Chapter 8 Securing Information Systems

Transkripsi

1 Chapter 8 Securing Information Systems Tissa Adjani 10/296283/EK/17755 Eunike Hedriani Pardede 10/296574/EK/17812 Tanri Putramafajar 10/297211/EK/17908 Nitiya Aryanti 10/297805/EK/17950 Lathifah Muna Adilah 10/299777/EK/18057

2

3 Why Systems Are Vulnerable Data yang disimpan dalam bentuk elektronik lebih rentan terhadap ancaman daripada yang berbentuk manual. Keamanan itu sangat mahal dan susah. Teknologi baru terus muncul.

4 Internet Vulnerabilities Jaringan publik yang besar seperti internet lebih rentan daripada jaringan iternal. Komputer yang secara konstan tersambung internet dengan modem kabel atau DSL lebih terbuka untuk di masuki oleh outsiders. Telepon servis yang berbasis internet lebih rentan daripada telepon biasa.

5 Wireless Security Challenges Frekuensi radio pada wireless sangat mudah untuk di lacak Wifi transmission di desain untuk membuat stations mudah untuk mencari dan mendengar satu sama lain.

6 Malicious Software Malicious software biasanya disebut malware Malware terdiri dari beberapa macam seperti : Virus Komputer Worms Trojan Horses

7 Hackers and Computer Crime Spoofing and Sniffing Denial-of-Service Attacks Computer Crime Identity Theft Click Fraud Global Threats : Cyberterrorism and Cyberwarfare

8 Internal Threats Di dalam sebuah perusahaan juga terdapat masalah keamanan yang serius yang datang dari karyawan nya. Dari sebuah penelitian ditemukan bahwa penyebab terbesar pelanggaran keamanan disebabkan oleh pengguna nya.

9 Software Vulnerability kesalahan software menimbulkan ancaman konstan untuk sistem informasi, menyebabkan kerugian yang tak terhitung. Problem yang sering terjadi dengan software adanya hidden bugs atau program code defects.

10 What is the business value of security and control?

11

12 Companies have very valuable information assets to protect: Medical records Financial assets Trade secrets New product development plans Marketing strategies

13 HIPAA (Health Insurance Portability and Accountability Act) Gramm-Leach-Bliley Act Sarbanes-Oxley Act

14 Electronic information may be used as evidence required in the court of law The task of computer forensic Recovering data from computers while preserving evidential integrity Securely storing and handling recovered electronic data Finding significant information in a large volume of electronic data Presenting the information to a court of law

15 penilaian resiko menentukan tingkat resiko pada peusahhan jika aktivitas atau proses tertentu tidak dikendalikan dengan benar Konsentrasi pada faktor pengendalian yang memiliki kerentanan dan potensi kerugiaan terbesar

16 -> kebijakan pengamanan terdiri atas pernyataan-pernyataan yang menilai resiko informasi,mengidentifikasi tujuan pengamann yang diterima dan mengidentifikasi mekanisme untuk mencapai tujuanini -> kebijakan pengaman : kebijakan pengamanan yang diterima Kebijakan otorisasi

17 pemerosesan transansaksi sistem komputer dengan toleransi kesalahan berisi peranti keras,pernti lunak,dan komponen persediaan yang berlebih yang menciptakan sebuah lingkungan yang memberikan layanan terus menerus dan bebas dari gangguan toleransi kesalahan dibedakan menjadi : komputasi dengan ketersediaan tinggi downtine

18 perencanan pemulihan bencana -> merancang cara-cara merestorasi layanan komputerisasai dan komunikasi setelah terganggu oleh suatu bencana perencanaan keberlangsungan bisnis -> fokus pada bagaimana perusahaaan dapat mengembalikan operasi bisnis setelah ada bencana

19 Penyedia layanan keamanan terkelola -> memantau jaringan aktivitas dan melakukan uji kerentanandan deteksi adanaya gangguan audit SIM(MIS audit) -> menguji lingkungan pengamanan perusahaan secara menyeluruh sekaligus juga pengendalian yang mengatur sistem informasi seorang audit seringkali menelusuri aliran transaksi sampel pada suatu sistem informasi dan akan m elakukan pengujian menggunkan peranti lunak otomatis

20 TECHNOLOGIES AND TOOLS FOR PROTECTING INFORMATION RESOURCES Identity management and authentication Identity manajemen software mengotomasikan proses pelacakan semua user dan hak mereka, memberikan tiap user identitas digital untuk mengakses sistem, juga alat untuk authentication pengguna, melindungi identitas user, dan mengendalikan akses ke sistem.

21 Authentication adalah kemampuan untuk mengenali orang itu siapa dan klaim mereka. Authentication menggunakan pasword, karena pasword hanya dimiliki user berwenang, dan tiap user memiliki pasword berbeda. Pasword bagus adalah merupakan kombinasi dari angka dan huruf.

22 Token adalah perangkat fisik yang mirif kartu ID yang dibuat untuk membuktikan identitas seseorang.

23 Smart card adalah perangkat yang seukuran kredit card dengan chip dengan ijin akses dan data lain.

24 Biometric authentication menggunakan karateristik manusia, misalnya sidik jari, iris mata dan suara. Dapat mengidentifikasi karateristik yang berbedabeda dari manusia dan membandingkan dengan data yang sudah tersimpan.

25 FIREWALL, INSTRUSSION DETECTION SYSTEMS AND ANTIVIRUS SOFTWARE Firewall Merupakan kombinasi hardware dan software yang mengontrol aliran masuk dan keluar lalu lintas jaringan. Firewall mengindetifikasi identitas, alamat IP, aplikasi dan karateristik lain dari lalu lintas yang masuk dan mengecek apakah informasi ini melanggar aturan perusahaan.

26 Jenis firewall 1. Static packet filtering 2. Network address translation (NAT) 3. Application proxy filtering Untuk menghasilkan firewall yang baik, administrator harus menjaga aturan detail yang mengidentifikasi orang, aplikasi atau alamat yang diijinkan atau tidak diijinkan.

27 Figure 8-6

28 Intrusion Detection Systems Full time pengawasan pada titik rawan dari jaringan perusahaan yang mudah diserang dengan mendeteksi dan menghalangi penyusup. Scanning software dapat melihat pola yang mengindikasikan adanya cara-cara penyerangan komputer, misalnya bad pasword, melihat apakah file penting dipindahkan atau dimodifikasi.

29 Antivirus and Antispy Software Untuk mengecek sistem komputer dan mengenali kehadiran virus dan dapat juga menghilangkan virus. Antivirus hanya efektif melawan firus yang sudah dikenal ketika software dibuat, maka antivirus harus terus diupdate agar penggunaannya efektif.

30 Unified Threat Management Systems Untuk membantu perusahaan mengurangi biaya dan memudahkan dalam pengelolaannya, security vendor mengkombinasikan firewall, VPN, intrussion detection sistem, Web content flittering dan antispam software ke dalam alat tunggal. Dapat digunakan dalam semua ukuran jaringan.

31 SECURING WIRELESS NETWORK Keamanan WEP dapat ditingkatkan dengan menggunakan teknologi VPN untuk mengakses data internal perusahaan. Pada Juni 2004 menemukan Wi-Fi Alliance / Wi-Fi Protected Access (WPA) yang menggunakan static enskripsi seperti WEP, kunci yang lebih panjang yang terus berubah, menggunakan sistem autentikasi enkripsi untuk memastikan hanya orang berweang yang dapat mengakses jaringan.

32 ENCRYPTION AND PUBLIC KEY INFRASTRUCTURE Enkripsi adalah proses mengubah bentuk tulisan atau data ke dalah sandi tertentu yang tidak bisa dibaca siapapun kecuali pengirim dan penerima yang dituju. Cara enkripsi : 1. Simetric Key Enkripsi Hanya menggunakan satu kunci (shared key) yang sama antara sender dan receiver, kekuatannya didasarkan pada panjang bitnya. 2. Public Key enkripsi Menggunakan public key dan private key.

33 Public Key Encryption

34 Cara enkripsi pada jaringan dengan Web : 1. Secure Sockets Layer (SSL) and its successor Transport Layer Security (TLS): protokol untuk transfer informasi yang aman melalui internet, memungkinkan klien dan server mengenkripsi dan dekrip aktivitas saat mereka berkomunikasi selama sesi Web yang aman 2. Secure Hypertext Transfer Protocol (S-HTTP): digunakan untuk mengenkripsi data yang mengalir melalui internet; terbatas pada dokumen Web, sedangkan SSL dan TLS mengenkripsi semua data yang melewati antara klien dan server.

35 ENSURING SYSTEM AVAILABILITY Untuk perusahaan yang menggantungkan pada jaringan digital dalam operasi dan mendapatkan pendapatan, seperti Airline harus memastikan bahwa sistem dan aplikasi mereka selalu tersedia. Online transaction processing, transaksi yang online dan secara cepat diproses komputer. Fault-tolerant computer systems, terdiri dari hardware, software dan power supply yang menyediakan pelayanan yang terus-menerus dan uninterrupted. High-availability computing, digunakan untuk meminimalkan waktu sistem yang tidak beroperasi.

36 Digital Certificates digunakan untuk mengidentifikasi user dan aset elektronik untuk perlindungan dalam transaksi online. Digital certificates menggunakan pihak ketiga yang terpercaya, certificate authority (CA) untuk memvalidasi identitas user. Contoh CA : VeriSign, IdenTrust dan Australia s KeyPost. Public key infrastructure (PKI), menggunakan public key cryptography bekerja sama dengan CA.

37

38 Controlling Network Traffic Deep Packet Inspection digunakan untuk mensortir prioritas aktivitas ketika online dan mengutamakan akses internet yang lebih penting. Bagi perusahaan yang kurang keahlian dalam menjaga sistem informasi mereka dapat outsource ke managed security service providers (MSSPs).

39 SECURITY ISSUES FOR CLOUD COMPUTING AND THE MOBILE DIGITAL PLATFORM Security in the Cloud Ketika proses terjadi di cloud, akuntability dan tanggung jawab untuk melindungi data merupakan tanggung jawab perusahaan yang memiiki data. Securing Mobile Platform Perangkat mobile yang digunakan untuk mengakses sistem perusahaan harus dilindungi.

40 ENSURING SOFTWARE QUALITY Software metric merupakan penilaian objective dalam bentuk perhitungan. Misalnya jumlah transaksi dalam waktu tertentu. Walkthrough, pengujian yang baik dimulai bahkan sebelum kode ditulis. Debugging dimana eror ditemukan dan dieliminasi. LATHIFAH MUNA ADILAH

41 Pencurian Laptop di Departemen of Veteran Affairs : Pencurian Data Terbesar Sepanjang Masa?

42 Pengendalian pengamanan seperti sistem operasi, sistem kata sandi, dan peringatan deteksinya rentan diterobos

43 Program pengamanan TI secara terpusat tidak dilaksanakan dengan baik oleh karyawan Kebijakan dan mandat pengamanan yang dilakukan lemah Sistem keamanan data yang kacau dan kegagalan kepemimpinan oleh Departemen VA

44 Kurang efektif. Permasalahan ini baru diketahui setelah 2 minggu yang disengaja oleh VA tanpa alasan yang pasti. Namun VA cukup sigap dalam menghadapi masalah ini, seperti melakukan reorganisasi, berkonsultasi dengan layanan pemantauan kredit untuk merencanakan bantuan untuk mereka yang dirugikan.

45 Menegaskan kebijakan Departemen VA kepada karyawan untuk tidak membawa pulang laptop yang berisikan data penting berupa data pribadi veteran militer tersebut Memperbaiki sistem pengamanan data yang ada