Senin, 15 Juni 2020

Ancaman Cyber Security


Ancaman Cyber Security

  1. Ransomware & Malware, kerugiannya jauh lebih mahal dibanding kebocoran data.
Hingga bulan mei 2019 saja, kerusakan yang diakibatkan oleh Ransomware sudah hampir mencapai $ 11,5 miliar, yang secara kasar diterjemahkan menjadi seseorang yang menjadi korban baru setiap 14 detik. Menggunakan malware atau perangkat lunak untuk menolak akses ke komputer atau sistem hingga tebusan dibayarkan. Ancaman ini lebih mahal daripada pelanggaran data tradisional. Namun ironisnya, itu bukan ancaman membayar tebusan dan biaya data curian yang mendorong para eksekutif untuk meningkatkan perlindungan keamanan mereka. Saat ini, faktor pendorongnya adalah meminimalkan dampak paling mahal – gangguan organisasi yang lebih luas dari serangan cyber dan biaya untuk membersihkan jaringan dan memulihkan operasi bisnis. Ransomware terus meningkat, dan biayanya lebih mahal dari yang Anda kira.
  1. Serangan Titik Akhir: Tren Cloud dan SaaS Menjadi Lebih Mudah untuk Peretas
Ketika perusahaan memindahkan semakin banyak sumber daya ke dalam “cloud”, permukaan serangan akan terus tumbuh dalam ukuran, sehingga memudahkan pengganggu untuk melewati langkah-langkah keamanan masa lalu. Dengan budaya membawa-perangkat-Anda sendiri yang kita tinggali saat ini dikombinasikan dengan proliferasi penyedia SaaS untuk layanan data, peretas memiliki banyak vektor serangan yang dapat dipilih.
Tantangan yang dihadapi organisasi saat ini adalah mengamankan akses ke sumber daya di luar lokasi ini, yang biasanya digunakan sebagai batu loncatan bagi aktor jahat untuk masuk ke jaringan Anda. Lagi pula, setiap serangan dimulai pada titik akhir, apakah itu berfungsi sebagai target sebenarnya atau tidak. Jadi, apakah risikonya berasal dari penggunaan yang tidak sah dari aplikasi Shadow IT yang digabungkan dengan sumber daya perusahaan atau pengguna hanya mendapatkan “pwned” (diretas) dari jaringan perusahaan melalui cara lain, ancaman terhadap titik akhir pengguna adalah tantangan nyata yang memiliki belum diselesaikan.
  1. Phishing: Lebih Canggih dari Sebelumnya
Phishing telah lama terbukti sebagai salah satu cara termurah dan termudah untuk mengkompromikan target, itulah sebabnya ia tetap menjadi vektor serangan cyber # 1 untuk peretas. Lebih sering daripada tidak, serangan phishing tampak normal, email setiap hari dari sumber tepercaya tetapi mengirimkan malware ke komputer atau perangkat Anda, memberi peretas akses kritis yang mereka butuhkan.
Dengan meluasnya penggunaan layanan SaaS seperti Dropbox, Slack, Office 365, Salesforce dan lainnya, peretas meningkatkan keterampilan peniruan mereka dengan jenis serangan yang lebih canggih mulai dari isian kredensial hingga metodologi rekayasa sosial canggih. Konten menjadi lebih relevan dan menarik bagi calon korban, memikat mereka untuk terlibat dan membocorkan informasi. Akibatnya, serangan ini menjadi lebih sulit dikenali, bahkan untuk pengguna yang mengerti teknologi.
  1. Kebangkitan Serangan Pihak Ketiga & Rantai Pasokan
Serangan rantai pasokan (juga disebut serangan pihak ketiga) terjadi ketika sistem Anda disusupi melalui mitra atau penyedia luar yang memiliki akses ke sistem dan / atau data Anda. Dengan lebih banyak rantai pasokan digital dan penyedia layanan menyentuh lebih banyak data perusahaan daripada sebelumnya, permukaan serangan telah berubah secara dramatis. Peretas memiliki peluang lebih luas, dan jenis serangan ini menjadi lebih jelas. Pelajari lebih lanjut tentang risiko rantai pasokan dalam prediksi keamanan Masergy untuk 2019.
Pembaruan perangkat lunak dan tambalan keamanan merupakan perlindungan penting, namun merupakan bidang kerentanan lainnya saat bekerja dengan pihak ketiga. Sebagian besar perangkat lunak pihak ketiga bergantung pada perpustakaan eksternal dan sumber daya untuk pembaruan dan tambalan. Jika sumber daya eksternal ini dikompromikan oleh aktor jahat, mereka dapat dengan mudah mengarahkan pembaruan sistem ke server jahat untuk mengirimkan malware ke korban mereka.
  1. Serangan Berbasis AI dan ML: Cybercrime Berkembang dengan Alat Canggih
Machine Learning (ML) dan pendekatan Artificial Intelligence (AI) lainnya sekarang digunakan untuk memerangi kejahatan dunia maya, menjadi “taruhan” dalam semua strategi keamanan modern. Tetapi alat yang sama digunakan untuk melawan kita.
Ketika ML dan AI menjadi lebih mudah tersedia bagi massa, peretas menggunakan mereka untuk meningkatkan kecanggihan serangan mereka. Dengan alat-alat ini, serangan dapat dikalikan dan kejahatan dunia maya dapat mencapai ketinggian yang sama sekali baru. Kami sudah melihat buktinya! Banyak serangan ransomware yang tersebar luas baru-baru ini digerakkan oleh ML dan AI.

Manajemen Resiko 

Risiko pasti akan dimiliki oleh setiap perusahaan yang sedang beroperasi. Untuk meminimalisir risiko yang akan timbul, maka perusahaan harus mampu mengatur sehingga tidak akan menganggu proses kinerja perusahaan. Pengaturan itu, dikenal dengan sebutan manajemen risiko. Tahukah kalian apa itu manajemen risiko? Manajemen risiko (risk management) dapat dikatakan suatu proses identifikasi, analisis, penilaian, pengendalian, dan upaya menghindari, meminimalisir, atau bahkan menghapus risiko yang tidak dapat diterima. Sedangkan di dalam perusahaan, dapat didefinisikan sebagai suatu proses perencanaan, pengaturan, pemimpinan, dan pengontrolan aktivitas sebuah organisasi untuk meminimalisir risiko pendapatan perusahaan.
Proses manajemen risiko memberikan gambaran kepada kita bahwa untuk mengelola risiko ada beberapa tahapan yakni:
1.  Perencanaan Manajemen Risiko.
        Perencanaan meliputi langkah memutuskan bagaimana mendekati dan merencanakan kegiatan manajemen risiko untuk sebuah proyek. Dengan mempertimbangkan lingkup proyek, rencana manajemen proyek, faktor lingkungan perusahaan, maka tim proyek dapat mendiskusikan dan menganalisis aktivitas manajemen risiko untuk proyek-proyek tertentu.

        Untuk membuat perencanan manajemen risiko, ada bebrapa hal yang diperlukan yakni 1) Project Charter, yakni dokumen yang dikeluarkan oleh manajemen senior yang secara formal menyatakan adanya suatu proyek. Dokumen ini memberi otorisasi kepada manajer proyek untuk menggunakan sumberdaya organisasi untuk melaksanakan aktivitas proyek. 2) Kebijakan manajemen risiko, 3) Susunan peran dan tanggung jawab 4) Toleransi stakeholder terhadap risiko 5) Tamplate untuk rencana manajemen risiko organisasi 6) Work Breakdown Structure (WBS)

        Output dari perencanaan manajemen risiko adalah Risk Management Plan yang berisi:
·    Metodologi yang menguraikan definisi alat, pendekatan, sumber data yang mungkin digunakan dalam manajemen risiko proyek tertentu
·    Peran dan Tanggung Jawab yang menguraikan tanggung jawab dan peran utama serta pendukung berikut keanggotaan tim manajemen risiko untuk setiap tindakan
·    Budget yang berisi rencana anggaran untuk manajemen risiko proyek
·    Waktu yang berisi rencana waktu pelaksanaan proses manajemen risiko di sepanjang siklus proyek
·    Scoring dan Intepretasi yang menguraikan metode skoring dan intepretasi yang sesuai tipe dan waktu analisis risiko kualitatif maupun kuantitatif.

2.  Identifikasi Risiko
        Sebagai suatu rangkaian proses, identifikasi risiko dimulai dengan memahami apa sebenarnya yang disebut sebagai risiko. Berikutnya adalah pendefinisian risiko yang mungkin mempengaruhi tingkat keberhasilan proyek dan mendokumentasikan karakteristik dari tiap-tiap risiko dengan melakukan Hasil utama dari langkah ini adalah risk register.

        Identifikasi risiko dapat dilakukan dengan analisis sumber risiko dan analisis masalah Analisis sumber risiko yaitu analisis risiko dengan melihat darimana risiko berasal. Ada tiga sumber risiko yang sudah banyak dikenal yakni Risiko internal yakni risiko yang bersumber dari internal organisasi yang dapat dikategorikan dalam non technical risk (manusia, material, keuangan) dan technical risk (disain, konstruksi dan operasi). Analisis masalah adalah analisis risiko  yang terkait dengan kekawatiran/ rasa khawatir.

        Untuk dapat mengidentifikasi risiko setidaknya ada empat metode yang digunakan, yakni 1) Identifikasi risiko berdasarkan tujuan  Yaitu risiko diidentifikasi berdasarkan sejauh mana suatu peristiwa dapat membahayakan pencapaian tujuan secara perbagian atau secara keseluruhan pekerjaan proyek. 2) Identifikasi Risiko berdasarkan Skenario. Yakni risiko diidentifikasi berdasarkan skenario yang dibuat berdasarkan perkiraan terjadinya sebuah peristiwa. 3) Identifikasi risiko berdasarkan Taksonomi. Yakni risiko dibreakdown berdasarkan sumber risiko dengan menggunakan pengetahuan praktik yang ada melalui daftar pertanyaan yang telah disusun yang jawabannya akan menunjukkan risiko yang ada. 4) Common risk check. Yakni risiko yang sudah biasa terjadi didaftar dan dilakukan pemilihan mana risiko yang sesuai dengan proyek yang sedang dikerjakan.


3.  Analisis Risiko Kualitatif
        Analisis kualitatif salam manajemen risiko adalah proses menilai dampak dan kemungkinan risko yang sudah diidentifikasi. Proses ini dilakukan dengan menyusun risiko berdasarkan dampaknya terhadap tujuan proyek. Analisis ini merupakan cara prioritisasi risiko sehingga membentuk gambaran risiko yang harus mendapat perhatian khusus dan cara merespon risiko tersebut seandainya terjadi.


4.  Analisis Risiko Kuantitatif
        Analisis risiko secara kuantitatif merupakan metode untuk mengidentifikasi risiko kemungkinan kegagalan sistem dan memprediksi besarnya kerugian. Analisis ini dilakukan dengan mengaplikasikan formula matematis yang dikaitkan dengan nilai finansial. Secara matematis penghitungan risiko dilajkukan dengan mengalikan tingkat kemungkinan kejadian dengan dampak yang ditimbulkan. Hasil analisis ini dapat digunakan untuk mengambil langkah strategis dalam mengatasi risiko yang teridentifikasi.. Meskipun analisis kuantitatif ini menggunakan pendekatan matematis, namun pada prinsipnya analsisi ini merupakan tindak lanjut yang mengikuti hasil analisis kualitatif. Kesulitan utama dalam analisis risiko kuantitatif adalah pada saat menentukan tingkat kemungkinan karena data-data statistik belum tentu tersedia untuk semua peristiwa.


5.  Penanganan Risiko
        Penangan risiko diartikan sebagai proses yang dilakukan untuk meminimalisasi tingkat risiko yang dihadapi sampai pada batas yang dapat diterima. Sacra kuantitatif, upaya meminimalisasi risiko dilakukan dengan menerapkan langkah-langkah yang diarahkan pada turunnya angka hasil ukur yang diperoleh dari analisis risiko. Meskipun dalam penanganan risiko dapat dilakukan dengan satu atau lebih cara yang diaplikasikan secara bersamaan atau simultan misalnya mengurangi risiko sekaligus mengalihkan risiko, namun secara umum, teknik yang digunakan untuk menangani risiko dikelompokkan menjadi beberapa kategori, yaitu 1) Menghindari risiko yakni dengan tidak melakukan aktivitas yang beresiko dan memilih melakukan kegiatan yang tidak memiliki risiko. 2) Mitigasi/ Reduksi/ Mengurangi risiko yakni dengan melakukan tindakan untuk mengurangi peluang terjadinya peristiwa yang tidak diharap. Misalnya dengan memilih orang-orang yang kompeten untuk dipekerjakan di proyek. 3) Menerima risiko yakni tetap melakukan pekerjaan yang mengandung risiko dengan tidak melakukan perubahan apapun namun menyiapkan rencana kontingensi jika risiko terjadi. 4) Tranfer Risiko yakni dengan mengalihkan risiko ke pihak lain misalnya dengan membeli asuransi.

 Manajemen Keamanan Informasi 
Aktifitas untuk menjaga  agar perusahaan dan sumber daya informasi tetap aman disebut Manajemen  keamanan informasi. CIO  adalah orang yang  tepat untuk memikul tanggung jawab atas keamanan informasi, namun kebanyakan organisasi mulai menunjuk orang tertentu yang dapat   mencurahkan perhatian penuh terhadap aktivitas ini. Direktur keamanan sistem informasi perusahaan digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem  informasi, yang  bertanggung  jawab atas keamanan system informasi perusahaan tersebut. Namun saat ini perubahan sedang dibuat untuk mencapai tingkat informasi yang lebih tinggi lagi di  dalam perusahaan dengan cara  menunjuk seorang  Direktur Assurance informasi  perusahaan (CIAO).   

Seorang  CIAO harus mendapatkan serangkaian sertifikat  keamanan dan memiliki  pengalaman minimum 10 tahun   dalam mengelola suatu fasilitas keamanan informasi.Pada bentuknya yang paling dasar,  manajemen keamanan informasi terdiri atas empat tahap yaitu:

1.Mengidentifikasi ancaman yangdapat menyerang sumber daya informasi perusahaan
2.Mengidentifikasi risiko yang dapatdisebabkan oleh ancaman-ancaman tersebut
3.Menentukan kebijakan keamanan informasi
4.Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut







source :
https://itgid.org/the-top-five-cyber-security-threats-to-watch-out-for-now/
https://www.jojonomic.com/blog/manajemen-risiko/
https://sites.google.com/site/operasiproduksi/manajemen-resiko-proyek
https://www.researchgate.net/publication/333486270_TUGAS_SISTEM_INFORMASI_MANAJEMEN_KEAMANAN_INFORMASI_DALAM_PEMANFATAN_TEKNOLOGI_INFORMASI_PADA_CVVENETA_BERDIKARI_CIPONDOH
di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)

Analisis dan Design PL

Structured System Analisys and Design  (SSAD) atau Analisis dan Desain Sistem Terstruktur adalah salah satu metodologi dalam mengembangkan ...

  • PERANCANGAN SISTEM
    Perancangan Sistem Menurut ahli Mulyani (2017 : 80) pengertian Perancangan  sistem  adalah penentuan  proses  dan  data  yang diperlukan ole...
  • SISTEM INFORMASI
    Assalamualaikum wr. wb. Disini saya akan membahas tentang apa itu sistem informasi. Berawal dari kata sistem, sebenarnya apa itu sistem?...
  • Siklus Pengembangan Perangkat Lunak atau Software Development Life Cycle
    Proses pengembangan perangkat lunak ( software development process ) adalah suatu struktur yang diterapkan pada pengembangan suatu produk p...