Mengalisis Kerentanan dan Ancaman

Mengalisis Kerentanan dan Ancaman

Mengalisis Kerentanan dan Ancaman

Terdapat dua pendekatan dasar yang dipakai untuk mengalisis kerentanan dan ancaman sistem, yaitu:

1) Pendekatan Kuantitatif

Pendekatan ini dipergunakan untuk menaksir risiko dengan cara menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Kesulitan dari penerapan pendekatan ini adalah:

  • Mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas terjadinya eksposur tersebut.
  • Mengestimasi kemungkinan terjadinya suatu kerugian dimasa yang akan datang, yang sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat. Sebagai contoh, banyak manajer gagal melihat masalah di masa yang akan datang terkait dengan virus komputer.
Laporan Analisis Ancaman
Kerugian Potensial ($)RisikoEksposur Kerugian
Pencurian Data700,000,0000.05035,000,000
Kecurangan dan Serangan Virus1,200,000,0000.02530,000,000
Sabotase2,500,000,0000.01025,000,000
Perubahan File400,000,0000.05020,000,000
Perubahan Program80,000,0000.0201,600,000
Pencurian Peralatan15,000,0000.1001,500,000
Bencana Alam100,000,0000.008800,000

Sebagai contoh, pada gambar di atas, ancaman yang paling banyak terjadi adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur kerugian akibat ancaman tersebut bisa dikatakan paling kecil.

2) Pendekatan Kualitatif

Pendekatan ini dipergunakan untuk menaksir risiko keamanan komputer dengan cara merinci daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan.

Apapun metode yang digunakan, analisis eksposur kerugian tersebut harus mencakup area berikut: (1) interupsi bisnis, (2) kerugian perangkat keras, (3) kerugian data, (4) kerugian perangkat lunak, (5) kerugian fasilitas, (6) kerugian jasa dan personel.

Kerentanan dan Ancaman 

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman, yaitu:

1) Ancaman aktif

Mencakup kecurangan sistem informasi dan sabotase komputer.

2) Ancaman pasif

Mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai.

Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan hard disk, matinya aliran listrik, dan lain sebagainya. Kerentanan, ancaman, dan kegagalan merupakan masalah yang serius dalam sistem informasi. Selain itu, kejahatan kerah putih merupakan kejahatan berbasis komputer yang sangat marak dilakukan saat ini. Keamanan sistem informasi merupakan masalah internasional yang harus segera dilakukan pencegahan karena dapat menimbulkan kerugian yang sangat material.

Orang-Orang yang Menimbulkan Ancaman pada Sistem Komputer

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file data yang sensitif, atau program yang kritis. Semua ini dilakukan oleh kelompok individu yang ingin merusak sistem informasi. Terdapat tiga kelompok individu memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut, yaitu:

1) Personel sistem kerap kali merupakan ancaman potensial karena mereka diberi berbagai kewenangan akses terhadap data dan program yang sensistif. Personel sistem meliputi :

  • Personel Pemeliharaan Sistem. Personel Pemeliharaan Sistem menginstal perangkat keras dan perangkat lunak, memperbaiki perangkat keras dan membetulkan kesalahan kecil di dalam perangkat lunak. Dalam banyak kasus, personel pemeliharaan bisaanya memiliki kemampuan untuk berselancar di dalam sistem dan mengubah file data dan file program dengan cara yang tidak legal.
  • Programmer. Programmer sistem menulis program untuk memodifikasi dan memperluas sistem operasi jaringan. Individu-individu semacam ini biasanya diberi account dengan kewenangan akses universal ke semua file perusahaan. Programmer aplikasi bisa saja membuat modifikasi yang tidak diharapkan terhadap program yang ada saat ini atau menulis program baru guna menjalankan hal-hal yang tidak semestinya.
  • Operator Jaringan. Adalah individu yang mengamati dan memonitor operasi komputer dan jaringan komunikasi. Biasanya, operator diberikan tingkat keamanan yang cukup tinggi sehingga memungkinkan operator secara diam-diam mengawasi semua jaringan komunikasi, dan juga mengakses semua file di dalam sistem.
  • Personel Administrasi Sistem Informasi. Orang ini biasanya memiliki akses ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account memiliki kemampuan untuk menciptakan account fiktif atau untuk memberi password pada account yang sudah ada.
  • Karyawan Pengendali Data. Adalah yang bertanggung jawab terhadap penginputan data ke dalam komputer. Posisi ini memberi peluang bagi karyawan untuk memberi password pada account yang sudah ada.

2) Pengguna, di sisi lain, diberi akses terbatas (sempit), tetapi mereka masih memiliki cara untuk melakukan kecurangan. Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing, seperti informasi mengenai memo kredit, kredit rekening, dan lain sebagainya.

3) Penyusup tidak diberi akses sama sekali, tetapi mereka sering merupakan orang-orang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar pada perusahaan. Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak legal disebut dengan penyusup (intruder). Penyusup yang menyerang sistem informasi sebagai sebuah kesenangan tanpa tantangan disebut dengan hacker. Tipe lain dari penyusup mencakup

  • Unnoticed Intruder. Seorang hacker bisa saja masuk ke dalam sistem dan merusak website perusahaan.
  • Wire Tapper. Wiretapping atau penyadapan bisa dilakukan terhadap jaringan yang rentan seperti internet. Penyadapan ini bisa dilakukan bahkan dengan peralatan yang tidak mahal yang memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan.
  • Piggy-Backer. Dengan metode piggybacker, penyadap menyadap informasi legal dan menggantinya dengan informasi yang salah.
  • Impersonating Intruders. Adalah individu tertentu yang bertujuan melakukan kecurangan terhadap perusahaan. Salah satu tipe penyusup menggunakan user ID dan password yang diperoleh dengan cara yang tidak legal untuk mengakses sumber daya elektronik perusahaan. Tipe lain dari penyusup adalah hacker yang mendapatkan akses melalui internet dengan menebak password seseorang. Tipe penyusup selanjutnya adalah mata-mata industri yang professional, yang biasanya memasuki sistem melalui pintu samping dengan menggunakan seragam karyawan servis atau reparasi.
  • Eavesdroppers. CRT (cathode-ray tubes) standar yang banyak digunakan di unit display video menghasilkan interferensi elektromagnetik pada satu frekuensi yang dapat ditangkap dengan seperangkat televisi sederhana. Setiap informasi publik yang lewat melalui jaringan komunikasi publik rentan terhadap eavesdropping dan piggybacking.

Baca Juga :