PERTANYAAN
1.
Hal
apa yang termasuk dalam keamanan informasi yang tidak termasuk dalam keamanan
sistem?
Jawab:
Ancaman
keamanan informasi (information security threat).
2.
Sebutkan
tiga tujuan keamanan informasi?
Jawab:
1)
Kerahasiaan.
2)
Ketersediaan.
3)
Integritas.
3.
Keamanan
informasi dibagi menjadi dua jenis upaya. Apa sajakah dua jenis upaya ini?
Jawab:
1)
Keamanan
sistem (system security).
2)
Keamanan
informasi (information security).
4.
Apakah
perbedaan antara manajemen risiko dan kepatuhan terhadap tolok ukur?
Jawab:
·
Manajemen risiko dibuat untuk menggambarkan
pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan
dibandingkan dengan risiko yang dihadapinya.
·
Kepatuhan terhadap tolok ukur dapat
diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan
yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolok ukur
tersebut menawarkan perlindungan yang baik.
5.
Jelaskan
mengapa ancaman internal harus lebih ditakuti dibandingkan ancaman eksternal?
Jawab:
Ancaman
internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius
jika dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman
internal yang lebih mendalam akan sistem tersebut.
6.
Sebutkan
lima contoh malware!
Jawab:
1)
Virus.
2)
Worm
(cacing).
3)
Trojan
horse (kuda Troya).
4)
Adware.
5)
Spyware.
7.
Risiko
jenis khusus apakah yang harus diatasi sistem e-commerce?
Jawab:
Menurut
sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali
lebih sering terjadi untuk para peritel e-commerce dibandingkan dengan para
pedagang yang berurusan dengan pelanggan mereka secara langsung.
8.
Apa
sajakah empat tahap manajemen risiko?
Jawab:
v Pendefinisian
risiko terdiri atas empat langkah, yaitu:
1)
Identifikasi
aset-aset bisnis yang harus dilindungi dari risiko.
2)
Menyadari
risikonya.
3)
Menentukan
tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.
4)
Menganalisis
kelemahan perusahaan tersebut.
9.
Bedakan
antara dampak parah dan dampak signifikan dengan ancaman!
Jawab:
§ Dampak yang
parah
membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut
untuk berfungsi.
§ Dampak
signifikan
menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut
akan selamat.
§ Ancaman adalah orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan.
10. Apakah yang
menjadi bagian akhir dari laporan analisis risiko? Kapankah bagian ini
dipersiapkan?
Jawab:
Dokumentasi
dalam laporan analisis risiko.
Setelah
analisis risiko diselesaikan.
11. Sebutkan lima fase
kebijakan keamanan informasi!
Jawab:
1)
Inisiasi
proyek.
2)
Penyusunan
kebijakan.
3)
Konsultasi
dan persetujuan.
4)
Kesadaran
dan edukasi.
5)
Penyebarluasan
kebijakan.
12. Sebutkan tiga
jenis pengendalian dasar!
Jawab:
1)
Teknis.
2)
Formal.
3)
Informal.
13. Bagaimana cara
pengguna melewati pemeriksaan indentifikasi pengguna? Pemeriksaan autentikasi
pengguna? Pemeriksaan otorisasi pengguna?
Jawab:
Identifikasi
pengguna: para pengguan pertama-tama mengidentifikasi diri mereka dengan cara
memberikan sesuatu yang mereka ketahui.
Otentikasi
pengguna: para pengguna memverifikasikan hak akses dengan cara memberikan
sesuatu yang mereka miliki.
Otorisasi
pengguna: seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat
atau derajat pengguna tertentu.
14. Jenis ancaman
apa yang dapat diatasi dengan firewall?
Jawab:
Jenis
ancaman yang dapat diatasi dengan firewall adalah virus.
15. Apakah jenis
firewall yang paling efektif? Apakah kelemahan dari firewall jenis ini?
Jawab:
Firewall
tingkat aplikasi.
Firewall
jenis ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah
seorang programer jaringan harus menulis kode program yang spesifik untuk
masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan,
dihapus, atau dimodifikasi.
16. Apa saja
kelebihan kriptografi?
Jawab:
Kelebihan
kriptografi adalah data serta informasi yang tersimpan dan ditransmisikan dapat
dilindungi dari pengungkapan yang tidak terotorisasi.
17. Apakah perbedaan
antara pengendalian formal dan informal?
Jawab:
·
Pengendalian formal mencakup
penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan,
serta pengawasan dan pencegahan perilaku yang berbeda dari panduan yang
berlaku.
·
Pengendalian informal mencakup
program-program pelatihan dan edukasi serta program pembangunan manajemen.
18. Jenis-jenis
rencana apa saja yang termasuk dalam perencanaan kontinjensi?
Jawab:
v
Subrencana
yang umum mencakup:
ü Rencana darurat
(emergency plan).
ü Rencana cadangan
(backup plan).
ü Rencana catatan
penting (vital records plan).
19. Sumber daya
fisik apakah yang dilindungi oleh rencana darurat?
Jawab:
Rencana
darurat menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana
terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi, dan sistem
pemadaman api.
20. Sebutkan tiga
pendekatan cadangan sistem?
Jawab:
1)
Redundansi.
2)
Keberagaman.
3)
Mobilitas.
21. Apakah perbedaan
antara hot site dan cold site?
Jawab:
·
Hot site adalah fasilitas komputer lengkap yang disediakan
oleh pemasok untuk pelanggannya yang digunakan jika terdapat situasi darurat.
·
Cold site hanya mencakup fasilitas bangunan, namun
tidak mencakup fasilitas komputer.
TOPIK DISKUSI
1.
Figur
9.1 menunjukkan kebijakan keamanan yang ditentukan setelah ancaman dan risiko didefinisikan. Jelaskan mengapa
kebijakan tersebut harus ditentukan terlebih dahulu.
Jawab:
Karena
pada hakikatnya ancaman akan menghasilkan risiko yang nantinya dapat dikendalikan
melalui kebijakan yang telah dibuat.
2.
Apa
sajakah karakteristik karyawan yang dapat mewakili ancaman dari dalam?
Jawab:
o
Semangat
kerja yang menurun secara signifikan.
o
Perilaku,
sikap, maupun perkataannya telah menjadi suatu pola.
o
Mengganggu
orang lain dan merusak.
o
Berdampak
buruk bagi lingkungannya.
3.
Garis
besar dari laporan yang harus disiapkan pada akhir analisis risiko menyebutkan
“(para) pemilik risiko”. Apakah yang dimaksud dengan “memiliki” risiko?
Siapakah yang dapat menjadi contoh seorang pemilik?
Jawab:
Para
pemilik risiko adalah analisis risiko yang telah selesai hasil temuannya
didokumentasikan dalam laporan analisis risiko. Isi dari laporan sebaiknya
mencakup informasi mengenai siapa pemilik risiko tersebut.
Contoh=
manajer.
4.
Mengapa
kita tidak mengandalkan kriptografi saja, dan tidak perlu mengkhawatirkan
pembatasan akses?
Jawab:
Karena
data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode
yang menggunakan proses-proses matematika. Jika seseorang yang tidak memiliki
otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi
yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan. Beberapa
pembatasan telah dikenakan pada penggunaan enkripsi. Berbagai organisasi dan
negara yang membela hak individu untuk menggunakan enkripsi menolak pembatasan.
SOAL
1.
Kunjungilah
situs WWW.SUNGARD.COM dan dapatkan
informasi mengenai jasa keberlagsungan usaha yang ditawarkan oleh SunGard.
Buatlah tulisan yang mendiskripsikan temuan Anda. Instruktur Anda akan
memberikan spesifikasi mengenai format, panjang tulisan, dan seterusnya.
Jawab:
SunGard adalah
salah satu perusahaan milik Amerika Serikat yang bergerak dibidang jasa.
SunGard melayani jasa keuangan dan jasa dukungan terhadap perangkat lunak
komputer.
Biodata
Perusahaan
Tipe : Pribadi
Industri :
Teknologi informasi
Berdiri :
1983 (34 tahun yang lalu)
Tempat :
Wayne, Pennsylvania, U.S.
CEO :
Russ Fradin
Produk : Perangkat lunak komputer (layanan dukungan)
Pendapatan :
4,991 miliar (tahun 2011)
Pemilik :
FIS Global
Jumlah karyawan : 13.000 (tahun 2014)
Website : Sundgard.com
2.
Asumsikan
bahwa Anda adalah seorang petugas keamanan sistem informasi perusahaan yang
baru saja diangkat untuk suatu perusahaan manufaktur kecil di daerah Midwest
dan Anda terkejut ketika mengetahui bahwa perusahaan tersebut tidak tersedia
peranti lunak proteksi virus. Bacalah artikel berikut dan tulislah memo untuk
pemimpin perusahaan Anda, yang menjelaskan pentingnya implementasi pernati
lunak tersebut: Denis Zenkin, “Guidelines for Protecting the Corporation Against
Viruses”, Computers & Security 20(8) (1 Desember 2001), 671-675.
Jawab:
|
PT. Manufaktur
Midwest
Telepon 671-675
|
|
MEMO
Dari : Petugas Keamanan Sistem Informasi
Kepada : Denis Zenkin, Pimpinan
Perusahaan
Perihal : Pedoman untuk Melindungi Perusahaan
terhadap Virus
Diharapkan untuk segera
mengimplementasikan peranti lunak proteksi virus demi keamanan data dan
informasi perusahaan.
Midwest, 1 Desember 2001
Petugas Keamanan Sistem Informasi,
Ttd.
(Nama Terang)
|
STUDI KASUS
LAPORAN RAHASIA
Perusahaan Anda,
Fair Heights, disewa oleh perusahaan lain untuk melakukan pemeriksaan latar
belakang terhadap para eksekutif perusahaan. Para eksekutif ini biasanya adalah
manajer senior perusahaan dengan jabatan wakil presiden atau lebih tinggi.
Kebanyakan pemeriksaan ini dilakukan pada eksekutif yang sedang dipertimbangkan
untuk menjabat suatu posisi, namun terkadang Anda juga melakukan pemeriksaan
pada eksekutif yang sudah menjabat. Pengumpulan informasi ini bukanlah jasa
utama yang disediakan oelh Fair Heights. Analisis informasi dan rekomendasi
keamanan adalah layanan yang membuat perusahaan Anda unik.
Selama 10 tahu
terakhir, Fair Heights selalu menyediakan laporan untuk kliennya secara pribadi
atau dalam laporan tertulis yang dikirimkan oleh seorang kurir. Permintaan
untuk membuat rekomendasi ini tersedia di Internet semakin meningkat. Alasannya
adalah kebanyakan perusahaan ini adalah perusahaan multinasional dan
mengumpulkan eksekutif. Eksekutif utama untuk mempelajari laporan Fair Heights
akan menjadi suatu hal yang sulit atau mahal untuk dilakukan, pengaturan ini
dapat menyebabkan penundaan, dan perusahaan-perusahaan tersebut menginginkan
informasi penting ini dikirimkan secepat mungkin.
Pergantian ke
laporan berbasis Web tidak dapat dicegah lagi. Tugas Anda adalah membuat
laporan untuk komite perencanaan yang mengidentifikasi dan menjawab isu-isu
penting.
PENUGASAN
1.
Anda
menginginkan laporan Fair Heights agar bersifat rahasia, tersedia luas, dan
memiliki integritas. Jelaskan bagaimana membuat laporan yang dapat diakses
melalui Web akan memengaruhi masing-masing sifat ini.
Jawab:
Ø Rahasia: di
dalam keamanan informasi yang bersifat kerahasiaan ini terdapat sistem
informasi eksekutif, sistem informasi sumber daya, dan sistem pemrosesan
transaksi. Untuk sistem pemrosesan transaksi sendiri khususnya terdapat hal-hal
amat penting bagi perusahaan. Hal-hal penting itu adalah penggajian, piutang
dagang, pembelian, dan utang dagang. Jika laporan ini dapat diakses Web secara
terbuka, maka akan mempengaruhi sifat kerahasiaan informasi perusahaan.
Sehingga dibutuhkan keamanan informasi dalam akses Webnya.
Ø Tersedia luas:
di dalam keamanan informasi yang bersifat ketersediaan ini mempunyai tujuan
menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang dalam
perusahaan. Jika laporan ini dapat diakses Web, maka akan mempengaruhi sifat
ketersediaan informasi perusahaan, karena orang lain dapat mengetahui informasi
pribadi pihak-pihak yang memiliki wewenang di dalam perusahaan tersebut.
Sehingga melanggar batas ketersediaan data dan informasi yang seharusnya hanya
diketahui pihak-pihak yang memiliki wewenang terkait.
Ø Integritas: di
dalam keamnan informasi yang bersifat integritas mempunyai tujuan memberikan
representasi akurat atas sistem fisik. Jika laporan tentang sistem fisik
perusahaan dapat diakses melalui Web, maka akan ada kemungkinan perusahaan lain
meniru sistem fisik perusahaan tersebut. Kemungkinan terburuknya dapat
mengakibatkan perusahaan tersebut mengalami kemunduran.
2.
Buatlah
daftar yang menyebutkan berbagai ancaman eksternal dan ancaman internal
terhadap keamanan laporan Fair Heights. Pastikan Anda menjawab baik masalah
ancaman yang tidak disengaja maupun yang disengaja terhadap keamanan.
Jawab:
Ø Ancaman
eksternal: laporan yang dapat diakses Web merupakan masalah ancaman yang
disengaja, karena orang lain berusaha mencari tahu data dan informasi
perusahaan dengan tujuan merusak atau menyebarluaskan kepada kalayak umum.
Ø Ancaman
internal: analisis informasi dan rekomendasi keamanan merupakan masalah ancaman
yang tidak disengaja, karena tidak mungkin pihak-pihak yang memiliki wewenang
dalam perusahaan sengaja salah menganalisis data dan informasi perusahaan
tersebut dan tidak mungkin juga pihak-pihak wewenang terkait menyebarluaskan
data dan informasi penting perusahaan kepada kalayak umum. Hal itu sama saja
dengan merusak tujuan keamanan informasi yang bersifat kerahasiaan.
3.
Buatlah
sebuah laporan singkat tentang manajemen risiko (sekitar tiga paragraf) yang
mengidentifikasi beberapa risiko dan mengklasifikasi dampak dari masing-masing
risiko.
Jawab:
Manajemen risiko adalah salah satu cara untuk
mencapai keamanan informasi. Manajemen risiko harus dipersiapkan secara
maksimal, karena merupakan salah satu kunci keamanan informasi baik dari dalam
maupun luar perusahaan. Jika tidak dipersiapkan secara maksimal, maka akan
menimbulkan beberapa risiko.
Dalam kasus ini ditemukan beberapa risiko,
yaitu: penyediaan laporan tertulis yang dikirimkan oleh seorang kurir dan
laporan yang dapat diakses Web.
Dampak dari penyediaan laporan tertulis
yang dikirimkan oleh seorang kurir adalah pencurian. Jika waktu pengiriman
terlalu lama dapat menyebabkan pencurian data dan informasi perusahaan.
Sedangkan dampak dari laporan yang adapat diakses Web adalah pengguna yang
tidak terotorisasi. Jika laporan dapat diakses Web memungkinkan adanya banyak
hacker yang membobol data dan informasi penting perusahaan.
Tidak ada komentar:
Posting Komentar