clock

Senin, 09 September 2013

Pertanyaan dan Jawaban Bab 9 “Keamanan Informasi”



1.   
Hal apa yang termasuk dalam keamanan informasi yang tidak termasuk dalam keamanan sistem? (hlm 270)
Fasilitas, data, dan informasi perusahaan yang mencakup peralatan seperti mesin fotokopi dan mesin faks serta semua jenis media, termasuk dokumen kertas.
2.      Sebutkan tiga tujuan keamanan informasi! (hlm 270)
§  Kerahasiaan: melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.
§  Ketersediaan: menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
§  Integritas: informasi harus memberikan representasi akurat atas sistem phisik yang direpresentasikan.
3.      Keamanan informasi dibagi menjadi dua jenis upaya. Apa sajakah dua upaya ini? (hlm 271)
a.      ISM (information security management)
Aktivitas untuk menjaga agar sumber daya informasi tetap aman
b.      BCM (bussines contunuity management)
Aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana.
4.      Apakah perbedaan antara manajemen resiko dan kepatuhan terhadap tolok ukur? (hlm 271)
Manajemen risiko menggambarkan dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya. Manajemen risiko atau manajemen informasi terdiri atas empat tahap : mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan; mendefinisikan risiko yang dapat disebabkan oleh ancaman — ancaman tersebut; menentukan kebijakan keamanan informasi, serta mengimplementasikan pengendalian untuk mengatasi risiko — risiko tersebut .
Tolak ukur keamanan informasi ( information security benghmark ) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.
5.      Jelaskan mengapa ancaman internal harus lebih ditakuti dibandingkan ancaman eksternal. (hlm 273)
karena pengetahuan ancaman lebih mendalam akan sistem tersebut.
6.      Sebutkan lima contoh malware. (hlm 275)
Virus, worm(cacing), trojan horse (kuda troya), adware dan spyware.
7.      Risiko jenis khusus apakah yang harus diatasi sistem e-commerce.
E-commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keaman baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah servei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kall lebih sering terjadi untuk para paritel e-commerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung
8.      Apa sajakah empat tahap manajemen resiko. (hlm 277)
a.       Identifikasi aset-aset bisnis yang harus dilindungi oleh risiko
b.      Menyadari risiko.
c.       Menentukan tingkatan dampak pada perusahaan jika risiko terjadi.
d.      Menganalisis kelemahan perusahaan tersebut.
9.      Bedakan antara dampak parah dan dampak signifikan dengan ancaman. (hlm 277)
§  Dampak parah : membuat perusahaan bangkrut atau sangat membatasi kemempuan perusahaan tersebut untuk berfungsi
§  Dampak signifikan : menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut selamat.
10.  Apakah yang menjadi bagian akhir dari analisis risiko! Kapankah bagian ini dipersiapkan? (hlm 277)
Setelah analisis risiko diselesaikan, maka dibuat laporan analisi risiko yang berisi :deskripsi risiko, sumber risiko, tingginya tingkat risiko, dan pengendalian yang diterapakan pada risiko tersebut, (para) pemilik risiko tersebut, tindakan yang direkomendasikan untuk mengatasinya, jangka waktu yang direkomendasikan untuk mengatisnya dan apa yang dilakukan untuk mengatsi risiko tersebut.
11.  Sebutkan lima jenis fase kebijakan keamanan informasi. (hlm 278)
§  Fase 1 – inisaiasi proyek
§  Fase 2 – penyusunan kebijakan
§  Fase 3 – konsultasi dan persetujuan
§  Fase 4 – kesadaran dan edukasi
§  Fase 5 – penyebarluasan kebijakan
12.  Sebutkan tiga jenis pengendalian dasar. (hlm 279)
Pengendalian teknis, formal dan informal
13.  Bagaimanakah cara pengguna melewati pemeriksaan identifikasi pengguna? Pemeriksaan autentikasi pengguna? Pemeriksaan otorisasi pengguna? (hlm 280)
§  Identifikasi pengguna
Para pengguna pertama – lama meng] dent) fikas 1 diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata Sandi.
§  Otentifikasi pengguna
Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi
§  Otorisasi pengguna
Setelah pemeriksaan identifikasi dan autentikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat pengguna tertentu
14.  Jenis ancaman apa yang dapat diatasi dengan firewall? (hlm 281)
Aliran data ke dan dari perusahaan dan internet.
15.  Apakah jenis firewall yang paling efektif ? Apakah kelemahan dari firewall jenis ini? (hlm 282
Firewall tingkat aplikasi, kelemahan dari firewall ini adalah cenderung mengurangi akses ke sumber daya dan programmer jaringan harus menulis kode program yang spesifik untuk masing – masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus dan dimodifikasi.
16.  Apa saja kelebihan kriptografi ? (hlm 283)
Data dan informasi dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan, jika seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan
17.  Apakah perbedaan antara pengendalian formal dan informal? (hlm 284)
Pengendalian Formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktek yang diharapkan dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku
Pengendalian Informal ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut
18.  Jenis – jenis rencana apa saja yang termasuk dalam perencanaan kontijensi? (hlm 288)
Emergency plan, Backup plan, Backup plan, Vital records plan
19.  Sumberdaya fisik apakah yang dilindungi oleh rencana darurat? (hlm 288)
menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi
20.  Sebutkan tiga pendekatan cadangan sistem. (hlm 288)
§  Redudansi
§  Keberagaman
§  Mobilitas
21.  Apakah perbedaan antara hot site dan cold site. (hlm 288)
§  Hot site
Fasilitas komputer lengkap yang disediakan pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat
§  Cold site
Hanya mencakup fasilitas bangunan, namun tidak mencakup fasilitas komputer.

Topik Diskusi.
1.      Figure 9.1 menunjukan kebijakan keamanan yang ditentukan setelah ancaman resiko didefinisikan. Jelaskan mengapa kebiijkan tersebut harus ditentukan terlebih dahulu.
Jawab : karena pada hakikatnya ancaman akan menghasilkan resiko, yang nantinya dapat dikendalikan melalui kebijakan yang telah dibuat.

2.      Apa sajakah karakteristik karyawan yang dapat mewakili ancaman dari dalam. ?
Jawab :  1. Semangat kerja yang menurun secara signifikan
              2. prilaku, sikap, maupun perkataanya telah menjadi suatu pola
              3. mengganggu orang lain dan merusak
              4. Berdampak buruk bagi lingkunganya


Tidak ada komentar: