Upload
rini-ricu
View
17
Download
1
Tags:
Embed Size (px)
DESCRIPTION
PENGELOLAAN JARINGAN DAN MOBILITAS
Citation preview
TUGAS 1
MAKALAH SISTEM TEKNOLOGI INFORMASI
CHAPTER 4 ‘NETWORK MANAGEMENT AND MOBILITY’
CHAPTER 5 ‘IT SECURITY, CRIME, COMPLIANCE, AND CONTINUITY’
KELOMPOK G5 :
PROGRAM MAGISTER MANAJEMEN
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS GAJAH MADA
YOGYAKARTA
2015
1. NUR RAHMAWATI 14K23018
2. PAULA KRISNA 14K23019
3. RINI TRI SUBEKTI 14K23020
4. RISANG CAHYO G 14K23021
BAB 4
PENGELOLAAN JARINGAN DAN MOBILITAS
4. Pendahuluan
Perkembangan teknologi memiliki peranan penting dalam dunia bisnis.
Informasi dapat dengan mudah dikirim dari satu tempat ke tempat yang lain dalam
kurun waktu relatif singkat. Network adalah jaringan dari sistem komunikasi data
yang melibatkan sebuah atau lebih node (sumber-sumber daya seperti terminal,
komputer, printer, dan lain sebagainya) yang dihubungkan dengan jalur transmisi
(link) membentuk suatu sistem. Setiap aspek dari perusahaan tergantung pada
konektivitas (kemampuan node untuk berkomunikasi dan berbagi informasi satu
dengan yang lainnya), dan hampir semua perusahaan ingin memiliki tingkat
mobilitas yang baik dalam aktivitas bisnisnya. Konektivitas dan tingkat mobilitas
erat kaitannya dengan permasalahan jaringan (Network), dimana semua aktivitas
informasi perusahaan dikendalikan oleh jaringan.
4.1. Jaringan Bisnis (Business Networks)
Jaringan bisnis mendukung empat fungsi atau kebutuhan dasar, diantaranya :
1. Mobility (mobilitas) : Aman, handal mengakses dari mana saja dengan
kecepatan yang dapat diterima.
2. Collaboration (kolaborasi): Bekerja sebagai tim atau dengan orang lain,
dengan anggota yang memiliki akses dan berbagi dokumen atau jenis file
lainnya.
3. Relationships (hubungan): Mempertahankan kontak atau interaksi dengan
pelanggan, mitra rantai pasokan, pemegang saham, karyawan, regulator, dan
sebagainya.
4. Search (pencarian): Mencari dan menemukan data, dokumen, spreadsheet,
pesan e-mail, dan sebagainya dengan mudah dan efisien.
Semua fungsi jaringan merupakan traffic (sinyal) dan sirkuit yang
mengirimkan traffic. Jaringan mengirimkan sinyal antara pengirim (sumber) dan
penerima (tujuan). Sinyal membawa suara atau data yang dikirim.
4.1.1. Dasar – dasar Jaringan (Network Basics)
Switching Sinyal Sepanjang Jalur dari Pengirim ke Penerima. Jaringan
mengirimkan sinyal antara pengirim (sumber) dan penerima (tujuan). Sinyal
membawa suara atau data yang dikirim. Jaringan harus terhubung ke jaringan lain,
termasuk Internet. Transmisi sinyal melalui serangkaian jaringan dimungkinkan
oleh switch dan router, yang merupakan perangkat keras, dan node pada jaringan.
Transmisi sinyal oleh switch dan router disebut switching yang terdiri dari :
1. Circuit switching merupakan teknologi yang lebih tua yang digunakan untuk
panggilan telepon. Pelayanan telepon lama (Plain old telephone service_POTS)
dan panggilan telepon kabel yang ditransmisikan, setidaknya sebagian, atas
sirkuit khusus. Karakteristik istimewanya adalah sirkuit tidak dapat digunakan
oleh panggilan lain sampai dengan sesi (hubungan) berakhir.
2. Packet switching: Jalur sinyal digital, dan tidak berdedikasi melainkan
eksklusif. Artinya, jaringan dipecah menjadi beberapa bagian. Sebagai contoh,
sebuah file atau pesan e-mail dibagi menjadi blok yang lebih kecil, yang disebut
paket. Jaringan memecah sebuah file atau pesan email ke dalam sebuah blok
(paket) dengan ukuran yang spesifik. Setiap paket membawa bagian dari file
atau pesan email maupun jaringan informasi seperti alamat IP pengirim, alamat
IP penerima, dan intruksi memberitahu jaringan berapa banyak paket dari file
atau pesan email telah dipecah menjadi paket. ketika paket ditransmisikan
melalui jaringan bersama, seperti internet, mereka akan mengikuti jalur yang
berbeda menuju tujuannya dimana mereka akan disusun kembali menjadi
pesan asli sekalipun paket-paket tersebut telah sampai. Jaringan nirkabel
menggunakan packet switching dan router nirkabel. Router adalah perangkat yang
meneruskan paket-paket dari satu jaringan ke jaringan lain.
Untuk dapat memahami jaringan dan faktor-faktor yang menentukan fungsi dari
jaringan, perlu dipahami terminologi jaringan dasar berikut :
1. Bandwidth: Kapasitas yang melewati jaringan, merupakan ukuran kecepatan
pada data yang dikirim. Bandwidth tergantung pada apa yang digunakan
protokol dan berapa banyak sinyal yang tersedia untuk pengolahan. Semakin
lemah sinyal, semakin rendah bandwidth, dan semakin lambat kecepatan
transmisi.
2. Protocol: Standar yang mengatur bagaimana perangkat jaringan bertukar
informasi.
3. TCP / IP: Transmission control protokol / Internet Protocol adalah protokol
jaringan atau seperangkat protocol Internet.
4. Broadband: Istilah ini adalah singkatan dari bandwidth yang luas. Ini adalah
istilah yang berarti kecepatan transmisi yang cepat. Sebaliknya naarowband
mengacu pada kecepatan yang lambat.
5. Download (speed): Seberapa cepat data dapat diterima dari internet atau
jaringan lainnya, atau seberapa cepat koneksi dapat mengirimkan data ke
komputer atau perangkat mobile.
6. Upload (speed): Seberapa cepat data dapat dikirim ke jaringan atau seberapa
cepat koneksi dapat mentransfer data dari komputer sumber atau perangkat
mobile.
7. Fixed-line broadband: koneksi internet kabel atau DSL. Fixed-line broadband
berbeda dari mobile broadband, dimana menggunakan jaringan sinyal
broadband dan wireless.
8. Mobile broadband: Akses Internet Nirkabel berkecepatan tinggi melalui
modem portabel, telepon, atau perangkat lainnya.
9. 3G: Kependekan dari generasi ketiga dari teknologi telekomunikasi seluler.
Jaringan 3G mendukung layanan multimedia dan broadband. Jaringan 3G
memiliki rentang yang jauh lebih besar karena menggunakan sambungan satelit
besar yang terhubung ke menara telekomunikasi.
10. 4G: Kependekan dari generasi keempat dari teknologi telekomunikasi seluler.
Standar jaringan seluler 4G memungkinkan tingkat transfer data yang lebih
cepat.
4.1.2. 3G dan 4G
Secara umum, pengguna bisa mendapatkan konektivitas nirkabel 4G melalui :
1. WiMAX didasarkan pada standar IEEE 802.16 dan sedang digunakan oleh
Clearwire untuk digunakan besar-besar oleh Sprint, Comcast, dan Time-Warner
Cable untuk memberikan broadband nirkabel.
2. LTE adalah teknologi berbasis GSM yang akan digunakan oleh Verizon, AT &
T, dan T-Mobile.
4.1.3. Networked Devices
Perangkat harus mampu berkomunikasi dengan jaringan berdasarkan proto-
kol. Perangkat jaringan dan teknologi misalnya laptop, PDA, sellular dan ponsel
pintar, wiki, intranet, extranet, GPSs, POS (point of sale) terminal, dan RFID
(radio frequency identification) berkomunikasi dengan jaringan untuk mengirim/
menerima data. Data ini harus cepat dikumpulkan, diolah, dibagikan, dan ditindak
lanjuti. Perangkat nirkabel kaya fitur membuat kolaborasi lebih mudah dan lebih
cepat.
4.1.4. Faktor Evaluasi Jaringan Mobile
Tekanan untuk memberikan layanan yang aman untuk pelanggan dan rekan
bisnis dengan mengurangi biaya, bertanggungjawab terhadap lingkungan, dan
umendukung kebutuhan data 7 kali 24 jam pekerja mobile dan remot telah
meningkatkan permintaan terhadap jaringan perusahaan, Ketika mengevaluasi
solusi jaringan mobile, faktor yang harus dipertimbangkan adalah :
1.Sederhana: Mudah untuk menyebarkan, mengelola dan menggunakan.
2.Terhubung: Selalu membuat koneksi yang terbaik.
3.Cerdas : Bekerja di belakang layar, memudahkan mengintegrasikan dengan
sistem lain
4.Terpercaya : memungkinkan komunikasi yang aman dan handal.
4.2. Jaringan Nirkabel Broadband (Wireless Broadband Networks)
Wireless merupakan jaringan tanpa kabel yang menggunakan udara sebagai
media transmisinya untuk menghantarkan gelombang elektromagnetik. Perusahaan
bergerak menjauh dari adopsi perangkat mobile yang tidak sistematis dan
infrastruktur untuk sebuah strategis yang dibangun di luar dari kemampuan
mobile. Teknologi yang membentuk infrastruktur seluler berkembang,
mengidentifikasi teknologi strategis dan menghindari investasi terbuang sulit tetapi
biaya dan tekanan kompetitif untuk melanjutkannya terus meningkat. Faktor-faktor
yang berkontribusi terhadap mobilitas meliputi:
1. Teknologi wireless terbaru dan terstandar.
2. Jaringan wireless berkecepatan tinggi.
3. Perangkat mobile multitasking.
4. Aplikasi dan OS mobile yang lebih kuat.
Infrastruktur mobile terdiri dari integrasi teknologi, perangkat lunak (software),
dukungam pengukuran keamanan, dan perangkat untuk keamanan untuk
manajemen dan pengiriman komunikasi wireless.
4.2.1. Standar Jaringan Wi-Fi
Wi-Fi adalah teknologi yang memungkinkan komputer untuk berbagi di
jaringan atau koneksi internet nirkabel tanpa menghubungkannya dengan jaringan
komersial. Jaringan Wi-Fi biasanya terdiri dari router, yang memancarkan sinyal,
dan satu atau lebih adapter, yang menerima sinyal dan biasanya melekat pada
komputer. Standar jaringan Wi-Fi adalah :
1. 802.11a
Standar ini berjalan pada 12 saluran dalam spektrum 5 GHz di Amerika Utara,
yang mengurangi masalah gangguan. Data ditransfer sekitar lima kali lebih
cepat dibandingkan dengan 802.11b, meningkatkan kualitas media streaming.
Ini memiliki bandwidth ekstra untuk file besar. Karena standar 802.11a dan b
tidak dioperasikan, data yang dikirim dari jaringan 802.11b tidak dapat diakses
oleh jaringan 802.11a.
2. 802.11g
Standar ini berjalan pada tiga saluran dalam spektrum 2,4 GHz, tetapi pada
kecepatan 802.11a. Hal ini kompatibel dengan standar 802.11b.
3. 802.11n
Standar ini meningkatkan pada 802.11 standar sebelumnya dengan
menambahkan multiple-input-multiple-output (MIMO) dan banyak fitur baru
lainnya. Frekuensi berkisar dari 2,4 GHz sampai 5 GHz dengan data rate sekitar
22 Mbps, tapi mungkin setinggi 100 Mbps.
4.2.2 Wireless Wide Area Networks (WWANS)
Ada tiga jenis umum jaringan mobile: Wide Area Networks (WAN),
WiMAX (Worldwide Interoperability for Microwave Access), dan local area
networks (LAN). WAN untuk komputasi mobile yang dikenal sebagai WWANs
(Wireless Wide Area Networks). Luasnya cakupan WWAN tergantung pada
media transmisi dan generasi nirkabel, yang secara langsung mempengaruhi
ketersediaan layanan. Dua komponen infrastruktur mobile dan nirkabel yaitu
LAN dan WiMAX.
WLAN (Wireless Local Area Network). WLAN adalah jenis jaringan area
lokal yang menggunakan gelombang radio frekuensi tinggi daripada kabel
untuk berkomunikasi antara computers atau perangkat seperti printer, yang
disebut sebagai node pada jaringan. Sebuah WLAN biasanya meluas LAN
kabel yang sudah ada. WLAN dibangun dengan melampirkan titik akses
nirkabel (AP) ke tepi jaringan kabel.
WiMAX. WiMAX Forum (Wimaxforum.org) menggambarkan WiMAX
sebagai "sebuah teknologi berbasis standar yang memungkinkan pengiriman
akses broadband nirkabel mil terakhir sebagai alternatif kabel dan DSL."
WiMAX merupakan broadband nirkabel berbasis 802.16 akses standar yang
dapat menyalurkan data dan suara serves pada jarak hingga 30 mil, tanpa
kabel atau keterbatasan jarak DSL.
4.3 Manajemen Jaringan dan Portal (Network Management and Portals)
Komunikasi yang efektif adalah kunci keberhasilan dalam segala hal dari
kemitraan bisnis untuk hubungan pribadi dan profesional. Dengan beberapa
pengecualian, ketika jaringan turun atau akses diblokir, begitu pula kemampuan
untuk mengoperasikan atau mengfungsikannya. Bayangkan sebuah krisis jaringan
di mana Anda tidak bisa mengakses internet, e-mail, voice-mail, perangkat lunak,
dan data file. Pada kebanyakan perusahaan, karyawan akan tidak akan melakukan
sesuatu tanpa konektivitas jaringan. Kerusakan jelas ketika perusahaan tidak dapat
beroperasi atau memenuhi pesanan termasuk kehilangan penjualan dan
produktivitas, konsekuensi keuangan dari tidak mampu untuk mengirim dan
menerima pembayaran, dan ketidakmampuan untuk memproses penggajian dan
persediaan.
Jaringan infrastruktur sendiri saja tidak meningkatkan kinerja bisnis. Hal ini
karena kemampuan jaringan menggabungkan dengan TI lainnya untuk mendukung
karyawan, menghubungkan lokasi terpencil, layanan pelanggan, dan berkoordinasi
dengan rantai penawaran mitra.
4.3.1 TCP/IP Architecture
Internet protocol suite adalah standar yang digunakan pada hampir semua
layanan jaringan terdiri dari IP (Internet Protocol) dan TCP (Transmission Control
Protocol), atau TCP/IP. TCP/IP adalah satu-satunya protokol jaringan yang paling
populer di dunia, dan menyediakan arsitektur yang membuat kemungkinan
konvergensi. Dalam persiapan untuk transmisi, data yang dan dokumen digital
menjadi paket-paket berdasarkan protokol internet dan dikirim melalui jaringan
komputer packet-switched atau LAN menghubungkan perangkat jaringan melalui
jarak yang relatif pendek.
4.3.2. Kategori Aplikasi Internet
Internet mendukung aplikasi dalam kategori berikut:
1. Penemuan atau pencarian. Penemuan melibatkan browsing, mencari, dan
mengambil informasi. Hal ini dapat melibatkan query, download, dan
memproses informasi dari database. Agen perangkat lunak untuk bersaing
dengan informasi yang luas di Internet dan intranet dapat mengotomatisasi
penemuan.
2. Komunikasi. Perkembangan komunikasi berbasis internet dan nirkabel seperti
podcasting, RSS, dan micro-blogging yang mengubah komunikasi bisnis,
saluran pemasaran, dan manajemen rantai pasokan.
3. Kolaborasi. Kolaborasi online antara individu, kelompok, dan organisasi adalah
umum. Banyak alat dan teknologi yang tersedia, mulai dari pertemuan online
dengan screen sharing untuk mendukung sistem video conference dan
kelompok. Produk kolaborasi perangkat lunak, disebut groupware atau alur
kerja, dapat digunakan pada Internet dan jaringan lainnya.
4.3.3. Network Computing Infrastructures
Intranet adalah jaringan yang melayani kebutuhan informasi internal
perusahaan, dengan menggunakan alat internet. Ekstranet adalah jaringan milik
perusahaan swasta yang menggunakan teknologi IP untuk berbagi sebagian
informasi bisnis dengan aman atau operasi dengan pemasok, vendor, mitra,
pelanggan, atau bisnis lainnya. Extranet dapat menggunakan virtual private
network (VPN). VPN diciptakan menggunakan software khusus dan hardware
untuk mengenkripsi/ mengirim/mendekripsikan transmisi melalui Internet.
4.4. Kolaborasi (Collaboration)
Pesan dan perangkat kolaborasi meliputi media komunikasi yang lebih tua
seperti e-mail, video konferensi, faks, dan IM-dan media baru seperti blog,
podcast, RSS, wiki, VoIP, Web meetings, dan torrents (untuk berbagi file yang
sangat besar). Kelompok kerja melibatkan proses yang bisa sangat kompleks
tergantung pada tugas, faktor manusia, dan mendukung keputusan yang tersedia.
Beberapa karakteristik kerja kelompok adalah:
1. Anggota kelompok mungkin berlokasi di tempat yang berbeda atau bekerja
pada waktu yang berbeda.
2. Anggota kelompok mungkin bekerja untuk organisasi yang sama atau untuk
organisasi yang berbeda.
3. Kelompok dapat berada pada tingkat manajerial tunggal atau beberapa rentang
tingkatan.
4. Beberapa diperlukan data, informasi, atau pengetahuan yang mungkin berlokasi
di banyak sumber, beberapa di antaranya eksternal organisasi.
5. Keahlian di luar anggota tim mungkin diperlukan.
6. Kelompok melakukan banyak tugas, namun kelompok manajer dan analis
berkonsentrasi pada pengambilan keputusan.
Manfaat bekerja dalam kelompok:
1. Kelompok cenderung lebih baik daripada individu pada pemahaman masalah.
2. Anggota kelompok memiliki ego yang tertanam dalam keputusan, sehingga
mereka akan berkomitmen untuk solusi.
3. Kelompok memiliki informasi lebih lanjut (pengetahuan) daripada salah satu
anggota. Grup dapat memanfaatkan pengetahuan ini untuk menciptakan
pengetahuan baru.
4. Kelompok lebih baik daripada individu pada kesalahan penangkapan.
5. Terdapat sinergi (proses dan keuntungan tugas) atau konflik dalam kerja
kelompok.
6. Terdapat keuntungan dan/atau kerugian produktivitas dari kerja kelompok.
4.5 Permasalahan Hukum dan Etika
Manajemen perlu mempertimbangkan isu-isu etika dan sosial, seperti
kualitas kehidupan kerja. Pekerja akan mengalami dampak positif dan negatif yang
terkait dengan lingkungan 24/7 tempat kerja, bekerja dalam komputer menyusun
tim virtual, dan yang terhubung ke handheld yang berdampak pada kesehatan
dapat merusak. Pertimbangkan perkembangan dan implikasinya:
1. Perdebatan DWY (Driving While Yakking).
2. Risiko kesehatan.
3. RF emisi dan SAR.
BAB 5
KEAMANAN, KEJAHATAN, KEPATUHAN, DAN KELANJUTAN IT
5.1. Perlindungan Data dan Operasi Bisnis
Perlindungan data dan operasi bisnis melibatkan beberapa hal berikut:
Membuat data dan dokumen yang tersedia dan dapat diakses sekaligus
membatasi akses.
Mengimplementasikan dan menegakkan prosedur dan kebijakan penggunaan
yang dapat diterima untuk data companyowned (milik perusahaan), hardware,
software, dan jaringan.
Mempromosikan berbagi informasi yang aman dan legal antara orang-orang
dan mitra resmi.
Memastikan kepatuhan terhadap peraturan pemerintah dan undang-undang.
Mencegah serangan dengan memiliki pertahanan gangguan jaringan pada
tempatnya.
Mendeteksi, mendiagnosa, dan bereaksi terhadap insiden dan serangan secara
real time.
Mempertahankan kontrol internal untuk mencegah manipulasi data dan catatan.
Pemulihan yang cetpat atas bencana dan gangguan bisnis.
Perlindungan data dan operasi bisnis menunjukkan kebijakan bisnis, prosedur,
pelatihan, dan rencana pemulihan bencana serta teknologi yang memainkan peran
penting dalam keamanan IT. Keamanan IT meliputi perlindungan informasi,
jaringan komunikasi, dan operasi tradisional dan e-commerce untuk menjamin
kerahasiaan, integritas, ketersediaan, dan penggunaan resmi.
Risiko-risiko IT dapat berasal dari dalam dan luar organisasi, seperti
cybercriminal organisasi atau malware. Malware adalah singkatan dari perangkat
lunak berbahaya, mengacu pada virus, worm, trojan horse, spyware, dan segala
jenis lainnya dari program yang mengganggu, merusak, atau tidak diinginkan.
Secara umum, langkah-langkah keamanan TI telah berfokus pada perlindungan
terhadap orang luar dan malware. Keamanan IT sangat integral dengan tujuan
bisnis yang tidak dapat diperlakukan sebagai fungsi yang berdiri sendiri.
Kegagalan memiliki dampak langsung terhadap kinerja bisnis, pelanggan, mitra
bisnis, dan stakeholder karena dapat menyebabkan denda, tindakan hukum, dan
penurunan tajam atas harga saham dikarenakan investor bereaksi terhadap krisis
tersebut.
Ancaman internal atas risiko IT adalah tantangan utama perusahaan yang
dilakukan oleh sebagian besar karyawan yang dapat melaksanakan aktivitas
berbahaya dalam perusahaan. Dengan hadirnya popularitas eReaders, netbook,
Google Chrome OS, Facebook, YouTube, Twitter, LinkedIn, dan jaringan sosial
lainnya, keamanan akan IT semakin memburuk. Jaringan sosial dan cloud
computing dengan penggunaan jaringan meningkatkan kerentanan risiko IT
dengan menyediakan satu titik kegagalan dan serangan untuk jaringan kejahatan
yang terorganisir.
Phishing adalah upaya penipuan yang bertujuan untuk mencuri informasi
rahasia seseorang dengan berpura-pura menjadi organisasi yang sah, seperti
PayPal, bank, perusahaan kartu kredit, atau kasino. Pesan phishing menyertakan
link ke situs Web phishing sehingga penipuan yang terlihat seperti yang asli.
Penjahat menggunakan Internet dan jaringan swasta untuk membajak sejumlah
besar PC untuk memata-matai pengguna, spam mereka, memeras bisnis, dan
mencuri identitas. Ada beberapa factor yang mendukung kejahatan dalam IT, yaitu
kekeliruan atau kesalahan manusia; gangguan system; dan Ketidakpahaman akan
pengaruh penambahan software yang tidak kompatibel dengan sistem yang ada.
Manipulasi mesin pencari (search engine) merupakan metode yang
digunakan oleh penjahat cyber dalam mengeksploitasi algoritma mesin pencari
untuk posisi situs Web hack yang tinggi dalam hasil peringkat. Manipulasi drive
dapat dicontohkan seperti pengguna web ke situs berbahaya, seperti halaman
umpan yang menawarkan antivirus palsu atau warez (software bajakan, game,
musik, dll). Data harus dilindungi dari skema serangan yang ada sekarang dan di
masa depan, pertahanan IT harus sesuai dengan peraturan pemerintah dan
peraturan internasional yang semakin ketat.
Dua model yang diterima untuk IT governance adalah manajemen risiko
perusahaan (Enterprise Risk Management_ERM) dan pengendalian tujuan
informasi dan teknologi terkait (Control Objectives for Information and Related
Techology_COBIT). ERM adalah pendekatan berbasis risiko untuk mengelola
perusahaan yang mengintegrasikan pengendalian internal dan perencanaan
strategis. ERM dimaksudkan untuk menjadi bagian dari proses perencanaan rutin
dengan inisiatif terpisah. COBIT adalah kerangka kontrol untuk menyelaraskan IT
dengan tujuan bisnis, memberikan nilai, dan mengelola risiko yang terkait. COBIT
dinilai telah berhasil pada tingkat yang lebih tinggi dalam menangani risiko
keamanan yang ditimbulkan oleh entri yang tidak sah dan pengungkapan informasi
rahasia. Hal Ini jelas menunjukkan apa yang harus dikelola sehubungan dengan
tujuan pengendalian, tetapi tidak menunjukkan bagaimana merancang,
menerapkan dan memelihara sistem manajemen risiko. Kriteria Trust Services
'digunakan sebagai model untuk fokus pada daerah-daerah yang berhubungan
dengan fungsi merancang, menerapkan dan memelihara system manajemen risiko.
Untuk menerapkan kriteria Trust Services dalam mengelola risiko penyusupan,
maka perlu untuk melihat beberapa hal berikut (AICPA/CICA, 2003):
Keamanan: Sistem dilindungi dari akses yang secara fisik dan logis tidak sah.
Privasi online: Informasi pribadi yang diperoleh sebagai hasil dari e-commerce
dikumpulkan, digunakan, disimpan dan diungkapkan sebagaimana yang telah
dijanjikan.
Kerahasiaan: Informasi ditetapkan sebagai rahasia yang dilindungi sebagaimana
yang telah dijanjikan
Kelompok industri memberlakukan standar mereka sendiri untuk melindungi
pelanggan, citra merek anggotanya, dan pendapatan mereka. Salah satu contoh
adalah Industri Kartu Pembayaran Standar Keamanan Data (Payment Card
Industry Data Security Standart_PCI DSS), yang dibuat oleh Visa, MasterCard,
American Express, dan Discover. PCI DSS diperlukan untuk semua anggota,
pedagang, atau penyedia jasa yang menyimpan, mengolah, atau mengirimkan data
pengguna kartu.
Pertahanan dari dalam (defense-in-depth) adalah pendekatan berlapis untuk
keamanan informasi. Prinsip dasarnya adalah bahwa ketika satu lapisan pertahanan
gagal, maka lapisan lainnya akan memberikan perlindungan. Adapun metode dari
defense-in-depth ini, dapat dilihat dari beberapa langkah berikut :
a. Komitmen dan dukungan manajemen senior.
Pengaruh manajer senior dibutuhkan untuk melaksanakan dan menjaga
keamanan, standar etika, praktik privasi, dan pengendalian internal. Komite
Organisasi Sponsoring Komisi Treadway (COSO, 1992) mendefinisikan
pengendalian internal sebagai proses yang dirancang untuk memberikan
keyakinan memadai atas operasi yang efektif dan pelaporan keuangan yang
dapat diandalkan.
b. Kebijakan penggunaan yang dapat diterima (acceptable use policy_AUP) dan
pelatihan keamanan IT.
Langkah berikutnya dalam membangun sebuah program keamanan TI yang
efektif adalah untuk mengembangkan kebijakan keamanan dan memberikan
pelatihan untuk memastikan bahwa semua orang menyadari dan memahami
program tersebut. Paling penting adalah kebijakan penggunaan yang dapat
diterima (acceptable use policy_AUP) yang menginformasikan pengguna dari
tanggung jawab mereka. Sebuah AUP diperlukan karena dua alasan:
(1) Mencegah penyalahgunaan informasi dan sumber daya komputer.
(2) Mengurangi paparan denda, sanksi, dan tanggung jawab hukum.
AUP perlu menetapkan pengguna tanggung jawab, tindakan yang dapat
diterima dan tidak dapat diterima, dan konsekuensi dari ketidakpatuhan. E-
mail, Internet, dan AUPs komputer harus dianggap sebagai perpanjangan dari
kebijakan perusahaan lainnya, seperti yang menangani keselamatan fisik,
kesempatan yang sama, pelecehan, dan diskriminasi.
c. Prosedur keamanan dan penegakan/pelaksanaan IT.
Jika aktivitas pengguna tidak dimonitor untuk kepatuhan, AUP tidak berguna.
Oleh karena itu, langkah selanjutnya adalah menerapkan prosedur monitoring,
pelatihan, dan penegakan AUP. Bisnis tidak mampu membayar biaya yang tak
terbatas untuk keamanan yang sempurna, sehingga mereka menghitung
tingkat perlindungan yang tepat. Perhitungan ini didasarkan pada eksposur
risiko aset digital '.
d. Hardware dan software.
Langkah terakhir dalam model ini adalah implementasi perangkat lunak dan
perangkat keras yang diperlukan untuk mendukung dan menegakkan AUP dan
praktek yang aman. Perlu diingat bahwa keamanan adalah proses yang
berkelanjutan dan tak berujung, bukan masalah yang dapat diselesaikan
dengan perangkat keras atau perangkat lunak. pertahanan keamanan berupa
hardware dan software tidak bisa melindungi perusahaan dari praktek bisnis
yang tidak bertanggung jawab.
5.2 Kerentanan dan Ancaman IS
Salah satu kesalahan terbesar manajer adalah meremehkan kerentanan dan
ancaman IT. Ancaman ini dapat diklasifikasikan sebagai berikut :
Ancaman yang tidak disengaja
Kesalahan manusia dapat terjadi dalam,desain perangkat Keras Sistem
Informasi. Kesalahan manusia juga termasuk pengguna yang regular tidak
terlatih atau regular tidak menyadari menanggapi phishing atau mengabaikan
prosedur pengajian keamanan. Kesalahan manusiaberkontribusi pada sebagian
Besar Pengendalian intern Dan masalah infosec.
Bahaya lingkungan termasuk gunung berapi, gempa bumi, badai salju, banjir,
gangguan listrik atau fluktuasi yang kuat, kebakaran, ACrusak, ledakan,
kejatuhan radioaktif, dan kegagalan pendinginan air-Sytem. Bahaya tersebut
dapat mengganggu operasi kompute rnormal dan mengakibatkan waktu tunggu
yang panjang dan biaya selangit sementara menunggu program komputer dan
file data yang diciptakan kembali.
Kegagalan sistem komputer dapat terjadi sebagai hasil dari manufaktur yang
buruk, bahan yang rusak, dan jaringan usang atau kurang terpelihara.
Ancaman Yang Disengaja
Hacker cenderung melibatkan orang dalam yang tidak dicuriga dalam
kejahatan, menggunakan taktik yang disebut social engineering. Dari perspektif
infosec, rekayasa sosial telah digunakan oleh penjahat atau mata-mata perusahaan
untuk mengelabui orang dalam untuk mengungkapkan informasi atau akses kode
yang tidak seharusnya diketahui orang luar. Sebuah taktik yang umum digunakan
oleh hacker untuk mendapatkan akses jaringan adalah untuk memanggil karyawan,
berpura-pura menjadi administrator jaringan yang ingin memecahkan suatu
masalah serius. Untuk mengatasi masalah tersebut, mereka membutuhkan
karyawan untuk memberikan password mereka. Pencipta malware juga telah
menggunakan rekayasa sosial untuk memaksimalka njangkauan atau dampak
virus, worm, dan sebagainya. Hacker White-hat melakukan hacking secara etis,
seperti melakukan tespenetrasi pada sistem klien atau mencari internet untuk
menemukan titik lemah sehingga bisa diperbaiki.
Serangan IT. Dua jenis dasar serangan yang disengaja adalah gangguan data
dan pemrograman serangan. Gangguan data adalah suatu sarana umum yang
dibayangi oleh jenis-jenis serangan. Gangguan data sangat serius karena mungkin
tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang dalam dan
penipu. Serangan pemrograman populer dengan penjahat yang menggunakan
pemrograman teknologi untuk memodifikasi program komputer lainnya. Contoh
malware adalah virus, worm, dan trojan horse. Malware dapat digunakan untuk
meluncurkan serangan penolakan layanan. Sebuah serangan DoS terjadi ketika
server atau situs web menerima lalu lintas lebih banyak atau permintaan untuk
layanan daripada yang dapat menangani,sehingga menyebabkan kekacauan.
Sebuah metode serangan yang universal adalah virus, yang merupakan kode
komputer. Sebuah worm menebar tanpa campur tangan manusia, seperti
memeriksa e-mail atau transmisifile. Worms menggunakan jaringan untuk
menyebarkan dan menginfeksi apapun yang menyertainya termasuk komputer,
flashdisk, situsweb, dan server. Trojan horse yang dirujuk sebagai backdoors
karena mereka menyerang akses secara ilegal ke jaringan atau rekening melalui
port jaringan. Sebuah port jaringan adalaha ntarmuka fisikuntuk komunikasi antara
komputerdan perangkat lain pada jaringan. Trojan administrasi adalah kelas
backdoors yang memungkinkan pengendalian jarak jauh atas mesin yang
dikompromikan.
Target Serangan Dalam Usaha. Rahasia perusahaan dan pemerintah saat ini
dicuri oleh ancaman serius yang disebut ancaman terus-menerus maju (APT).
Kebanyakan serangan APT yang diluncurkan melalui phising. APTs dirancang
untuk spionase jangka panjang, setelah diinstal pada jaringan, APTs mengirimkan
salinan dokumen, seperti file microsoft office dan PDF, dalam mode yang tidak
terlihat. APTs mengumpulkan dan menyimpan file pada jaringan perusahaan,
mengenkripsinya, kemudian mengirimkannya dalam server, biasanya terjadi di
Cina. Serangan APT dirancang untuk tetap tidak terdeteksi dalam rangka untuk
mengumpulkan informasi selama periode berkepanjangan. Jenis serangan telah
diamati dalam pelanggaran identifikasi data skala besar lain yang terkena.
Obnets. Sebuah botnet adalah kumpulan bots. komputer-komputer yang
terinfeksi, yang disebut hantu, dapat dikontrol dan diatur dalam sebuah jaringan
pada perintah dari botmaster. Botnet mengekspos komputer yang terinfeksi, serta
komputer jaringan lainnya, terhadap ancaman berikut:
Spyware
Adware
Spam
Phising
DoS Attacks
Botnet sangat berbahaya karena memindai dan kompromi komputer lain, dan
dapat digunakan untuk setiap jenis kejahatan dan serangan terhadap komputer,
server, dan jaringan.
Pertahan Malware Dan Botnet. Tiga pertahanan penting adalah sebagai
berikut:
1. Software Antivirus. Alat anti malware yang dirancang untuk mendeteksi kode
berbahaya dan mencegah pengguna men-download. Mereka juga dapat
memindai sistem untuk kehadiran worm, trojan horse, dan jenis-jenis ancaman.
2. Sistem deteksi Instrusion. Seperti namanya, sebuah IDS memindai tidak biasa
atau mencurigakan lalu lintas. Sebuah IDS dapat mengidentifikasi DoS Attack
dari awal oleh pola lalu lintas, waspada administrasi jaringan yang mengambil
tindakan defensif, seperti beralih ke alamat IP lain dan mengalihkan server
kritis dari jalur serangan.
3. Sistem pencegahan Instrusion. Sebuah IPS dirancang untuk segera mengambil
tindakan, seperti memblokir alamat IP, setiap kali anomali arus lalu lintas
terdeteksi.
5.3 Penipuan, Kejahatan dan Pelanggaran
Lingkup penipuan mengacu pada penyalahgunaan yang disengaja atas aset
seorang majikan untuk keuntungan pribadi. Audit internal dan pengendalian
internal sangat penting untuk pencegahan dan deteksi adanya penipuan. Ada
beberapa jenis fraud, yaitu korupsi atas manajemen operasi; konflik kepentingan;
penyuapan; penggelapan atau penyalahgunaan; penipuan pelaporan leuangan
manajemen senior; dan penipuan siklus akuntansi. Tindakan pencegahan penipuan
internal didasarkan pada kontrol yang sama yang digunakan untuk mencegah
intrusi teknologi-perimeter pertahanan eksternal, seperti firewall, e-mail scanner,
dan akses biometrik. pencegahan juga didasarkan pada sumber daya manusianya
(SDM), seperti pemeriksaan perekrutan dan pelatihan.
Pelanggaran terhadap keamanan juga melibatkan pencurian atau menawarkan
data secara ilegal untuk mereka yang tidak pernah dimaksudkan untuk
memilikinya (Bradley, 2008). Seorang hacker biasanya didefinisikan sebagai
seseorang yang mencoba untuk membobol sistem komputer karena adanya
kemampuan pemrograman atau pengetahuan teknis yang memadai untuk
mengidentifikasi kelemahan dalam sebuah sistem (Lamprecht, 2004).
5.4 Informasi Jaminan dan Manajemen Risiko
Sebelum membuat keputusan mengenai pertahanan, orang yang bertanggung
jawab atas keamanan harus memahami persyaratan dan operasi bisnis, yang
membentuk dasar bagi strategi pertahanan yang disesuaikan.
Strategi Pertahanan
Strategi pertahanan dan pengendalian yang digunakan tergantung pada hal apa
yang perlu dilindungi dan analisis biaya manfaat. Berikut hal-hal yang
dimaksudkan adalah:
1. Pencegahan dan penangkalan. Pengendalian yang dirancang dengan baik dapat
mencegah kesalahan yang terjadi, mencegah penjahat menyerang sistem, dan
lebih baik lagi, menolak akses ke orang yang tidak sah.
2. Deteksi. Sepertifire, sebelum serangan terdeteksi, semakin mudah untuk
memerangi dan semakin sedikit kerusakan yang dilakukan.
3. Kendali. Meminimalkan kendali atau batas kerugian besar setelah kerusakan
terjadi. Hal ini juga disebut kerusakan pengendalian.
4. Pemulihan. Sebuah rencana pemulihan menjelaskan bagaimana memperbaiki
sistem informasi yang rusak secepat mungkin.
5. Koreksi. Mengoreksi penyebab sistem yang rusak dapat mencegah masalah
terjadi lagi.
6. Kesadaran dan kepatuhan. Semua anggota organisasi harus dididik tentang
bahayadan harus sesuai dengan aturan dan peraturan keamanan.
Pengendalian Umum
Keamanan fisik mengacu pada perlindungan fasilitas komputer dan sumber
daya. Ini termasuk melindungi kekayaan fisik seperti komputer, pusat data,
software, manual, dan jaringan. Keamanan fisik disesuaikan kebeberapa
pengendalian, seperti berikut:
Desain yang tepat dari pusat data
Perisai terhadap medan elektromagnetik
Pencegahan api, deteksi, dan sistem penghapusan, termasuk sistem pemancar,
pompa air, dan fasilitas saluran yang memadai
Mematikan daya secara darurat dan cadangan baterai
Perancangan, Pengaturan, dan mengoperasikan sistem pendingin udara dengan
baik
Motion detektor alarm yang dapat mendeteksi gangguan fisik
Pengendalian akses.
Pengendalian akses adalah manajemen yang ada dan tidak diperkenankan
secara sah menggunakan perangkat keras dan perangkat lunak perusahaan.
Metode pengendalian akses, seperti firewall dan daftar pengendalian akses,
membatasi akses ke jaringan, database, file, atau data. Metode otentikasi meliputi:
Sesuatu yang hanya pengguna tahu, seperti password
Sesuatu yang hanya pengguna miliki, seperti kartu pintar atau token
Sesuatu yang merupakan karakteristik dari pengguna, seperti tanda tangan,
suara, sidik jari, atau retina scan, dilaksanakan melalui kontrol biometrik, yang
dapat secara fisik atau perilaku.
Pengendalian Biometrik.
Sebuah pengendalian biometrik adalah metode otomatis untuk memverifikasi
identitas seseorang, berdasarkan karakteristik fisik atau perilaku. Kebanyakan
sistem biometrik cocok dengan beberapa karakteristik pribadi terhadap profil yang
disimpan. Contoh biometrik umum antara lain :
Sidik Ibu Jari dan sidik jari
Scan Retina
ScanVoice
Tanda Tangan
Pengendalian administratif.
Pengendalian administratif berurusan dengan penerbitan pedoman dan
pemantauan kepatuhan terhadap pedoman.
Pengendalian aplikasi .
Serangan canggih ditujukan pada tingkat aplikasi, dan banyak aplikasi yang
tidak dirancang untuk menahan serangan tersebut. Agen yang cerdas, juga disebut
softbots atau knowbots, yang mengadaptasi aplikasi tingkat tinggi. Istilah
umumnya berarti aplikasi yang memiliki beberapa derajat reaktivitas, otonomi,
dan kemampuan beradaptasi, seperti yang diperlukan dalam situasi serangan yang
tak terduga.
Kemanan dan Pengendalian Endpoint .
Banyak manajer meremehkan risiko usaha yang ditimbulkan oleh perangkat
penyimpanan portabel yang tidak terenkripsi, adalah contoh dari endpoint. Bisnis
data sering dilakukan pada ibu jari driver, smartphone, dan kartu memori yang
dapat dilepas tanpa izin TI, pengawasan, atau perlindungan yang memadai
terhadap kehilangan atau pencurian.
5.5 Keamanan Jaringan
Sebagai pembelaan, perusahaan perlu mengimplementasikan pengendalian
akses jaringan (NAC) produk. Alat NAC berbeda dari teknologi keamanan
traditonal dan praktik yang berfokus pada akses file. Teknologi NAC, di sisi lain,
membantu bisnis mengunci jaringan mereka untuk melawan penjahat. Ukuran
keamanan jaringan melibatkan tiga jenis pertahanan, yang disebut sebagai lapisan:
Lapisan pertama. Perimeter keamanan untuk mengontrol akses ke jaringan.
Lapisan kedua. Otentikasi untuk memverifikasi identitas orang yang meminta
akses ke jaringan.
Lapisan ketiga. Otorisasi pengendalian dikonfirmasi yang pengguna dapat
lakukan setelah mereka diberi akses ke jaringan.
Perimeter Keamanan dan Firewall
Tujuan utama dari keamanan perimeter adalah pengendalian akses. Teknologi
yang digunakan untuk melindungi terhadap malware juga melindungi perimeter.
Firewall adalah sistem ataus ekelompok sistem, yang memaksa kebijakan
pengendalian akses antara dua jaringan. Fungsi Firewall adalah memutuskan
perizinan lalu lintas masuk dan keluar dari jaringan dan apa lalu lintas mana yang
harus diblokir. Firewall dikonfigurasi untuk menegakkan prosedur keamanan
perusahaan dan kebijakan. Sebuah jaringan memiliki beberapa firewall, tetapi
mereka masih tidak bisa menghentikan semua malware.
Jaringan dan Kuasa Otentikasi
Phising dan mengidentifikasi pencurian otentikasi yang lemah, dan username
dan password tidak menawarkan otentikasi yang kuat, diperlukan metode lain. Ada
dua faktor otentikasi dan otentikasi duatier. Dengan dua faktor otentikasi,
informasi lain yang digunakan untuk memverifikasi identitas pengguna, seperti
biometrik.
Mengamankan Jaringan Wireless
Jaringan Wireless lebih sulit untuk dilindungi daripada wireline. Semua
kerentanan yang ada dalam jaringan wireline berlaku konvensional untuk
teknologi wireless. Data sensitif yang tidak dienkripsi atau dienkripsi dengan
teknik kriptografi yang lemah digunakan untuk wireless, seperti wired equivalent
privacy, dan yang ditransmisikan antara dua wireless, kurangnya perangkat, dapat
disadap dan diungkapkan.
5.6 Pengendalian Internal dan Kepatuhan
Lingkungan pengendalian internal adalah suasana kerja yang dibentuk oleh
perusahaan untuk karyawannya. Pengendalian internal adalah suatu proses yang
dirancang untuk mencapai hal berikut:
Pelaporan keuangan Handal
Efisiensi Operasional
Kepatuhan terhadap hukum, peraturan, dan kebijakan
Penjagaan Aset
Kontrol Internal diperlukan untuk Kepatuhan
Sarbanes Oxley Act (SOX) adalah undang-undang anti penipuan. Hal ini
memaksa pelaporan bisnis yang lebih akurat dan pengungkapan pelanggaran
GAAP, sehingga perlu untuk menemukan dan membasmi penipuan. SOX
mengharuskan perusahaan untuk mengatur pengendalian internal yang
komprehensif. Tidak ada pernyataan SOX, dan ketentuan yang rumit dan mahal
yang mengharuskan perusahaan publik untuk mengikuti aturan, berdampak besar
pada akuntansi keuangan perusahaan. SOX dan SEC memberikan penjelasan
bahwa jika pengendalian dapat diabaikan, maka pengendalian hilang. Oleh karena
itu, untuk pencegahan penipuan dan pendeteksian memerlukan sistem pemantauan
yang efektif. Jika perusahaan menunjukkan kepada karyawannya bahwa ia dapat
mengetahui segala sesuatu yang setiap karyawan lakukan dan menggunakan bukti
untuk mengadili orang tersebut sepenuhnya secara hukum, maka perasaan bahwa
"saya harus lolos" turun drastis. SOX membutuhkan pendekatan yang luas untuk
kepatuhan perusahaan, pengendalian internal, manajemen risiko karena mereka
tidak dapat menangani dengan bentuk perspektif satuan departemen atau bisnis.
Peraturan Anti Penipuan Worldwide
Penipuan atau pencucian uang operasi internal dapat merusak sektor
keuangan, pasar modal, dan, sebagai akibatnya, perekonomian suatu negara.
Sebuah pasar modal adalah setiap pasar di mana pemerintah atau perusahaan dapat
mengumpulkan uang untuk membiayai operasi dan investasi jangka panjang.
Mengelola risiko telah menjadi masalah yang paling penting bagi regulator dan
lembaga keuangan. Selama bertahun-tahun, institusi ini telah menderita biaya
tinggi untuk mengabaikan eksposur mereka terhadap risiko. Namun,berkembang
penelitian dan peningkatan IT telah meningkatkan pengukuran dan pengelolaan
risiko.
5.7 Kelangsungan Bisnis dan Audit
Sebuah elemen penting dalam sistem rencana keamanan atas kelangsungan
bisnis, juga dikenal sebagai rencana pemulihan bencana yang menguraikan proses
dimana bisnis harus pulih dari bencana besar. Penghancuran semua (atau sebagian
besar) dari fasilitas komputasi dapat menyebabkan kerusakan yang signifikan.
Audit merupakan bagian penting dari setiap sistem kontrol. Audit dapat dilihat
sebagai lapisan tambahan perlindungan atau kontrol. Hal ini dianggap sebagai
penghalang untuk tindakan kriminal, terutama bagi orang dalam. Melaksanakan
program keamanan menimbulkan banyak masalah etika. Secara khusus, langkah-
langkah keamanan IT yang diperlukan untuk melindungi terhadap kerugian,
tanggung jawab, dan litigasi. Kerugian tidak hanya keuangan, tetapi juga termasuk
hilangnya informasi, pelanggan, mitra dagang, citra atas merek, dan kemampuan
untuk melakukan bisnis, karena tindakan hacker, malware, atau karyawan.
DAFTAR PUSTAKA
Turban, Efraim & Linda Volonino. 2012. Information Technology for
Management. International Student Version. Edition 8th. John Wiley & Sons
(Asia) Pte Ltd.
H. M., Jogiyanto. 2010. Sistem Teknologi Informasi. Yogyakarta : Andi Offset,
third edition.