Saya tertarik dengan hal yang bersifat rahasia, waktu kecil cita-cita saya ingin jadi agen rahasia untuk memberantas kejahatan di dunia seperti di film spy kids dan mission imposible. maka dari itu saya memilih Bab 4 tentang Information Security (Keamanan Informasi)
KEAMANAN INFORMASI
Waktu ikut pramuka mengenal yang dinamakan sandi morse, sandi rumput, dan lain - lain, itu adalah cara untuk menyembunyikan pesan rahasia, suatu informasi dirahasiakan karena sangat penting.
Keamanan informasi : melindungi informasi dan sistem
informasi organisasi dari akses yang tidak sah, penggunaan, pengungkapan,
gangguan, modifikasi, atau perusakan.
- Ada lima faktor kunci berkontribusi terhadap
meningkatnya kerentanan/kelemahan sumber daya organisasi informasi, sehingga jauh lebih
sulit untuk mengamankan mereka:
1. Evolusi sumber daya teknologi informasi dari
mainframe sangat kompleks, saling berhubungan, saling
tergantung, lingkungan bisnis nirkabel jaringan saat ini.
Contoh: internet.
2. Mencerminkan fakta bahwa komputer modem dan perangkat
penyimpanan terus menjadi lebih kecil, lebih cepat, lebih murah, dan lebih
portabel, dengan kapasitas penyimpanan yang lebih besar.
Contoh: netbook, smartphone, iPad.
3. Keterampilan komputasi yang diperlukan untuk menjadi
seorang hacker menurun. alasannya adalah bahwa internet berisi informasi dan
komputer program yang disebut naskah yang pengguna dengan beberapa keterampilan
dapat men-download dan digunakan untuk menyerang sistem informasi yang
terhubung ke internet.
4. Internasional yang diselenggarakan mengambil kejahatan
cybercrime (kegiatan ilegal dilakukan di internet)
5. Kurangnya dukungan manajemen. Seluruh organisasi
untuk mengambil kebijakan serius untuk menata prosedur keamanan.
- Ancaman disengaja untuk sistem informasi :
Eror Manusia (Human Errors)
Kesalahan oleh karyawan menimbulkan masalah besar sebagai
akibat dari kemalasan, kecerobohan, atau kurangnya kesadaran tentang keamanan
informasi.
Rekayasa Sosial (Social Engineering)
mendapatkan sistem keamanan dengan cara menipu
pengguna komputer dalam sebuah perusahaan untuk mengungkapkan informasi
sensitif atau mendapatkan hak akses tidak sah.
- Ancaman yang disengaja untuk sistem informasi
Ada banyak jenis ancaman disengaja untuk sistem informasi. ada 10 yaitu :
1 spionase atau pelanggaran
2 Informasi pemerasan
3 sabotase atau vandalisme
4. pencurian equiptment atau informasi
5. mengidentifikasi pencurian
6 kompromi untuk kekayaan intelektual
7 serangan software
8 software asing
9. pengawasan kontrol dan akuisisi data (SCADA) attaks
10 cyberterrorism dan cyberwarface
Organisasi melakukan untuk melindungi sumber daya informasi dengan cara :
organisasi menghabiskan banyak waktu dan uang
melindungi sumber daya informasi, sebelum melakukannya, mereka melakukan
manajemen Risiko.
Risiko adalah kemungkinan bahwa ancaman akan berdampak
sumber informasi. Tujuan manajemen risiko adalah untuk mengidentifikasi, mengontrol, dan meminimalkan dampak dari ancaman. terdiri dari 3 proses :
1.Analisis Risiko (Risk Analysis)
a. menilai nilai setiap aset dilindungi.
b. memperkirakan probabilitas bahwa setiap aset akan
compromissed
c. membandingkan biaya kemungkinan aset yang dikompromikan
dengan biaya melindungi nilai transaksi itu.
2. Mitigasi risiko (Risk Mitigation)
a. menerapkan kontrol untuk mencegah ancaman diidentifikasi
dari terjadi.
b. mengembangkan sarana pemulihan harus threath yang menjadi
kenyataan.
Risiko strategi mitigasi bahwa organisasi dapat mengadopsi
tiga yang paling umum :
1. Penerimaan risiko (Risk acceptable) : strategi di mana organisasi menerima
risiko potensial, terus beroperasi tanpa kontrol, dan menyerap kerugian yang
terjadi
2. Batasan risiko (Risk limitation): strategi di mana organisasi membatasi
risiko dengan menerapkan kontrol yang meminimalkan dampak ancaman.
3. Transfer Risiko (Risk transferences): strategi di mana organisasi
mentransfer risiko dengan menggunakan cara lain untuk mengkompensasi kerugian
seperti dengan membeli asuransi.
3. Pengendalian Evaluasi (Controls Evaluation)
organisasi memeriksa biaya pelaksanaan tindakan pengendalian
yang memadai terhadap Dolar AS nilai dari tindakan pengendalian.
- Kontrol Keamanan Informasi (Information Security Control)
Kontrol Fisik (Physical Control) : mencegah orang yang tidak sah dari mendapatkan
fasilitas perusahaan. Kontrol fisik umum termasuk tekanan dinding, pintu,
pagar, gerbang, kunci, lencana, penjaga, dan sistem alarm.
Kontrol Akses (Access Control)
Dalam bidang keamanan fisik dan keamanan informasi, kontrol
akses adalah pembatasan selektif akses ke tempat atau bertindak resource.The
lain untuk mengakses bisa berarti mengkonsumsi, memasuki, atau menggunakan.
Izin untuk mengakses sumber daya disebut otorisasi.
Otentikasi untuk mengidentifikasi petugas yang berwenang,
organisasi dapat menggunakan satu atau lebih metode berikut: sesuatu yang
pengguna adalah, sesuatu yang pengguna memiliki, beberapa hal pengguna tidak, dan atau pengguna mengetahuinya.
Kontrol Komunikasi(Communication Control)
kontrol yang deat dengan pergerakan data melalui jaringan
Jaringan kontrol mengamankan pergerakan data melalui
jaringan. komunikasi kontrol terdiri :
- firewall : sistem (hardware chiter, software, atau
kombinasi keduanya) yang mencegah jenis tertentu informasi dari bergerak antara
jaringan yang tidak dipercaya, seperti internet, dan jaringan pribadi.
- sistem anti-malware: paket (antivirus) atau perangkat
lunak yang berusaha menangkap mengidentifikasi dan menghilangkan virus dan worm
(malware) dan software berbahaya lainnya.
- Memperbolehakan Akses (whitelsiting) dan Tidak memperbolehakan Akses (blacklisting)Whitelisting: sebuah proses di mana sebuah perusahaan mengidentifikasi perangkat lunak yang dapat diterima dan memungkinkan untuk berjalan, dan baik mencegah apa pun dari berjalan atau memungkinkan software baru dijalankan dalam lingkungan quarantinrd sampai perusahaan dapat memverifikasi validitasnya.
Blacklisting: proses di mana sebuah perusahaan mengidentifikasi jenis tertentu dari perangkat lunak yang tidak diperbolehkan untuk dijalankan dalam lingkungan perusahaan.
- EnkripsiEnkripsi dapat digunakan untuk tujuan keamanan, tetapi teknik lain masih diperlukan untuk membuat komunikasi yang aman, terutama untuk memastikan integritas dan autentikasi dari sebuah pesan. Enkripsi telah digunakan untuk mengamankan komunikasi di berbagai negara, hanya organisasi-organisasi tertentu dan individu yang memiliki kepentingan yang sangat mendesak akan kerahasiaan yang menggunakan enkripsi.enkripsi: proses mengubah suatu massa asli menjadi bentuk
yang tidak dapat dibaca oleh siapa pun kecuali berniat penerima. Enkripsi kunci publik (enkripsi asimetris): jenis enkripsi
yang menggunakan dua kunci yang berbeda, kunci publik dan sebuah kunci pribadi.
- Virtual Private Networking (VPN): jaringan pribadi yang
menggunakan jaringan publik untuk secara aman menghubungkan pengguna dengan
menggunakan enkripsi.
- Secure Socket Layer (SSL): standar enkripsi yang digunakan
untuk transaksi yang aman seperti pembelian kartu kredit dan online.
- Employee Monitoring System: sistem yang monitoring komputer karyawan, kegiatan email, dan kegiatan surfing internet.
