1.
Hal apa yang
termasuk dalam keamanan informasi yang tidak termasuk dalam keamanan sistem?
(hlm 270)
Hal apa yang
termasuk dalam keamanan informasi yang tidak termasuk dalam keamanan sistem?
(hlm 270)
Fasilitas, data, dan informasi
perusahaan yang mencakup peralatan seperti mesin fotokopi dan mesin faks serta
semua jenis media, termasuk dokumen kertas.
2.
Sebutkan tiga
tujuan keamanan informasi! (hlm 270)
§ Kerahasiaan: melindungi data dan informasinya dari pengungkapan
kepada orang-orang yang tidak berwenang.
§ Ketersediaan: menyediakan data dan informasi sedia bagi pihak-pihak
yang memiliki wewenang untuk menggunakannya.
§ Integritas: informasi harus memberikan representasi akurat atas sistem
phisik yang direpresentasikan.
3.
Keamanan
informasi dibagi menjadi dua jenis upaya. Apa sajakah dua upaya ini? (hlm 271)
a. ISM (information security management)
Aktivitas untuk
menjaga agar sumber daya informasi tetap aman
b. BCM (bussines contunuity management)
Aktivitas untuk
menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah
adanya bencana.
4.
Apakah
perbedaan antara manajemen resiko dan kepatuhan terhadap tolok ukur? (hlm 271)
Manajemen
risiko menggambarkan dimana tingkat keamanan sumber daya
informasi perusahaan dibandingkan dengan risiko yang dihadapinya. Manajemen
risiko atau manajemen
informasi terdiri atas empat tahap : mengidentifikasi ancaman yang dapat
menyerang sumber daya informasi perusahaan; mendefinisikan risiko yang
dapat disebabkan oleh ancaman — ancaman tersebut; menentukan kebijakan keamanan informasi, serta mengimplementasikan pengendalian
untuk mengatasi risiko — risiko tersebut .
Tolak ukur keamanan informasi ( information
security benghmark
) adalah
tingkat keamanan yang disarankan yang dalam
keadaan normal harus menawarkan perlindungan yang cukup terhadap
gangguan yang tidak terotorisasi.
5.
Jelaskan
mengapa ancaman internal harus lebih ditakuti dibandingkan ancaman eksternal.
(hlm 273)
karena pengetahuan ancaman lebih
mendalam akan sistem tersebut.
6.
Sebutkan lima
contoh malware. (hlm 275)
Virus, worm(cacing), trojan horse
(kuda troya), adware dan spyware.
7.
Risiko jenis
khusus apakah yang harus diatasi sistem e-commerce.
E-commerce (perdagangan
elektronik) telah memperkenalkan suatu permasalahan keaman baru. Masalah ini bukanlah perlindungan data,
informasi, dan peranti lunak, tapi perlindungan
dari pemalsuan kartu kredit. Menurut sebuah servei yang dilakukan
oleh Gartner Group,
pemalsuan kartu kredit 12 kall lebih sering terjadi untuk para paritel e-commerce
dibandingkan dengan para pedagang yang berurusan dengan pelanggan mereka
secara langsung
8.
Apa sajakah
empat tahap manajemen resiko. (hlm 277)
a. Identifikasi
aset-aset bisnis yang harus dilindungi oleh risiko
b. Menyadari risiko.
c. Menentukan
tingkatan dampak pada perusahaan jika risiko terjadi.
d. Menganalisis
kelemahan perusahaan tersebut.
9.
Bedakan antara
dampak parah dan dampak signifikan dengan ancaman. (hlm 277)
§ Dampak parah : membuat
perusahaan bangkrut atau sangat membatasi kemempuan perusahaan tersebut untuk
berfungsi
§ Dampak signifikan : menyebabkan
kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut selamat.
10. Apakah yang
menjadi bagian akhir dari analisis risiko! Kapankah bagian ini dipersiapkan?
(hlm 277)
Setelah analisis risiko diselesaikan,
maka dibuat laporan analisi risiko yang berisi :deskripsi risiko, sumber
risiko, tingginya tingkat risiko, dan pengendalian yang diterapakan pada risiko
tersebut, (para) pemilik risiko tersebut, tindakan yang direkomendasikan untuk
mengatasinya, jangka waktu yang direkomendasikan untuk mengatisnya dan apa yang
dilakukan untuk mengatsi risiko tersebut.
11. Sebutkan lima
jenis fase kebijakan keamanan informasi. (hlm 278)
§ Fase 1 – inisaiasi
proyek
§ Fase 2 –
penyusunan kebijakan
§ Fase 3 –
konsultasi dan persetujuan
§ Fase 4 –
kesadaran dan edukasi
§ Fase 5 –
penyebarluasan kebijakan
12. Sebutkan tiga
jenis pengendalian dasar. (hlm 279)
Pengendalian teknis, formal dan
informal
13. Bagaimanakah
cara pengguna melewati pemeriksaan identifikasi pengguna? Pemeriksaan
autentikasi pengguna? Pemeriksaan otorisasi pengguna? (hlm 280)
§ Identifikasi pengguna
Para
pengguna pertama – lama meng] dent) fikas 1 diri mereka dengan cara memberikan
sesuatu yang mereka ketahui, misalnya kata Sandi.
§ Otentifikasi
pengguna
Setelah
identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki,
seperti smart card atau tanda tertentu atau chip identifikasi
§ Otorisasi
pengguna
Setelah
pemeriksaan identifikasi dan autentikasi dilalui, seseorang kemudian dapat mendapatkan
otorisasi untuk memasuki tingkat atau derajat pengguna tertentu
14. Jenis ancaman
apa yang dapat diatasi dengan firewall?
(hlm 281)
Aliran data ke dan dari perusahaan dan
internet.
15. Apakah jenis firewall yang paling efektif ? Apakah
kelemahan dari firewall jenis ini?
(hlm 282
Firewall tingkat aplikasi, kelemahan
dari firewall ini adalah cenderung mengurangi akses ke sumber daya dan
programmer jaringan harus menulis kode program yang spesifik untuk masing –
masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus
dan dimodifikasi.
16. Apa saja
kelebihan kriptografi ? (hlm 283)
Data
dan informasi dienkripsi dalam penyimpanan dan
juga ditransmisikan ke dalam jaringan, jika seseorang yang tidak memiliki otorisasi memperoleh
akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak
berarti apa-apa dan mencegah kesalahan penggunaan
17. Apakah
perbedaan antara pengendalian formal dan informal? (hlm 284)
Pengendalian Formal mencakup penentuan cara
berperilaku, dokumentasi prosedur dan praktek yang diharapkan dan pengawasan
serta pencegahan perilaku yang berbeda dari panduan yang berlaku
Pengendalian
Informal ditujukan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung program keamanan tersebut
18. Jenis – jenis
rencana apa saja yang termasuk dalam perencanaan kontijensi? (hlm 288)
Emergency plan, Backup
plan, Backup
plan, Vital
records plan
19. Sumberdaya
fisik apakah yang dilindungi oleh rencana darurat? (hlm 288)
menyebutkan
cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi
20. Sebutkan tiga
pendekatan cadangan sistem. (hlm 288)
§ Redudansi
§ Keberagaman
§ Mobilitas
21. Apakah
perbedaan antara hot site dan cold site. (hlm 288)
§ Hot site
Fasilitas komputer lengkap yang
disediakan pemasok untuk pelanggannya untuk digunakan jika terdapat situasi
darurat
§ Cold site
Hanya mencakup fasilitas bangunan,
namun tidak mencakup fasilitas komputer.
Topik
Diskusi.
1. Figure
9.1 menunjukan kebijakan keamanan yang ditentukan setelah ancaman resiko
didefinisikan. Jelaskan mengapa kebiijkan tersebut harus ditentukan terlebih
dahulu.
Jawab : karena pada hakikatnya
ancaman akan menghasilkan resiko, yang nantinya dapat dikendalikan melalui
kebijakan yang telah dibuat.
2. Apa
sajakah karakteristik karyawan yang dapat mewakili ancaman dari dalam. ?
Jawab : 1. Semangat kerja yang menurun secara
signifikan
2. prilaku, sikap, maupun perkataanya telah
menjadi suatu pola
3. mengganggu orang lain dan merusak
4. Berdampak buruk bagi lingkunganya
4. Berdampak buruk bagi lingkunganya
