Apa nilai bisnis keamanan dan kontrol?

2.1 Jelaskan bagaimana keamanan dan kontrol memberikan nilai bisnis.

Keamanan mengacu pada kebijakan, prosedur, dan langkah-langkah teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan, pencurian, atau kerusakan fisik terhadap sistem informasi.

Kontrol terdiri dari semua metode, kebijakan, dan prosedur organisasi yang menjamin keamanan aset organisasi, keakuratan dan keandalan catatan rekening, dan kepatuhan operasional standar manajemen.

Nilai bisnis keamanan dan kontrol:

1. Perusahaan mengandalkan sistem komputer untuk fungsi bisnis inti mereka bisa kehilangan penjualan dan produktivitas.

2. Aset informasi, seperti catatan karyawan rahasia, rahasia dagang, atau rencana bisnis, kehilangan banyak nilai mereka jika mereka mengungkapkan kepada pihak luar atau jika mereka mengekspos perusahaan untuk tanggung jawab hukum.

2.2 Menjelaskan hubungan antara keamanan dan kontrol dan pemerintah AS baru-baru ini peraturan persyaratan dan forensik komputer

            Tindakan hukum membutuhkan bukti elektronik dan komputer forensik juga menuntut perusahaan untuk lebih memperhatikan keamanan dan manajemen catatan elektronik . Komputer forensik adalah koleksi ilmiah , pemeriksaan , otentikasi , pelestarian , dan analisis data yang diselenggarakan pada atau diambil dari media penyimpanan komputer sedemikian rupa sehingga informasi tersebut dapat digunakan sebagai bukti dalam pengadilan . Ini berkaitan dengan masalah berikut :

• Memulihkan data dari komputer sambil menjaga integritas bukti

• Aman menyimpan dan menangani pemulihan data elektronik

• Mencari informasi yang signifikan dalam volume besar dalam data elektronik

• Menyajikan informasi ke pengadilan

Persyaratan terakhir pemerintah AS peraturan meliputi:

• Asuransi Kesehatan Portabilitas dan Akuntabilitas Act ( HIPAA )

• Gramm - Leach - Bliley Act

• Sarbanes - Oxley Act

Undang-undang ini mewajibkan perusahaan untuk memperketat manajemen catatan elektronik dan mematuhi standar yang ketat untuk keamanan , privasi , dan kontrol .

3. Apa saja komponen dari kerangka organisasi untuk keamanan dan mengontrol?

3.1 tentukan kontrol umum dan gambarkan setiap jenis pengendalian umum.

Kontrol umum mengatur desain, keamanan, dan penggunaan program komputer dan keamanan file data secara umum seluruh informasi organisasi infrastruktur teknologi. Mereka berlaku untuk semua aplikasi terkomputerisasi dan terdiri darikombinasi dari hardware, software, dan prosedur manual yang membuat keseluruhan mengendalikan lingkungan.

Kontrol umum mencakup :

·    kontrol perangkat lunak

Memantau penggunaan perangkat lunak sistem dan mencegah akses yang tidak sah program perangkat lunak , perangkat lunak sistem , dan program komputer .

·    kontrol hardware

Pastikan bahwa perangkat keras komputer secara fisik aman , dan memeriksa kerusakan peralatan . Organisasi yang sangat tergantung pada komputer mereka juga harus membuat ketentuan untuk cadangan atau operasi terus mempertahankan layanan konstan.

·    Kontrol operasi komputer

Mengawasi pekerjaan departemen komputer untuk memastikan bahwa prosedur terprogram secara konsisten dan benar diterapkan pada penyimpanan dan pengolahan data. Mereka termasuk kontrol atas setup pekerjaan pemrosesan komputer dan prosedur backup dan pemulihan untuk pengolahan yang berakhir normal .

·    Kontrol keamanan data

Pastikan bahwa file data bisnis yang berharga di kedua disk atau tape tidak tunduk pada akses yang tidak sah , perubahan , atau perusakan saat mereka sedang digunakan atau dalam penyimpanan .

·    kontrol implementasi

Audit proses pengembangan sistem pada berbagai titik untuk memastikan bahwa proses dikendalikan dan dikelola .

·    kontrol administrative

Meresmikan standar , aturan , prosedur , dan disiplin kontrol untuk memastikan bahwa kontrol umum dan aplikasi organisasi yang benar dijalankan dan ditegakkan .

3.2 tentukan kontrol aplikasi dan gambarkan setiap jenis pengendalian aplikasi.

kontrol aplikasi adalah kontrol khusus yang unik untuk setiap aplikasi komputerisasi. Mereka termasuk prosedur baik otomatis dan manual yang memastikan bahwa hanya data resmi yang lengkap dan akurat diproses oleh aplikasi tersebut.

Pengendalian aplikasi dapat diklasifikasikan sebagai:

1. Kontrol input: Periksa data untuk akurasi dan kelengkapan ketika mereka memasuki sistem. Ada kontrol input khusus untuk otorisasi input, data yang konversi, editing data, dan penanganan error.

2.Kontrol Pengolahan: Menetapkan bahwa data yang lengkap dan akurat selama memperbarui.

3. Kontrol Output: Pastikan bahwa hasil pemrosesan komputer yang akurat, lengkap, dan didistribusikan dengan benar.

3.3 Jelaskan fungsi penilaian risiko dan menjelaskan bagaimana hal itu dilakukan untuk sistem informasi .

Sebuah penilaian risiko menentukan tingkat risiko perusahaan tertalu jika kegiatan atau proses tertentu bukan terkontrol dengan baik .

Bisnis manajer bekerja dengan sistem informasi dapat menentukan nilai aset informasi , poin kerentanan , frekuensi kemungkinan dari masalah , dan potensi kerusakan . Kontrol dapat disesuaikan atau ditambah untuk fokus pada daerah risiko terbesar .

Analisis resiko keamanan melibatkan menentukan apa yang Anda butuhkan untuk melindungi , apa yang Anda butuhkan untuk melindungi dari, dan bagaimana untuk melindunginya . Ini adalah proses memeriksa semua risiko perusahaan , dan peringkat risiko-risiko berdasarkan tingkat keparahan . Proses ini melibatkan pengambilan keputusan biaya - efektif pada apa yang anda ingin lindungi . Pepatah lama mengatakan keamanan bahwa Anda tidak harus menghabiskan lebih banyak untuk melindungi sesuatu daripada itu sebenarnya layak .

3.4 Mendefinisikan dan menggambarkan sebagai berikut : kebijakan pengamanan , kebijakan penggunaan diterima , dan identitas manajemen

·    kebijakan keamanan terdiri dari pernyataan peringkat risiko informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan tersebut.

Manajemen harus memperkirakan berapa banyak biaya untuk mencapai tingkat risiko yang dapat diterima. Kebijakan keamanan mendorong kebijakan menentukan penggunaan diterima dari sumber daya perusahaan informasi dan yang anggota perusahaan memiliki akses ke aset informasinya.

·    Kebijakan penggunaan yang diterima mendefinisikan penggunaan sumber-sumber informasi perusahaan dan perangkat komputasi, termasuk PC dan laptop, prangkat nirkabel, telpon, dan internet yang diizinkan.

Kebijakan ini seharusnya menjelaskan kebijakan perusahaan yang berkenaan dengan privasi, tanggung jawab pengguna, penggunaan perangkat dan jaringan perusahaan secara pribadi

·    Manajemen identitas terdiri dari proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna yang valid dari sistem dan mengendalikan akses mereka ke sumber daya sistem. Ini termasuk kebijakan untuk mengidentifikasi dan otorisasi berbagai kategori pengguna sistem, menentukan sistem atau bagian dari sistem apa yang setiap pengguna diperbolehkan untuk mengakses, dan proses dan teknologi untuk otentikasi pengguna dan melindungi identitas mereka.

3.5 Jelaskan bagaimana MIS audit mempromosikan keamanan dan control

MIS audit menguji lingkungan pengamanan perusahaan secara menyeluruh sekaligus juga pengendalian yang mengatur sistem informasi perorangan. Auditor harus menelusuri aliran transaksi sampel pada suatu sistem dan melakukan beberapa pengujian, jika sesuai, auditor menggunakan peranti lunak audit otomatis.

Audit pengamanan mengulas berbagai teknologi,prosedur, dokumentasi, pelatihan, dan personalia.

4. Apa alat yang paling penting dan teknologi untuk melindungi sumber daya informasi?

4.1 Nama dan jelaskan tiga metode otentikasi.

Otentikasi mengacu pada kemampuan untuk mengetahui bahwa seseorang yang dia mengaku menjadi. Beberapa metode yang dijelaskan di bawah ini:

1. Apa yang Anda ketahui: Sandi hanya diketahui oleh pengguna yang berwenang.

2. Apa yang Anda miliki:

• Token adalah perangkat fisik yang dirancang untuk memberikan identitas tunggal pemakai

• Smart card adalah perangkat yang berisi chip diformat dengan akses izin dan data lainnya.

3. Apa yang Anda adalah: autentikasi Biometrik menggunakan sistem yang membaca dan menginterpretasikan cirri khas setiap orang, seperti sidik jari, iris mata, dan suara dengan tujuan memberikan atau menolak akses. Ini didasarkan pada pengukuran fisik atau sifat perilaku yang membuat setiap individu yang unik.

4.2 Jelaskan peran firewall , sistem deteksi intrusi , dan software antivirus dalam mempromosikan keamanan.

Firewall adalah kombinasi dari hardware dan software yang mengontrol aliran masuk dan keluar lalu lintas jaringan . Firewall mencegah pengguna yang tidak sah dari mengakses jaringan internal. Mereka melindungi sistem internal oleh paket pemantauan untuk sumber yang salah atau tujuan , atau dengan menawarkan server proxy tanpa akses ke dokumen dan sistem internal , atau dengan membatasi jenis pesan yang mendapatkan melalui , misalnya, e -mail . Selanjutnya , banyak kontrol otentikasi telah ditambahkan untuk halaman Web sebagai bagian dari firewall .

Sistem deteksi intrusi memonitor titik paling rentan atau " hot spot " di jaringan untuk mendeteksi dan mencegah penyusup yang tidak sah . Sistem ini juga sering memantau peristiwa yang terjadi untuk mencari serangan keamanan berlangsung. kadang-kadang mereka dapat diprogram untuk menutup bagian yang sangat sensitif dari jaringan jika menerima lalu lintas yang tidak sah .

Perangkat lunak antivirus dirancang untuk memeriksa sistem komputer dan drive untuk kehadiran virus komputer dan worm dan sering menghilangkan berbahaya software , sedangkan antispyware memerangi software mengganggu dan berbahaya spyware program . Seringkali perangkat lunak dapat menghilangkan virus dari daerah yang terinfeksi untuk menjadi efektif , perangkat lunak antivirus harus terus diperbarui

4.3 jelaskan bagaimana enkripsi melundungi informasi

            Ada 2 alternatif metode enkripsi dalam melindungi informasi :

1.      enkripsi kunci simetris :

dalam enkripsi kunci simetris, pengirim dan penerima membuat sesi internet yang aman dengan menciptakan sebuah kunci enkripsi tunggal dan mengirimnya kepada penerima, sehingga baik pengirim dan penerima berbagi kunci yang sama.

2.      enkripsi kunci publik :

enkripsi ini menggunakan dua kunci, satu dibagikan (sifatnya umum) dan satu lagi sepenuhnya milik pribadi . kedua kunci ini berhubungan secara matematis sehingga data yang dienkripsi oleh satu kunci dapat didekripsi hanya oleh kunci lainnya tersebut. Untuk mengirim dan menerima pesan, mesin komunikasi pertama-tama menciptakan sepasang kunci, kunci publik dan kunci privat yang berbeda. Kunci publik disimpan di sebuah direktori dan kunci privat harus disimpan secara rahasia. Pengirim mengenkripsikan pesan dengan kunci publik penerima. Pada saat menerima pesan, penerima menggunakan kunci privatnya untuk mendeskripsikannya

4.4 jelaskan peranan enkripsi dan sertifikat digital dalam kunci publik infrastruktur.

Sertifikat digital dikombinasikan dengan enkripsi kunci publik yang memberikan tambahan perlindungan transaksi elektronik dengan mengesahkan mengidentifikasi pengguna. Sertifikat digital adalah bidang data digunakan untuk menetapkan identitas pengirim dan untuk menyediakan penerima dengan sarana untuk mengkodekan balasan. Mereka menggunakan pihak ketiga yang terpercaya dikenal sebagai otoritas sertifikat untuk memvalidasi identitas pengguna. Kedua tanda tangan digital dan sertifikat digital memainkan peran dalam otentikasi. Otentikasi mengacu pada kemampuan masing-masing pihak untuk mengetahui bahwa pihak lain yang menjadi tuntutan mereka.

4.5 Bedakan antara kesalahan-toleran dan highavailability komputasi, dan antara bencana

Sistem komputer fault-tolerant mengandung hardware berlebihan , software , dan komponen power supply yang dapat mendukung sistem dan tetap berjalan untuk mencegah kegagalan sistem . Beberapa sistem hanya tidak dapat diizinkan untuk berhenti , seperti sistem pasar saham atau beberapa sistem di rumah sakit . Komputer fault-tolerant mengandung chip memori tambahan , prosesor , dan perangkat penyimpanan disk untuk backup sistem dan tetap berjalan untuk mencegah kegagalan . Mereka juga dapat menggunakan routings software khusus atau memeriksa diri logika dibangun ke sirkuit mereka untuk mendeteksi kegagalan perangkat keras dan secara otomatis beralih ke perangkat cadangan .

Ketersediaan tinggi komputasi , meskipun juga dirancang untuk memaksimalkan aplikasi dan ketersediaan sistem , membantu perusahaan segera pulih dari kecelakaan . Fault tolerance menjanjikan ketersediaan berkelanjutan dan penghapusan waktu pemulihan sama sekali . Lingkungan komputasi ketersediaan tinggi merupakan persyaratan minimum untuk perusahaan dengan persyaratan pengolahan perdagangan elektronik atau berat bagi perusahaan-perusahaan yang bergantung pada jaringan digital untuk operasi internal mereka .

Perencanaan pemulihan bencana merancang hal untuk pemulihan komputasi dan komunikasi jasa setelah mereka telah terganggu oleh sebuah peristiwa seperti gempa bumi , banjir , atau serangan teroris . Rencana pemulihan bencana fokus terutama pada isu-isu teknis yang terlibat dalam menjaga sistem dan berjalan , seperti file mana yang membuat cadangan dan pemeliharaan sistem komputer cadangan atau layanan pemulihan bencana .

Perencanaan keberlangsungan usaha berfokus pada bagaimana perusahaan dapat mengembalikan operasi bisnis setelah bencana terjadi . Rencana kelangsungan bisnis mengidentifikasi proses bisnis kritis dan menentukan rencana aksi untuk menangani fungsi mission-critical jika sistem turun .

4.6 Identifikasi dan jelaskan masalah keamanan ditimbulkan oleh cloud computing

            Ada beberapa masalah keamanan yang timbul , antara lain:

1.      Kesalahan dan bug yang sulit untuk ditemukan dan diperbaiki menjadikan layanan macet dengan mengalihkan sistem hanya preventif, sehingga tidak melindungi terhadap penyerang yang agresif

2.      Data yang diupload di database tempat melakukan cloud computing, bila terjadi maintenance maka tidak bisa diperbaiki, kemungkinan besar data-data akan hilang dan tidak bisa kembali

3.      Masalah keamanan data yang sangat rawan untuk di hack

4.      Jika suatu perusahaan menggunakan cloud computing dalam penyimpanan datanya maka akan sangat tergantung pada vendor, dan apabila vendor mempunyai layanan backup yang buruk atau vendor rusak, maka akan menyebabkan kerugian pada perusahaan karena semua data yang tersimpan di vendor akan mengalami masalah

5.      Data yang disimpan dalam cloud computing cenderung bisa dilihat oleh banyak orang, sehingga sifatnya sudah tidak lagi menjadi rahasia

4.7 jelaskan langkah-langkah untuk meningktkan kualitas dan keandalan perangkat lunak

1.         Increasing visibility – yang paling utama pada pengembangan proses pembuatan software yang telah diperkenalkan oleh American Software guru,  Gerald Weinberg, ‘Vegoless programming’. Weinberg yang melalui pelatihan pemrograman sederhana dalam mencari setiap kode untuk meningkatkan visibilitasnya

2.         Practical structure– pada awalnya programer sedikit banyak menulis program dengan menggunakan petunjuk umum. Setelah beberapa tahun kemudian telah berkembang metodologi pada setiap proses tahapan pengembangan software

Checking intermediate stages  – melihat keterkaitan dengan kehidupan manusia untuk mendukung percepatan pengembangan unit sasaran dalam kerangka model ‘kerja’ yang belum sempurna, masih terdapat ‘kesalahan’. Salah satu cara untuk mengadakan pelatihan kualitas adalah melakukan pemeriksaan ketepatan langkah awal pekerjaan