timbulnya serangan dari virus,
malware, spy ware, dan masalah lain, tetapi dilihat dari berbagai segi sesuai
dengan domain keamanan system itu sendiri. Keamanan informasi diperoleh dengan
mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa
kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur
organisasi dan piranti lunak. Keamanan sistem mengacu pada perlindungan
terhadap semua sumberdaya informasi organisasi dari ancaman oleh pihak-pihak
yang tidak berwenang. Institusi/organisasi menerapkan suatu program keamanan
sistem yang efektif dengan mengidentifikasi berbagai kelemahan dan kemudian
menerapkan perlawanan dan perlindungan yang diperlukan. Keamanan sistem
dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan
dan integritas.
Komentar
Posting Komentar