1 / 23

Securing information systems

Securing information systems. Kelompok 5 : Lindawati Simamora 1 20810201271 Iffah Rifqi Dit A. 120810201273 Putri Diana M. 120810201291 Eva Fariza 120810201341. Sistem Kerentanan dan Penyalahgunaan. keamanan:

nasim-caldwell
Download Presentation

Securing information systems

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Securing information systems Kelompok 5 : LindawatiSimamora120810201271 IffahRifqiDit A. 120810201273 Putri Diana M. 120810201291 Eva Fariza 120810201341

  2. Sistem Kerentanan dan Penyalahgunaan • keamanan: • Kebijakan, prosedur, dan langkah-langkah teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan, pencurian, atau kerusakan fisik terhadap sistem informasi • kontrol: • Metode, kebijakan, dan prosedur organisasi yang memastikan keamanan aset organisasi; akurasi dan keandalan catatan akuntansi; dan kepatuhan operasional standar manajemen

  3. Sistem Kerentanan dan Penyalahgunaan • kerentanan Internet • Jaringan terbuka bagi siapa saja • Ukuran Internet berarti pelanggaran dapat memiliki dampak yang luas • Penggunaan alamat Internet tetap dengan modem kabel / DSL menciptakan target tetap untuk hacker • VOIP tidak terenkripsi • E-mail, P2P, IM • Interception • Lampiran dengan perangkat lunak berbahaya • Mengirimkan rahasia dagang

  4. Sistem Kerentanan dan Penyalahgunaan • Hacker dan kejahatan komputer • Kegiatan meliputi: • intrusi sistem • kerusakan sistem • Cybervandalism • Gangguan disengaja, perusakan, penghancuran situs Web atau sistem informasi perusahaan

  5. Sistem Kerentanan dan Penyalahgunaan • spoofing • Sniffer • Denial-of-service serangan (DoS) • Distributed denial-of-service serangan (DDoS)

  6. Sistem Kerentanan dan Penyalahgunaan • pencurian identitas • phishing • jahat kembar • pharming • Klik penipuan • Cyberterrorism dan Cyberwarfare

  7. Nilai Bisnis Keamanan dan Kontrol • Sistem komputer gagal dapat menyebabkan kerugian yang signifikan atau total dari fungsi bisnis. • Perusahaan sekarang lebih rentan daripada sebelumnya. • Data pribadi dan keuangan Rahasia • Rahasia dagang, produk baru, strategi • Sebuah pelanggaran keamanan dapat dipotong menjadi nilai pasar perusahaan segera. • Keamanan dan kontrol yang tidak memadai juga melahirkan masalah kewajiban.

  8. Nilai Bisnis Keamanan dan Kontrol • Persyaratan hukum dan peraturan untuk manajemen catatan elektronik dan perlindungan privasi • Peraturan dan prosedur keamanan medis dan privasi: HIPAA • Gramm-Leach-Bliley Act: Membutuhkan lembaga keuangan untuk menjamin keamanan dan kerahasiaan data pelanggan • Sarbanes-Oxley Act: Memberlakukan tanggung jawab pada perusahaan dan manajemen mereka untuk menjaga keakuratan dan integritas informasi keuangan yang digunakan secara internal dan eksternal dirilis

  9. Nilai Bisnis Keamanan dan Kontrol • bukti elektronik • Bukti untuk kejahatan kerah putih sering dalam bentuk digital • Data komputer, e-mail, pesan instan, transaksi e-commerce • Kontrol yang tepat dari data yang dapat menghemat waktu dan uang ketika menanggapi permintaan penemuan hukum • Forensik komputer: • Koleksi ilmiah, pemeriksaan, otentikasi, pelestarian, dan analisis data dari media penyimpanan komputer untuk digunakan sebagai bukti di pengadilan hukum • Termasuk pemulihan ambien dan tersembunyi Data

  10. Membangun Kerangka Keamanan dan Kontrol • Kontrol sistem informasi • Kontrol manual dan otomatis • Pengendalian umum dan aplikasi • kontrol umum • Mengatur desain, keamanan, dan penggunaan program komputer dan keamanan file data secara umum di seluruh infrastruktur teknologi informasi organisasi • Terapkan untuk semua aplikasi komputerisasi • Kombinasi hardware, software, dan prosedur manual untuk menciptakan lingkungan pengendalian secara keseluruhan

  11. Membangun Kerangka Keamanan dan Kontrol • Jenis kontrol umum • kontrol Software • kontrol hardware • Kontrol operasi komputer • Kontrol keamanan data • kontrol implementasi • kontrol administratif

  12. Membangun Kerangka Keamanan dan Kontrol • pengendalian aplikasi • Kontrol tertentu yang unik untuk setiap aplikasi komputerisasi, seperti gaji atau perintah pengolahan • Mencakup prosedur otomatis dan manual • Pastikan bahwa data hanya berwenang yang lengkap dan akurat diproses oleh aplikasi yang • Sertakan: • kontrol input • kontrol pengolahan • kontrol keluaran

  13. Membangun Kerangka Keamanan dan Kontrol • Penilaian risiko: Menentukan tingkat risiko ke perusahaan jika aktivitas atau proses tertentu yang tidak dikontrol dengan baik • Jenis ancaman • Probabilitas kejadian selama tahun • Potensi kerugian, nilai ancaman • Kerugian tahunan yang diharapkan

  14. Membangun Kerangka Keamanan dan Kontrol • kebijakan keamanan • Peringkat risiko informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan-tujuan ini • Drives kebijakan lain • Kebijakan penggunaan diterima (AUP) • Mendefinisikan penggunaan diterima dari sumber daya perusahaan informasi dan peralatan komputasi • kebijakan otorisasi • Menentukan tingkat yang berbeda dari akses pengguna ke aset informasi

  15. Membangun Kerangka Keamanan dan Kontrol • manajemen identitas • Proses bisnis dan alat untuk mengidentifikasi pengguna yang valid dari sistem dan kontrol akses • Mengidentifikasi dan kewenangan berbagai kategori pengguna • Menentukan bagian mana dari pengguna sistem dapat mengakses • Otentikasi pengguna dan melindungi identitas • Sistem manajemen identitas • Menangkap aturan akses untuk berbagai tingkat pengguna

  16. Teknologi dan Alat untuk Melindungi Sumber Daya Informasi • Perangkat lunak manajemen identitas • Yang otomatis melacak semua pengguna dan hak istimewa • Mengotentikasi pengguna, melindungi identitas, mengendalikan akses • otentikasi • sistem sandi • token • Smart card • otentikasi biometrik

  17. Teknologi dan Alat untuk Melindungi Sumber Daya Informasi • Sistem deteksi intrusi: • Monitor hot spot di jaringan perusahaan untuk mendeteksi dan mencegah penyusup • Memeriksa peristiwa seperti yang terjadi untuk menemukan serangan berlangsung • Antivirus dan antispyware software: • Cek komputer untuk kehadiran malware dan sering dapat menghilangkan itu juga • Membutuhkan memperbarui terus-menerus • Manajemen ancaman terpadu (UTM) sistem

  18. Teknologi dan Alat untuk Melindungi Sumber Daya Informasi • Mengamankan jaringan nirkabel • Keamanan WEP dapat memberikan beberapa keamanan dengan: • Menetapkan nama yang unik untuk SSID jaringan, bukan penyiaran SSID • Digunakan dengan teknologi VPN • Wi-Fi Alliance diselesaikan spesifikasi WAP2, menggantikan WEP dengan standar yang lebih kuat • Terus berubah kunci • Sistem otentikasi terenkripsi dengan server pusat

  19. Teknologi dan Alat untuk Melindungi Sumber Daya Informasi • Komputasi-recovery berorientasi • Sistem yang sembuh dengan cepat dengan kemampuan merancang untuk membantu operator menentukan dan kesalahan yang benar dalam sistem multi-komponen • Lalu lintas jaringan pengendali • Dalam inspeksi paket (DPI) • Video dan musik blocking • keamanan outsourcing perusahaan • Penyedia layanan keamanan terkelola (MSSPs)

  20. Teknologi dan Alat untuk Melindungi Sumber Daya Informasi • Mengamankan platform mobile • Kebijakan keamanan harus mencakup dan menutupi persyaratan khusus untuk perangkat mobile • Pedoman penggunaan platform dan aplikasi • Alat manajemen perangkat mobile • otorisasi • catatan persediaan • update kontrol • Mengunci / menghapus perangkat yang hilang • enkripsi • Software untuk memisahkan data perusahaan pada perangkat

  21. Study kasus • 1. Cracking komputer gedung DPR • Komputer di gedung DPR disusupi situs porno. Sebuah alamat situs porno lengkap dengan tampilan gambar-gambar asusilanya tiba-tiba muncul di layar informasi kegiatan DPR yang diletakkan di depan ruang wartawan DPR, Senayan, Jakarta, Senin (2/8). Situs http://www.dpr.go.id berubah menjadi http://www.tube8.com dan situs porno itu tampil lebih kurang selama 15 menit, tanpa bisa ditutup ataupun dimatikan. • Puluhan wartawan yang sedang melakukan peliputan di gedung DPR kemudian serentak mengerumuni. Beberapa terlihat tertawa dan berteriak-teriak setelah melihat gambar-gambar asusila yang silih berganti itu. Pada saat yang sama, wartawan foto juga terus sibuk mengabadikan peristiwa langka di gedung wakil rakyat tersebut. Munculnya situs porno kemudian menjadi perhatian tidak hanya para wartawan, tetapi juga para pengunjung dan tamu dewan. Sementara Kabag Pemberitaan DPR, Suratna, terlihat panik dan berusaha untuk menutup situs penyusup tersebut. Namun demikian, alamat situs porno itu tetap tak bisa dimatikan. Justru, gambar yang tadinya kecil lama-kelamaan makin besar dan nyaris memenuhi layar monitor. Semua usaha yang dilakukan tak berbuah, tiba-tiba sekitar 15 menit kemudian gambar tersebut hilang dengan sendirinya.

  22. 2. Kasus Pembobolan Situs KPU • Pada tahun 2004 situs KPU berhasil dibobol dan tepatnya pada hari Kamis (22/4) Aparat Satuan Cyber Crime Direktorat Reserse Khusus Kepolisian Daerah Metro Jaya  berhasil menangkap Dani Firmansyah(25), yang diduga kuat sebagai pelaku pembobol(hacker) di Pusat Tabulasi Nasional Pemilu Komisi Pemilihan Umum (TNP KPU). • Dani mengakui perbuatannya hanya iseng belaka untuk mengetes sampai dimana sistem keamanan server tnp.kpu.go.id, yang menurut kabar mempunyai sistem keamanan yang berlapis-lapis.Menurut Kepala Polda Metro Jaya Inspektur Jenderal Makbul Padmanagara , motivasi dani menyerang website KPU hanya untuk memperingatkan kepada tim TI KPU bahwa sistem TI seharga Rp. 125 miliar tersebut tenyata tidak aman. • Dikutip dari surat dakwaan ,Dani  melakukan penyerangan terhadap sistem pertahanan website  KPU dari kantornya di PT Danareksa. Pada seranganya yang pertama dia masih mengalami  gagal.Namun ,ternyata dani tidak putus asa.Keesokannya dia kembali menyerang situs  milik lembaga pemilu tersebut.Dia menyerang pada pukul 03.12 dan baru berhasil tembus pada pukul 11.34. Hal itu terjadi selama 10 menit. Setelah berhasil tembus site KPU,dia meng-update nama –nama partai yang ada lalu mengacak jumlah perolehan suara tiap partai dengan mengalikannya 10.Selain itu dia juga mengganti nama-nama peserta pemilu dan sempat membuat geger negeri ini.Menurut jaksa, Dani mengakui serangannya untuk menembus tiga lapis sistem pertahanan website kpu.go.id dari 3 arah berbeda. Itu dilakukan dengan hampir bersamaan. Masing-masing dari kantornya di PT Danareksa, Jakpus; Warnet Warna di Kaliurang, Km 8 Jokjakarta, dan server IRC Dalnet Mesra yang ada di Malaysia.

  23. Thank You

More Related