Kata Pengantar
Makalah ini disusun
untuk melengkapi tugas Sistem Informasi Akuntansi yaitu dengan materi dan dapat
membantu para mahasiswa dalam mengikuti mata kuliah Sitem Informasi Akuntansi.
Pada makalah ini diberikan materi tentang Penipuan dan Pengamanan Komputer.
Penyusun menyadari bahwa makalah ini masih banyak kekurangan dan sangat jauh
dari sempurna, baik dari segi isi, susunan, maupun bahasa. Untuk itu segala
tegur sapa dan kritik membangun dari segenap pembaca sangat Penyusun
harapan. Mudah – mudahan bias menjadi lebih baik.
Demikian, mudah – mudahan makalah ini benar - benar dapat bermanfaat bagi
pembaca.
Sistem Keamanan Terkomputerisasi
Keamanan
sistem informasi adalah subsistem dari organisasi yang mengontrol risiko khusus
yang terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan komputer memiliki elemen dasar dari suatu sistem informasi, seperti
perangkat keras, database prosedur, dan laporan. Misalnya, data mengenai
pemakaian perangkat lunak dan pelanggaran keamanan bisa dikumpulkan dalam waktu
nyata, disimpan dalam database, dan digunakan untuk membuat laporan.
Siklus
Hidup Sistem Keamanan Informasi
Sistem
keamanan elektronik adalah sebuah sistem informasi yang perkembangannya
membutuhkan aplikasi dari pendekatan siklus-hidup. Sistem keamanan komputer
dikembangkan dengan menerapkan metode analisis sistem yang dibuat; dirancang;
implementasi; dan operasi, evaluasi, dan kontrol. Tujuan masing-masing fase
siklus-hidup ini adalah sebagai berikut:
FASE SIKLUS - HIDUP
|
TUJUAN
|
Analisis sistem
|
Menganalisis kerapuhan sistem dalam konteks
ancaman yang berhubungan dan penyingkapan kerugian mereka yang terkait.
|
Rancangan sistem
|
Merancang ukuran keamanan dan rencana
kemungkinan untuk mengontrol penyingkapan kerugian yang dikenali.
|
Implementasi sistem
|
Mengimplementasikan ukuran keamanan seperti
yang dirancang.
|
Operasional, evaluasi dan kontrol sistem
|
Mengoperasikan sistem dan menaksir
efektivitas dan efisiensinya. Membuat perubahan saat keadaan membutuhkan.
|
Secara
kolektif, keempat fase itu dianggap sebagai manajemen resiko sistem informasi.
Manajemen risiko sistem informasi adakah proses menaksir dan mengontrol risiko
sistem komputer.
FASE SIKLUS-HIDUP
|
LAPORAN KE DEWAN DIREKSI
|
Analisis sistem
|
Ringkasan dari semua penyingkapan kerugian
yang berhubungan.
|
Rancangan sistem
|
Rencana rinci untuk mengontrol dan mengatur
kerugian, termasuk anggaran sistem keamanan komputer yang langka.
|
Implementasi sistem operasional, evaluasi
dan kontrol sistem
|
Khusus pada penampilan sistem keamanan
komputer termasuk perincian kerugian dan pelanggaran keamanan, analisis
pemenuhan, dan biaya mengoperasionalkan sistem keamanan.
|
Sistem Keamanan
Informasi dalam Organisasi
Bila sistem keamanan informasi menjadi efektif, ini
haruslah diatur oleh kepala petugas keamanan/chief security officer (CSO).
Orang ini harus melapor langsung kepada dewan direktur untuk memelihara independensi
secara penuh. Kewajiban utama dari CSO adalah memberikan laporan kepada dewan
direktur untuk disetujui yang mencakup setiap fase dari siklus hidup.
Menganalisis
Kerapuhan dan Ancaman
Terdapat dua pendekatan dasar atau metode untuk
menganalisis kerapuhan dan ancaman sistem. Dalam pendekatan kuantitatif kepada
penaksiran resiko, setiap penyingkapan kerugian dihitung sebagai produk dari
biaya kerugian seseorang dikali kemungkinan terjadinya. Beberapa kesulitan
dalam menerapkan pendekatan kuantitatif untuk menaksir penyingkapan kerugian
yaitu, pertama, mengidentifikasi biaya per kerugian yang relevan dan
kemungkinan terkait yang bisa menyulitkan. Biaya relevan dari sebuah kerugian
adalah penurunan keuntungan perusahaan sebagai hasil dari terjadinya kerugian.
Tetapi, biaya ini bisa menyulitkan untuk diperkirakan karena bisa melibatkan
perkiraan biaya interupsi bisnis yang tidak bisa diprediksi atau memperkirakan
biaya penggantian sebuah komputer yang hanya bisa digantikan dengan model lebih
baru. Kedua, memperkirakan kemungkinan kegagalan tertentu pada masa depan, yang
sangat sulit karena perkembangan teknologi yang cepat berubah. Sebagai contoh,
banyak manajer gagal dalam meramalkan virus komputer. Selanjutnya, dalam
memprediksi kemungkinan serangan yang secara sengaja pada sistem, orang harus
memperkirakan biaya dan keuntungan serangan bagi pelaku potensial. Namun,
perkiraan ini membutuhkan asumsi tentang pilihan resiko pelaku.
Metode kedua penaksiran risiko untuk keamanan komputer
adalah pendekatan kualitatif. Pendekatan ini hanya mendaftarkan kerapuhan dan
ancaman sistem, secara subjektif mengatur mereka dengan urutan atas kontribusi
mereka kepada penyingkapan kerugian total perusahaan. Banyak perusahaan
mencampurkan kedua metode tersebut dan terlepas dari metode mana yang
digunakan, analisis apapun harus meliputi penyingkapan kerugian untuk minimal
dalam bidang: interupsi bisnis, kerugian perangkat lunak, kerugian data, dan
sebagainya.
Bila
pendekatan kuantitatif yang digunakan, biaya bisa diperkirakan menggunakan
salah satu dari banyak metode, termasuk biaya penggantian, penyangkalan jasa,
pertanggung-jawaban pihak ketiga (yang dihasilkan dari ketidak mampuan
perusahaan untuk memenuhi kontrak), dan interupsi bisnis.
Kerapuhan dan Ancaman
Kerapuhan adalah kelemahan dalam sebuah sistem, dan
ancaman adalah eksploitasi potensial dari kerapuhan. Ada dua katagori ancaman
yaitu aktif dan pasif. Ancaman aktif meliputi penipuan sistem dan sabotase
komputer sedangkan ancaman pasif meliputi kesalahan sistem seperti juga bencana
alam, gempa bumi, banjir, kebakaran dan topan badai. Kesalahan sistem
melambangkan kegagalan peralatan komponen seperti kegagalan disk, kekurangan
daya, dan lainnya.
v Seriusnya
Penipuan Sistem Informasi
Kejahatan
berbasis komputer adalah bagian dalam masalah umum dari kejahatan kerah-putih.
Statistik memperlihatkan bahwa kerugian perusahaan yang disebabkan oleh
penipuan dan penggelapan melebihi total kerugian karena penyuapan, pencurian,
dan mengutil dengan marjin yang luas. Oleh karena itu, keamanan sistem
informasi adalah sebuah masalah internasional sehingga banyak negara memiliki
hukum yang diarahkan pada keamanan komputer seperti membuat Undang-undang
kriminal khusus yang diarahkan terhadap kejahatan komputer.
v Orang
yang Memberikan Ancaman kepada Sistem Informasi
I.
Karyawan Sistem Komputer
Ini meliputi bagian
pemeliharaan, programer, operator, karyawan administratif sistem informasi, dan
klerk kontrol data.
a) Bagian
Pemeliharaan Komputer
Meliputi bagian
pemeliharaan yang memasang perangkat keras dan lunak, memperbaiki perangkat
keras, dan memperbaiki kesalahan kecil dari perangkat lunak.
b) Programer
Programer sistem
sering menulis program untuk memodifikasi dan memperluas sistem operasional jaringan.
Mereka biasanya diberi tanggung jawab dengan akses universal kepada semua arsip
perusahaan. Hal ini dapat menjadi ancaman karena programer aplikasi bisa
membuat modifikasi yang tidak diinginkan oleh program yang ada atau menulis
program baru untuk hal-hal yang tidak diinginkan.
c) Operator
Jaringan
Orang yang meramalkan
dan mengawasi operasional jaringan komputer dan komunikasi disebut operator
jaringan. Biasanya, operator ditugaskan dengan ijin keamanan tingkat tinggi,
jadi mengijinkan untuk secara rahasia mengawasi semua komunikasi jaringan.
d)
Personil Administratif
Sistem Informasi
Orang ini biasanya memiliki
akses rahasia keamanan, arsip, program, dan lainnya. Administrator akun
memiliki kemampuan membuat akun fiktif atau memberikan kata kunci kepada akun
yang ada.
e) Klerk
Kontrol Data
Orang yang bertanggung
jawab untuk memasukkan secara manual dan otomatis data ke dalam komputer,
sehingga memiliki kesempatan untuk melakukan kecurangan dengan memanipulasi
data masukan.
II.
Pemakai
Banyak pemakai
memiliki akses ke data sensitif yang dapat mereka bocorkan kepada para pesaing.
Dalam banyak kasus, pemakai bisa mengontrol masukan komputer yang penting
seperti memo kredit, kredit akun, dan lainnya.
III.
Pengacau
Siapapun yang
mengakses peralatan, data elektronik, atau arsip tanpa otorisasi yang benar.
Pengacau yang menyerang sistem informasi untuk kesenangan dan tantangan disebut
hacker. Jenis pengacau lain meliputi :
a.
Pengacau yang tidak ketahuan
Pelanggan bisa masuk
ke dalam area yang tidak terjaga dan membaca data sensitif pada komputer
pribadi yang tidak dipelihara.
b.
Penyadap Kawat
Sebagian besar
informasi yang diproses oleh komputer perusahaan bergerak melalui kawat dan
kabel. Sebagian informasi hanya dikirimkan dari satu ruangan ke yang lainnya,
dan informasi lainnya bisa dikirimkan lintas negara melalui internet. Jalur ini
rapuh terhadap penyadap kawat, yang bisa dilakukan meski menggunakan alat yang
murah (misalnya rekaman sederhana dan sepotong kawat) yang mampu melakukan
tugas tanpa memberikan tanda apapun bahwa kawatnya disadap.
c.
Piggybacker
Jenis penyadapan kawat
yang paling canggih disebut piggybacking. Dengan metode ini, pelaku memotong
informasi yang sah dan mengganti dengan informasi yang lain.
d.
Pengacau Peniru
Orang yang meniru
orang lain untuk menipu perusahaan. Pengacau jenis ini menggunakan ID dan kata
kunci pemakai yang didapatkan dengan tidak sah untuk mengakses sumber daya
elektronik perusahaan.
e.
Pencuri Dengar
Tabung sinar katoda
(CRT) standar yang digunakan dalam unit display video umumnya mengeluarkan
gangguan elektromagnetik (EMI) pada sebuah frekuensi yang mampu diambil oleh
pesawat televisi biasa. Peralatan ini bisa mengawasi informasi sensitif saat
muncul pada CRT perusahaan. Informasi apapun yang melewati jaringan komunikasi
umum sangat rapuh untuk dicuri dengar.
v Ancaman
Aktif kepada Sistem Informasi Akuntansi
Terdapat
6 metode yang bisa digunakan orang untuk melakukan penipuan sistem informasi,
yaitu :
1.
Manipulasi Masukan
Metode ini
membutuhkan kemampuan teknis yang paling sedikit. Orang bisa mengubah masukan
hampir tanpa pengetahuan tentang bagaimana sistem komputer beroperasi. Sebagai
contoh seseorang menerobos masuk ke dalam situs Web sebuah perusahaan besar dan
mencuri ribuan nomor kartu kredit. Kemudian ia berbelanja di Web dan terlibat
dalam ratusan ribu dolar transaksi penipuan dengan sejumlah besar pedagang.
2.
Pengubahan Program
Metode ini paling
umum digunakan karena membutuhkan keterampilan pemrograman yang hanya dimiliki
oleh sejumlah kecil orang. Terdapat juga metode pengujian program yang tersedia
pada perusahaan besar yang dapat digunakan untuk mendeteksi sebuah program yang
digunakan untuk mendeteksi sebuah program yang diubah.
Pintu jebakan adalah
bagian dari sebuah program komputer yang mengijinkan seseorang untuk mengakses
program sambil memotong fasilitas keamanan normalnya untuk menjamin bahwa
mereka akan selalu memiliki akses untuk masuk.
3.
Pengubahan Arsip Langsung
Orang-orang akan
menemukan berbagai cara untuk memotong proses normal untuk memasukkan data
kepada program komputer. Sebagai contoh seorang pemalsu mengganti arsip induk
piutang dagang miliknya dengan yang asli.
4.
Pencurian Data
Sejumlah besar
informasi dikirimkan antarperusahaan melalui internet. Informasi ini rapuh
terhadap pencurian selama dalam perjalanan karena bisa dipotong atau disadap.
Barang-barang seperti disket juga bisa dicuri dengan menyelundupkannya keluar
dari perusahaan dalam sebuah kantong atau tas. Barang yang lebih tebal seperti
laporan yang tebal bisa diselundupkan keluar dalam tempat sampah.
5.
Sabotase
Sabotase komputer
memberikan bahaya yang sangat serius kepada sistem informasi apapun.
Pengrusakan sebuah komputer atau perangkat lunak bisa menyebabkan kebangkrutan
sebuah perusahaan. Dalam beberapa kasus, seorang penipu bisa menggunakan
sabotase untuk mengecoh dan menutupi penipuannya.
6.
Penyalahgunaan atau
Pencurian Sumber Informasi
Salah satu jenis
penyalahgunaan sumber informasi hadir saat karyawan menggunakan sumber komputer
perusahaan untuk bisnis mereka sendiri. Contohnya beberapa karyawan mencuri
komputer mainframe perusahaan selama periode beberapa hari, menyelundupkan
melalui pintu belakang.
Sistem
Keamanan Sistem Informasi
Mengontrol keamanan bisa dilakukan dengan
mengimplementasikan ukuran keamanan dan rencana kemungkinan. Ukuran keamanan
berfokus pada pencegahan dan mendeteksi ancaman, sedangkan rencana kemungkinan
berfokus pada memperbaiki efek ancaman. Walaupun begitu harus ditekankan bahwa
semua kontrol itu bagian sistem keamanan komputer, sistem keamanan komputer
harus menjadi bagian dari struktur kontrol internal secara keseluruhan.
v Lingkungan
Kontrol
Lingkungan
kontrol adalah dasar untuk efektivitas dari keseluruhan sistem kontrol. Membuat
lingkungan kontrol yang baik bergantung pada delapan faktor. Masing-masing
faktor dibahas saat ia bersinggungan dengan sistem keamanan komputer.
§ Filosofi
Manajemen dan Gaya Operasional
Aktifitas pertama
yang paling penting adalah meningkatkan moral dan suasana kondusif untuk
keamanan. Tidak menjamin seberapa canggihnya sebuah sistem itu, selalu ada
sebuah cara menghindarinya. Karenanya yang utama adalah menjaga kesadaran akan
suasana yang aman dan semua karyawan harus dididik untuk masalah keamanan.
§ Struktur
Organisasi
Dalam berbagai
organisasi, akuntansi, perhitungan, dan pemrosesan data semuanya sudah diatur
oleh petugas kepala informasi (CIO). Hal ini menimbulkan beragam masalah untuk
pembuatan dan memelihara pola otoritas dan tanggung jawab.
§ Dewan
Direksi dan Komitenya
Dewan direksi harus
menunjuk sebuah komite audit yang gilirannya harus menunjuk atau menyetujui
penunjukan auditor internal. Auditor internal harus secara periodik melaporkan
semua fase sistem keamanan komputer kepada komite audit. Sedangkan, komite
audit secara periodik juga berkonsultasi dengan auditor eksternal dan manajemen
tinggi atas prestasi kepala petugas keamanan dan sistem keamanan komputer.
§ Aktivitas
Kontrol Manajemen
Sangatlah penting
membuat kontrol yang berhubungan dengan penggunaan dan akuntabilitas dari semua
sumber yang berhubungan dengan komputer dan sistem informasi.
§ Fungsi
Audit Internal
Sistem keamanan
komputer secara konstan diaudit dan kemudian dimodifikasi untuk memenuhi
kebutuhan yang berubah. Kebijakan dan prosedur keamanan harus diuji baik untuk
pemenuhan dan efektivitasnya.
§ Kebijakan
dan Praktek Karyawan
Pemisahan kewajiban,
pengawasan yang memadai, rotasi pekerjaan, cuti yang dipaksakan, dan
pemeriksaan ganda, semuanya adalah praktek karyawan yang penting. Hal ini
muncul dari kebutuhan untuk memisahkan tanggung jawab penjagaan dan penyimpanan
catatan. Bila dimungkinkan juga harus dibuat pemisahan kewajiban mengenai akses
ke kunci arsip akuntansi. Praktek karyawan yang berkaitan dengan memperkerjakan
dan memberhentikan juga penting. Harus diseleksi hati-hati karena merekrut satu
orang yang menyimpang bisa menghancurkan seluruh perusahaan dan bagi karyawan
yang dihentikan harus dengan hati-hati.
§ Pengaruh
Eksternal
Sistem informasi
perusahaan harus sesuai dengan hukum dan peraturan pemerintah. Kegagalan untuk
memberikan keamanan yang memadai dalam salah satu area tersebut bisa menjadikan
tindakan kriminal. Penting untuk mengimplementasikan kebijakan internal yang
terdokumentasi baik untuk mencegah pembajakan perangkat lunak, pembuatan dan
pendistribusian salinan yang ilegal dari perangkat lunak yang memiliki hak
cipta.
v Kontrol
untuk Ancaman Aktif
Cara
utama untuk mencegah ancaman aktif yaitu
dengan mengimplementasikan urutan lapisan dari kontrol akses. Filosofi
dibalik pendekatan berlapis kepada kontrol akses melibatkan sejumlah lapisan
kontrol yang memisahkan calon pelaku dari target potensialnya. Tiga lapis
demikian adalah kontrol akses-tempat, kontrol akses-sistem, kontrol
akses-arsip.
1.
Kontrol Akses-Tempat
Tujuan
dari kontrol akses-tempat yaitu secara fisik memisahkan orang yang tidak sah
dari sumber komputer. Semua pemakai harus diwajibkan menggunakan tanda identifikasi
keamanan (dengan foto). Semua ruang yang berisi peralatan komputer atau data
sensitif harus memiliki pintu terkunci. Lebih disukai, kuncinya bisa diprogram
sehingga mereka bisa menolak kunci dari mereka yang telah dipindahkan atau
diberhentikan. Kerumitan pemrosesan data harus ditempatkan dalam gedung
terisolasi yang dikelilingi oleh pagar dan akses gerbang.
Semua
konsentrasi dari data komputer (misalnya perpustakaan data, pencetak jaringan, entri data, dan tempat keluaran
data) dan peralatan harus ditempatkan pada tempat yang sulit ditemukan, dibalik
pintu dengan kunci yang bisa diprogram.
Serangan atas perpustakaan data dan ruang misi-kritis lainnya bisa
diminimalkan dengan sistem entri yang sangat ketat. Sistem demikian melibatkan
pengaturan pintu-ganda untuk ruang penyimpanan data komputer. Pusat entri data
terpusat haruslah merupakan area yang sangat dilindungi dan sama sekali tidak
boleh dimasuki orang yang tidak penting. Pencetak jaringan, pembuat gambar
(plotter), dan mesin faksimili, seperti juga keluaran, juga harus dilindungi.
2.
Kontrol Akses-Sistem
Kontrol
Akses-Sistem adalah kontrol berorientasi – perangkat lunak yang dirancang untuk
menjaga agar pemakai yang tidak sah tidak menggunakan sistem. Tujuannya yaitu
untuk mengotentikasi pemakai dengan menggunakan cara seperti ID pemakai, kata
kunci, alamat IP, dan alat perangkat keras.
Setiap
pemakai internal bisa diberikan sebuah nomor ID pemakai dan kata kunci pada
sembilan tingkatan, pada tingkat komputer bengkel kerja atau pribadi, jaringan,
komputer, server arsip, katalog arsip, program arsip data atau database,
catatan, dan field data. Setiap tingkatan ini memberikan lapisan perlindungan
berurutan yang memisahkan calon pengacau dari data sensitif. Pada tingkatan
diatas, tingkat bengkel kerja, pemakai harus memasukkan informasi identifikasi
yang benar bahkan sebelum mampu meminta akses ke jaringan komunikasi. Kemudian,
setelah mengakses jaringan, pemakai harus memasukan lebih banyak informasi
identifikasi sebelum mengakses sebuah komputer tuan rumah atau server arsip.
Setelah itu, identifikasi tambahan dibutuhkan sebelum mengakses katalog arsip
tertentu. Sistem operasional secara otomatis harus mencatat waktu, tanggal, dan
nomor pemakai yang berhubungan dengan semua akses.
Sistem pada awalnya
harus memberikan kata kunci kepada pemakai dan kemudian memberikan kembali
kepada mereka secara periodik. Kata kunci yang ideal terdiri dari huruf besar
dan kecil, simbol khusus, dan angka. Menghubungkan dua kata tidak berhubungan
dengan simbol khusus juga merupakan kompromi yang baik antara kesederhanaan dan
keamanan. Tidak ada sistem kata kunci yang bernilai kecuali kata kunci itu
sendiri dilindungi. Semua karyawan harus dididik untuk menggunakan kata kunci
yang baik.
3.
Kontrol Akses-Arsip
Lapisan
terakhir dari kontrol akses diterapkan pada tingkat arsip. Kontrol tersebut
mencegah akses tidak sah baik kepada data. Kontrol arsip paling fundamental
adalah pembuatan bimbingan otorisasi dan prosedur untuk mengakses dan mengubah
arsip. Semua program penting harus disimpan dalam arsip terkunci. Ini berarti
bahwa program bisa diijalankan tetapi tidak bisa dilihat atau diubah. Hanya
keamanan yang mengetahui kode (kata kunci) untuk membuka arsipnya. Secara
periodik mereka harus memeriksa program dalam opersional untuk menentukan
apakah mereka identik bit-demi-bit dengan versi yang diijinkan.
v Kontrol
Untuk Ancaman pasif
Ancaman
pasif meliputi masalah seperti kegagalan daya dan perangkat keras. kontrol
untuk ancaman demikian bisa preventif atau korektif.
Sistem Toleran – Kesalahan
Kebanyakan
metode berhadapan dengan kegagalan komponen sistem bergantung pada pengawasan
dan kelebihan. Bila satu bagian dari sistem itu gagal, bagian kelebihan dengan
segera mengambil alih, dan sistem terus beroperasi dengan sedikit atau tanpa
interupsi. Sistem demikian disebut sistem
toleran – kesalahan .
Memperbaiki Kesalahan : Pendukung
Arsip
Ada
tiga jenis pendukung yakni :
Ø Pendukung
penuh : Membuat pendukung semua
arsip pada disk tertentu.
Ø Pendukung
kenaikan : Hanya membuat pendukung
arsip yang telah
dimodifikasi sejak pembuatan pendukung penuh atau
kenaikan yang terakhir.
Ø Pendukung
diferensial : Sama seperti pendukung kenaikan, hanya saja arsipnya
tidak
diatur ulang hingga 0 selama pembuatan
pendukung.
Secara umum,
pembuatan pendukung kenaikan membutuhkan media penyimpanan yang lebih kecil dan
cepat daripada pendukung diferensial. Prosedur untuk memperbaiki pendukung
kenaikan melibatkan pemulihan kumpulan pendukung penuh terakhir terlebih dahulu
dan kemudian memulihkan semua kumpulan pendukung kenaikan, satu persatu, dengan
urutan kronologis.
v Keamanan
Internet
Topik
tentang keamanan internet berhak mendapatkan perhatian khusus karena hubungan
perusahaan dengan internet membuatnya menjadi target khusus bagi setiap hacker
di dunia. Kerapuhan terhubung – internet bisa muncul dari kelemahan dalam lima
bidang yaitu :
ü Kerapuhan
Sistem Operasional
Server Web pada
intinya adalah perpanjangan dari sistem operasional. Hasilnya adalah kelemahan
dalam keamanan sistem operasional juga mungkin membuat kelemahan terkait pada
keamanan server Web. Untuk alasan ini, administrator keamanan, pertama dan
terutama, harus mengamankan sistem operasional.
ü Kerapuhan
Server Web
Server web adalah
sistem operasional yang serupa dimana tetap diperlukan secara konstan untuk
mengawasi buletin penasihat untuk pembaruan keamanan server web karena server
Web dan browser Web cenderung untuk lebih sering diperbarui daripada sistem
operasional, dan pembaruannya selalu datang dengan kemungkinan keamanan baru
yang lemah. Server web juga lebih berfungsi pada garis depan keamanan karena
mereka adalah portal yang sering dilewati orang luar.
ü Kerapuhan
Jaringan Pribadi
Resiko khusus terjadi
saat sebuah server Web diletakan pada sebuah komputer utama yang dihubungkan
dengan berbagai komputer pemakai melalui pemakai jaringan area lokal , dan
hacker bisa menyerang satu komputer melalui yang lain. Masalah ini begitu sulit
karena secara virtual tidak mungkin administrator server menjamin keamanan yang
memadai atas semua mesin pemakainya.
ü Kerapuhan
dari Beragam Program Server
Setiap server
tambahan memberikan resiko keamanan tambahan, dan cacat keamanan yang
berhubungan dengan salah satu server yang bisa membuka pintu untuk hacker untuk
menyerang semua server lainnya di semua arsip pada komputer, bahkan komputer
lain yang berada pada jaringan area lokal yang sama.
ü Prosedur
Keamanan Umum
Perangkat lunak keamanan
terbaik di dunia tidak akan membantu bila administrator sistem tidak memaksakan
kebijakan. Selanjutnya, semua kesalahan dan pengecualian harus dicatatkan ke
arsip aman, dan catatan ini harus dimonitor secara konstan.
Pemulihan
dari Bencana
Bencana alam dan buatan manusia dapat terjadi.
Angin puyuh, gempa bumi,
kebakaran, banjir, tindakan kriminal dan teroris, serta kesalahan
manusia dapat sangat parah merusak sumber daya komputerisasi organisasi, dan
kemudian kesehatan organisasi itu sendiri. Itulah mengapa organisasi membuat
manajemen risiko bencana yang menekankan pada perencanaan pencegahan dan
kemungkinan.
» Mencegah bencana
Pencegahan bencana adalah langkah
pertama dalam mengatur risiko bencana. Banyak bencana yang dihasilkan dari
sabotase dan kesalahan yang bisa dicegah dengan kebijakan dan perencanaan
keamanan yang baik. Pertimbangan hati-hati harus diberikan kepada resiko
bencana alam yang terkait dengan lokasi bangunan yang prospektif. Konsentrasi
dari peralatan komputer dan data harus diletakan pada bagian gedung yang paling
sedikit terekspos terhadap badai, gempa bumi, banjir, dan kebakaran juga
termasuk tindakan sabotase sengaja.
» Perencanaan kemungkinan
untuk bencana
Rencana pemulihan bencana harus
diimplementasikan pada tingkatan tertinggi dalam perusahaan. Rancangan rencana
ini harus meliputi tiga komponen utama yaitu:
·
Menilai kebutuhan kritis
perusahaan
Semua sumber
misi-kritis harus diidentifikasikan termasuk perangkat keras, perangkat lunak,
syarat daya dan pemeliharaan, ruang gedung, catatan vital, dan sumber daya
manusia.
·
Membuat daftar prioritas
untuk pemulihan
Daftar ini menunjukan
aktivitas dan jasa misi-kritis tertentu yang harus dibuat kembali dalam
beberapa menit atau jam setelah bencana dan yang dibuat kembali pada beberapa
hari, minggu, atau bulan kemudian.
·
Strategi dan prosedur
pemulihan
Rencana harus
meliputi rincian sehingga saat tertimpa bencana, perusahaan dengan segera
mengetahui apa yang harus dilakukan, siapa yang harus melakukannya, dan akan
membutuhkan waktu berapa lama. Pertimbangannya dirinci sebagai berikut:
1. Pusat
Respon Darurat
Saat tertimpa
bencana, semua otoritas untuk pemrosesan data dan operasional komputer
dipindahkan kepada tim respon darurat, yang dikepalai oleh direktur operasional
darurat yang akan mengarahkan pelaksanaan rencana pemulihan dari pusat
operasional darurat yang direncanakan sebelumnya.
2. Prosedur
Eskalasi
Spesifikasi lokasi
pemdukung yang akan digunakan bila lokasi penghitungan utama hancur atau tidak
bisa digunakan. Tiga jenis lokasi yang mungkin adalah pertama lokasi panas
yaitu lokasi pengganti yang berisi jaringan kabel dan peralatan juga, kedua
lokasi awal-melayang yaitu lokasi pengganti yang berisi jaringan kabel,
peralatan, juga data dan perangkat
pendukung yang sangat canggih, ketiga lokasi dingin yaitu lokasi penghitungan
pengganti yang berisi jaringan kabel untuk komputer tapi tanpa peralatan.
3. Rencana
Relokasi Karyawan
Rencana kemungkinan
harus dibuat untuk kemungkinan bila harus mendadak merelokasikan karyawan ke
lokasi pendukung.
4. Rencana
Penggantian Karyawan
Kemungkinan
kehilangan karyawan untuk bencana harus dipertimbangkan juga dan karyawan
pengganti mungkin membutuhkan pelatihan yang ekstensif.
5. Rencana
Penyelamatan
Memulihkan peralatan
dan catatan yang berharga bisa dimungkinkan bila tindakan cepat segera
dilakukan sehingga kerugian bisa diminimalkan.
6. Rencana
Pengujian dan Pemeliharaan Sistem
Kebutuhan
penghitungan perusahaan sering berubah dengan cepat sehingga suatu rencana
pemulihan bencana harus diuji setiap enam bulan agar dapat berfungsi dengan
baik dalam krisis.
Referensi:
xa.yimg.com/kq/groups/.../Paper+Kelompok+2.docx