Wednesday, October 1, 2014 22:16

Keamanan Perusahaan dan Lingkungan Bisnis

Posted by on Thursday, March 14, 2013, 18:10
This news item was posted in ekonomi category and has 0 Comments so far.

DATA DAN KEJADIAN YANG BERKAITAN DENGAN KEAMANAN PERUSAHAAN

Mengontrol fisik dan memperkecil akses ke sistem dan informasi tertentu selalu merupakan tantangan TI. Sebagian besar pelanggaran menyangkut kesalahan manusia atau kesalahan tindakan, baik disengaja atau tidak disengaja. Ancaman karyawan, disebut sebagai ancaman internal, adalah rintangan utama yang sebagian besar disebabkan oleh sejumlah besar cara yang dapat dilakukan seorang karyawan untuk melakukan aktivitas berbahaya. Insiden internal berikut dapat dicegah jika kebijakan infosec ketat dan pertahanan telah ditingkatkan. Seringkali para korban merupakan pihak ketiga, seperti pelanggan, pasien, pengguna jaringan sosial, perusahaan kartu kredit, dan pemegang saham. Waktu eksploitasi spyware tercanggih dan virus saat ini telah menyusut dari bulan ke hari. Waktu eksploitasi adalah waktu yang telah lewat antara ketika kerentanan yang ditemukan dan ketika hal tersebut telah dieksploitasi. Staf TI memiliki jangka waktu lebih pendek untuk menemukan dan memperbaiki kelemahan tersebut sebelum terjadi suatu serangan.

TIData harus dilindungi dari skema serangan yang ada sekarang dan di masa depan, dan pertahanan harus memenuhi peraturan pemerintah dan peraturan internasional. SOX, Gramm-Leach-Billey Act (GLB), Federal Information Security Management Act (FISMA), and USA Patriot Act in the United States; Japan’s Personal Information Protection Act; Canada’s Personal Information Protection and Electronic Document Act (PIPEDA); Australia’s Federal Privacy Act; the United Kingdom’s Data Protection Act; and Base II (jasa keuangan global) semuanya mewajibkan untuk memberikan perlindungan terhadap data pribadi.

Kelompok industri menggunakan standar mereka sendiri untuk melindungi pelanggan dan anak perusahaan serta pendapatan mereka. Salah satu contoh adalah Payment Card Industry Data Security Standard (PCI DSS) dibuat oleh Visa, MasterCard, American Express, dan Discover. PCI diperlukan untuk semua anggota, pedagang atau penyedia jasa yang menyimpan, mengolah, atau mengirimkan data pemegang kartu. Tujuan dari PCI DSS adalah untuk meningkatkan kepercayaan pelanggan dalam e-commerce, terutama ketika pembayaran dilakukan secara online, dan untuk meningkatkan keamanan Web dari pedagang online. Untuk memotivasi agar mengikuti standar tersebut, diberikan hukuman bagi yang melanggar.

Tiga faktor utama yang menyebabkan terjadinya kejahatan pada TI yaitu :
- Kesalahan (human error).
- Kurang berfungsinya sistem.
- Ketidakpahaman terhadap dampak dari penambahan software yang tidak kompeten pada sistem yang ada.

Keamanan TI dan model internal kontrol dimulai dengan komitmen dan dukungan senior manajemen, yang seluruhnya terdiri dari empat langkah yaitu:
Langkah 1: Dukungan dan Komitmen Manajemen Senior.
Langkah 2: Pelatihan dan Kebijakan Keamanan.
Langkah 3: Penegakan dan Prosedur Keamanan.
Langkah 4: Keamanan Peralatan: Hardware dan Software.

ANCAMAN DAN KERENTANAN SI

Ancaman terhadap sistem informasi dapat digolongkan menjadi dua, yaitu:

1. Ancaman yang tidak disengaja

Ancaman yang tidak disengaja terbagi dalam tiga kategori utama:
• Kesalahan Manusia (Human errors)
• Bahaya Lingkungan (environmental hazards)
• Kegagalan Sistem Komputer (computer sistems failures)

2. Ancaman yang disengaja

Contoh dari ancaman yang disengaja meliputi : pencurian data, penggunaan data yang tidak sesuai, pencurian mainframe waktu komputer, pencurian peralatan dan / atau program, pemanipulasian yang disengaja dalam menangani, memasuki, memproses, mentransfer atau memrogram data, mogok kerja, kerusuhan atau sabotase; bahaya kerusakan pada sumber daya komputer: kerusakan dari virus dan serangan serupa, dan pelanggaran lain yang menggunakan komputer dan penipuan melalui internet seperti hacker dan cracker.

Dua pendekatan dasar yang digunakan dalam serangan yang disengaja pada sistem komputer, yaitu:
• Manipulasi data (Data Tampering)
• Serangan Menggunakan program Tertentu (Programming Attacks)

Contohnya adalah virus, worm, dan trojan horse, yang merupakan jenis kode yang berbahaya, yang disebut malware.
Selain malware, ada juga yang disebut botnets yaitu semacam zombie atau virus yang mengekspos komputer terinfeksi, serta komputer jaringan lain, dengan ancaman seperti Spyware, Adware, Spam, Phishing, Serangan DoS.

Tiga pertahanan penting dalam mendeteksi malware / botnet adalah sebagai berikut:
1. Teknologi Anti Malware
2. Sistem Deteksi Penyusup (IDS)
3. Sistem Pencegahan Penyusup (IPS)

FRAUD DAN KEJAHATAN MELALUI KOMPUTER

Kejahatan dapat dibagi menjadi dua kategori yaitu kejahatan dengan kekerasan dan tanpa kekerasan. Statistik menunjukkan bahwa kejahatan dengan kekerasan menurun, sedangkan fraud (termasuk kejahatan tanpa kekerasan) semakin meningkat dan tidak menunjukkan tanda-tanda menurun.

Sebuah pendekatan yang menyeluruh yang menggabungkan resiko, keamanan, kepatuhan, dan spesialis IT secara besar meningkatkan pencegahan dan pendeteksian Fraud. Pencegahan adalah pendekatan yang paling efektif untuk mencegah timbulya biaya yang lebih yang diakibatkan oleh Fraud.

PRAKTEK MANAJEMEN KEAMANAN TI

Tujuan dari manajemen keamanan IT adalah untuk mempertahankan semua komponen sistem informasi, khususnya data, aplikasi software, hardware (perangkat keras), dan jaringan (network).

Dibawah ini merupakan tujuan utama strategi pertahanan :

  • Pencegahan dan Penangkalan. Pengendalian yang dirancang akan mencegah terjadinya kesalahan, menghalangi para kriminal untuk menyerang sistem, dan mencegah akses dari pihak yang tidak memiliki otoritas.
  • Deteksi. Deteksi dapat dijalankan pada banyak kasus dengan menggunakan software diagnosis khusus dengan biaya yang rendah.
  • Pengurangan dari kerusakan. Tujuannya adalah untuk meminimalisir atau membatasi kerugian ketika terjadi kegagalan pemakaian.

• Pemulihan. Sebuah rencana pemulihan menjelaskan bagaimana memperbaiki kerusakan sistem informasi secepat mungkin. Mengganti komponen yang rusak merupakan langkah yang lebih cepat untuk pemulihan dari pada memperbaiki.
• Perbaikan. Perbaikan yang disebabkan oleh kerusakan sistem dapat mencegah masalah yang akan terjadi lagi.
• Kesadaran dan Kepatuhan. Seluruh Anggota organisasi harus dididik tentang resiko dan harus patuh terhadap aturan keamanan dan peraturan lainnya.

Strategi pertahanan juga membutuhkan beberapa kontrol seperti pengendalian umum (general controls) dan pengendalian aplikasi (application controls). Pengendalian umum dilaksanakan untuk melindungi sistem selain dari aplikasi tertentu.

Kategori utama dalam pengendalian umum, yaitu:
1. Pengendalian Fisik.
2. Pengendalian akses.
3. Pengendalian administratif.

Pengendalian aplikasi mengacu pada perlindungan terhadap aplikasi tertentu dengan menggunakan sebuah software yang disebut intelligent agents yang mengacu pada aplikasi yang sangat pintar yang dapat bereaksi, otonomi, dan dapat beradaptasi terhadap serangan yang tidak dapat diprediksi.Defense Control

KEAMANAN JARINGAN

Sebagai pertahanan, perusahaan membutuhkan pengimplementasian produk Pengendalian Akses Jaringan (NAC).
Ukuran keamanan jaringan meliputi tiga lapisan : parameter keamanan (akses), autontikasi, dan otorisasi.
Tujuan utama keamanan parameter adalah pengendalian akses yang digunakan untuk menghadapi serangan malware. Teknologi yang lain yaitu firewalls.
Tujuan utama dari otentikasi adalah untuk membuktikan identitas.
Otorisasi merujuk kepada perizinan bagi individu atau kelompok untuk melakukan kegiatan tertentu dengan komputer, biasanya berdasarkan verifikasi identitas.

MANAJEMEN PEMENUHAN DAN PENGENDALIAN INTERN

Lingkungan pengendalian internal adalah suatu atmosfer kerja yang di susun oleh perusahaan untuk pekerjanya. Pengendalian internal (internal control) adalah suatu proses yang dirancang untuk mencapai:

(1) reabilitas laporan keuangan,
(2) efisiensi operasi,
(3) pemenuhan hukum,
(4) regulasi dan kebijakan,
(5) penjagaan aset..

KELANGSUNGAN BISNIS DAN PERENCANAAN PEMULIHAN BENCANA

Bencana dapat terjadi tanpa peringatan. Pertahanan terbaik harus dipersiapkan. Oleh karena itu, elemen penting dalam setiap sistem keamanan adalah rencana kelangsungan bisnis (business continuity plan), juga dikenal sebagai rencana pemulihan bencana (disaster recovery plan).

Pemulihan bencana adalah rantai peristiwa yang menghubungkan kesinambungan rencana bisnis untuk perlindungan dan pemulihan. Penghindaran bencana adalah suatu pendekatan berorientasi lebih ke arah pencegahan. Idenya adalah untuk meminimalisasi kesempatan dari bencana yang bisa dihindari (misalnya kebakaran atau ancaman lain yang disebabkan manusia). Sebagai contoh, banyak perusahaan menggunakan suatu alat yang disebut uninterrupted power supply (UPS), yang menyediakan daya jika daya tiba-tiba hilang.

PENGAUDITAN DAN MANAJEMEN RISIKO

Pengauditan dapat dipandang sebagai salah satu lapisan tambahan dari pengawasan atau penjagaan. Hal ini dianggap sebagai salah satu alat pencegah tindakan kriminal, utamanya untuk orang dalam. Mengaudit Website adalah ukuran pencegahan yang baik untuk mengatur risiko yang berkaitan dengan hukum. Risiko hukum adalah hal yang penting dalam sistem TI apapun, tetapi dalam sistem Web hal ini bahkan menjadi lebih penting karena terkait konten yang terdapat dalam situs, yang dapat mengganggu orang lain atau dapat merusak hak cipta atau regulasi lainnya.

Untuk menaksir besarnya biaya yang akan dihadapi atas suatu bencana biasanya digunakan Analisis Risk-Management. Analisis risk-management dapat dilakukan dengan menggunakan paket perangkat lunak DSS. Perhitungan yang sederhana ditunjukkan berikut ini:

Kerugian yang diestimasikan = P1 x P2 x L
Dimana:
P1 = kemungkinan serangan (estimasi, berdasarkan perkiraan)
P2 = kemungkinan serangan berhasil terjadi (estimasi, berdasarkan perkiraan)
L = kerugian yang muncul jika serangan berhasil

Contoh:

P1 = .02, P2 = .10, L = $1,000,000

Maka, kerugian yang diestimasi dari serangan seperti ini adalah

P1 x P2 x L = 0.02 x 0.1 x $1,000,000 = $2,000

Jumlah dari kerugian dapat tergantung pada durasi dari sistem berhenti beroperasi. Olehnya, dimasukkan tambahan durasi dalam analisis.

Mengimplementasikan program keamanan menimbulkan banyak masalah etika. Pertama, beberapa kalangan menolak monitoring apapun terhadap aktivitas individual. Melakukan pengawasan tertentu bagi sebagian orang dianggap melanggar kebebasan berbicara atau hak sipil lainnya.

Sumber:
BAB 5: Keamanan Perusahaan dan Lingkungan Bisnis
Efraim Turban dan Linda Volonino. Information Technology for Management – Transforming Organizations in the Digital Economy. Seventh Edition. John Wiley & Sons. 2010

You can leave a response, or trackback from your own site.

No Responses to “Keamanan Perusahaan dan Lingkungan Bisnis”

Leave a Reply


+ 1 = seven

A wordpress magazine theme design by Custom Theme Design.