15.1 DEPARTEMEN IS DAN END USER
Departemen IS dalam Organisasi
Sumber daya IT sangat beragam, mereka termasuk aset personel, aset teknologi, dan aset hubungan IT. Manajemen sumber daya informasi dibagi antara departemen pelayanan informasi (Information Services Department/ISD) dan end user. Manajemen sumber daya informasi (Information Resources Management/IRM) mencakup semua kegiatan yang terkati dengan perencanaan, pengorganisasian, memperoleh, mempertahankan, mengamankan, dan pengendalian IT sumber daya. Pembagian tanggung jawab tergantung pada banyak faktor, dimulai dengan jumlah aset IT dan sifat tugas yang terlibat dalam IRM, dan berakhir dengan kebijakan outsourcing.
Sebuah keputusan besar yang harus dilakukan oleh manajemen senior adalah dimana ISD harus dilaporkan dalam hirarki organisasi. Sebagian karena alasan sejarah, tempat umum untuk menemukan ISD adalah di departemen akuntansi atau keuangan. Dalam stiuasi seperti tiu, ISD biasanya melapor kepada controller atau Chief Financial Officer (CFO). Para ISD mungkin juga melaporkan kepada salah satu dari berikut:
1) A Vice President of Technology
2) An Executive Vice President (misalnya, untuk administrasi) atau
3) CEO.
THE IS DIRECTOR AS A “CHIEF”
Untuk menunjukkan pentingnya area IS, beberapa organisasi memanggil direktur IS sebagai Chief Information Officer (CIO), mirip dengan Chief Financial Officer (CFO) dan Chief Operating Officer (COO). Biasanya, hanya orang penting atau wakil presiden senior menerima gelar ini. Nama umum lainnya adalah: vice president for IS, vice president for information technology, or director of information systems.
Hubungan pelaporan ISD adalah penting karena mencerminkan fokus departemen. Jika laporan ISD ke akuntansi atau bidang keuangan, sering kali ada kecenderungan untuk menekankan aplikasi akuntansi atau keuangan sebagai biaya dalam pemasaran, produksi, dan logistik.
Nama Dan Kedudukan Departemen IS
Nama ISD juga penting. Awalnya itu disebut Departemen Data Processing (DP). Kemudian namanya diubah menjadi Departemen Sistem Informasi Manajemen (SIM) dan kemudian ke Departemen Sistem Informasi (Information Systems Department/ISD). Selain itu, orang dapat menemukan nama seperti Departemen Teknologi Informasi, Corporate Technology Center, dan sebagainya. Dalam organisasi yang sangat besar ISD dapat berupa divisi, atau bahkan perusahaan independen (seperti pada Bank America dan Boeing Corp).
Beberapa perusahaan memisahkan kegiatan E-commerce mereka, menciptakan divisi online khusus. Ini adalah pendekatan yang diambil oleh Qantas Airways, misalnya. Selain itu, E-commerce dapat digabung dengan ISD di departemen teknologi atau divisi. Dalam penelitiannya Becker (2003) menunjukkan bahwa perusahaan-perusahaan mendapatkan return yang besar dari IT ketika mereka memperlakukan ISD layaknya bagian penting lain dari bisnis mereka.
Departemen IS dan End user
Merupakan hal yang penting untuk memiliki hubungan yang baik antara ISD dan end user. Sayangnya, hubungan ini tidak selalu optimal. Pengembangan end-user computing dan outsourcing dimotivasi sebagian oleh layanan yang buruk yang dirasakan end user yang mereka terima dari ISD tersebut. Konflik terjadi karena beberapa alasan, mulai dari kenyataan bahwa priortias ISD mungkin berbeda dari end user karena kurangnya komunikasi. Juga, ada beberapa perbedaan mendasar antara kepribadian, gaya kognitif, latar belakang pendidikan, dan jenis kelamin end user versus ISD staf (pada umumnya lebih banyak laki-laki dalam ISD) yang dapat menimbulkan konflik.
Secara umum, ISD dapat mengambil salah satu dari empat pendekatan berikut terhadap end-user computing:
1. Let them sink or swim. Jangan melakukan apapun, biarkan end user menyadarinya dengan sendiri.
2. Use the stick. Mendorong kebijakan dan prosedur untuk mengontrol end-user computing sehingga resiko perusahaan minimum.
3. Use the carrot. Menciptakan insentif untuk mendorong kegiatan end-user yang akan mengurangi resiko organisasi.
4. Offer support. Mengembangkan jasa untuk meningkatkan atau mendorong end-user dalam melakukan aktivitas dengan komputer.
Masing-masing tanggapan menyajikan eksekutif IS dengan kesempatan yang berbeda untuk fasilitasi dan koordinasi, dan masing-masing memiliki kelebihan dan kekurangan.
Mendorong Hubungan ISD dan End User
ISD adalah organisasi jasa yang mengelola infrastruktur IT yang diperlukan untuk mengarahkan aplikasi IT bagiend user. Oleh karena itu, hubungan antara ISD dan end user adalah suatu keharusan. Ini bukan tugas yang mudah karena ISD pada dasarnya suatu organisasi secara teknis mungkin tidak memahami bisnis tersebut dan user. Di sisi lain, user mungkin tidak memahami teknologi informasi. Juga, mungkin ada perbedaan antara IDS (penyedia) dan end userdalam hal kesepakatan tentang bagaimana mengukur kesulitan layanan IT yang disediakan (kualtias, kuantitas).
THE STEERING COMMTITEE. The Steering Commtitee perusahaan adalah sekelompok manajer dan staf yang mewakili berbagai unit organisasi yang dibentuk untuk menetapkan prioritas IT dan untuk memastikan bahwa ISD memenuhi kebutuhan perusahaan.
Tugas utama komite adalah:
a. Direction setting. Dalam menghubungkan strategi perusahaan dengan strategi IT, perencanaan adalah kegiatan utama.
b. Rationing. Komite menyetujui alokasi sumber daya untuk dan dalam sistem informasi organisasi. Ini termasuk kebijakan outsourcing.
c. Structuring. Kesepakatan komite dengan bagaimana ISD diposisikan dalam organisasi. Isu sentralisasi-desentralisasi sumber daya IT diselesaikan oleh komite.
d. Staffing. Keputusan kunci personil IT melibatkan konsultasi-dan-persetujuan proses yang dilakukan oleh Komite. Yang patut diperhatikan adalah pemilihan CIO dan keputusan outsourcing IT.
e. Komunikasi. Penting bahwa informasi tentang arus aktivtias IT bebas.
f. Mengevaluasi. Komite harus menetapkan ukuran kinerja untuk ISD dan melihat bahwa mereka terpenuhi. Ini termasuk inisiasi perjanjian tingkat layanan.
Keberhasilan The Steering Commtitee sangat bergantung pada pembentukan IT Goverance, set pernyataan formal yang harus mengarahkan Kebijakan tentang keselarasan IT dengan tujuan organisasi, penentuan risiko, dan alokasi sumber daya.
SERVICE-LEVEL AGREEMENTS (SLA). SLA adalah kesepakatan formal mengenai pembagian tanggung jawab komputasi antara end user dan ISD dan layanan diharapkan akan diberikan oleh ISD tersebut. Sebuah perjanjian level layanan dapat dipandang sebagai suatu kontrak antara setiap unit end user dan ISD. Jika sistem chargeback ada, biasanya dituangkan dalam SLA. Proses pembentukan dan pelaksanaan SLA dapat diterapkan untuk masing-masing sumber daya komputasi utama: perangkat keras, perangkat lunak, orang, data, jaringan, dan prosedur.
Suatu pendekatan berdasarkan SLA menawarkan beberapa keunggulan. Pertama, mengurangi “finger pointing” dengan jelas menentukan tanggung jawab. Ketika malfungsi PC, semua orang tahu siapa yang bertanggung jawab untuk memperbaikinya. Kedua, menyediakan struktur untuk desain dan pengiriman layanan end useroleh ISD tersebut. Ketiga, menciptakan insentif bagi end user untuk meningkatkan praktek komputasi mereka, sehingga mengurangi risiko komputasi bagi perusahaan.
Membangun SLA membutuhkan langkah-langkah berikut: (1) Menentukan tingkat pelayanan. (2) Bagilah tanggung jawab komputasi pada setiap tingkat. (3) Desain rincian layanan tingkat termasuk pengukuran kualitas. (4) Melaksanakan layanan tingkat. Kesner (2002) tambahkan ini: (5) Tugaskan pemilik SLA (Orang atau departemen yang yang mendapat SLA), (6) memantau kepatuhan SLA, (7) menganalisis kinerja, (8) memperbaiki SLA sesuai kebutuhan, dan (9) meningkatkan pelayanan kepada departemen atau perusahaan.
THE INFORMATION CENTER (IC). Konsep pusat informasi (IC) (juga dikenal sebagai pusat layanan pengguna, pusat dukungan teknis atau IS pusat bantuan) disusun oleh IBM Kanada pada tahun 1970-an sebagai respon terhadap peningkatan jumlah permintaan end user untuk aplikasi komputer baru. Tuntutan ini menciptakan backlog besar dalam departemen IS, dan pengguna harus menunggu beberapa tahun untuk mendapatkan sistem mereka dibangun. Saat ini, IC berkonsentrasi pada dukungan kepada end user dengan PC, client / server aplikasi, dan internet / intranet, membantu dengan instalasi, pelatihan, penyelesaian masalah, dan dukungan teknis lainnya.
IC ini dibentuk untuk membantu pengguna mendapatkan sistem tertentu dibangun dengan cepat dan memberikan alat-alat yang dapat digunakan oleh pengguna untuk membangun sistem mereka sendiri. Konsepdari IC, selanjutnya, menunjukkan bahwa orang-orang di pusat harus khususnya berorientasi pada pengguna dalam pandangan mereka. Sikap ini harus ditampilkan dalam pelatihan yang diberikan oleh staf di pusat dan di jalan staf membantu pengguna dengan masalah yang mereka miliki. Bisa terdapat satu atau beberapa IC dalam sebuah organisasi, dan mereka melaporkan kepada ISD dan / atau departemen end user.
The New IT Organization
Untuk melaksanakan misinya dalam perekonomian digtial, ISD harus beradaptasi. Rockart et al. (1996) mengajukan delapan keharusan untuk ISD, yang masih berlaku saat ini.
15.2 CIO DALAM MENGELOLA DEPARTEMEN IS
Mengelola ISD ini mirip dengan mengelola setiap unit organisasi lainnya. Aspek unik dari ISD adalah bahwa ia beroperasi sebagai departemen layanan dengan cepat perubahan lingkungan, sehingga membuat proyeksi departemen dan perencanaan sulit. Peralatan yang dibeli dan dipelihara oleh ISD tersebar semua atas perusahaan tersebut, menambah komplekstias manajemen ISD.
Peran Chief Information Officer (CIO)
Perubahan peran dari ISD menyoroti fakta bahwa CIO menjadi anggota penting tim manajemen puncak organisasi. Juga, pengalaman 9 / 11 mengubah peran CIO, menempatkan dia di posisi organisasi yang lebih penting (lihat Ball, 2002) karena realisasi organisasi tentang perlunya IT terkait bencana perencanaan dan pentingnya IT untuk kegiatan organisasi. Sebuah survei yang dilakukan pada tahun 1992 menemukan bahwa peran utama dari CIO adalah menyelaraskan IT dengan strategi bisnis. Peran kedua untuk menerapkan solusistate-of-the-art dan untuk menyediakan dan meningkatkan akses informasi. Peran-peran ini yang dilengkapi saat ini dengan peran strategis karena IT telah menjadi strategis sumber daya untuk banyak organisasi. Koordinasi sumber daya ini memerlukan kepemimpinan IT yang kuat dan kolaborasi ISD / end user dalam organisasi. Selain itu, hubungan CIO-CEO sangat penting untuk efektif, pemanfaatan sukses IT, terutama dalam organisasi yang sangat tergantung pada IT, di mana CIO bergabung manajemen puncak “kepala” kelompok.
CIO dalam beberapa kasus adalah anggota komite eksekutif perusahaan, komite paling penting dalam organisasi apapun, yang memiliki tanggung jawab untuk perencanaan bisnis strategis. Para anggotanya termasuk CEO dan wakil presiden senior. Komite eksekutif menyediakan pengawasan tingkat atas untuk sumber daya informasi organisasi. Juga memandu IS steering committee yang biasanya diketuai oleh CIO. Terkait dengan CIO adalah munculnya Chief Knowledge Officer (CKO). CIO dapat melapor kepada CKO, atau orang yang sama dapat menjabat kedua peran, terutama di perusahaan kecil.
CIO di Era Berbasis Web
Menurut Ross dan Feeny (2000) dan Earl (1999-2000), peran CIO dalam era berbasis web dipengaruhi oleh tiga faktor-faktor berikut:
1. Teknologi dan manajemen perusahaan berubah. Perusahaan menggunakan model bisnis Web-based yang baru. Aplikasi konvensional sedang berubah ke Web-based. Ada peningkatan penggunaan E-Commerce B2B, rantai pasokan manajemen, CRM, ERP dan pengetahuan manajemen aplikasi. Portofolio aplikasi mencakup lebih dan lebih Aplikasi berbasis web.
2. Sikap eksekutif berubah. Perhatian yang lebih besar diberikan pada kesempatan dan risiko. Paling tidak, CIO adalah individu kepada siapa yang lebih komputer eksekutif terpelajar mencari bimbingan, terutama yang berkatian dengan e-bisnis. Selain itu, eksekutif lebih bersedia untuk berinvestasi di bidang IT, karena rasiocost-benefit IT adalah meningkat seiring dengan waktu.
3. Interaksi dengan vendor yang meningkat. Pemasok IT, terutama yang utama (HP, Cisco, IBM, Microsoft, Sun, Intel, dan Oracle), yang mempengaruhi pemikiran strategis konsumen korporasi mereka.
Faktor di atas membentuk peran dan tanggung jawab CIO dengan tujuh cara berikut:
1) CIO meningkatkan tanggung jawab untuk menetapkan strategis masa depan.
2) CIO perlu memahami (dengan orang lain dalam organisasi) bahwa era berbasis web lebih mendasar tentang perubahan bisnis dari tentang teknologi.
3) CIO bertanggung jawab untuk melindungi peningkatan aset IT, termasuk infrastruktur Web, terhadap yang semakin meningkat termasuk bahaya serangan teroris.
4) CIO menjadi business visionary yang menjalankan strategi bisnis, mengembangkan model bisnis baru di Web, dan memperkenalkan proses manajemen yang memanfaatkan Internet, intranet, dan extranet.
5) CIO perlu berdebat untuk ukuran yang lebih besar dari kontrol pusat. Misalnya, menempatkan konten yang tidak pantas di Internet atau intranet dapat berbahaya dan perlu dipantau dan dikoordinasikan.
6) Proses akuisisi aset IT harus ditingkatkan. CIO dan end user harus bekerja lebih erat dari sebelumnya.
7) Lingkungan jaringan meningkat dapat menyebabkan kekecewaan dengan IT-situasi yang tidak diinginkan dimana CIO harus bantu menghindari.
15.3 IS VULNERABILITY AND COMPUTER CRIMES
Information Systems Breakdowns
Insiden kasus yang menggambarkan kerusakan dalam sistem informasi, adalah sbb :
1. Kartu kredit palsu.
2. Pencurian dari database pribadi (paspor nomor, usia, alamat rumah, nomor ID pajak dan lebih) yang digunakan untuk kejahatan didalam menciptakan identitas palsu (Misalnya, mendapatkan kartu kredit palsu).
3. Virus Vintage 2003 yang membawa mekanisme self-regenerasi yang memungkinkannya berkembang biak dengan cepat di Internet dan memperlambat lalu lintas Internet.Virus ini yang menyamar sebagai e-mail dari dukungan Microsoft teknis komputer dan virus ini berisiko mencuri informasi akun VISA.
4. Mahasiswa menyusup ke sistem komputer University of Houston dan mencuri nomor Jaminan Sosial dari 55.000 mahasiswa, fakultas, dan staf dengan maksud untuk melakukan tindak pidana federal.
5. Ratusan ATM di Jepang ditutup, perangkat pemantau cuaca tidak berfungsi, layar tampilan untuk suku bunga di kantor pos gagal, seismograf memberikan informasi yang salah, dan ada banyak masalah lain yang terkait dengan program seperti kesalahan dalam sistem lalu lintas udara.
6. Pencurian sekitar $ 100.000 dari rekening nasabah dengan memanfaatkan jaringan 24 jam teller otomatis di New York City yang mengalami disfungsional, pencurian nomor kartu bank bersama dengan kode keamanan pribadi dengan membuat ATM.
7. Keamanan data keuangan seperti nomor kartu kredit dan transaksi penjualan dengan menggunakan program 128-bit, namun masih bisa dibobol sehingga program tidak ada 100% aman.
8. Seorang hacker Rusia memasuki suatu sistem transfer dana elektronik Citibank dan mencuri lebih dari $ 10 juta rekening di seluruh dunia.
9. Bursa Efek London lumpuh oleh kegagalan sistem komputer yang berimbas terhadap harga saham dan informasi perusahaan
System Vulnerability
Ancaman ini dapat digolongkan sebagai hal yang tidak disengaja atau disengaja. ANCAMAN YANG TIDAK DISENGAJA
Ancaman yang tidak disengaja dapat dibagi menjadi tiga kategori utama: kesalahan manusia, bahaya lingkungan, dan kegagalan sistem komputer.
- Kesalahan manusia. Kesalahan manusia berkontribusi sekitar 55% dari masalah keamanan terkaitcontroland di banyak organisasi.
- Bahaya lingkungan termasuk gempa bumi, cuaca buruk (misalnya, badai, salju, pasir, petir, dan tornado), banjir, listrik padam atau fluktuasi yang kuat, kebakaran (bahaya paling umum), AC rusak, ledakan, kejatuhan radioaktif, dan kegagalan AC Sistem.
- Kegagalan sistem komputer dapat terjadi dalam desain hardware sistem informasi.
ANCAMAN YANG DISENGAJA.
Ancaman disengaja meliputi: pencurian data, penggunaan data yang tidak tepat (misalnya, memanipulasi input); pencurian waktu mainframe komputer; pencurian peralatan dan / atau program; manipulasi yang disengaja dalam penanganan pengolahan/mentransfer atau pemrograman data; pemogokan buruh, kerusuhan, atau sabotase; kerusakan sumber daya komputer; kehancuran dari virus, dan lain-lain.
Computer Crimes
Jenis Kejahatan Komputer
Dalam banyak hal, kejahatan komputer menyerupai kejahatan konvensional dan dapat terjadi dalam berbagai cara.
• Komputer dapat menjadi target kejahatan. Sebagai contoh, komputer mungkin dicuri atau dihancurkan, atau virus mungkin menghancurkan data.
• Komputer dapat menjadi media atau alat serangan dengan menciptakan suatu lingkungan di mana kejahatan atau penipuan bisa terjadi. Sebagai contoh, data palsu dimasukkan ke dalam sistem komputer untuk menyesatkan kondisi keuangan perusahaan.
• Komputer dapat digunakan untuk mengintimidasi atau menipu. Sebagai contoh, kerugian dalam pialang saham sebanyak $ 50 juta dengan meyakinkan klien bahwa ia memiliki program komputer yang dapat meningkatkan laba atas investasi sebesar 60% per bulan.
• Kejahatan yang dilakukan di Internet, kejahatan dunia maya yang dapat dilakukan oleh pihak luar yang menembus sistem komputer
Cybercrimes
Cybercrime adalah pencurian identitas, di mana seorang penjahat (pencuri identitas) pose sebagai orang lain dengan mencuri nomor Jaminan Sosial dan nomor kartu kredit, biasanya diperoleh dari internet, untuk melakukan penipuan (misalnya, untuk membeli produk atau mengkonsumsi jasa dimana korban harus membayar sebelumnya.
Cyberwar
Ancaman cyberwar, di mana sistem informasi suatu negara bisa lumpuh oleh serangan besar-besaran destruktif software. Sistem target dapat berkisar dari ISS usaha, industri, pelayanan pemerintah, dan media untuk sistem komando militer. Salah satu aspek dari cyberwar di cyberterrorism, yang mengacu pada serangan teroris internet. Serangan-serangan, seperti cyberwar dapat menghasilkan risiko infrastruktur informasi nasional. Hal tersebut dapat diatasi dengan Badan Perlindungan Infrastruktur (CIPB) yang merekomendasikan investasi program cybersecurity seperti kebijakan umum tentang keamanan informasi; perlindungan aset, pengamanan informasi; hak kekayaan intelektual, hak untuk memantau, dan mencabut, aktivitas pengguna ; spesifikasi standar keamanan fisik dan teknis, dan prosedur komunikasi darurat. ListenRead phonetically
Dictionary - View detailed dictionary
Methods of Attack on Computing Facilities
Ada banyak metode serangan terhadap fasilitas komputasi ( Richardson, 2003) dengan responden perusahaan terdiri atas : virus (82%), penyalahgunaan orang dalam akses internet (80%), kegagalan akses oleh orang dalam (45%), pencurian laptop (59%), denial of service (DoS) (42%), penetrasi sistem (36%), sabotase (21%), dan pencurian informasi kepemilikan (21%). Secara keseluruhan metode tersebut dapat dibagi kedalam dua pendekatan yang digunakan dalam serangan yang disengaja pada sistem komputer yakni manipulasi data danpemrograman.
Virus
Metode serangan yang paling dipublikasikan dan paling umum adalah virus. Kemampuannya dapat menginfeksi program komputer tanpa pemilik program menyadari hal tersebut. Ketika software digunakan, virus menyebar, menyebabkan kerusakan pada program. Menurut Bruno (2002), 93% dari semua perusahaan mengalami serangan virus dengan kerugian rata-rata $ 243.845 per perusahaan. Sebuah virus dapat menyebar ke seluruh sistem komputer yang sangat cepat. Karena keberadaan software publicdomain yang banyak digunakan jaringan telekomunikasi, dan Internet, virus juga dapat menyebar ke banyak organisasi di seluruh dunia.
Denial of Service
Kasus ini menggambarkan insiden penolakan layanan. Dalam layanan-penolakan-serangan (DoS), penyerang menggunakan software khusus untuk mengirim beberapa paket data ke komputer, dengan tujuan overloading sumber dayanya. Dengan distribusi penolakan serangan layanan (DDoS), penyerang mendapatkan akses administratif ilegal ke komputer di Internet.
Serangan melalui modem.
Banyak perusahaan menggunakan modem dial-in akses ke intranet perusahaan. Modem sangat berisiko. Hal ini sangat mudah bagi user asing untuk menembus, dan mudah bagi karyawan untuk mendapat informasi rahasia perusahaan dan bocor ke jaringan eksternal.
15.4 PROTECTING INFORMATION RESOURCES: FROM NATIONAL TO ORGANIZATIONAL EFFORTS
Representative Federal Laws Dealing with Computer Crime and Security
Selain melanggar hukum, biasanya hal-hal yang berhubungan dengan pencurian komputer atau melakukan penipuan dapat melanggar undang-undang kejahatan komputer. Menurut FBI, sebuah perampokan melibatkan rata-rata pelanggaran hukum tersebut mencapai sekitar $ 600.000. Oleh karena itu, FBI telah membentuk Pusat Perlindungan Infrastruktur Nasional (NIPC). NIPC tersebut merupakan kemitraan bersama antara pemerintah dan swasta industri dirancang untuk mencegah dan melindungi infrastruktur negara dan perusahaan telekomunikasi dengan tugas utamanya menyelidiki pelanggaran Penipuan Komputer dan Penyalahgunaan Undang-Undang.
Organizing for Information Security
Masalah keamanan informasi meningkat dengan cepat dan menimbulkan kerusakan banyak organisasi. Karena perlindungannya sangat mahal dan kompleks, oleh karena itu, perusahaan tidak harus hanya menggunakan pengawasan untuk mencegah atau mendeteksi masalah keamanan, tetapi harus melakukannya dengan cara yang terorganisasi, menetapkan tanggung jawab dan wewenang seluruh organisasi (Talleur, 2001, Atlas dan Young, 2002). Setiap program yang diadopsi harus didukung oleh tiga komponen organisasi: orang, teknologi, dan proses (Doughty, 2003). Salah satu cara untuk mendekati masalah pengorganisasian untuk keamanan berdasarkan pendekatan total kualitas manajemen yaitu, mengakui pentingnya program keamanancorporatewide yang berkaitan dengan segala macam masalah keamanan, termasuk melindungi aset informasi.
Controls and Awareness
Perlindungan sumber informasi sebagian besar dicapai dengan memasukkan alat pengendalian (mekanisme pertahanan) yang dimaksudkan untuk mencegah bahaya, mencegah tindakan disengaja, mendeteksi masalah sedini mungkin, meningkatkan pemulihan kerusakan, dan masalah realitas. Alat pengendalian tersebut dapat diintegrasikan ke dalam hardware dan software dalam tahap pengembangan sistem (sebuah pendekatan yang paling efisien) dan juga dapat ditambahkan pada setelah sistem yang sudah ada, atau selama pemeliharaan. Yang menjadi hal utama selain pengendalian adalah sistem pertahanan yang baik mencakup keamanannya. Semua anggota organisasi harus menyadari ancaman keamanan dan mengawasi masalah-masalah potensial dan kejahatan yang sering terjadi dan setidaknya bagaimana mengembangkan program-program yang mendukung keamanan sistem komputer (Wiederkehr, 2003).
Defense Strategy: How Do We Protect?
Pemilihan strategi pertahanan tergantung pada tujuan pertahanan dan manfaat-biaya yang dirasakan. Berikut ini adalah tujuan utama dari strategi pertahanan:
1. Pencegahan dan penangkalan : hal ini dirancang untuk mencegah kesalahan yang terjadi, mencegah penjahat dari menyerang sistem, dan menolak akses asing yang ada.
2. Deteksi : strategi untuk mengcegah kemungkin hal-hal yang tidak diinginkan dari sistem. Oleh karena itu, sistem dapat mendeteksi setiap serangan yang ada, seperti api.
3. Minimalisasi kerusakan : strategi ini adalah untuk meminimalkan kerugian/kerusakan yang terjadi. Hal ini dapat dicapai menggunakan sistem fault-tolerant, yang memungkinkan operasi dalam mode degradas hingga sistem tetap beroperasi.
4. Pemulihan : sebuah rencana pemulihan yang menjelaskan cara untuk memperbaiki sistem informasi yang cepat rusak.
5. Koreksi : memperbaiki penyebab sistem yang rusak dapat mencegah masalah agar tidak terjadi lagi.
6. Kesadaran dan kepatuhan : pengendalian pertahanan dibagi dalam dua kategori utama: pengendalian umum dan pengendalian aplikasi.
General Controls
Kategori utama dari pengendalian umum adalah pengendalian fisik, pengendalian akses, pengendalian keamanan data, pengendalian komunikasi (jaringan), dan pengendalian administratif.
1. Pengendalian Fisik : mengacu pada perlindungan fasilitas komputer dan sumber daya. Termasuk melindungi properti fisik seperti komputer, pusat data, software, manual, dan jaringan.
2. Pengendalian Akses : pembatasan akses pengguna asing dari sistem komputer atau ke seluruh sistem. Sistem komputer pada dasarnya terdiri dari tiga langkah: (1) akses fisik ke terminal, (2) akses ke sistem, dan (3) akses ke perintah tertentu, transaksi, hak istimewa, program, dan data dalam sistem. Pengendalian aksessoftware tersedia secara komersial untuk mainframe yang besar, komputer pribadi, jaringan area lokal, perangkat mobile dan dial-in jaringan komunikasi.
3. Pengendalian Keamanan Data :melindungi data dari modifikasi perusakan. Fungsi keamanan data yang dilaksanakan melalui sistem operasi, program akses kontrol keamanan, database komunikasi data / produk, backup prosedur recovery, program aplikasi, dan prosedur pengendalian eksternal.
4. Pengendalian Jaringan Komunikasi : perlindungan jaringan menjadi sangat penting karena penggunaan internet, intranet meningkatkan dalam perdagangan elektronik.
5. Pengendalian Administrasi :sebagai pedoman dan pemantauan kepatuhan dalam penggunaan sistem informasi.
6. Pengendalian umum lainnya : pelatihan, penetapan standar untuk pengujian dan manajemen konfigurasi, dan menegakkan standar-standar dokumentasi dan juga pengembangan sistem pengendalian kebijakan dan prosedur.
Application Controls
Pengendalian aplikasi tersebut dapat diklasifikasikan ke dalam tiga kategori utama: pengendalian input, pengendalian proses, dan pengendalian output.
1. Pengendalian Input
Pengendalian Input dirancang untuk mencegah perubahan data atau kerugian. Data diperiksa secara akurat, lengkap,dan konsistensi. Pengendalian input sangat penting untuk mencegah terjadinya situasi GIGO (garbage-in, garbage-out).
2. Pengendalian Proses
Pengendalian proses untuk memastikan data yang lengkap, valid, dan akurat ketika sedang diproses dan program benar-benar dilaksanakan. Kewenangan program ini hanya bagai pengguna yang mengakses program tertentu atau fasilitas dan memantau penggunaan komputer oleh individu.
3. Pengendalian Output
Pengendalian Output digunakan untuk memastikan bahwa hasil pengolahan komputer yang akurat, valid, lengkap, dan konsisten. Dengan mempelajari sifat kesalahan output umum dan penyebabnya, keamanan kesalahan dan staf audit dapat mengevaluasi kemungkinan pengendalian dalam menangani masalah dan juga memastikan bahwa output hanya dikirim kepada petugas yang berwenang.
15. 5 PENGAMANAN WEB, INTRANET DAN JARINGAN WIRELESS
Banyak peristiwa yg dijelaskan pada point 15.3 tentang kerentanan Internet dan Website. Kenyataannya, semakin luas jaringan semakin banyak masalah yang dihadapi. Keamanan adalah persaingan antara “pembuat kunci” dan “Pemakai kunci”. Kecuali pembuat kunci memiliki kemenangan, kredibilitas internet masa depan dan e – bisnis dalam masalah.
Melalui Internet, pesan dikirim dari satu komputer ke komputer lain (bukan dari satu jaringan ke yang lain). Hal ini membuat jaringan sulit untuk dilindungi apalagi sejak banyak cara yang dapat digunakan untuk mengakses jaringan dan pengguna mungkin tidak pernah tahu bahwa pelanggaran telah terjadi. Untuk daftar teknik penyerang dapat digunakan untuk kompromi aplikasi Web, di samping apa yang telah diuraikan dalam Bagian 15.3. McConnell (2002) membagi langkah-langkah keamanan Internet menjadi tiga lapisan: keamanan perbatasan (akses), otentikasi, dan otorisasi.
Keamanan Perbatasan
Tujuan utama dari keamanan perbatasan adalah akses kontrol. Pertama kita pertimbangkan adalah firewall.
a. Firewall. Hacking adalah sebuah fenomena yang berkembang. Bahkan sistem Pentagon yang dianggap sebagai sistem yang sangat aman mengalami hacker lebih dari 250.000 per tahun di mana banyak yang tidak terdeteksi (Los Angeles Times, 1998). Hal ini diyakini bahwa biaya hacking industri AS beberapa miliar dolar setiap tahunnya. Hacking adalah suatu kegiatan populer yang lebih dari 80.000 situs Web yang didedikasikan untuk itu. Firewall menyediakan solusi biaya-efektif terhadap hacking. Firewall adalah sebuah sistem, atau kelompok sistem, yang memberlakukan kebijakan kendali akses antara dua jaringan. Hal ini biasanya digunakan sebagai penghalang antara intranet perusahaan aman, atau jaringan internal lainnya, dan internet, yang dianggap tidak aman. Firewall digunakan untuk menerapkan kebijakan kontrol akses. Firewall berisi pedoman kebijakan yang ketat yang mengizinkan atau memblokir lalu lintas, sehingga firewall sukses dirancang dengan aturan yang jelas dan spesifik tentang apa yang bisa melewatinya. Firewall juga digunakan sebagai tempat untuk mengumpulkan informasi publik. Sementara pengunjung dapat diblokir dari akses masuk ke jaringan perusahaan, mereka dapat memperoleh informasi tentang produk dan layanan, file download dan-perbaikan bug, dan sebagainya. Firewall tidak menghentikan virus yang mungkin bersembunyi di jaringan. Virus dapat melewati firewall yang biasanya tersembunyi di lampiran e-mail.
b. Virus Control. Banyak virus terdiri dari ( sekitar 100.000 dikenal tahun 2003 ) jumlah ini tumbuh 30 persen per tahun menurut International Computer Security Association. Ada beberapa cara yang digunakan untuk melawan virus seperti tabel 15.8 dibawah ini:
Kemungkinan / Cara
Tindakan
• Virus melewati firewall yang tidak terdeteksi ( dari internet ) • Virus sudah berada di server jaringan dan mengancam semua pengguna • Terinfeksi floppy, sistem server lokal dalam bahaya, file yang di simpan dalam server dapat tersebar virus
• Pertukaran data dalam jumlah besar terlalu sering dilakukan sehingga resiko terinfeksi virus besar
• Virus dapat dideteksi
• Pengguna harus menyaring semua program yang di download dan dokumen sebelum digunakan
• Virus harus discan setiap hari, memback-up data untuk menyimpan data dan mengikuti jejak
• Menggunakan pengawas virus untuk menscan floppy • Meng-scan file sebelum atau setelah di upload,atau membuat frekuensi upload
• Menggunakan clean starter disk untuk membuat disk bersih kembali.
c. Mendeteksi Gangguan. Karena perlindungan terhadap penolakan sangat sulit, maka semakin cepat di aktivitas deteksi akan semakin baik. Oleh karena itu, akan lebih bermanfaat untuk menempatkan perangkat mendeteksi gangguan dekat titik pintu masuk dari Internet ke intranet (dekat firewall). Tujuannya adalah deteksi dini, dan ini dapat dilakukan dengan beberapa perangkat (misalnya, BladeRunner dari Raytheon, Praesidium dari HP, Caddx dari Caddx Kontrol, dan IDS dari Cisco). Mendeteksi gangguan dilakukan dengan alat yang berbeda, seperti analisis statistik atau jaringan syaraf. Biermann et al. (2001) memberikan perbandingan 10 metode yang berbeda dan mendiskusikan metode mana yang lebih baik dalam mendeteksi berbagai jenis intrusi/gangguan.
d. Melindungi penolakan terhadap serangan jaringan. Sejak serangan terhadap DOS 6 Februari 2000 industri mulai mendapatkan solusi. Sebuah organisasi khusus ahli dibentuk di Internet Engineering Task Force (IETF), meliputi vendor dan perusahaan yang di serang. Kelompok IETF mengembangkan prosedur tentang apa yang harus dilakukan jika terjadi serangan tersebut. Salah satu pendekatan yang disarankan adalah melacak penyerang secara real time (misalnya, dengan melacak aliran paket data melalui Internet).
Automated Attack Traceback. Investigasi untuk mencari penyerang dapat dilakukan secara manual ataupun otomatis. Serangan traceback mengacu pada sebuah sistem yang dapat mengidentifikasi tanggung jawab seseorang terhadap virus, DOS, atau serangan lainnya. Sebagai contoh, akan mengidentifikasi host komputer yang merupakan sumber serangan. Penyerang biasanya mencoba untuk menyembunyikan identitas mereka. Traceback otomatis berupaya menggagalkan metode yang digunakan oleh penyerang (seperti zombie, dibahas sebelumnya). Menurut Lee dan Shields (2002), namun, penggunaan program traceback serangan otomatis akan mengangkat isu-isu legal (misalnya, data apa yang secara legal dapa di serang).
e. Virtual Private Networking (VPN ). Metode utama yang terakhir dari keamanan perbatasan adalah Virtual Private Network (VPN). VPN menggunakan Internet untuk membawa informasi dalam sebuah perusahaan yang memiliki beberapa situs dan di antara mitra bisnis terkenal, tetapi meningkatkan keamanan Internet dengan menggunakan kombinasi enkripsi, otentikasi, dan kontrol akses. Ini menggantikan leased line tradisional swasta dan / atau mengakses remote server (RAS) yang menyediakan komunikasi langsung ke LAN perusahaan (lihat Panduan Teknologi 4). Menurut Prometheum Technologies (2003), biaya dapat dikurangi hingga 50 persen dengan menggunakan VPN yang juga dapat digunakan oleh pekerja jarak jauh (di sini penghematan bisa mencapai 60-80 persen). Kerahasiaan dan integritas yakin dengan menggunakan protokol tunnelinguntuk enkripsi. (McKinley 2003).
Otentikasi
Seperti yang diterapkan di internet, suatu penjaga sistem otentikasi terhadap penggunaan dial sedang di upayakan. Banyak perusahaan menggunakan strategi akses perlindungan yang mengharuskan pengguna untuk membuat panggilan masuk dengan nomor identifikasi preassigned pribadi (PIN). Strategi ini biasanya ditingkatkan dengan password yang unik dan sering berubah. Sebuah sistem akses kontrol komunikasi mengotentikasi PIN pengguna dan password. Beberapa sistem keamanan melanjutkan satu langkah lebih jauh, menerima panggilan hanya dari nomor telepon yang ditunjuk. Akses kontrol juga mencakup biometrik.
• Bagaimana Otentikasi Bekerja. Tujuan utama dari otentifikasi adalah bukti identitas. Upaya di sini adalah untuk mengidentifikasi pengguna yang sah dan menentukan tindakan apakah dia diperbolehkan untuk menampilkan, dan juga untuk menemukan penyamaran. Program-program tersebut juga dapat dikombinasikan dengan otorisasi, untuk membatasi tindakan dari apa yang mereka anjurkan oleh komputer dengan sekali identifikasi mereka telah dikonfirmasi.
Sistem Otentikasi memiliki lima elemen kunci (Smith, 2002): (1) orang/organisasi yang sah (2) karakteristik pembeda yang membedakan orang /kelompok dari orang/kelompok lain, (3) pemilik yang bertanggung jawab atas sistem yang digunakan; (4) mekanisme otentikasi, dan (5) mekanisme kontrol akses untuk membatasi tindakan yang dapat dilakukan oleh orang/kelompok yg di otentikasi. Sistem yang lebih kuat adalah dua faktor-otentikasi, yang menggabungkan satu sesuatu yang privacy (password, jawaban untuk pertanyaan ) dengan satu yang diniliki (token, biometrik). Sebuah kartu akses adalah contoh dari sebuah token pasif, dibawa untuk masuk ke dalam ruang tertentu untuk memperoleh akses atas jaringan. Token aktif adalah perangkat elektronik yang dapat menghasilkan password satu kali setelah PIN di aktifkan. Perlu diperhatikan bahwa sistem kunci publik meliputi fitur otentikasi.
• Otorisasi
Otorisasi mengacu pada izin yang dikeluarkan untuk perorangan atau kelompok untuk melakukan aktivitas tertentu dengan komputer, biasanya didasarkan pada identitas diverifikasi. Sistem keamanan, setelah mengotentikasi pengguna, harus memastikan bahwa pengguna beroperasi dalam kegiatan resmi. Hal ini biasanya dilakukan dengan memantau aktivitas pengguna dan membandingkannya dengan daftar yang berwenang.
Metode Lain dari Perlindungan
Beberapa metode untuk melindungi web dan intranet antara lain :
a) Enkripsi. Enkripsi menyelesaikan tiga tujuan: (1) identifikasi (membantu mengidentifikasi pengirim dan penerima yang sah), (2) kontrol (mencegah mengubah suatu transaksi atau pesan), dan (3) privacy (menghalangi pembajakan). Enkripsi digunakan secara luas dalam e-commerce untuk melindungi pembayaran dan untuk privasi.
b) Troubleshooting. Sebuah pertahanan populer jaringan area lokal (LAN) adalah pemecahan masalah. Sebagai contoh, tester kabel dapat me.nemukan hampir semua kesalahan yang dapat terjadi dengan kabel LAN. Perlindungan lain dapat disediakan oleh analisis protokol, yang memungkinkan pengguna untuk memeriksa isi dari paket informasi disepanjang jaringan. Analisis terbaru menggunakan sistem pakar, yang menafsirkan sejumlah data yang dikumpulkan oleh penganalisis. Beberapa perusahaan menawarkan pemecahan masalah LAN yang terintegrasi (tester dan sebuah analisa yang inteligen).
c) Payload Security. Keamanan Payload melibatkan enkripsi atau manipulasi lain dari data yang dikirim melalui jaringan. Payload mengacu pada isi pesan dan layanan komunikasi antara pengguna. Contoh dari keamanan payload adalah Pretty Good Privacy (PGP), yang memungkinkan pengguna untuk semurah mungkin membuat dan mengenkripsi pesan. (Lihat pgp.com untuk perangkat lunak bebas).
d) Honeynets. Perusahaan dapat menjebak hacker dengan melihat langsung apa yang dilakukan oleh hacker. Perangkap ini disebut sebagai honeypots, mereka merancang perangkap bekerja seperti sistem nyata dan menarik hacker. Sebuah jaringan honeypots disebut Honeynet.
Mengamankan PC Anda
PC di rumah anda terhubung ke internet dan perlu dilindungi (Luhn dan Spanbauer, 2002). Karena itu, solusi perangkat lunak antivirus (misalnya, Norton Antivirus 2002) dan firewall pribadi sangat penting. (Anda bisa mendapatkan koneksi firewall internet gratis dengan Microsoft Windows atau membayar $ 30 - $ 50 untuk produk-produk seperti McAfee Firewall). Jika Anda menggunakan gateway / router di rumah, anda juga perlu melindunginya, jika mereka tidak memiliki built-in perlindungan. Anda juga membutuhkan perlindungan terhadap stealthware. Stealthware mengacu pada program-program tersembunyi yang dilengkapi dengan perangkat lunak bebas untuk mendownload. Program-program ini melacak aktivitas surfing anda dan melaporkannya ke server pemasaran. Program-program seperti Pengendalian Hama dan Spy Blocker dapat membantu yang pada akhirnya membutuhkan alat antispam (misalnya, SpamKiller). Alat tersebut dapat dikombinasikan dalam satu rangkaian (misalnya, Internet Security dari McAfee atau Symantec).
Mengamankan Jaringan Nirkabel Jaringan nirkabel lebih sulit untuk dililindungi daripada jaringan wirelines. Sementara banyak risiko perdagangan berbasis Internet desktop akan meliputi m-commerce, dan m-commerce itu sendiri menyajikan risiko baru. Topik. Selain itu, akhir-akhir ini ada pengakuan bahwa kode berbahaya dapat menembus jaringan nirkabel. Kode tersebut memiliki kemampuan untuk melemahkan kontrol seperti otentikasi dan enkripsi.
15.6 USAHA KONTINUITAS DAN PERENCANAAN PEMULIHAN BENCANA
Bencana dapat terjadi tanpa peringatan. Menurut Strassman (1997), pertahanan terbaik adalah harus dipersiapkan. Oleh karena itu, elemen penting dalam setiap sistem keamanan adalah kelangsungan rencana bisnis, juga dikenal sebagai pemulihan bencana rencana. Rencana seperti menguraikan proses dimana bisnis harus pulih dari bencana besar. Penghancuran semua (atau sebagian besar) dari fasilitas komputasi dapat menyebabkan kerusakan yang signifikan. Oleh karena itu, sulit bagi banyak organisasi untuk mendapatkan asuransi untuk komputer mereka dan sistem informasi tanpa menunjukkan pencegahan bencana yang memuaskan dan rencana pemulihan. Ini adalah konsep yang sederhana, suatu perencanaan krisis yang mantap dapat membantu meminimalkan kerugian (Gerber dan Feldman, 2002). Kelengkapan rencana pemulihan bisnis ditunjukkan pada Gambar 15.6.
Rencana Keberlanjutan Usaha
Pemulihan bencana adalah rantai peristiwa menghubungkan rencana kesinambungan bisnis untuk perlindungan dan pemulihan. Berikut ini adalah beberapa pemikiran kunci tentang proses: 1. Tujuan dari rencana kesinambungan bisnis adalah untuk menjaga bisnis berjalan setelah bencana terjadi. Baik ISD dan manajemen lini harus dilibatkan dalam penyusunan rencana. Setiap fungsi dalam bisnis harus memiliki sebuah rencana pemulihan kemampuan yang valid.
2. Perencanaan Pemulihan merupakan bagian dari perlindungan aset. Setiap organisasi harus menetapkan tanggung jawab untuk manajemen untuk mengidentifikasi dan melindungi aset mereka dalam lingkup pengawasan fungsional.
3. Perencanaan harus fokus pertama pada pemulihan dari kerugian total dari semua kemampuan.
4. Bukti kemampuan biasanya melibatkan beberapa jenis apa-jika analisis yang menunjukkan bahwa rencana pemulihan saat ini (lihat Lam 2002).
5. Semua aplikasi kritis harus diidentifikasi dan prosedur pemulihan mereka dibahas dalam rencana.
6. Rencana tersebut harus ditulis sehingga akan efektif dalam kasus bencana, tidak hanya dalam rangka memenuhi auditor.
7. Rencana tersebut harus disimpan di tempat yang aman; salinannya harus diberikan kepada semua manajer kunci; atau harus tersedia di Intranet dan rencana harus diaudit secara berkala.
Perencanaan pemulihan bencana bisa sangat kompleks, dan mungkin membutuhkan beberapa bulan untuk lengkapnya (lihat Devargas, 1999). Menggunakan software khusus, pekerjaan perencanaan dapat lebih cepat.
Backup Pengaturan
Salah satu cara yang paling logis untuk menangani hilangnya data adalah untuk mendukungnya. Sebuah rencana kelangsungan bisnis mencakup pengaturan cadangan. Kita semua membuat salinan semua atau file penting dan menjaga mereka secara terpisah. Selain back up data kita tertarik dalam pemulihan cepat. Selain itu, sebagai bagian dari salah satu bisnis kontinuitas dapat membuat cadangan seluruh komputer atau pusat data. Kedua pengaturan yaitu:
PENGAMANAN DATA FILES. Sementara semua orang tahu betapa pentingnya adalah untuk membuat cadangan file data, banyak lalai melakukannya karena prosesnya rumit dan memakan waktu. Beberapa program membuat proses ini lebih mudah, dan beberapa mengembalikan data juga (misalnya, Ontrack.com memberikan EasyRecovery dan perbaikan Berkas, 10mega.com menyediakan QuickSync, dan Officerecovery.com memberikan pemulihan kantor). Untuk tips bagaimana menghindari kehilangan data dengan membuat cadangan file data, lihat Spector (2002). pengaturan Backup juga dapat termasuk penggunaan penyimpanan jaringan terpasang (NAS) dan jaringan tempat penyimpanan (NAS) (lihat Panduan Teknologi 4 dan Hunton, 2002).
ALAS UP PUSAT KOMPUTER. Sebagai persiapan untuk sebuah bencana besar, seperti dalam kasus 9 / 11, itu sering perlu bagi suatu organisasi untuk memiliki lokasi backup. Eksternal hot-situs vendor menyediakan akses ke pusat data secara penuh diatur cadangan.
Untuk menghargai kegunaan pengaturan panas-situs, pertimbangkan contoh berikut: Pada malam 17 Oktober 1989, ketika sebuah gempa bumi besar melanda San Francisco, Charles Schwab dan Perusahaan sudah siap. Dalam beberapa menit, rencana bencana perusahaan diaktifkan. Programer, insinyur, dan kaset komputer cadangan dari 17 Oktober transaksi diterbangkan dengan jet disewa untuk Carlstadt, New Jersey. Di sana, Comdisco Disaster Recovery yang disediakan sebuah situs panas. Keesokan paginya, perusahaan mulai beroperasi dengan normal. Montgomery Efek, di sisi lain, tidak memiliki pengaturan pemulihan cadangan. Pada tanggal 18 Oktober, sehari setelah gempa, para pedagang harus menggunakan telepon daripada komputer untuk menjalankan perdagangan. Montgomery kehilangan pendapatan sebesar $ 250.000 untuk $ 500.000 dalam satu hari.
Sebuah pengaturan alternatif lebih murah adalah eksternal dingin-situs vendor yang menyediakan ruang kantor kosong dengan lantai khusus, ventilasi, dan kabel. Dalam keadaan darurat, perusahaan dilanda bergerak sendiri (atau disewakan) komputer ke situs.
Keamanan komputer fisik adalah bagian integral dari sistem keamanan total. Cray Research, produsen terkemuka superkomputer (sekarang merupakan anak perusahaan dari Silicone Graphics, Inc), telah memasukkan rencana keamanan perusahaan, di mana komputer korporat secara otomatis dimonitor dan dikontrol secara terpusat. Graphic menampilkan menampilkan kedua status normal dan gangguan. Semua perangkat yang dikendalikan diwakili sebagai ikon di lantai-rencana grafis. Ikon ini dapat mengubah warna (misalnya, hijau berarti normal, merah menandakan masalah). Ikon dapat flash juga. Tindakan korektif-pesan yang ditampilkan apabila diperlukan. Sistem alarm mencakup lebih dari 1.000 alarm. Operator dapat waspada, bahkan di lokasi terpencil, dalam waktu kurang dari satu detik.
Dari minat khusus adalah bencana perencanaan untuk sistem berbasis Web, seperti ditunjukkan pada contoh di Online File W15.7. Untuk beberapa metode yang menarik pemulihan, lihat edisi khusus dan Keamanan Komputer (2000). Akhirnya, menurut Brassil (2003) komputasi mobile dan inovasi lainnya mengubah industri kelanjutan usaha dengan cepat mencapai sejumlah besar orang, dimanapun mereka berada, dan dengan kemampuan perangkat mobile untuk membantu dalam pemulihan cepat pelayanan.
PENGHINDARAN BENCANA. Penghindaran Bencana merupakan suatu pendekatan yang berorientasi terhadap pencegahan. Idenya adalah untuk meminimalkan kemungkinan bencana dihindari (seperti kebakaran atau ancaman disebabkan oleh manusia lainnya). Sebagai contoh, banyak perusahaan menggunakan perangkat yang disebut catu daya tak terputus (UPS), yang memberikan kekuatan dalam kasus pemadaman listrik.
15.7 MELAKSANAKAN KEAMANAN: MENGAUDIT DAN ANALISA RESIKO
Melaksanakan kontrol dalam suatu organisasi dapat menjadi tugas yang sangat rumit, khususnya dalam jumlah besar, perusahaan desentralisasi dimana kontrol administratif mungkin sulit untuk ditegakkan. Dari banyak isu yang terlibat dalam kontrol pelaksanaan, ada tiga hal yang dijelaskan yakni:
1. Sistem informasi audit;
2. Analisis risiko;
3. Sistem intelijen yang maju.
Kontrol dibentuk untuk memastikan bahwa sistem informasi bekerja dengan baik. Kontrol dapat diinstal di sistem yang asli, atau mereka dapat ditambahkan sekali sistem beroperasi. Instalasi kontrol perlu tetapi tidak cukup. Hal ini juga diperlukan untuk menjawab pertanyaan-pertanyaan seperti berikut: Apakah kontrol diinstal sebagai dimaksudkan? Apakah mereka efektif? Apakah ada pelanggaran keamanan terjadi? Jika demikian, apa yang tindakan yang diperlukan untuk mencegah terulangnya? Pertanyaan-pertanyaan ini harus dijawab oleh pengamat independen dan tidak bias. Pengamat tersebut melakukan tugas audit sistem informasi.
Auditing Sistem InformasiTop of Form
Suatu audit merupakan bagian penting dari setiap sistem kontrol. Dalam kerangka organisasi, biasanya disebut sebagai pemeriksaan berkala dan pemeriksaan keuangan dan catatan akuntansi dan prosedur. Profesional terlatih khusus mengeksekusi audit. Dalam lingkungan sistem informasi, audit dapat dilihat sebagai tambahan lapisan pengendalian atau pengamanan. Audit dianggap sebagai pencegah tindakan kriminal (Wells, 2002), terutama bagi orang dalam.
Jenis Auditor dan Audit:
Ada dua jenis auditor (dan audit): internal dan eksternal, yaitu:
1. Auditor internal biasanya seorang karyawan perusahaan yang bukan anggota ISD tersebut.
2. Auditor eksternal adalah auditor di luar perusahaan. Jenis auditor yang meninjau temuan audit internal dan masukan, pengolahan, dan output dari informasi sistem. Audit eksternal sistem informasi sering bagian dari audit eksternal secara keseluruhan dilakukan oleh akuntan publik bersertifikat (CPA) perusahaan.
IT audit bisa sangat luas, sehingga hanya penting yang disajikan di sini.
Audit melihat semua potensi bahaya dan pengendalian dalam sistem informasi. Ini memfokuskan perhatian pada topik-topik seperti pengembangan sistem baru, operasi dan pemeliharaan, integritas data, aplikasi perangkat lunak, keamanan dan privasi, bencana perencanaan dan pemulihan, pembelian, anggaran dan pengeluaran, Chargeback, vendor manajemen, dokumentasi, asuransi dan ikatan, pelatihan, pengendalian biaya, dan produktivitas. Beberapa pedoman yang tersedia untuk membantu auditor dalam pekerjaan mereka. SAS No 55 adalah panduan komprehensif yang disediakan oleh American Institute of Certified Akuntan Publik. Juga, panduan yang tersedia dari Institut Auditor Internal, Orlando, Florida. (Lihat Frownfelter-Lohrke dan Hunton, 2002 untuk pembahasan tentang arah baru dalam audit TI).
Auditor berusaha untuk menjawab pertanyaan-pertanyaan seperti ini:
a. Apakah ada kontrol yang cukup dalam sistem?
b. Area mana tidak tercakup oleh kontrol?
c. Kontrol yang tidak diperlukan?
d. Apakah kontrol diimplementasikan dengan baik?
e. Apakah kontrol yang efektif, yaitu apakah mereka memeriksa output dari sistem?
f. Apakah ada pemisahan yang jelas untuk tugas karyawan?
g. Apakah ada prosedur untuk memastikan kepatuhan terhadap kontrol?
h. Apakah ada prosedur untuk memastikan pelaporan dan tindakan perbaikan dalam hal pelanggaran kontrol?
Item lain yang auditor IT dapat memeriksa termasuk: kebijakan keamanan data dan rencana, kelangsungan rencana bisnis (Von-Roessing, 2002), ketersediaan informasi strategis rencana, apa perusahaan lakukan untuk memastikan kepatuhan dengan aturan keamanan, tanggung jawab keamanan TI, pengukuran keberhasilan organisasi TI skema keamanan, adanya kesadaran keamanan program, dan insiden keamanan sistem pelaporan.
Dua jenis audit yang digunakan untuk menjawab pertanyaan ini. Audit operasional menentukan apakah ISD bekerja dengan benar. Audit kepatuhan menentukan apakah kontrol telah diterapkan dengan benar dan memadai. Selain itu, audit ditujukan khusus untuk pengendalian umum dan pengendalian aplikasi (Lihat Sayana, 2002).
PEMERIKSAAN SISTEM WEB DAN E-COMMERCE
Menurut Morgan dan Wong (1999), audit sebuah situs Web adalah langkah pencegahan yang baik untukmengelola hukum risiko. Risiko hukum adalah penting dalam suatu sistem TI, tetapi dalam sistem Web itubahkan lebih penting karena isi situs, yang mungkin menyinggung perasaan orang atau melanggar undang-undang hak cipta atau peraturan lainnya (misalnya, perlindungan privasi). EC audit juga lebih kompleks karenaselain situs Web satu kebutuhan untuk mengaudit mengambil pesanan, pemenuhan pesanan dan sistemmendukung semua (lihat Blanco, 2002). Untuk lebih lanjut tentang IT audit lihat Woda (2002).
Manajemen Risiko Dan Biaya-Manfaat Analisis
Hal ini biasanya tidak ekonomis untuk mempersiapkan perlindungan terhadap setiap ancaman yang mungkin.Oleh karena itu, program keamanan TI harus menyediakan suatu proses untuk menilai ancaman danmemutuskan mana yang untuk mempersiapkan dan mana yang mengabaikan, atau menyediakan mengurangiperlindungan. Instalasi tindakan pengendalian yang didasarkan pada keseimbangan antara biaya pengawasan dan kebutuhan untuk mengurangi atau menghilangkan ancaman. Seperti Analisis pada dasarnya adalah sebuah pendekatan manajemen risiko, yang membantu mengidentifikasi ancaman dan memilih langkah-langkah keamanan biaya-efektif (lihat Hiles, 2002).
Kegiatan utama dalam proses manajemen risiko dapat diterapkan untuk yang ada sistem serta dengan sistem yang sedang dikembangkan. Ini diringkas dalam Gambar
15.7. ANALISIS MANAJEMEN RISIKO
Manajemen risiko analisis dapat ditingkatkan dengan penggunaan paket perangkat lunak DSS. Sebuah perhitungan sederhana yang ditampilkan di sini:
BERAPA HARGANYA UNTUK AMAN?
Keamanan Nasional Pusat Komputer (NCSC) dari Departemen Pertahanan menerbitkan panduan untuk tingkatkeamanan. Pemerintah menggunakan pedoman ini dalam permintaan untuk tawaran pada pekerjaan dimanavendor harus memenuhi tingkat tertentu. Tujuh tingkat ini ditampilkan dalam W15.10 FileOnline di bukuWebsite. Vendor diharuskan untuk mempertahankan tingkat keamanan tertentu tergantung pada kebutuhan keamanan pekerjaan. Keputusan banyak cara untuk mengamankan dapat diperlakukan sebagai isu asuransi(lihat Kolodzinski, 2002, dan Gordon et al., 2003).
IT Security Di Abad Kedua Puluh Satu
Kontrol komputer dan keamanan baru-baru ini mendapat perhatian meningkat. Untuk misalnya, cerita tentang bug “Aku cinta kamu” menangkap berita utama surat kabar yang paling, TV, dan portal komputer di Mei 2000, dan virus besar-besaran lainnya sejak media serupa itu telah menerima bermain. Hampir 97 persen dari duniaperusahaan besar berjuang virus komputer pada tahun 2002. Beberapa penting TI-tren keamanan dibahas dalam bagian ini.
PENINGKATAN KEHANDALAN SISTEM. Tujuan yang berkaitan dengan keandalan adalah dengan menggunakan toleransi kesalahan untuk menjaga sistem informasi kerja, bahkan jika beberapa bagian gagal. Compaq Computer dan produsen PC lainnya menyediakan fitur yang menyimpan data pada lebih dari satu disk drive pada waktu yang sama, jika satu disk gagal atau diserang, data masih tersedia. Beberapa merek PC termasuk built-in baterai yang diaktifkan secara otomatis jika terjadi kegagalan daya.
Beberapa hari ini sistem memiliki 10.000 hingga 20.000 komponen, yang masing masing dapat pergi juta jam tanpa kegagalan, tapi sebuah sistem gabungan mungkin pergi hanya 100 jam sampai gagal. Dengan sistem masa depan 100.000 komponen, kemungkinan matematika adalah bahwa sistem akan gagal setiap beberapa menit-jelas, situasi yang tidak dapat diterima. Oleh karena itu, perlu untuk meningkatkan keandalan sistem.
PENYEMBUHAN DIRI KOMPUTER. Sebagai sistem komputasi menjadi lebih kompleks, mereka membutuhkan jumlah yang lebih tinggi dari intervensi manusia untuk tetap beroperasi. Sejak tingkat kompleksitas adalah percepatan, ada kebutuhan yang meningkat untuk komputer penyembuhan diri. Idealnya, pemulihan dapat langsung dilakukan jika komputer dapat menemukan masalah mereka dan memperbaikinya sendiri, sebelum sistem crash. Menurut Van (2003), IBM terlibat dalam proyek yang dikenal sebagai otomatiskomputasi, yang bertujuan untuk membuat komputer lebih mandiri dan kurang rapuh. Ide dasarnya adalah dipinjam dari tubuh manusia dan sistem kekebalan tubuh. pertama kali dikenal IBM penyembuhan diri komputer disebut Eliza, melainkan melekat pada superkomputer besar, yang disebut Blue Sky, di Pusat Nasional untuk Atmosfer Penelitian di Amerika Serikat. Untuk diskusi lebih lanjut lihat Pescovitz (2002).
SISTEM CERDAS UNTUK DETEKSI DINI GANGGUAN. Mendeteksi intrusi di awal sangat penting, terutamauntuk informasi rahasia dan keuangan data. Sistem pakar dan jaringan saraf digunakan untuk tujuan ini.Sebagai contoh, sistem mendeteksi intrusi-khususnya cocok untuk area lokal jaringan dan klien / serverarsitektur. Pendekatan ini membandingkan aktivitas pengguna pada jaringan workstation terhadap profil sejarahdan menganalisis signifikansi dari setiap perbedaan. Tujuannya adalah untuk mendeteksi pelanggarankeamanan. Pendekatan-mendeteksi intrusi digunakan oleh beberapa instansi pemerintah (misalnya,Departemen Energi dan Angkatan Laut AS) dan perusahaan besar (misalnya, Citicorp, Rockwell International, dan Tracor). Mendeteksi hal-hal lain juga, untuk misalnya, sesuai dengan prosedur keamanan. Orang-orang cenderung mengabaikan keamanan langkah-langkah (20.000-40.000 pelanggaran dilaporkan setiap bulan di aerospace besar perusahaan di California). Sistem ini mendeteksi pelanggaran tersebut sehingga perbaikan dapat dilakukan.
SISTEM CERDAS DALAM MENGAUDIT DAN MENDETEKSI FRAUD. Intelligent sistem digunakan untuk meningkatkan tugas IS audit. Sebagai contoh, sistem pakar mengevaluasi dan menganalisa sistem kontrol komputer dasar sementara jaringan saraf dan data mining digunakan untuk mendeteksi kecurangan (misalnya, lihat Sheridan, 2002).
KECERDASAN BUATAN DALAM BIOMETRIC. Ahli sistem, komputasi syaraf, pengenalan suara, dan logika fuzzy dapat digunakan untuk meningkatkan kemampuan beberapa biometrik sistem. Sebagai contoh, Fuijitsu Jepang dikembangkan komputer mouse yang dapat mengidentifikasi pengguna dengan pembuluh darah telapak tangan mereka, mendeteksi tidak sah pengguna.
SISTEM PAKAR UNTUK DIAGNOSIS, PROGNOSIS, DAN PERENCANAAN BENCANA. Sistem pakar dapat digunakan untuk mendiagnosa masalah dalam system komputer dan menyarankan solusi. Pengguna menyediakan sistem pakar dengan jawaban atas pertanyaan tentang gejala. Sistem pakar menggunakan basis pengetahuan untuk mendiagnosa sumber (s) dari kesulitan. Setelah dibuat diagnosa yang tepat, computer memberikan saran restorasi. Sebagai contoh, Exec Express (e-exec.co.uk) menjual bisnis berbasis intranet pemulihan sistem pakar perencanaan yang merupakan bagian dari program yang lebih besar yang disebut Self-Assessment. Program ini digunakan untuk mengevaluasi sebuah korporasi lingkungan untuk keamanan, prosedur, dan faktor risiko lainnya.
KARTU SMART. Smart teknologi kartu dapat digunakan untuk melindungi PC pada LAN. Contohnya adalah Excel 10 Maret (dari MacroArt Teknologi, Singapura), yang menawarkan enam tingkat keamanan:
1) Identifikasi pengguna yang sah,
2) Pelaksanaan yang telah ditetapkan program,
3) Otentikasi,
4) Enkripsi program dan file,
5) Enkripsi komunikasi, dan
6) Generasi file sejarah.
Produk ini juga dapat terintegrasi dengan fasilitas sidik jari. smart card pengguna adalah disahkan oleh sistem, menggunakan tanda tangan diidentifikasi dengan kunci rahasia dan enkripsi algoritma. Kartu cerdas yang mengandung microchip tertanam dapat menghasilkan unik password (digunakan hanya sekali) yang mengkonfirmasi identitas seseorang.
MELAWAN HACKER. Beberapa produk yang tersedia untuk memerangi hacker. Aman Jaringan (SNC-net.com) mengembangkan suatu produk yang pada dasarnya Honeynet, sebuah umpan jaringan dalam jaringan. Idenya adalah untuk memikat para hacker ke umpan untuk menemukan apa alat yang mereka gunakan dan mendeteksi mereka sedini mungkin.
ISU ETIS. Pelaksanaan program keamanan menimbulkan banyak masalah etika (Lihat Azari, 2003). Pertama, beberapa orang pemantauan terhadap setiap individu kegiatan. Menerapkan kontrol tertentu yang dipandang oleh beberapa sebagai pelanggaran kebebasan pembicaraan atau hak-hak sipil lainnya. Reda (2002) mengutip sebuah penelitian Gartner Group yang menunjukkan bahwa bahkan setelah serangan teroris 2001/9/11, hanya 26 persen dari Amerika menyetujui database ID nasional. biometrik Menggunakan dianggap oleh banyak pelanggaran privasi. Akhirnya, dengan menggunakan program traceback otomatis, dijelaskan sebelumnya, mungkin tidak etis dalam beberapa kasus atau bahkan ilegal (Lee dan Shields, 2002).
ISU-ISU UMUM
1. Kepada siapa harus IS dilaporkan? Masalah ini terkait dengan derajat IS desentralisasi dan peran CIO.Memiliki IS departemen pelaporan ke area fungsional dapat memperkenalkan bias dalam memberikan prioritas TI untuk wilayah fungsional, yang mungkin tidak dibenarkan. Memiliki IS laporan kepada CEO sangat diinginkan.
2. Siapa yang butuh CIO? Ini adalah pertanyaan kritis yang berhubungan dengan peran CIO sebagai eksekutif senior dalam organisasi. Memberikan judul tanpa otoritas dapat merusak ISD dan operasinya.Meminta IS direktur untuk mengasumsikan tanggung jawab CIO, tetapi tidak memberikan wewenang dan judul, bias sama merusak. Setiap organisasi yang sangat tergantung pada TI harus memiliki CIO.
3. Pengguna akhir adalah teman, bukan musuh, dari departemen IS. Hubungan antara pengguna akhir dan ISD bisa sangat rumit. Dalam, ISDS banyak masa lalu yang diketahui sensitif terhadap kebutuhan pengguna akhir. Hal ini menciptakan keinginan yang kuat untuk kemerdekaan pengguna akhir, yang dapat baik mahal dan tidak efektif. Perusahaan yang berhasil mengembangkan iklim kerjasama dan persahabatan antara kedua pihak.
4. Masalah etika. Hubungan pelaporan ISD dapat mengakibatkan beberapa tidak etis perilaku. Misalnya, jika laporan ISD ke departemen keuangan, departemen keuangan akan memiliki akses ke informasi tentang individu atau departemen lain yang dapat disalahgunakan.
5. Tanggung jawab untuk keamanan harus ditugaskan di semua area. Semakin banyak organisasi menggunakan Internet, extranet, dan intranet, semakin besar adalah masalah keamanan. Hal ini penting untuk memastikan bahwa karyawan tahu siapa yang bertanggung jawab dan akuntabel untuk apa informasi dan bahwa mereka mengerti kebutuhan untuk kontrol keamanan. Sebagian besar sumber daya informasi di tangan pengguna akhir. Oleh karena itu, manajer fungsional harus memahami dan praktek manajemen keamanan TI dan manajemen aset lainnya yang tepat tugas.
6. Program kesadaran keamanan penting untuk setiap organisasi, khususnya jika sangat tergantung pada TI. Program tersebut sebaiknya corporatewide dan didukung oleh para eksekutif senior. Selain itu, pemantauan langkah-langkah keamanan dan memastikan kepatuhan dengan kontrol administratif sangat penting untukkeberhasilan rencana keamanan. Bagi banyak orang, berikut administrasi kontrol berarti pekerjaan tambahan, yang mereka lebih memilih untuk tidak melakukannya.
7. Audit sistem informasi harus dilembagakan ke dalam organisasi budaya. Organisasi harus audit IS bukan karena asuransi perusahaan dapat meminta untuk itu, tapi karena dapat menyimpan jumlah besar uang. Di sisi lain, overauditing tidak efektif biaya.
8. Perusahaan multinasional. Mengorganisasikan ISD di sebuah perusahaan multinasional adalah masalah yang kompleks. Beberapa organisasi lebih memilih desentralisasi lengkap, memiliki ISD di setiap negara atau bahkan beberapa ISDS dalam satu negara. Lain menyimpan minimal staf terpusat. Beberapa perusahaan lebih suka sangat tersentralisasi struktur. Hukum masalah, kendala pemerintah, dan ukuran IS staf adalah beberapa faktor yang menentukan derajat desentralisasi.