Auditing Routers, Switches dan Firewalls

1.        Konsep Audit

Information system (IS) audit adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Weber mengemukakan bahwa audit sistem informasi merupakan proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset dan teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif dan efisien. Dengan demikian, Aktivitas audit perlu dilakukan untuk mengukur dan memastikan kesesuaian pengelolaan baik sistem maupun teknologi informasi dengan ketetapan dan standar yang berlaku pada suatu organisasi, sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka perbaikan berkelanjutan. Tujuan dari audit sistem informasi adalah untuk mengetahui apakah pengelolaan system dan teknologi informasi telah mencapai tujuan strategisnya. Berikut adalah beberapa tujuan strategisnya :

  • Meningkatkan perlindungan tehadap asset-asset (Asset safeguard)
  • Menjaga integritas data (Data integrity)
  • Meningkatkan efektifitas system (Effectivity)
  • Meningkatkan efisiensi (efficiency)

 

  • Konsultasi dan Keterlibatan Awal

Ada poin lebih dalam menjadi auditor daripada mengaudit. Meski melakukan audit formal tersebut merupakan fungsi kritis dan penting dari departemen audit, biaya mengoreksi masalah dan menambahkan kontrol pasca implementasi secara signifikan lebih tinggi daripada biaya melakukan itu pertama kalinya. Dari segi independensi, tidak ada perbedaan antara penyediaan penilaian sistem atau solusi sebelum pelaksanaan dan penilaian setelah implementasi Ada perbedaan, bagaimanapun, besarnya nilai auditor adalah menambah nilai perusahaan.

Sayangnya, banyak auditor menggunakan independensi sebagai alasan untuk tidak menambah nilai dan bukan untuk memberikan pendapat. Auditor umumnya bisa mandiri dan tetap bekerja berdampingan dengan rekan kerja untuk membantu mereka saat mereka mengembangkan solusi untuk masalah pengendalian internal. Menjadi independen tidak berarti tidak dapat memberikan penilaian terhadap kontrol dalam sistem sebelum penempatan. Berkali-kali, auditor akan melihat audit internal departemen yang menolak memberikan bimbingan dan masukan kepada tim yang sedang berkembang sistem atau proses baru. Mereka mengatakan bahwa mereka tidak dapat memberikan masukan tentang kontrol di dalamnya sistem karena untuk melakukannya berarti mereka tidak lagi mandiri.

Konsep audit menggambarkan mengenai pedoman yang menyeluruh dalam melaksanakan proses audit. Sedangkan proses audit merupakan Proses yang sistematis, berkaitan dengan verifikasi dan atestasi yang bertujuan untuk membuktikan validitas dan kesesuaian antara informasi yang di audit dengan kriteria yang telah ditetapkan, serta menguji temuan-temuan tersebut dengan menerbitkan laporan yang sesuai dengan jenis dan tujuan audit. Lebih lanjut proses audit mengandung beberapa konsep sebagai berikut:

  • Proses yang Sistematis, adalah proses terstruktur sebagai suatu aktivitas yang dinamis yang dilakukan secara logis.
  • Memperoleh dan menilai bukti, bukti bagi auditor merupakan informasi yang digunakan untuk menentukan aktivitas bisnis yang diaudit sesuai dengan kondisi yang sebenarnya
  • Menentukan tingkat kesesuaian informasi dengan ketentuan yang berlaku, membandingkan antara kondisi sebenarnya dengan seharusnya atau menentukan tingkat kesesuaian kondisi dimaksud
  • Melaporkan hasil audit, melaporkan hasil audit kepada pihak-pihak yang terkait.

Misi sebenarnya dari departemen audit internal adalah untuk membantu memperbaiki keadaan pengendalian internal di perusahaan. Auditor internal tidak benar-benar independen, tapi harus objektif. Penting untuk menemukan cara untuk mencapai misi departemen di luar audit formal. Keterlibatan awal, audit informal, pembagian pengetahuan, dan penilaian diri adalah empat alat penting dalam hal ini. Membangun dan memelihara hubungan baik dengan organisasi TI merupakan elemen penting keberhasilan tim audit TI. Tim audit TI yang paling efektif memastikan bahwa setiap lapisan tumpukan tertutup, tidak hanya lapisan aplikasi. Tim audit TI yang sukses umumnya terdiri dari kombinasi antara auditor karir dan profesional TI. Penting untuk mengembangkan metode untuk mempertahankan keahlian teknis tim audit TI. Hubungan yang sehat harus dikembangkan dengan auditor eksternal TI.

 

  • Empat Metode untuk Konsultasi dan Keterlibatan Awal

Sekarang telah ditetapkan bahwa tidak masalah untuk berbicara dengan sesama karyawan tentang kontrol internal bahkan ketika Anda tidak mengauditnya, mari kita bicara tentang beberapa cara terbaik untuk melakukan ini. Kami akan membahas empat metode untuk mempromosikan kontrol internal di perusahaan di luar audit formal Anda:

  1. Keterlibatan awal

Perusahaan manufaktur mana pun akan memberi tahu Anda bahwa lebih murah untuk membangun kualitas menjadi produk daripada mencoba menambahkannya setelah fakta. Kontrol internal adalah cara yang sama: Setelah Anda membuat sistem, mengujinya, dan menerapkannya, akan jauh lebih mahal untuk kembali dan mengubahnya daripada jika Anda melakukannya dengan benar pada kali pertama. Sebagai auditor, Anda juga lebih mungkin menghadapi penolakan setelah penerapan. Setiap orang telah pindah ke proyek lain, dan tidak ada yang termotivasi untuk kembali dan membuat perubahan pada proyek yang sudah selesai. Di sisi lain, jika Anda dapat memberikan persyaratan pengendalian internal di awal proses, mereka hanya menjadi bagian lain dari lingkup proyek untuk pelaksana, dan mereka tidak terlalu mempedulikannya (dengan ketentuan bahwa persyaratan kontrol adalah wajar).

 

  1. Audit informal

Salah satu masalah yang dihadapi hampir setiap departemen di hampir setiap perusahaan adalah kendala sumber daya. Tidak pernah ada cukup waktu untuk melakukan semua hal yang ingin Anda lakukan, dan sebagian besar departemen tidak punya waktu untuk mengatasi semua risiko di luar sana. Selalu ada permintaan untuk audit yang tidak dapat Anda penuhi. Sadarilah bahwa jika audit Anda harus menyeluruh, Anda akan memiliki waktu untuk mengaudit hanya beberapa area setiap tahun. Faktanya, jika proses penjadwalan audit Anda murni berbasis risiko (bukannya memiliki segalanya pada rotasi tertentu), beberapa area tidak akan pernah melakukan pemotongan. Anda mungkin tidak akan pernah pergi ke komite audit dan melaporkan bahwa salah satu dari lima belas risiko teratas yang perlu Anda tinjau untuk tahun ini adalah pusat data kecil di lokasi terpencil yang mendukung segelintir orang yang melakukan bisnis yang kurang penting. proses. Tetapi apakah ini berarti Anda tidak boleh bekerja dengan karyawan tersebut untuk membantu mereka memahami keadaan kontrol internal mereka? Apakah ini berarti Anda tidak pernah memahami risiko di situs itu? Harus ada beberapa cara untuk melakukan peninjauan atas area-area tersebut tanpa mengubahnya menjadi upaya besar yang tidak perlu. Audit informal adalah mekanisme yang digunakan.

 

  1. Berbagi pengetahuan

Sebagai auditor internal, Anda memiliki perpaduan unik dari pengetahuan perusahaan dan keahlian dalam kontrol internal. Departemen audit internal harus kreatif dalam menemukan cara-cara baru untuk berbagi pengetahuan uniknya dengan bagian lain perusahaan. Tentu saja, banyak berbagi pengetahuan harus terjadi ketika Anda melakukan audit, ketika Anda melakukan tinjauan konsultasi, dan ketika Anda memberikan masukan sebagai bagian dari aktivitas keterlibatan awal Anda. Namun, ini masih menyisakan beberapa celah. Di bagian ini, kita akan membahas cara menutup beberapa celah yang tersisa.

 

  1. Penilaian-diri

Tentunya, untuk beberapa audit satu kali, jika Anda belum pernah meninjau area sebelumnya dan akan bertahun-tahun sebelum Anda meninjaunya lagi, ini tidak akan praktis. Namun, untuk teknologi dan topik umum, sangat berguna untuk memberikan panduan kontrol yang menjelaskan berbagai hal yang biasanya Anda ulas selama audit. Area yang dibahas dalam Bagian II buku ini adalah kandidat yang baik untuk ini. Mengapa tidak membiarkan orang tahu apa yang Anda cari ketika mengaudit Unix, misalnya? Mengapa tidak membiarkan mereka tahu jenis dasar kontrol yang Anda cari ketika mengaudit aplikasi? Ini tidak hanya akan membantu orang mempersiapkan audit Anda, tetapi ini juga akan memberikan informasi yang sangat baik bagi orang lain di perusahaan yang mungkin tertarik tetapi Anda tidak memiliki rencana untuk mengaudit.

Gambar 1 Struktur Pelaporan Tim Audit

2.        Proses Audit

Terdapat 6 fase utama pada proses audit sebagai berikut :

  1. Perencanaan

Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Anda perlu menentukan apa yang ingin Anda capai dengan peninjauan. Sebagai bagian dari proses ini, Anda harus mengembangkan serangkaian langkah yang akan dilaksanakan untuk mencapai tujuan audit. Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit. Berikut adalah beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:

  • Hand-off dari Manajer Audit
  • Survei Awal
  • Permintaan Pelanggan
  • Checklist Standar
  • Penelitian

 

  1. Kerja lapangan dan dokumentasi

Sebagian besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.

Jika memungkinkan, auditor harus mencari cara untuk memvalidasi secara independen informasi yang diberikan dan keefektifan dari lingkungan pengendalian. Meskipun ini tidak selalu mungkin, auditor harus selalu memikirkan cara-cara kreatif untuk menguji sesuatu. Misalnya, jika pelanggan audit menggambarkan proses untuk menyetujui permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna yang baru saja ditambahkan untuk melihat apakah mereka memang menerima persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan bahwa proses sedang diikuti daripada wawancara.

Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Auditor pada dasarnya harus menceritakan sebuah kisah: “Inilah yang saya lakukan. Inilah yang saya temukan. Inilah kesimpulan saya. Inilah alasan mengapa saya mencapai kesimpulan itu. ”Jika suatu proses ditinjau, prosesnya harus dijelaskan, dan poin kontrol utama dalam proses itu harus disorot. Jika suatu sistem atau teknologi ditinjau ulang, pengaturan khusus dan data yang ditinjau harus diuraikan (bersama dengan bagaimana informasi itu diperoleh) dan ditafsirkan.

  1. Penemuan dan validasi masalah

Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk menggosok daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang menikmati menunggu auditor untuk menyelesaikan audit dan kemudian harus menanggung daftar masalah laundry. Tidak hanya ini tidak menyenangkan bagi pelanggan Anda, tetapi juga bisa tidak menyenangkan bagi Anda, karena Anda mungkin menemukan bahwa tidak semua informasi Anda akurat dan tidak semua masalah Anda valid. Daripada membuat kasus federal dari setiap masalah potensial, ambil pendekatan yang lebih informal: “Hei, saya pikir saya menemukan sesuatu yang memprihatinkan. Dapatkah saya mendiskusikannya dengan Anda untuk memastikan saya memiliki fakta yang benar dan memahami risiko dengan benar? ”Ini memungkinkan pelanggan untuk bekerja dengan Anda dalam memvalidasi masalah dan juga mendorong pelanggan untuk mengambil kepemilikan masalah.

Selain memvalidasi bahwa Anda memiliki fakta-fakta Anda secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah. Sebaliknya, isu yang diangkat harus memberikan risiko signifikan bagi perusahaan. Pertimbangkan untuk mengurangi kontrol, dan pahami seluruh gambar sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan.

 

  1. Pengembangan solusi

Setelah Anda mengidentifikasi masalah potensial di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan Anda untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah. Jelas, hanya mengangkat isu-isu yang dilakukan perusahaan tidak ada gunanya kecuali masalah-masalah itu benar-benar diatasi. Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit:

  • Pendekatan rekomendasi
  • Pendekatan manajemen-respons
  • Pendekatan solusi

 

  1. Laporan draf dan penerbitan

Setelah Anda menemukan masalah di lingkungan yang diaudit, memvalidasi mereka dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, Anda dapat menyusun laporan audit. Laporan audit adalah kendaraan yang digunakan untuk mendokumentasikan hasil audit. Ini melayani dua fungsi utama:

  • Bagi Anda dan pelanggan audit, ini berfungsi sebagai catatan audit, hasilnya, dan rencana aksi yang dihasilkan.
  • Untuk manajemen senior dan komite audit, berfungsi sebagai “kartu laporan” di area yang diaudit.

 

  1. Pelacakan masalah

Biasanya bijaksana bagi auditor yang melakukan atau memimpin audit untuk bertanggung jawab untuk menindaklanjuti poin-poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan. Auditor tidak boleh menunggu sampai poin jatuh tempo atau lewat jatuh tempo sebelum menghubungi pelanggan, tetapi harus berada dalam kontak reguler terkait status masalah. Ini melayani sejumlah tujuan. Pertama, memungkinkan auditor untuk berkonsultasi dengan pelanggan saat keputusan sedang dibuat. Kedua, memungkinkan auditor untuk diberitahu lebih awal jika solusi yang diterapkan tidak sesuai dengan harapan. Dengan cara ini, auditor dapat mencoba untuk mengalihkan kegiatan sebelum hal-hal diselesaikan. Ketiga, jika masalah tidak diselesaikan, itu memungkinkan departemen audit untuk mencoba mengatasi masalah sebelum titik menjadi terlambat.

 

3.        Teknik Audit (Auditing Routers, Switches dan Firewalls)

 

  • Auditing Switches, Routers, and Firewalls

Langkah-langkah audit dibagi menjadi langkah-langkah umum dan langkah-langkah khusus. Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh bagian khusus untuk router, switch, dan firewall. Kerjakan bagian pertama dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang Anda butuhkan untuk menyelesaikan audit.

  • Langkah-langkah Audit Peralatan Jaringan Umum

Mulailah audit dengan meminta teknisi jaringan untuk menyalin file konfigurasi dan versi perangkat yang ingin Anda audit. Untuk router dan switch, seringkali, hampir semua informasi yang Anda inginkan terletak di file konfigurasi, dan ini mencegah Anda untuk masuk ke perangkat berulang kali.

  • Tinjau kontrol di sekitar pengembangan dan pertahankan konfigurasi.

Langkah ini adalah tangkapan-semua yang membahas manajemen konfigurasi, konsep menyeluruh menjaga konfigurasi aman dari firewall. Kegagalan untuk mempertahankan konfigurasi yang aman menyebabkan firewall mengalami penyimpangan dalam teknologi atau proses yang mempengaruhi keamanan jaringan Anda. Tinjau segera perubahan apa pun pada firewall untuk memastikan bahwa perubahan tidak secara tidak sengaja menurunkan kinerja atau merusak keamanan aset yang dilindungi firewall.

  • Pastikan bahwa terdapat kontrol yang sesuai untuk setiap kerentanan yang terkait dengan versi perangkat lunak saat ini. Kontrol ini mungkin termasuk pembaruan perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.

Langkah ini melampaui perubahan konfigurasi dan target khusus pembaruan perangkat lunak dan setiap kerentanan terkait. Langkah ini adalah di mana Anda sebagai auditor akan meneliti kerentanan kritis yang terkait dengan perangkat lunak dan memastikan bahwa kontrol yang sesuai sudah ada, seperti pembaruan perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.

  • Verifikasi bahwa semua layanan yang tidak diperlukan dinonaktifkan.

Menjalankan layanan yang tidak perlu dapat membuat Anda rentan terhadap risiko terkait kinerja dan keamanan. Ini benar untuk semua host atau perangkat dan menambah permukaan serangan yang tersedia untuk penyerang potensial.

  • Pastikan bahwa praktik manajemen SNMP yang baik diikuti.

Simple Network Management Protocol (SNMP) merupakan cara yang sering diabaikan untuk mendapatkan akses administratif penuh ke perangkat jaringan. Langkah ini mungkin tidak berlaku untuk peralatan Anda jika peralatan tidak mendukung manajemen SNMP atau dinonaktifkan.

 

  • Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

Langkah ini memiliki cakupan yang luas, yang mencakup kontrol seputar penggunaan akun dan manajemen. Akun yang dikelola atau digunakan secara tidak tepat dapat memberikan akses mudah ke perangkat jaringan, melewati kontrol keamanan tambahan lainnya untuk mencegah serangan jahat. Langkah ini harus mencakup kebijakan dan prosedur yang penting untuk memastikan bahwa hanya administrator yang berwenang yang dapat masuk ke perangkat jaringan dan setelah masuk, mereka memiliki tingkat hak istimewa yang tepat. Prosedur login harus mematuhi otentikasi, otorisasi, dan akuntansi yang kuat (AAA).

  • Pastikan bahwa kontrol kata sandi yang sesuai digunakan.

Password yang lemah dan tidak terenkripsi memungkinkan penyerang untuk menebak atau membaca kata sandi dengan mudah di dalam plaintext. Kontrol kata sandi yang kuat sangat penting untuk melindungi peralatan jaringan. Versi lama dari perangkat lunak jaringan memungkinkan menyimpan kata sandi dalam teks-jelas secara default. Anda mungkin tidak akan melihat ini, tetapi Anda harus memverifikasi bahwa kata sandi disimpan dengan aman oleh administrator.

  • Verifikasi bahwa protokol manajemen aman digunakan jika memungkinkan.

Telnet mengirimkan semua informasinya dalam bentuk teks-jelas, memungkinkan kata sandi dan informasi lain untuk dilihat dengan sniffer. SNMP Versi 1 dan 2 serupa. Alternatif aman adalah SSH, IPSec, dan SNMPv3. Meskipun sangat penting bahwa protokol aman digunakan dari jaringan yang tidak dipercaya, itu juga penting di dalam juga.

  • Pastikan bahwa cadangan saat ini ada untuk file konfigurasi.

Simpan salinan semua konfigurasi perangkat jaringan di lokasi yang mudah dijangkau dan aman — ini sangat penting! File-file ini berisi komentar apa pun yang dapat membantu memberikan perspektif ke pengaturan konfigurasi dan filter. Anda dapat mengubah filter dengan lebih mudah dan akurat ketika Anda dapat merujuk kembali ke file konfigurasi lama. Cadangan ini juga dapat sangat berharga untuk mendiagnosis dan memulihkan dari kegagalan jaringan tak terduga.

  • Pastikan logging diaktifkan dan dikirim ke sistem terpusat.

Log harus dikumpulkan untuk AAA dan kejadian sistem. Log juga harus dikirim ke host yang aman untuk mencegah gangguan pada informasi. Kegagalan menyimpan log dapat mencegah administrator mendiagnosis masalah jaringan atau perilaku berbahaya dengan benar.

  • Evaluasilah penggunaan Network Time Protocol (NTP).

Gunakan NTP menyediakan sinkronisasi waktu untuk stempel waktu pada semua aktivitas yang tercatat. Stempel waktu ini tidak ternilai dalam pelaporan dan pemecahan masalah.

  • Pastikan spanduk dikonfigurasi untuk membuat semua pengguna yang terhubung menyadari kebijakan perusahaan untuk digunakan dan memantau.

Spanduk peringatan yang secara jelas menandai router atau switch sebagai properti pribadi dan tidak mengizinkan akses yang tidak sah adalah hal yang penting jika kompromi yang pernah terjadi dalam tindakan hukum.

  • Pastikan bahwa kontrol akses diterapkan ke port konsol.

Akses logis dapat diperoleh melalui port konsol dengan kontrol akses fisik yang buruk ke router atau switch. Seringkali port konsol tidak memiliki kata sandi untuk kenyamanan. Pastikan bahwa kata sandi digunakan untuk memberikan lapisan tambahan pertahanan di luar kontrol fisik. Kata sandi sangat penting jika lokasinya tidak aman secara fisik.

  • Pastikan semua peralatan jaringan disimpan di lokasi yang aman.

Siapa pun dengan akses fisik ke perangkat jaringan mungkin dapat memperoleh akses logis penuh menggunakan prosedur pemulihan kata sandi yang terdokumentasi dengan baik. Seseorang juga bisa mencabut kabel atau mengganggu layanan. Selain itu, akses harus dibatasi untuk mencegah kecelakaan yang tidak berbahaya (seperti tersandung kabel) dari gangguan layanan.

  • Pastikan bahwa konvensi penamaan standar digunakan untuk semua perangkat.

Konvensi penamaan standar membuat pemecahan masalah dan menemukan masalah lebih mudah. Konvensi penamaan standar juga membantu membuat pengelolaan lingkungan menjadi lebih mudah ketika organisasi tumbuh.

  • Verifikasi bahwa proses standar dan terdokumentasi ada untuk membangun perangkat jaringan.

Proses yang terdokumentasi memberikan pengulangan desain yang aman dan kualitas pengerjaan yang lebih tinggi, membantu mencegah kesalahan umum yang dapat menyebabkan gangguan layanan atau kompromi jaringan.

  • Switch Controls Tambahan: Layer 2

Berikut ini adalah langkah uji tambahan untuk switch, atau perangkat Layer 2.

  • Pastikan bahwa administrator menghindari menggunakan VLAN 1.

Secara default, semua port pada switch Cisco adalah anggota VLAN 1. Menghindari penggunaan VLAN 1 mencegah penyusup jaringan dari plugging ke port yang tidak digunakan dan berkomunikasi dengan seluruh jaringan.

  • Evaluasilah penggunaan badan

Badan pada switch menggabungkan dua VLAN terpisah ke dalam port agregat, yang memungkinkan akses trafik ke VLAN. Ada dua protokol trunking: 802.1q, yang merupakan standar terbuka, dan ISL, yang dikembangkan oleh Cisco. Beberapa jenis switch dan versi perangkat lunak diatur ke mode autotrunking, memungkinkan port untuk mencoba secara otomatis mengubah tautan ke dalam bagasi. Dynamic Trunking Protocol (DTP) mungkin membantu menentukan protokol trunking mana yang harus digunakan dan bagaimana protokol harus beroperasi. Jika ini kasusnya, secara umum, semua VLAN pada switch menjadi anggota port berbatang baru. Menonaktifkan autonegosiasi batang meringankan risiko yang terkait dengan serangan hopping VLAN, dimana seseorang dalam satu VLAN dapat mengakses sumber daya di VLAN lain.

  • Verifikasi bahwa mitigasi serangan Spanning-Tree Protocol diaktifkan (BPDU Guard, Root Guard).

Risiko yang terkait dengan jenis serangan ini termasuk memberi penyerang kemampuan untuk menggunakan Spanning-Tree Protocol untuk mengubah topologi jaringan. Protokol Spanning-Tree dirancang untuk mencegah loop jaringan berkembang. Switch akan mempelajari topologi jaringan dan memindahkan port melalui empat tahap — memblokir, mendengarkan, belajar, dan meneruskan — karena memastikan bahwa loop tanpa akhir tidak berkembang dalam pola lalu lintas jaringan.

  • Evaluasilah penggunaan VLAN pada jaringan.

VLAN harus digunakan untuk memisahkan domain broadcast dan, jika perlu, untuk membantu membagi sumber daya dengan tingkat keamanan yang berbeda.

  • Nonaktifkan semua port yang tidak digunakan dan letakkan di VLAN yang tidak digunakan.

Pengaturan ini mencegah penyusup jaringan dari plugging ke port yang tidak digunakan dan berkomunikasi dengan seluruh jaringan.

  • Evaluasilah penggunaan VLAN Trunking Protocol (VTP) di lingkungan.

VTP adalah protokol pesan Layer 2 yang mendistribusikan informasi konfigurasi VLAN di atas trunk. VTP memungkinkan penambahan, penghapusan, dan penggantian nama VLAN pada jaringan secara keseluruhan. Seorang penyerang jaringan dapat menambahkan atau menghapus VLAN dari domain VTP serta membuat loop Spanning-Tree Protocol. Kedua situasi dapat menyebabkan hasil yang sangat sulit untuk dipecahkan. Ini tidak harus menjadi peristiwa yang berbahaya. Switch dengan nomor versi konfigurasi yang lebih tinggi dalam basis data VTP memiliki otoritas atas switch lain dengan jumlah yang lebih rendah. Jika saklar laboratorium seperti ini ditempatkan di jaringan produksi, Anda mungkin secara tidak sengaja mengkonfigurasi ulang seluruh jaringan Anda.

  • Verifikasi bahwa ada ambang batas yang membatasi lalu lintas broadcast / multicast pada port.

Mengonfigurasi kontrol badai membantu mengurangi risiko gangguan jaringan jika terjadi badai siaran.

 

  • Kontrol Router Tambahan: Layer 3

Berikut ini adalah langkah uji tambahan untuk router, atau perangkat Layer 3.

  • Pastikan bahwa antarmuka tidak aktif di router dinonaktifkan.

Antarmuka tidak aktif yang harus dinonaktifkan termasuk antarmuka LAN dan WAN seperti Ethernet, Serial, dan ATM. Antarmuka terbuka adalah kemungkinan sumber serangan jika seseorang dihubungkan ke antarmuka.

  • Pastikan bahwa router dikonfigurasi untuk menyimpan semua dump inti.

Memiliki inti dump (gambar dari memori router pada saat crash) dapat sangat berguna untuk dukungan teknis Cisco dalam mendiagnosis kecelakaan dan mungkin mendeteksi bahwa serangan adalah penyebab utamanya.

  • Verifikasi bahwa semua pembaruan routing dikonfirmasi.

Otentikasi memastikan bahwa router penerima menggabungkan ke dalam tabelnya hanya informasi rute yang benar-benar ingin dikirim oleh router pengirim yang dipercaya. Ini mencegah router yang sah menerima dan kemudian menggunakan tabel routing yang tidak sah, berbahaya, atau rusak yang akan membahayakan keamanan atau ketersediaan jaringan. Kompromi seperti itu dapat menyebabkan pengubahan rute lalu lintas, penolakan layanan, atau hanya akses ke paket data tertentu kepada orang yang tidak berwenang.

  • Verifikasi bahwa perutean sumber IP dan siaran yang diarahkan IP dinonaktifkan.

Perutean sumber IP memungkinkan pengirim paket IP untuk mengontrol rute paket ke tujuan, dan siaran yang diarahkan IP memungkinkan jaringan untuk digunakan sebagai alat tanpa disadari dalam serangan smurf atau fraggle.

  • Kontrol Firewall Tambahan

Berikut ini adalah langkah uji tambahan untuk firewall. Perhatikan bahwa beberapa kontrol ini mungkin ditangani oleh router bersama dengan firewall, tetapi router sendiri adalah firewall yang buruk untuk perimeter jaringan perusahaan.

  • Pastikan semua paket ditolak secara default.

Semua paket pada firewall harus ditolak kecuali paket yang berasal dari dan menuju ke alamat dan port yang semuanya secara eksplisit didefinisikan. Ini adalah posisi bertahan yang jauh lebih kuat daripada mencoba melacak aturan apa yang telah Anda tetapkan untuk memblokir setiap alamat atau layanan tertentu. Misalnya, permintaan SNMP eksternal dari luar jaringan Anda yang ditargetkan ke router di dalam jaringan Anda akan ditolak secara default jika satu-satunya lalu lintas yang Anda izinkan ke DMZ Anda adalah ke server web.

  • Pastikan alamat IP internal dan eksternal yang tidak sesuai disaring.

Lalu lintas yang berasal dari ruang alamat internal seharusnya tidak memiliki alamat eksternal sebagai alamat sumber. Demikian pula, lalu lintas yang berasal dari luar jaringan seharusnya tidak memiliki jaringan internal Anda sebagai alamat sumber.

  • Evaluasi set aturan firewall untuk memberikan perlindungan yang tepat.

Kegagalan untuk mengelola aturan firewall Anda dapat mengekspos Anda ke risiko yang tidak perlu dari akses terbuka atau tidak pantas. Belum lama ini beberapa ratus aturan firewall dipertimbangkan.

 

4.        Regulasi Audit

 

  • Pengantar Legislasi Terkait dengan Kontrol Internal

Sifat global bisnis dan teknologi mendorong kebutuhan akan standar dan peraturan yang mengatur bagaimana perusahaan bekerja bersama dan bagaimana informasi dibagikan. Kemitraan strategis dan kolaboratif telah berevolusi dengan badan-badan seperti Organisasi Internasional Standardisasi (ISO), Komisi Elektroteknik Internasional (IEC), International Telecommunication Union (ITU), dan Organisasi Perdagangan Dunia (WTO). Partisipasi dalam badan-badan standar ini telah bersifat sukarela, dengan tujuan bersama untuk mempromosikan perdagangan global untuk semua negara. Masing-masing negara telah melangkah lebih jauh untuk menetapkan kontrol pemerintah atas kegiatan bisnis perusahaan yang beroperasi dalam batas-batas mereka.

 

  • Dampak Regulasi pada Audit TI

Dampak peraturan yang ada pada audit TI berevolusi ketika bisnis beradaptasi dengan kompleksitas mematuhi beberapa otoritas. Selama dekade terakhir, pemerintah AS telah meloloskan berbagai tindakan privasi khusus industri dan peraturan lainnya. Masing-masing telah berlalu dengan maksud melindungi konsumen bisnis. Akibatnya, kelompok audit internal dan eksternal bertugas meninjau proses dan prosedur bisnis untuk memastikan ada kontrol yang tepat yang melindungi kepentingan bisnis dan konsumen.

 

  • Tindakan Sarbanes-Oxley pada 2002

Tindakan Sarbanes-Oxley (SOX) pada 2002 (secara resmi dikenal sebagai Reformasi Akuntansi Perusahaan Publik dan Undang-undang Perlindungan Investor) adalah tanggapan dari pemerintah AS terhadap munculnya skandal perusahaan yang dimulai dengan Enron dan Arthur Andersen, diikuti oleh Tyco. , Adelphia Communications, WorldCom, HealthSouth, dan banyak lainnya.

Tindakan Sarbanes-Oxley dan Public Company Accounting Oversight Board (PCAOB) diciptakan untuk memulihkan kepercayaan investor di pasar umum AS. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan mencegah penipuan korporasi dan akuntansi. Dengan demikian, kontrol yang diperlukan untuk kepatuhan terhadap SOX berfokus pada kontrol utama yang penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.

 

  • Kontrol TI Spesifik Diperlukan untuk Kepatuhan SOX

Sampai saat ini, PCAOB dan auditor eksternal yang meninjau kepatuhan dengan SOX sangat memperhatikan keamanan, manajemen perubahan, dan manajemen masalah. Fokus utama untuk audit adalah integritas infrastruktur teknologi untuk pemrosesan, penyimpanan, dan komunikasi data keuangan. Hal ini terutama berlaku ketika laporan keuangan dihasilkan dari gudang data yang diumpankan oleh berbagai sistem operasi akuntansi dan bisnis.

Kepemilikan kontrol TI mungkin tidak jelas, terutama untuk kontrol aplikasi. Oleh karena itu, audit di setiap area harus mengintegrasikan kontrol otomatis dan manual pada tingkat proses bisnis.

Secara umum, kontrol TI berikut harus didokumentasikan dan dievaluasi sebagai efektif agar sesuai dengan persyaratan SOX:

  • Kontrol akses
  • Ubah kontrol
  • Manajemen data
  • Operasi TI
  • Operasi jaringan
  • Manajemen aset

 

  • Tindakan Gramm-Leach-Bliley

Judul resmi dari undang-undang ini adalah Modernisasi Undang-undang Jasa Keuangan. Tindakan, lebih dikenal sebagai Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan. Undang-undang ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.

 

  • Persyaratan GLBA

Dari perspektif dampak pada pengendalian internal, bagian GLBA Judul V menyediakan serangkaian peraturan khusus yang mengatur bagaimana informasi individu untuk pelanggan lembaga keuangan dapat dibagikan. GLBA mengharuskan perusahaan-perusahaan keuangan mengungkapkan kepada pelanggan kebijakan dan praktik privasi institusi. Undang-undang memberikan beberapa kontrol terbatas kepada pelanggan tentang bagaimana informasi yang disimpan oleh lembaga keuangan dapat dipertahankan melalui opsi “opt-out”. Secara tahunan, lembaga keuangan diwajibkan untuk mengubah bentuk klien dari kebijakan privasi lembaga.

Penegakan ketentuan tindakan diberikan kepada Federal Trade Commission, lembaga perbankan federal, National Credit Union Administration, dan SEC.

 

  • Peraturan Privasi

Meringkas karya luar biasa yang dilakukan oleh Thomas Karol dalam Panduan untuk Penilaian Dampak Privasi Lintas-Perbatasan, informasi pribadi pernah dilihat sebagai konten bisnis eksklusif dengan sedikit perhatian terhadap hak-hak pribadi dari individu yang informasinya dimiliki oleh perusahaan. Organisasi pemerintah dan kelompok aktivis privasi telah berfungsi untuk menciptakan banyak undang-undang yang melindungi informasi pribadi. Persyaratan nasional dan negara mengatur bagaimana informasi kesehatan, keuangan, dan identifikasi pribadi dapat digunakan dan disimpan. Sayangnya, berbagai kepentingan dan batas kenyamanan (kepentingan politik) telah menciptakan persyaratan yang berbeda, dan kurangnya keseragaman memberikan tantangan untuk penanganan informasi pribadi yang sesuai.

 

  • Portabilitas Asuransi Kesehatan dan Tindakan Akuntabilitas pada 1996

Komponen-komponen TI dari undang-undang tersebut menetapkan metodologi standar untuk keamanan. Selanjutnya, HIPAA membakukan format untuk informasi yang berhubungan dengan kesehatan. Standar ini mencakup metode yang memastikan kerahasiaan pasien dan integritas data untuk setiap informasi yang dapat dikaitkan dengan seorang pasien.

Komponen tindakan yang paling sering diidentifikasi adalah kumpulan data yang secara kolektif dikenal sebagai informasi kesehatan yang dilindungi (PHI) atau Informasi Kesehatan Elektronik yang Dilindungi (EPHI) yang mencakup Informasi Kesehatan Individu yang Dapat Diidentifikasi (IIHI). IIHI berhubungan dengan kondisi medis individu, perawatan, atau pembayaran untuk perawatan. Setiap entitas yang mempertahankan dan menggunakan PHI yang dapat diidentifikasi secara individu tunduk pada undang-undang tersebut. Ruang lingkup efektif HIPAA mencakup entitas dari rumah sakit, perusahaan asuransi, hingga dokter (dari semua jenis), ke laboratorium, dan perusahaan yang beroperasi atau berpartisipasi dalam rencana kesehatan. Organisasi yang dipengaruhi oleh HIPAA dirujuk oleh undang-undang sebagai entitas tertutup.

 

  • Komisi Uni Eropa dan Basel II

Karena skandal perusahaan Eropa yang sebanding dengan yang ada di Amerika Serikat, Komisi Uni Eropa memberlakukan persyaratan serupa untuk peningkatan standar audit, pengawasan, dan tanggung jawab dengan membuat arahan yang terkait dengan tata kelola perusahaan, transparansi, audit, standar akuntansi, dan layanan informasi. Perbedaan utama adalah bahwa UU SOX AS membawa denda dan sanksi pidana, sedangkan Komisi UE tidak merekomendasikan tingkat penegakan hukum.

 

  • Standar Keamanan Data Industri Kartu Pembayaran (PCI)

Visa USA menciptakan Program Keamanan Informasi Pemegang Kartu (CISP) pada pertengahan tahun 2001. Standar itu menjadi persyaratan bagi bank anggota Visa. Program CISP dimaksudkan untuk memastikan tingkat keamanan informasi yang tinggi untuk data pemegang kartu Visa. Standar keamanan berlaku untuk semua bank anggota Visa, pedagang yang menerima kartu Visa, dan semua penyedia layanan memproses transaksi pemegang kartu Visa. Pada tahun 2004, standar keamanan data telah disponsori oleh Visa dan MasterCard menjadi standar industri yang sekarang dikenal sebagai Standar Keamanan Data Industri Kartu Pembayaran. Penerbit kartu lainnya mulai mengadopsi standar dan pada 7 September 2006, American Express, Discover Financial Services, JCB, MasterCard Worldwide, dan Visa International menciptakan Dewan Standar Keamanan Industri Kartu Pembayaran. Situs web mereka terletak online di http://www.pcisecuritystandards.org. Versi internasional dari program VISA CISP yang disebut Keamanan Informasi Akun Visa (AIS) berlaku untuk entitas yang tidak berbasis di AS.

  • Tren Peraturan Lainnya

Ketika komputer menjamur di masa kejayaan tahun 1980-an dan 1990-an, kontrol internal atas TI gagal mengikuti arsitektur infrastruktur yang berubah dengan cepat. Namun, tindakan keras terhadap kontrol internal yang dimulai atas pelaporan keuangan telah diperluas untuk menyertakan TI, dan memang seharusnya demikian.

 

5.        Standar dan Kerangka Kerja Audit

 

  • Pengantar Kontrol TI Internal, Kerangka, dan Standar

Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit. Dalam upaya untuk menghalangi intervensi pemerintah, inisiatif sektor swasta yang independen, yang kemudian disebut Komite Organisasi Pensponsoran (COSO), dimulai pada 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada tahun 1992 ketika menerbitkan publikasi tengara Internal Control – Integrated Framework.

  • COSO

Pada pertengahan 1980-an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan terhadap meningkatnya krisis keuangan AS dan teriakan untuk pengawasan pemerintah terhadap praktik akuntansi dan audit. Konsorsium sektor swasta independen ini lebih sering disebut sebagai Komisi Treadway karena dipimpin oleh James C. Treadway, Jr., wakil presiden eksekutif dan penasihat umum di Paine Webber Incorporated dan mantan komisioner Komisi Sekuritas dan Bursa AS. Dalam laporan awal tahun 1987, kelompok tersebut merekomendasikan agar organisasi yang mensponsori komisi bekerja sama untuk mengembangkan pedoman komprehensif untuk pengendalian internal. Oleh karena itu, COSO dibentuk oleh lima asosiasi profesional utama di Amerika Serikat:

  • American Institute of Certified Public Accountants (AICPA)
  • American Accounting Association (AAA)
  • Financial Executives Institute (FEI)
  • Institute of Internal Auditors (IIA)
  • Institute of Management Accountants (IMA)

 

  • Definisi COSO Pengendalian Internal

Pengendalian internal adalah suatu proses, dipengaruhi oleh dewan direksi, manajemen, dan personel entitas lain, yang dirancang untuk memberikan jaminan yang wajar terkait pencapaian tujuan dalam kategori berikut:

  • Efektivitas dan efisiensi operasi
  • Keandalan pelaporan keuangan
  • Kepatuhan dengan hukum dan peraturan yang berlaku

 

  • Konsep Kunci Pengendalian Internal

Berikut ini adalah konsep kunci dari pengendalian internal menurut COSO:

  • Kontrol internal adalah suatu proses. Ini adalah sarana untuk mencapai tujuan, bukan tujuan itu sendiri.
  • Kontrol internal dipengaruhi oleh orang. Ini bukan hanya panduan dan bentuk kebijakan, tetapi orang-orang di setiap tingkat organisasi.
  • Kontrol internal dapat diharapkan hanya memberikan jaminan yang wajar, bukan jaminan mutlak, kepada manajemen dan dewan entitas.
  • Kontrol internal diarahkan untuk pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi tumpang tindih.

 

 

  • Internal Control – Integrated Framework

Publikasi Internal Control – Integrated Framework memperkenalkan apa yang sekarang menjadi grafik terkenal: kubus COSO (Gambar 5-1).

Sebagaimana dijelaskan oleh COSO, pengendalian internal terdiri dari lima komponen yang saling terkait:

  • Lingkungan kontrol
  • Tugas beresiko
  • Aktivitas kontrol
  • Informasi dan Komunikasi
  • Pemantauan

 

 

 

Gambar 5-1 Kubus COSO

 

  • Definisi COSO Manajemen Risiko Perusahaan

Manajemen risiko perusahaan adalah suatu proses, dipengaruhi oleh dewan direksi entitas, manajemen, dan personel lainnya, diterapkan dalam pengaturan strategi dan di seluruh perusahaan dan dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam nafsu risiko, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.

Definisi ini mencerminkan konsep dasar tertentu. Manajemen risiko perusahaan

  • Suatu proses, yang sedang berlangsung dan mengalir melalui suatu entitas;
  • Terpengaruh oleh orang di setiap tingkat organisasi;
  • Diterapkan dalam pengaturan strategi;
  • Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk mengambil pandangan portofolio tingkat entitas risiko;
  • Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi, akan mempengaruhi entitas dan mengelola risiko dalam nafsu risiko;
  • Mampu memberikan jaminan yang wajar kepada manajemen dan dewan direksi entitas;
  • Diarahkan ke arah pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi tumpang tindih.

 

  • Enterprise Risk Management – Konsep Kerangka Kerja Terpadu

Dalam publikasi Enterprise Risk Management – Integrated Framework, kubus COSO asli diperluas, seperti yang diilustrasikan pada Gambar 5-2.

Kerangka kerja manajemen risiko perusahaan ini diarahkan untuk mencapai tujuan entitas, yang ditetapkan dalam empat kategori:

  • Tujuan tingkat tinggi Strategis, selaras dengan dan mendukung misinya
  • Operasi Penggunaan sumber daya yang efektif dan efisien
  • Pelaporan Keandalan pelaporan
  • Kepatuhan Kepatuhan dengan hukum dan peraturan yang berlaku

 

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan suatu perusahaan dan terintegrasi dengan proses manajemen.

  • Lingkungan internal
  • Pengaturan tujuan
  • Identifikasi acara
  • Tugas beresiko
  • Respons risiko
  • Aktivitas kontrol
  • Informasi dan Komunikasi
  • Pemantauan

 

Gambar 5-2 Kubus COSO yang diperluas

  • COBIT

COBIT, Tujuan Kontrol untuk Informasi dan Teknologi Terkait, pertama kali diterbitkan pada bulan April 1996. Ini adalah kerangka kerja yang diakui secara internasional untuk tata kelola dan kontrol TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.

COBIT dikembangkan oleh IT Governance Institute (ITGI) menggunakan panel ahli di seluruh dunia dari industri, akademisi, pemerintah, dan keamanan dan kontrol profesi TI. Penelitian mendalam dilakukan di berbagai sumber global untuk mengumpulkan ide-ide terbaik dari semua standar teknis dan profesional yang baik.

  • Konsep COBIT

COBIT membagi tujuan kontrol utamanya menjadi empat domain: merencanakan dan mengatur, memperoleh dan menerapkan, memberikan dan mendukung, dan memantau dan mengevaluasi. Masing-masing domain menunjukkan aktivitas kontrol TI kunci yang terkait dengan area tersebut.

 

Kerangka kerja ini menyoroti tujuh kualitas informasi:

  • Efektivitas
  • Efisiensi
  • Kerahasiaan
  • Integritas
  • Ketersediaan
  • Kepatuhan
  • Keandalan

 

  • Fitur COBIT

Berikut ini adalah beberapa fitur tambahan yang disediakan COBIT:

  • COBIT mewakili standar praktik yang berlaku umum dan dapat diterima secara internasional untuk kontrol TI.
  • COBIT tidak bergantung pada platform teknis.
  • COBIT adalah manajemen dan proses bisnis yang berorientasi pada pemilik.
  • COBIT telah menjadi standar de facto internasional untuk tata kelola TI.

 

 

  • ITIL

IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen infrastruktur TI dan penyampaian layanan. ITIL adalah merek dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan mengembangkan kerangka praktik terbaik ITIL.

  • Konsep ITIL

ITIL menyediakan serangkaian referensi praktis dan standar khusus untuk manajemen infrastruktur dan layanan yang dapat disesuaikan secara virtual untuk organisasi mana pun. Fungsi-fungsi dukungan layanan mengatasi masalah-masalah seperti manajemen masalah, manajemen insiden, meja layanan, manajemen perubahan, manajemen rilis, dan manajemen konfigurasi. Fungsi-fungsi pengiriman layanan membahas manajemen kapasitas, manajemen ketersediaan, manajemen keuangan, manajemen kontinuitas, dan tingkat layanan.

  • ISO 27001

Sejak didirikan pada tahun 1947, Organisasi Internasional untuk Standardisasi (ISO) telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan kontrol kualitas, di samping sejumlah standar lain untuk berbagai fungsi bisnis dan pemerintahan.

  • Konsep ISO 27001

Juga disebut sebagai Kode Praktik untuk Manajemen Keamanan Informasi, ISO 27001: 2005 alamat 11 bidang utama dalam disiplin keamanan informasi. Standar menguraikan 133 kontrol keamanan dalam 11 bidang berikut:

  • Kebijakan keamanan
  • Organisasi keamanan informasi
  • Manajemen aset
  • Keamanan sumber daya manusia
  • Keamanan fisik dan lingkungan
  • Komunikasi dan manajemen operasi
  • Kontrol akses
  • Akuisisi sistem informasi, pengembangan, dan pemeliharaan
  • Manajemen insiden keamanan informasi
  • Manajemen kontinuitas bisnis
  • Kepatuhan

 

  • Metodologi Penilaian NSA INFOSEC

Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Rating INFOSEC (IATRP) pada awal tahun 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih digunakan secara luas dan sekarang dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang memberikan pelatihan NSA IAM dan IEM untuk NSA.

  • Konsep Metodologi Penilaian NSA INFOSEC

The NSA IAM adalah metodologi penilaian keamanan informasi yang kegiatan penilaian baseline. Ini memecah informasi keamanan penilaian menjadi tiga fase: pra-penilaian, kegiatan di tempat, dan pasca-penilaian. Masing-masing fase ini berisi kegiatan wajib untuk memastikan konsistensi penilaian keamanan informasi. Penting untuk dicatat, bagaimanapun, bahwa penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara, dan observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA merilis Metodologi Evaluasi INFOSEC untuk kegiatan pengujian awal.

  • Kerangka dan Gaya Standar

Persyaratan dan praktik bisnis bervariasi secara signifikan di seluruh dunia, seperti halnya kepentingan politik dari banyak organisasi yang menciptakan standar. Tidak mungkin satu set kerangka kerja dan standar akan muncul dalam waktu dekat untuk memenuhi kebutuhan semua orang. Kerumitan memetakan ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar (ISO, industri khusus, vendor, dan sebagainya) menciptakan peluang dan ceruk pasar. Vendor teknologi berhak mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk mengatasi kontrol tertentu dari berbagai peraturan dan standar.

 

6.        Manajemen Risiko

 

  • Manfaat Manajemen Risiko

Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika manajemen memiliki pandangan yang mewakili eksposur TI organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi area dengan risiko tertinggi daripada menghabiskan sumber daya yang langka di daerah-daerah yang memberikan sedikit atau tanpa pengembalian investasi (ROI). Hasil bersihnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.

  • Analisis Risiko Kuantitatif vs Kualitatif

Risiko dapat dianalisis dalam dua cara: kuantitatif dan kualitatif. Seperti yang lainnya, masing-masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif lebih obyektif dan mengekspresikan risiko dalam hal keuangan yang dapat lebih mudah dibenarkan oleh pembuat keputusan, juga lebih memakan waktu. Pendekatan kualitatif lebih cocok untuk menyajikan pandangan risiko bertingkat, tetapi bisa lebih subjektif dan karena itu sulit dibuktikan. Organisasi dengan program manajemen risiko yang lebih sukses cenderung lebih mengandalkan analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan teknik analisis risiko kuantitatif untuk membenarkan pengeluaran mitigasi risiko.

  • Analisis Risiko Kuantitatif

Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik, atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama. Risiko dapat ditentukan dengan perhitungan berikut:

Risiko = nilai aset × ancaman × kerentanan

  1. Aktiva

Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau disengaja. Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya garis bawah kompromi. Misalnya, pelanggaran informasi pribadi mungkin tidak menyebabkan kehilangan uang pada pandangan pertama, tetapi jika itu benar-benar disadari, itu kemungkinan akan menghasilkan tindakan hukum, merusak reputasi perusahaan, dan penalti peraturan. Konsekuensi ini berpotensi akan menyebabkan kerugian finansial yang signifikan. Dalam hal ini, bagian nilai aset dari persamaan akan mewakili informasi pribadi. Nilai yang dihitung dari informasi pribadi akan mencakup perkiraan biaya dolar kumulatif dari tindakan hukum, kerusakan reputasi, dan denda peraturan.

  1. Ancaman

Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan. Sebagai contoh, jika kami memperkirakan bahwa kebakaran akan menyebabkan hilangnya 70 persen dari nilai aset jika itu terjadi, faktor pemaparan adalah 70 persen, atau 0,7. Tingkat kejadian tahunan, di sisi lain, mewakili kemungkinan bahwa ancaman yang diberikan akan direalisasikan dalam satu tahun dalam hal tidak adanya kontrol sepenuhnya. Misalnya, jika kami memperkirakan bahwa kebakaran akan terjadi setiap 3 tahun, tingkat kejadian tahunan akan menjadi 33 persen, atau 0,33. Ancaman, oleh karena itu, dapat dihitung sebagai persentase dengan mengalikan faktor eksposur dengan tingkat kejadian tahunan. Mengingat contoh sebelumnya, ancaman kebakaran akan menghasilkan nilai 23,1 persen, atau 0,231.

  1. Kerentanan

Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektivitas kontrol dengan 1 atau 100 persen. Sebagai contoh, kita dapat menentukan bahwa kontrol spionase industri kami adalah 70 persen efektif, jadi 100 persen – 70 persen = 30 persen (CD). Kerentanan ini akan direpresentasikan sebagai 30 persen, atau 0,3.

  • Analisis Risiko Kualitatif

Berbeda dengan pendekatan kuantitatif untuk analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risiko.

  • Siklus Hidup Manajemen Risiko TI

Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan dengan benar, mengambil karakteristik siklus hidup (Gambar 6-1). Ini dapat dibagi menjadi beberapa tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen risiko residual. Fase spesifiknya adalah sebagai berikut:

 

 

 

 

  • Tahap 1 Identifikasi aset informasi.
  • Tahap 2 Hitung dan kualifikasi ancaman.
  • Tahap 3 Menilai kerentanan.
  • Tahap 4 Mengurangi kesenjangan kontrol.
  • Tahap 5 Mengelola risiko residual.

 

 

 

Gambar 6-1 Siklus Hidup Manajemen Risiko

  1. Tahap 1: Identifikasi Aset Informasi

Fase pertama dalam siklus hidup manajemen risiko adalah mengidentifikasi aset informasi organisasi. Agar berhasil, Anda harus menyelesaikan beberapa tugas:

  • Tentukan nilai-nilai kekritisan informasi.
  • Identifikasi fungsi bisnis.
  • Memetakan proses informasi.
  • Identifikasi aset informasi.
  • Menetapkan nilai kekritisan ke aset informasi.

 

  1. Tahap 2: Hitung dan Kualifikasi Ancaman

Ancaman informasi berdampak pada organisasi melalui loyalitas merek yang berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena mereka tidak diidentifikasi dengan benar. Misalnya, katakanlah bahwa organisasi kami diserang oleh cacing berbahaya yang menyebabkan hilangnya sementara kapasitas pemrosesan dan beberapa ratus jam waktu pemulihan. Biaya dapat dihitung dengan menghitung jam yang diperlukan untuk pemulihan dan memperkirakan kerugian yang terkait dengan penundaan pemrosesan. Namun, pertimbangan lain harus dipertimbangkan juga: Apakah reputasi perusahaan telah terpengaruh secara negatif karena tidak dapat melayani pelanggan? Apakah ada penjualan yang hilang? Apakah beberapa karyawan tidak dapat bekerja? Apa eksposur hukum organisasi karena pelanggaran keamanan? Seperti yang Anda lihat, mengidentifikasi semua area dalam organisasi yang mungkin terpengaruh membutuhkan pemikiran yang cukup. Oleh karena itu, kami akan membantu memecah proses menganalisis ancaman ini.

  • Fase siklus hidup manajemen risiko ini memerlukan langkah-langkah berikut:
  • Menilai ancaman bisnis.
  • Mengidentifikasi ancaman teknis, fisik, dan administratif.
  • Hitung dampak ancaman dan probabilitas.
  • Mengevaluasi aliran proses untuk kelemahan.
  • Identifikasi ancaman komponen proses.

 

  1. Tahap 3: Menilai kerentanan

Kami sekarang telah mengidentifikasi aset informasi kami dan ancaman terhadap setiap aset. Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, faktor persekutuan adalah aset informasi, karena setiap ancaman terkait dengan aset informasi. Ketika menilai kerentanan, di sisi lain, penyebut umum adalah proses informasi. Kami akan mengidentifikasi kerentanan komponen proses terlebih dahulu dan kemudian menggabungkannya untuk menentukan kerentanan proses kami. Kerentanan proses kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis.

Alih-alih bekerja dari atas ke bawah (dari fungsi bisnis ke komponen proses), kita akan bekerja dari bawah ke atas dalam menilai kerentanan. Kami akan menggunakan langkah-langkah berikut dalam menganalisis kerentanan:

  • Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
  • Tentukan kesenjangan kontrol komponen proses.
  • Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
  • Mengkategorikan kesenjangan kontrol berdasarkan tingkat keparahan.
  • Menetapkan peringkat risiko.

 

  1. Tahap 4: Mengurangi kesenjangan kontrol

Pada titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah. Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar kami akan melihat laba tertinggi atas investasi kami. Intinya, kita dapat mengurangi lebih banyak risiko dengan lebih sedikit uang. Kami akan menggunakan langkah-langkah berikut dalam remediasi kesenjangan kontrol:

  • Pilih kontrol.
  • Implementasikan kontrol.
  • Validasi kontrol baru.
  • Hitung ulang peringkat risiko.

 

  1. Tahap 5: Mengelola Risiko Residual

Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Akibatnya, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk merespons ancaman yang muncul. Fase ini terdiri dari dua langkah:

  • Buat garis dasar risiko
  • Menilai kembali risiko

 

Ringkasan Rumus

Tabel 2 Manajemen Risiko

Penggunaan Deskripsi Formula
Definisi risiko Digunakan untuk mewakili risiko Risiko = nilai aset × ancaman × kerentanan
Perhitungan ancaman Representasi numerik dari ancaman Ancaman = faktor pemaparan (FP) × tingkat kejadian tahunan (TKT)
Perhitungan Kerentanan Mengukur defisiensi kontrol Kontrol kekurangan (KK) = 1 – efektivitas kontrol
Perhitungan risiko Digunakan untuk mengukur risiko Risiko = nilai aset × FP × TKT × KK

 

Referensi :

IT Auditing : Using Controls to Protect Information Assets, Chris Davis, Mike Sciller, Mc GrowHill, 2011.

Iklan

Manajemen risiko

 

Manajemen risiko adalah suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk: Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan pemberdayaan/pengelolaan sumberdaya. Strategi yang dapat diambil antara lain adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen risiko tradisional terfokus pada risiko-risiko yang timbul oleh penyebab fisik atau legal (seperti bencana alam atau kebakaran, kematian, serta tuntutan hukum. Manajemen risiko keuangan, di sisi lain, terfokus pada risiko yang dapat dikelola dengan menggunakan instrumen-instrumen keuangan.

Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang berbeda-beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima oleh masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang disebabkan oleh lingkunganteknologimanusiaorganisasi dan politik. Di sisi lain pelaksanaan manajemen risiko melibatkan segala cara yang tersedia bagi manusia, khususnya, bagi entitas manajemen risiko (manusia, staff, dan organisasi).

Dalam perkembangannya Risiko-risiko yang dibahas dalam manajemen risiko dapat diklasifikasi menjadi

Hal ini menimbulkan ide untuk menerapkan pelaksanaan Manajemen Risiko Terintegrasi Korporasi (Enterprise Risk Management).

Manajemen Risiko dimulai dari proses identifikasi risiko, penilaian risiko, mitigasi,monitoring dan evaluasi.

Sejarah

Rekaman tertua terkait pengelolaan risiko dapat ditemukan pada Piagam Hammurabi (codex Hammurabi), yang dibuat pada tahun 2100 sebelum masehi.[1] Piagam tersebut mencantumkan peraturan dimana pemilik kapal dapat meminjam uang untuk membeli kargo; namun bila dalam perjalanan kapalnya tenggelam atau hilang, ia tidak perlu mengembalikan uang pinjaman tersebut. Masa ini disebut sebagai zaman pertama manajemen risiko, di mana perusahaan hanya melihat risiko non-entrepreneurial (seperti misalnya keamanan).

Tahun 1970-an dan 1980-an disebut sebagai zaman kedua manajemen risiko di mana perusahaan-perusahaan asuransi mulai berusaha mendorong pengusaha untuk benar-benar menjaga barang yang diasuransikan.[1] Pada masa ini juga lahir konsep jaminan mutu (quality assurance) yang menjamin setiap produk memenuhi spesifikasi standarnya. Konsep ini dipopulerkan oleh British Standards Institution yang meluncurkan standar kualitas BS 5750 pada tahun 1979.

Pada tahun 1993, James Lam diangkat menjadi Chief Risk Office, yang merupakan jabatan CRO pertama di dunia.[1]

Zaman ketiga manajemen risiko dimulai tahun 1995 dengan diterbitkannya AS/NZS 4360:1995 oleh Standards Australia of the World’s Risk management Standard.[1]

Kategori risiko

Risiko dapat dikategorikan ke dalam dua bentuk :

  1. risiko spekulatif, dan
  2. risiko murni.

Risiko spekulatif

Risiko spekulatif adalah suatu keadaan yang dihadapi perusahaan yang dapat memberikan keuntungan dan juga dapat memberikan kerugian.

Risiko spekulatif kadang-kadang dikenal pula dengan istilah risiko bisnis(business risk). Seseorang yang menginvestasikan dananya disuatu tempat menghadapi dua kemungkinan. Kemungkinan pertama investasinya menguntungkan atau malah investasinya merugikan. Risiko yang dihadapi seperti ini adalah risiko spekulatif. Risiko spekulatif adalah suatu keadaan yang dihadapi yang dapat memberikan keuntungan dan juga dapat menimbulkan kerugian.

Risiko murni

Risiko murni (pure risk) adalah sesuatu yang hanya dapat berakibat merugikan atau tidak terjadi apa-apa dan tidak mungkin menguntungkan. Salah satu contoh adalah kebakaran, apabila perusahaan menderita kebakaran,maka perusahaan tersebut akan menderita kerugian. kemungkinan yang lain adalah tidak terjadi kebakaran. Dengan demikian, kebakaran hanya menimbulkan kerugian, bukan menimbulkan keuntungan, kecuali ada kesengajaan untuk membakar dengan maksud-maksud tertentu. Risiko murni adalah sesuatu yang hanya dapat berakibat merugikan atau tidak terjadi apa-apa dan tidak mungkin menguntungkan. Salah satu cara menghindarkan risiko murni adalah dengan asuransi. Dengan demikian besarnya kerugian dapat diminimalkan. itu sebabnya risiko murni kadang dikenal dengan istilah risiko yang dapat diasuransikan ( insurable risk ).

Perbedaan utama antara risiko spekulatif dengan risiko murni adalah kemungkinan untung ada atau tidak, untuk risiko spekulatif masih terdapat kemungkinan untung sedangkan untuk risiko murni tidak dapat kemungkinan untung.

 

Sumber:https://id.wikipedia.org/wiki/Manajemen_risiko

neural network,jaringan,saraf

Abstrak

Neural Network merupakan kategori ilmu Soft Computing. Neural Network sebenarnya mengadopsi dari kemampuan otak manusia yang mampu memberikan stimulasi/rangsangan, melakukan proses, dan memberikan output. Output diperoleh dari variasi stimulasi dan proses yang terjadi di dalam otak manusia. Kemampuan manusia dalam memproses informasi merupakan hasil kompleksitas proses di dalam otak. Misalnya, yang terjadi pada anak-anak, mereka mampu belajar untuk melakukan pengenalan meskipun mereka tidak mengetahui algoritma apa yang digunakan. Kekuatan komputasi yang luar biasa dari otak manusia ini merupakan sebuah keunggulan di dalam kajian ilmu pengetahuan.

Kata kunci : neural network, jaringan, saraf

Pendahuluan

Artificial neural network (ANN) adalah peranti lunak dan keras yang berusaha menyamai pola pemrosesan dari otak manusia, ANN juga disebut simulated neural network (SNN), atau umumnya hanya disebut neural network (NN)), adalah jaringan dari sekelompok unit pemroses kecil yang dimodelkan berdasarkan jaringan saraf manusia. ANN merupakan sistem adaptif yang dapat mengubah strukturnya untuk memecahkan masalah berdasarkan informasi eksternal maupun internal yang mengalir melalui jaringan tersebut. Oleh karena sifatnya yang adaptif, ANN juga sering disebut dengan jaringan adaptif.

Tinjauan Pustaka

Bahasa Inggrisartificial neural network (ANN), atau juga disebut simulated neural network (SNN), atau umumnya hanya disebut neural network (NN)), adalah jaringan dari sekelompok unit pemroses kecil yang dimodelkan berdasarkan sistem saraf manusia.


Prosedur

Metode yang digunakan dalam pembahasan ini adalah metode dekstriptif yang bertujuan membuat dekskriptif secara sistematis, faktual dan akurat mengenai fakta. Pembahasan ini juga menggunakan metode studi pustaka dimana digunakan untuk mencari dari berbagai sumber.

Pembahasan

Perkembangan ilmu Neural Network sudah ada sejak tahun 1943 ketika Warren McCulloch dan Walter Pitts memperkenalkan perhitungan model neural network yang pertama kalinya. Mereka melakukan kombinasi beberapa processing unit sederhana bersama-sama yang mampu memberikan peningkatan secara keseluruhan pada kekuatan komputasi. Penelitian terakhir diantaranya adalah mesin Boltzmann, jaringan Hopfield, model pembelajaran kompetitif, multilayer network,  dan teori model resonansi adaptif.

Untuk saat ini, Neural Network sudah dapat diterapkan pada beberapa task, diantaranya classification, recognition, approximation, prediction, clusterization, memory simulation dan banyak task-task berbeda yang lainnya, dimana jumlahnya semakin bertambah seiring berjalannya waktu.

Konsep Neural Network

  1. Proses Kerja Jaringan Syaraf Pada Otak Manusia

Ide dasar Neural Network dimulai dari otak manusia, dimana otak memuat  sekitar 1011 neuron. Neuron ini berfungsi memproses setiap informasi yang masuk. Satu neuron memiliki 1 akson, dan minimal 1 dendrit. Setiap sel syaraf terhubung dengan syaraf lain, jumlahnya mencapai sekitar 104 sinapsis. Masing-masing sel itu saling berinteraksi satu sama lain yang menghasilkan kemampuan tertentu pada kerja otak manusia.

Gambar 2.3 Struktur Neuron pada otak manusia

Dari gambar di atas, bisa dilihat ada beberapa bagian dari otak manusia, yaitu:

  1. Dendrit (Dendrites) berfungsi untuk mengirimkan impuls yang diterima ke badan sel syaraf.
  2. Akson (Axon) berfungsi untuk mengirimkan impuls dari badan sel ke jaringan lain
  3. Sinapsis berfungsi sebagai unit fungsional di antara dua sel syaraf.

Proses yang terjadi pada otak manusia adalah:

Sebuah neuron menerima impuls dari neuron lain melalui dendrit dan mengirimkan sinyal yang dihasilkan oleh badan sel melalui akson. Akson dari sel syaraf ini bercabang-cabang dan berhubungan dengan dendrit dari sel syaraf lain dengan cara mengirimkan impuls melalui sinapsis. Sinapsis adalah unit fungsional antara 2 buah sel syaraf, misal A dan B, dimana yang satu adalah serabut akson dari neuron A dan satunya lagi adalah dendrit dari neuron B. Kekuatan sinapsis bisa menurun/meningkat tergantung seberapa besar tingkat propagasi (penyiaran) sinyal yang diterimanya. Impuls-impuls sinyal (informasi) akan diterima oleh neuron lain jika memenuhi batasan tertentu, yang sering disebut dengan nilai ambang (threshold).

  1. Struktur Neural Network

Dari struktur neuron pada otak manusia, dan proses kerja yang dijelaskan di atas, maka konsep dasar pembangunan neural network buatan (Artificial Neural Network) terbentuk. Ide mendasar dari Artificial Neural Network (ANN) adalah mengadopsi mekanisme berpikir sebuah sistem atau aplikasi yang menyerupai otak manusia, baik untuk pemrosesan berbagai sinyal elemen yang diterima, toleransi terhadap kesalahan/error, dan juga parallel processing.

Gambar 2.4 Struktur ANN

Karakteristik dari ANN dilihat dari pola hubungan antar neuron, metode penentuan bobot dari tiap koneksi, dan fungsi aktivasinya. Gambar di atas menjelaskan struktur ANN secara mendasar, yang dalam kenyataannya tidak hanya sederhana seperti itu.

  1. Input, berfungsi seperti dendrite
  2. Output, berfungsi seperti akson
  3. Fungsi aktivasi, berfungsi seperti sinapsis

Neural network dibangun dari banyak node/unit yang dihubungkan oleh link secara langsung. Link dari unit yang satu ke unit yang lainnya digunakan untuk melakukan propagasi aktivasi dari unit pertama ke unit selanjutnya. Setiap link memiliki bobot numerik. Bobot ini menentukan kekuatan serta penanda dari sebuah konektivitas.

Proses pada ANN dimulai dari input yang diterima oleh neuron beserta dengan nilai bobot dari tiap-tiap input yang ada. Setelah masuk ke dalam neuron, nilai input yang ada akan dijumlahkan oleh suatu fungsi perambatan (summing function), yang bisa dilihat seperti pada di gambar dengan lambang sigma (∑). Hasil penjumlahan akan diproses oleh fungsi aktivasi setiap neuron, disini akan dibandingkan hasil penjumlahan dengan threshold (nilai ambang) tertentu. Jika nilai melebihi threshold, maka aktivasi neuron akan dibatalkan, sebaliknya, jika masih dibawah nilai threshold, neuron akan diaktifkan. Setelah aktif, neuron akan mengirimkan nilai output melalui bobot-bobot outputnya ke semua neuron yang berhubungan dengannya. Proses ini akan terus berulang pada input-input selanjutnya.

ANN terdiri dari banyak neuron di dalamnya. Neuron-neuron ini akan dikelompokkan ke dalam beberapa layer. Neuron yang terdapat pada tiap layer dihubungkan dengan neuron pada layer lainnya. Hal ini tentunya tidak berlaku pada layer input dan output, tapi hanya layer yang berada di antaranya. Informasi yang diterima di layer input dilanjutkan ke layer-layer dalam ANN secara satu persatu hingga mencapai layer terakhir/layer output. Layer yang terletak di antara input dan output disebut sebagai hidden layer. Namun, tidak semua ANN memiliki hidden layer, ada juga yang hanya terdapat layer input dan output saja.

 

Peran Neural Network Dalam Aspek Kehidupan

Neural Network pada umumnya digunakan untuk tugas atau pekerjaan yang kurang praktis jika dikerjakan secara manual. Kegunaan Dalam Kehidupan Nyata :

  • Perkiraan Fungsi, atau Analisis Regresi, termasuk prediksi time series dan modeling.
  • Klasifikasi, termasuk   pengenalan   pola   dan   pengenalan   urutan,   serta   pengambil keputusan dalam pengurutan.
  • Pengolahan data, termasuk penyaringan, pengelompokan, dan kompresi.

Bidang-bidang penelitian yang memanfaatkan jaringan saraf tiruan diantaranya.

  • Aeorospace

Autopilot pesawat terbang, simulasi jalur penerbangan, system kendali pesawat, perbaikan autopilot dan simulasi komponen pesawat.

  • Otomotif

Sistem kendali otomatis mobil.

  • Keuangan dan Perbankan

Pendeteksian uang palsu, evaluator aplikasi kredit, pengidentifikasian pola-pola data pasar saham.

  • Pertahanan (Militer)

Pengendali senjata, pendeteksi bom, penelusuran target, pembedaan objek, pengendali sensor, sonar, radar, dan pengolahan sinyal citra yang meliputi kompresi data, ektrasksi bagian istimewa dan penghilangan derau, pengenalan sinyal atau citra.

  • Elektronik

Pembuatan perangkat keras yang bias mengimplementasikan jaringan saraf tiruan secara efisien (pendesainan VLSI), machine vision, pengontrol gerakan dan penglihatan robot, sintesis suara.

  • Broadcast

Pencarian klip berita melalui pengenalan wajah.

 

Fungsi dari Neural Network diantaranya adalah:

  1. Pengklasifikasian pola
  2. Memetakan pola yang didapat dari input ke dalam pola baru pada output
  3. Penyimpan pola yang akan dipanggil kembali
  4. Memetakan pola-pola yang sejenis
  5. Pengoptimasi permasalahan
  6. Prediksi

 

Kelebihan

  • Mampu mengakuisisi pengetahuan walau tidak ada kepastian
  • Mampu melakukan generalisasi dan ekstraksi dari suatu pola data tertentu ANN dapat menciptakan suatu pola pengetahuan melalui pengaturan diri atau kemampuan belajar (self organizing)
  • Memiliki fault tolerance, gangguan dapat dianggap sebagai noise saja
  • Kemampuan perhitungan secara paralel sehingga proses lebih singkat

Kekurangan

  • Kurang mampu untuk melakukan operasi operasi numerik dengan presisi tinggi
  • Kurang mampu melakukan operasi algoritma aritmatik, operasi logika dan simbolis
  • Lamanya proses training yang mungkin terjadi dalam waktu yang sangat lama untuk jumlah data yang besar

 

http://sciffleaf.blogspot.co.id/2016/10/artificial-neural-network-dan-contoh.html

https://socs.binus.ac.id/2012/07/26/konsep-neural-network/

pengertian cerdas yang berhubungan dengan sistem informasi

Apa itu cerdas?

 

Cerdas adalah cerdas merupakan kemampuan untuk belajar memahami, memutuskan dan beropini berdasarkan alasan tertentu.

Sedangkan menurut sistem infroamsi cerdas itu adalah adalah kemampuan mesin atau sistem untuk beradaptasi dalam mencapai tujuan pada lingkungan yang dapat mempengaruhi perilaku sistem.sistem juga memiliki sifat yang sama seperti layaknya manusia normal:

  1. Menyimpan informasi
  2. Menggunakan informasi yang dimiliki untuk melakukan suatu pekerjaan dan menarik kesimpulan.
  3. Beradaptasi dengan keadaan baru.
  4. Berkomunikasi dengan penggunanya.

 

 

Sistem informasi cerdas juga dibagi dengan 3 jenis yaitu

  1. Kecerdesan buatan
  2. Sistem cerdas
  3. Sistem informasi

 

 

Kecerdasan buatan

Artificial Intelligence atau Kecerdasan Buatan adalah suatu sistem informasi yang berhubungan dengan penangkapan, pemodelan dan penyimpanan kecerdasan manusia dalam sebuah sistem teknologi informasi sehingga sistem tersebut memiliki kecerdasan seperti yang dimiliki manusia. Sistem ini dikembangkan untuk mengembangkan metode dan sistem untuk menyelesaikan masalah, biasanya diselesaikan melalui aktifivitas intelektual manusia, misal pengolahan citra, perencanaan, peramalan dan lain-lain, meningkatkan kinerja sistem informasi yang berbasis komputer.
Salah satu cabang Ilmu pengetahuan berhubungan dengan pemanfaatan mesin untuk memecahkan persoalan yang rumit dengan cara yang lebih manusiawi.
Sistem Cerdas adalah serangkaian system yang di bangun manusia untuk memudahkan pekerjaan manusia dengan mengandalkan mesin atau sebuah program yang terkomputerisasi.

 

Sistem cerdas

Pengertian sistem cerdas. Kecerdasan buatan (Artificial Intelligent, AI) telah menjadi wacana umum yang sangat penting dan banyak dijumpai. Kecerdasan Buatan atauSistem cerdas atau Intelegensi Buatan atau Artificial Inteligence merupakan cabang terpenting dalam dunia komputer.

Sistem informasi

Sistem Informasi (SI) adalah kombinasi dari teknologiinformasi dan aktivitas orang yang menggunakan teknologi itu untuk mendukung operasi dan manajemen. Dalam arti yang sangat luas, istilah sistem informasi yang sering digunakan merujuk kepada interaksi antara orang, proses algoritmik, data, dan teknologi.

 

TUJUAN

Intelligent Systems merupakan wilayah dari bidang ilmu komputer dan rekayasa berurusan dengan cerdas adaptasi perilaku, dan pembelajaran di mesin dan robot. sistem Intelligent prihatin dengan desain sistem komputasi yang berfungsi dalam lingkungan yang berubah, tak terduga dan biasanya tidak lengkap yang dikenal dengan menunjukkan kemampuan tingkat tinggi. Tujuannya adalah untuk mengambil inspirasi dari alam, kinerja manusia dan alat-alat pemecahan masalah matematis dalam rangka membangun sistem yang kuat dapat mencapai tujuan yang kompleks dalam lingkungan yang kompleks menggunakan sumber daya komputasi yang terbatas. sistem Intelligent menggunakan konsep-konsep yang berasal dari konsep pusat.
Tujuan utama dari ketiga aspek penting dalam Information Intelligent System, yaitu: mengetahui dan memodelkan proses-proses berfikir manusia dan mendesain mesin agar dapat menirukan kelakuan manusia tersebut. Namun, seiring dengan perkembangan teknologi, muncul beberapa teknologi yang juga bertujuan untuk membuat agar komputer menjadi cerdas sehingga dapat menirukan kerja manusia sehari-hari.
Teknologi ini juga mampu mengakomodasi adanya ketidakpastian dan ketidaktepatan data input.

APLIKASI TERKAIT PENERAPAN KECERDASAN BUATAN, SISTEM CERDAS, DAN SISTEM INFORMASI

Makin pesatnya perkembangan teknologi menyebabkan adanya perkembangan dan perluasan lingkup yang membutuhkan kehadiran kecerdasan buatan. Karakteristik “cerdas” sudah mulai dibutuhkan diberbagai disiplin ilmu dan teknologi. Kecerdasan buatan tidak hanya dominant di bidang ilmu computer dan informatika saja tapi bias membuat irisan dengan ilmu lain. Misal irisan Kecerdasan Buatan dengan teknik elektro melahirkan berbagai ilmu seperti: pengolahan citra, teori kendali, pengenalan pola dan robotika. Kecerdasan Buatan juga bias berkolaborasi dengan bidang manajemen sehingga melahirkan sistem pendukung keputusan (Decision Support Syatem ). Irisan Kecerdasan Buatan dengan psikologi melahirkan cognition dan psycolinguistics. Lingkup utam aplikasi Kecerdasan Buatan adalah antara lain:

Sistem Pakar (Expert system )
Pada Expert System terdiri banyak pengetahuan (knowledge) dari seorang pakar bidang tertentu dan seperangkat aturan (rule) yang akan mencari dan mencocokkan knowledge sampai ketemu solusi suatu masalah. Pengetahuan tersebut meliputi fakta-fakta, dalil-dalil yang dibutuhkan untuk memecahkan masalah tersebut. Misalnya program Prospector yang dibuat tahun 1978 untuk pemakaian di bidang geologi, basis pengetahuannya (knowledge base) dibuat berdasarkan ilmu para pakar di bidang geologi. Program MYCIN untuk membantu dibidang kedokteran khususnya untuk mendiagnosisi penyakit.


Bidang Komputer dan Sains
Para Peneliti kecerdasan buatan telah membuat banyak alat untuk memecahkan beberapa masalah yang dapat dikategorikan paling rumit pada bidang komputer dan sains. Kebanyakan dari penemuan mereka telah diambil alih oleh cabang ilmu komputer dan sains dan tidak lagi menjadi bagian dari bidang ilmu kecerdasan buatan. Namun, bidang ilmu kecerdasan buatan tetap saja sulit untuk dilepaskan dari bidang ilmu ini, dikarenakan banyak bagian dari kecerdasan buatan yang digunakan dalam bidang komputer dan sains ini. Salah satu contohnya adalah konsep jaringan syaraf tiruan yang digunakan untuk mengkalkulasi probabilitas kondisi-kondisi yang akan terjadi pada masa yang akan datang. Beberapa daftar aplikasi yang sebelumnya dikembangkan oleh para peneliti kecerdasan buatan adalah GUI (Graphical User Interface), Kalkulasi koordinat mouse pada layar monitor, manajemen penyimpanan otomatis, pemrograman dinamis serta pemrograman orientasi objek.


Bidang Kesehatan
Pada bidang kesehatan, sistem kecerdasan buatan telah digunakan, slah satunya adalah algoritma genetika yang memungkinkan simulasi proses evolusi dan rekayasa genetika diuji coba tanpa memerlukan “korban” makhluk hidup. Algoritma ini juga dapat digunakan untuk pencocokan DNA yang sering digunakan dan saat ini mungkin populer untuk mengidentifikasi identitas seseorang. Konsep sistem pakar yang juga merupakan salah satu cabang ilmu dari kecerdasan buatan juga digunakan untuk mendiagnosa penyakit yang diderita oleh pasien sehingga memudahkan kerja dokter.


Bidang Industri
Pada bidang Industri penggunaan mesin sudah merupakan hal yang umum. Mesin biasanya digunakan dalam industri untuk pekerjaan yang membahayakan manusia dan yang sulit untuk dilakukan manusia. sebagai contoh memindahkan barang yang mempunyai berat ber ton-ton, pemotongan besi dan baja. bahkan dalam industri manufaktur, pekerjaan yang membutuhkan tingkat ketelitian tinggi dan konsistensi sudah diambil alih oleh mesin. Hal ini dikarenakan manusia mempunyai konsentrasi yang tidak tetap dan stamina yang cepat habis. Kondisi seperti ini yang berbahaya, baik bagi pekerja tersebut, pabrikan, dan konsumen tentunya. Oleh karena itu, sistem kecerdasan buatan telah diimplementasikan secara nyata pada bidang industri ini. Satu lagi impementasi dari sistem kecerdasan buatan pada bidang industri, yakni Quality Control yang dilakukan menggunakan sistem image processing.

Bidang Transportasi 
Pada bidang transportasi kecerdasan buatan sudah diimplementasikan pada banyak hal seperti sistem kontrol perpindahan gigi otomatis pada gearbox mobil bertransmisi otomatis yang menggunakan Fuzzy Logic sebagai salah satu cabag ilmu kecerdasan buatan. Penentuan rute tercepat juga dapat dilakukan oleh decision support system yang juga merupakan salah satu cabang dari kecerdasan buatan yang menggunakan GPS sebagai alat bantu navigasinya. Baru-baru ini juga telah dikembangkan sistem kecerdasan buatan yang dapat mengemudi secara otomatis serta melakukan parkir serial tanpa bantuan manusia sama sekali.

Bidang Telekomunikasi
Pada Bidang telekomunikasi, sistem kecerdasan buatan juga banyak digunakan antara lain untuk pencarian heuristik tentang tenaga kerja mereka, mengatur penjadwalan puluhan ribu pekerjanya, serta menentukan jumlah gaji sesuai dengan kualitas kerja mereka. Semuanya dilakukan secara otomatis dengan kecerdasan buatan yang telah diimplementasikan ke dalam sistemnya.

Pengembangan Game
Perkembangan Game yang pesat pada masa ini juga membutuhkan sesuatu yang berbeda pada rule permainannya. Sebuah sistem game, jika sudah dimainkan sampai tuntas oleh seorang player, maka ketika player yang sama memulai lagi permainan dari awal, maka rule permainannya akan sama. namun berbeda untuk game-game yang telah ada saat ini. sistem dalam game, dapat belajar mengenali pola permainan dari player dan ketika player tersebut memulai permainan kembali, maka sistem ini akan menggunakan rule yang berbeda untuk pemain yang sama ini. sehingga game menjadi lebih menarik dan menantang untuk dimainkan.

 

 

 

 

Sumber: http://fahmipm.blogspot.co.id/2016/11/sistem-informasi-cerdas-ISS.html

Grafik komputer dan pengolahan citra

 

 

 

Sebelum masuk ke pokok pembahasan kita saya akan menjelaskan tentang grafik komputer dan pengolahan citra. Pengolahan citra adalah salah satu cabang dari ilmu informatika sedangkan grafik komputer adalah bagian dari ilmu komputer yang berkaitan dengan pembuatan dan manipulasi gambar (visual) secara digital.

 

 

 

Pengolahan citra

Pengolahan citra  definisi dasar dipergunakan dalam pengolahan citra adalah

Citra yang artiny adalah gambar dua dimensi yang dihasilkan dari analo dua dimensi yang kontinu menjadi gambar diskrit melalui proses sampling.

Dan sekarang kita akan membahas sampling itu sendiri

Sampling adalah proses untuk menentukan warna pada piksel tertentu pada citra dari gambar yang kontinu.

Berikutnya kita akan membahasa tentang kuantisasi pada pengolahan citra ini

Kuantisasi adalah proses mengasosiasikan warna rata rata dengan tingkatan warna tertentu.

Kemudian kita akan membahas algorithma yang biasa dipakai dalam pengolahan citra

  1. Algoritma berbasis histogram

Algoritma kategori ini menggunakan histogram dari citra awal untuk menghasilkan citra baru.

  • Peregangan Kontras
  • Ekualisasi histogram
  • Filter Minimum
  • Filter Median
  • Filter Maksimum
  1. Algoritma berbasis matematika

Algoritma pada kategori ini menggunakan piksel/beberapa piksel untuk menjadi masukan suatu fungsi matematik untuk menentukan nilai piksel pada citra hasil.

  • Biner

Operasi ini berbasis operasi boolean (AND,OR,NOT) untuk memanipulasi citra

  • Aritmetika

Operasi ini berbasis operasi Aritmatika ( penjumlahan, pengurangan, perkalian dan pembagian citra)

  • Geometri

 

Grafik komputer

 

Grafik komputer biasanya digunakandiberbagai bidang seperti bidang seni, sains, bisnis, pendidikan dan juga hiburan.

 

Berikut bidang aplikasi dari grafik komputer

  • Antarmuka pengguna (Graphical User Interface– GUI)
  • Peta (Cartography)
  • Kesehatan
  • Perancangan objek (Computer Aided Design– CAD)
  • Sistem multimedia
  • Presentasi grafik
  • Presentasi saintifik
  • Pemrosesan citra

 

Kesimpulan:

Bisa kita tarik kesimpulan bahwa grafik komputer untuk membuat animasi dan semacamnya sedangkan pengolahan citra hanya memperbagus karya dari grafik komputer.

 

Saran:

Semoga para pembaca paham apa itu grafik komputer dan pengolahan citra sekali lagi saya memohon maaf bila ada salah salah kata dalam post ini.

 

sumber:

https://id.wikipedia.org/wiki/Grafika_komputer

https://id.wikipedia.org/wiki/Pengolahan_citra

dampak negatif dan positif E-commerce

A. Definisi E-Commerce.
E-commerce adalah dimana dalam satu website menyediakan atau dapatmelakukan Transaksi secara online atau juga bisa merupakan suatu cara berbelanja atau berdagang secara online atau direct selling yang memanfaatkan fasilitas Internet dimana terdapat website yang dapat menyediakan layanan “get and deliver“. E-commerce akan merubah semua kegiatan marketing dan juga sekaligus memangkas biaya-biaya operasional untuk kegiatan trading (perdagangan) .
Adapun pendapat mengenai pengertian E-Commerce bahwa E-commerce mengacu pada internet untuk belanja online dan jangkauan lebih sempit. dimana e-commerce adalah subperangkat dari E-Bisnis. cara pembayarannya: melalui transfer uang secara digital seperti melalui account paypal atau kartu credit Sedangkan, E-Bisnis mengacu pada internet tapi jangkauan lebih luas. area bisnisnya terjadi ketika perusahaan atau individu berkomunikasi dengan klien atau nasabah melalui e-mail tapi pemasaran atau penjualan di lakukan dengan internet. dengan begitu dapat memberikan keuntungan berupa keamanan fleksibililtas dan efisiensi. cara pembayarannya yaitu dengan melaui pembayaran digital secara E-Gold dan sudah di akui di seluruh dunia dalam melakukan transaksi online.
Pada umumnya pengunjung Website dapat melihat barang atau produk yang dijual secara online (24 jam sehari) serta dapat melakukan correspondence dengan pihak penjual atau pemilik website yang dilakukan melalui email.
Dalam prakteknya, berbelanja di web memerlukan koneksi ke internet dan browser yang mendukung transaksi elektronik yang aman, seperti Microsoft Internet Explorer dan Netscape Navigator. Microsoft dan Netscape, bekerja sama dengan perusahaan kartu kredit (Visa dan MasterCard), serta perusahaan-perusahaan internet security (seperti VeriSign), telah membuat standar enkripsi khusus yang membuat transaksi melalui web menjadi sangat aman. Bahkan, Visa dan MasterCard menyediakan jaminan keamanan 100% kepada pengguna credit cardnya yang menggunakan e-com.
Adapun proses yang terdapat dalam E-Commerce adalah sebagai berikut :
1. Presentasi electronis (Pembuatan Website) untuk produk dan layanan.
2. Pemesanan secara langsung dan tersedianya tagihan.
3. Secar otomatis account pelanggan dapat secara aman (baik nomor rekening maupun nomor kartu kredit).
4. Pembayaran yang dilakukan secara langsung (online) dan penanganan transaksi.
Adapun keuntungan yang diperoleh dengan menggunakan transaksi melalui E-Commerce bagi suatu perusahaan adalah sebagai berikut :
1. Meningkatkan pendapatan dengan menggunakan online channel yang biayanya lebih murah.
2. Mengurangi biaya-biaya yang berhubungan dengan kertas, seperti biaya pos surat, pencetakan, report, dan sebagainya.
3. Mengurangi keterlambatan dengan menggunakan transfer elektronik/pembayaran yang tepat waktu dan dapat langsung dicek.
4. Mempercepat pelayanan ke pelanggan, dan pelayanan lebih responsif.

Didalam dunia E-Commerce pasti terdapat dampak positif dan negativenya.
Dampak positifnya, yaitu :
1. Revenue Stream (aliran pendapatan) baru yang mungkin lebih menjanjikan yang tidak bisa ditemui di sistem transaksi tradisional.
2. Dapat meningkatkan market exposure (pangsa pasar).
3. Menurunkan biaya operasional(operating cost).
4. Melebarkan jangkauan (global reach).
5. Meningkatkan customer loyality.
6. Meningkatkan supplier management.
7. Memperpendek waktu produksi.
8. Meningkatkan value chain (mata rantai pendapatan).
Dampak negativenya, yaitu :
1. Kehilangan segi finansial secara langsung karena kecurangan. Seorang penipu mentransfer uang dari rekening satu ke rekening lainnya atau dia telah mengganti semua data finansial yang ada.
2. Pencurian informasi rahasia yang berharga. Gangguan yang timbul bisa menyingkap semua informasi rahasia tersebut kepada pihak-pihak yang tidak berhak dan dapat mengakibatkan kerugian yang besar bagi si korban.
3. Kehilangan kesempatan bisnis karena gangguan pelayanan. Kesalahan ini bersifat kesalahan non-teknis seperti aliran listrik tiba-tiba padam.
4. Penggunaan akses ke sumber oleh pihak yang tidak berhak. Misalkan seorang hacker yang berhasil membobol sebuah sistem perbankan. Setelah itu dia memindahkan sejumlah rekening orang lain ke rekeningnya sendiri.
5. Kehilangan kepercayaan dari para konsumen. Ini karena berbagai macam faktor seperti usaha yang dilakukan dengan sengaja oleh pihak lain yang berusaha menjatuhkan reputasi perusahaan tersebut.
6. Kerugian yang tidak terduga. Disebabkan oleh gangguan yang dilakukan dengan sengaja, ketidakjujuran, praktek bisnis yang tidak benar, kesalahan faktor manusia, kesalahan faktor manusia atau kesalahan sistem elektronik.

internet marketing

Kita pasti mengikuti informasi tentang perkembangan internet di Indonesia saat ini, dimana banyak sekali pebisnis konvensional yang sudah go online untuk membantu meningkatkan penjualan produk mereka. Dan marketing secara online biasanya cendrung lebih mudah dan lebih murah dibandingkan dengan cara lama. Proses internet marketing ini sebenarnya ada berbagai bentuk, bagi yang belum paham mungkin masih agak bingung apa itu internet marketing.

Internet marketing atau dalam bahasa Indonesia adalah pemasaran melalui internet. Pemasaran online ini bukan hanya menjual produk saja, tapi terdiri dari berbagai aspek dalam memasarkan sebuah bisnis, diantaranya promosi, branding, menjual produk atau layanan, dan lain-lain. Tujuan internet marketing ini tidak lain adalah untuk meningkatkan brand awareness dan profit.

Untuk lebih mudahnya, internet marketing itu bisa dibagi dalam dua kelompok, yaitu sebagai cara promosi secara online, dan cara menghasilkan uang secara online. Inti dari internet marketing sebenarnya hanya dua itu, tapi type bisnisnya ada banyak sekali. Berikut ini adalah penjelasan beberapa type bisnis dalam internet marketing.

1. Internet Marketing Untuk Menghasilkan Uang Secara Online

Ada banyak jenis program di internet yang bisa kita jalankan untuk mendapatkan penghasilan dari internet. Beberapa diantaranya adalah:

a. PPC (Pay Per Click): program yang satu ini adalah termasuk salah satu kategori bisnis online yang banyak diikuti oleh pemilik website/ blog di Indonesia. Para pemilik blog bisa mendapatkan penghasilan dari klik iklan yang dilakukan oleh pengunjung blog/ website mereka. Contohnya adalah PPC Google Adsense.

b. PPS (Pay Per Sale): dengan program ini, publisher akan mendapatkan uang bila seseorang membeli barang dari link afiliasi yang mereka punya, besarnya tergantung prosentase yang ditentukan oleh pemilik produk. Contohnya adalah PPS Amazon.com

c. PPL (Pay Per Lead): dengan program ini, publisher akan dibayar jika seseorang mendaftarkan email mereka melalui link affiliasi yang mereka punya. Contohnya adalah MaxBounty.com

d. Pelelangan Online (Online Auction); kita bisa mendapatkan penghasilan dengan melelang barang sendiri atau barang orang lain di internet. Keuntungan bisa jauh lebih besar karena yang berhak membeli barang adalah penawar tertinggi. Contohnya adalah online auction di eBay.com atau Flippa.com

e. Menjual produk sendiri: Kalau kita punya produk yang ingin dijual, baik itu produk fisik atau produk digital maka kita bisa menjualnya secara online. Kita bisa membuat sebuah sales page atau toko online agar pengguna internet bisa membaca informasi tentang produk yang kita jual tersebut.

2. Internet Marketing Untuk Promosi Secara Online

Berbagai perusahaan telah berhasil memasarkan bisnis mereka melalui internet, baik itu bisnis skala kecil maupun bisnis skala besar. Hal ini karena masyarkat Indonesia sudah semakin banyak menggunakan internet, apalagi sebagian besar masyarakat Indonesia sudah memiliki smartphone dan bisa membuka berbagai situs melalui ponsel mereka.

Berikut ini adalah beberapa cara yang dilakukan untuk promosi online:

a. Memasang iklan di PPC Ads: Ini adalah media promosi dimana pengiklan bisa memasang link website perusahaan mereka di jaringan publisher dari perusahaan penyelenggara PPC. Pengiklan membayar hanya jika ada terjadi klik pada iklan mereka.

b. Email marketing: ini adalah cara promosi dengan mengirimkan pesan promosi ke email orang lain. Yang harus diperhatikan adalah jangan mengirimkan email secara sembarangan karena bisa dianggap melakukan spam.

c. SEO (Search Engine Optimization): ini adalah tehnik khusus untuk mempromosikan sebuah website. Dengan langkah tertentu, kita bisa mengoptimalkan posisi sebuah website di mesin pencari sehingga website tersebut masuk pada halaman utama pencarian Google atau mesin pencari lainnya.

d. Social Media Marketing: ini adalah pemasaran bisnis dengan melalui situs media sosial, misalnya seperti Facebook, Twitter, YouTube, Google Plus, dan lainnya.

Nah, kalau kita melihat penjelasan di atas, sebenarnya proses internet marketing itu sudah banyak dilakukan oleh para pebisnis. Namun, tidak semua pebisnis online tersebut melakukan pemasaran online dengan cara yang benar. Mengerti tentang dasar ilmu dalam internet marketing akan sangat membantu kita dalam memasarkan sebuah bisnis sehingga bisa berkembang lebih cepat.

 

 

sumber:-https://www.merdeka.com/ireporters/uang/apa-itu-internet-marketing.html

Benda Yang Tidak Penting Yang Di Dalamnya Terdapat Teknologi

Ketika mendengar kata urin, sebagian besar orang mungkin akan menggambarkannya sebagai sesuatu yang bau, kotor, dan tidak bernilai. Namun, bersiaplah karena pandangan itu mungkin dapat berubah sebentar lagi.

Sebab, baru-baru ini diketahui bahwa urin ternyata dapat digunakan sebagai sumber tenaga alternatif. Adalah beberapa peneliti dari University of the West England yang dikabarkan sedang mengembangkan sebuah kaos kaki untuk mengubah urin penggunanya jadi tenaga listrik.

Mengutip informasi dari laman Ubergizmo, Senin (14/12/2015), kaos kaki ini tidak dapat langsung mengubah urin pengguna menjadi listrik. Untuk melakukannya, kaos kaki ini memiliki serangkaian tabung silikon lembut yang melapisi tumit sampai ke pergelangan kaki.

Pengguna cukup berjalan seperti biasa untuk dapat memompa air urin tersebut dari tabung di tumit menuju ke pergelangan kaki. Nantinya di pergelangan kaki tersebut sudah disiapkan microbial fuels cells (MFC).

Dari situ air urin akan diubah oleh MFC menjadi tenaga listrik. Sekadar informasi, MFC merupakan bakteri pengubah nutrien menjadi tenaga listrik.

Ioannis Ieropoulos, salah seorang anggota tim peneliti mengakui bahwa listrik yang dihasilkan dari proses ini memang tidak cukup besar. Namun dari uji coba di laboratorium diketahui bahwa proses ini mampu menghasilkan listrik yang cukup sebuah pemancar nirkabel mengirimkan pesan tiap dua menit.

Untuk sekarang, kaos kaki ini memang masih terus dalam tahap pengembangan. Namun, Ieropoulos menuturkan bahwa nantinya kaos kaki ini dapat digunakan dalam situasi tertentu seperti untuk kebutuhan militer, misi luar angkasa, ataupun kegiatan outdoor lainnya.

sumber:http://tekno.liputan6.com/read/2389363/wow-ada-kaos-kaki-yang-ubah-urin-jadi-listrik

Contoh Pemanfaatkan Aplikasi yang Ada Di Gunadarma

Tujuan percobaan – percobaan Fisika di Laboaratorium Fisika Dasar adalah untuk melihat secara visual beberapa peristiwa Fisika dalam kejadian sebenarnya. Mengecek kebenaran hukum Fisika misalnya : Hukum Kirchoff, Hukum Ohm dan sebagainya. Mencari tetapan – tetapan Fisika secara kuantitatif misalnya : Koefisien kekentalan zat cair, Koefisien muai linier, Muatan elementer, Percepatan Gravitasi bumi dan lain sebagainya.

Untuk memenuhi tujuan diatas maka diperlukan keteletian dan metode pengamatan yang baik dan benar

Mata kuliah Praktikum Fisika Dasar ini diberikan agar mahasiswa :

  1. Memperoleh kecakapan dan ketrampilan dalam memakai dan mengerti kegunaan peralatan laboratorium.
  2. Lebih menghayati materi yang diberikan di kuliah dan memahami hubungan antara teori dan pengamatan.
  3. Mampu menganalisis, membuat hipotesa ataupun kesimpulan dari data yang diperoleh dari hasil percobaan.
  4. Mampu berkomunikasi secara lisan maupun tulisan ( melalui diskusi dan pembuatan laporan), mengenal metodologi penelitian. Penelitian dalam arti sebenarnya (mencari solusi baru, inovasi dan sebagainya) memang belum dilakukan pada taraf percobaan dasar ini, tetapi praktikum ini sudah mengarah kepada cara – cara untuk melakukan suatu penelitian.

contoh pemanfaatan teknologi yang terverifikasi

pelatih

Pelatih adalah seorang yang profesional yang tugasnya membantu atlet atau team dalam mencapai prestasi yang tinggi. Pelatih selain bertugas dalam membantu atlet juga memiliki peran yang sangat penting dalam membentuk watak ayau tingkah laku atletnya dalam kehidupan bermasyarakat.

Seorang pelatih adalah sosok panutan bagi masyarakat sehingga tingkah lakunya akan diperhatikan oleh masyarakat, oleh karena itu pelatih sebagai sosok panutan harus bisa berperan sebagai model bagi masyarakat. Utuk mengoptimalkan penampilan, menjamin keselamatan, dan menaikan kesejahteraan olahragawan, para pelatih harus secara teratur menyesuaikan diri dengan perkembangan terbaru dan mengubah praktek latihannya. Perubahan seperti itu hanya dapat terjadi apabila :

  1. Memiliki pemahaman atas perinsip-prinsip yang penting mengenai masing-masing bidang ilmu yang relevan
  2. Harus rajin mencari pengetahuan baru dalam ilmu olahraga. Akan tetapi pelatih tidak perlu menjadi ilmuan dalam arti yang sesungguhnya, tetapi untuk menjadi profesional, pelatih harus menjadi konsumen aktif informasi ilmiah dan menerapkannya dalam dunia pelatihannya.

 

  1. Tugas peran dan Kepribadian pelatih

Tugas pelatih bukan hanya membantu atlet untuk meraih prestasi, akan tetapi lebih jauh dari itu, pelatih juga harus menanamkan nilai-nilai luhur yang terkandung didalam olahraga. Artinya bukan hanya juara yang dikejar oleh pelatih akan tetapi perilaku sosial atlet juga harus mendapat perhatian, karena atlet adalah model bagi masyarakat.

Di bawah ini akan diuraikan beberapa tugas utama seorang pelatih, dan juga termasuk harus bagaimana sebenarnya perilaku seorang pelatih dalam masyarakat.

  1. Prilaku. Prilaku seseorang pelatih dimasyarakat harus menjadi contoh yang baik dalam masyarakat, artinya jangan sampai seorang pelatih ada perilakunya yang tidak sesuai dengan norma atau aturan-aturan kehidupan dalam masyarakat. Karena kehidupan seorang pelatih selalu jadi sorotan masyarakat.
  2. Kepemimpinan. Jiwa kepemimpinan harus di miliki oleh seorang pelatih. Sebagai seorang pemimpin, pelatih harus mampu memberikan motivasi kepada atletnya juga harus mau menerima saran dari para pembantunya. Juga sifat seorang pemimpin akan terlihat dalam kondisi yang sekalipun kritis. Contohnya dalam keadaan klubnya atau atletnya kalah seorang pelatih harus bisa memperlihatkan sifat getelmennya.
  3. Sikap sportif. Artinya dalam kondisi atau situasi apapun kita harus bisa menghormati keputusan yang dibuat oleh wasit, meskipin keputusan wasit itu sangat merugikan klub atau atletnya dan menghormati kemenangan lawan, akan tetapi bukan berarti kita harus sering mengalah melainkan kita kalah dengan terhormat.
  4. Pengetahuan dan Keterampilan. Tidak diragukan lagi seorang pelatih harus memiliki dan menguasai pengetahuan yang luas terutama pengetahuan tentang ilmu-ilmu yang mendukung dalam proses pelatihan, juga harus mampu memberikan contoh yang baik dalam hal keterampilan cabang olahraganya. Jadi intinya seorang pelatih itu adalah seorang yang berpendidikan.
  5. Keseimbangan emosional. Kemampuan bersikap wajar dalam kondisi dan situasi yang sangat tertekan, atau terpaksa harus menerima kenyataan di lapangan padahal klubnya di rugikan itu adalah tingkat keseimbangan emosional yang baik. Artinya seorang pelatih harus mampu mengendalikan emosinya (self control) dan yang penting lagi sikap ini harus bisa di tularkan kepada atletnya.
  6. Imajinasi. Kemampuan ini adalah kemampuan untuk membentuk khayalan-khayalan mental tentang obyek yang tidak nampak. Ini biasanya tertuang dalam proses latihan yang selalu menciptakan hal-hal yang baru juga dalam taktik permainan, baik taktik menyerang ataupun taktik bertahan.
  7. Ketegasan dan Keberanian. Seorang pelatih harus memiliki keberanian yang tegas dalam mengambil keputusan pada kondisi yang tertekan.
  8. Humor. Satu sikap yang nampaknya sangat enteng padahal sangat perlu, cita rasa humor yang tinggi akan mendekatkan hubungan dengan para atletnya. Kemampuan untuk bisa membuat atletnya tertawa sehingga menimbulkan suasana yang rilex,menyegarkan dan akan membawa dampak yang positif pada atletnya.
  9. Kesehatan. Betapa beratnya tugas seorang pelatih, disamping tugas sehari-harinya dia juga harus mempersiapkan program untuk latihan esok harinya. Ini menuntut kesehatan dan vitalitas yang tinggi dari seorang pelatih.
  10. Administrator. Pelatih juga sebagai pengelola olahraga, oleh karena itu harus mampu mengorganisir program latihan dan pertandingan, menginventarisir data-dataatletnya, data kemajuan dan kemunduran yang dialami oleh atletnya dan tidak boleh terlewatkan dari analisisnya.
  1. GAYA KEPEMIMPINAN PELATIH

Berbagai gaya atau kepemimpinan dalam melatih sering dipakai oleh pelatih gaya yang dipakai itu ada yang cocok ada yang tidak, sehingga dalam proses melatihnya dia berhasil ada juga yang gagal dalam melatihnya.

Secara garis besartipe atau gaya kepemimpinan melatih itu menurut Pate and Rottela dan McClenaghan (1993) ada 4 tipe. Yaitu terdiri dari :

  1. Gaya kepemimpinan Otoriter

Ciri-ciri gaya melatih yang otoriter adalah sebagai berikut :

o   Berkuasa penuh terhadap pengendalian atlet dan orang lain.

o   Selalu memerintah dalam kelompoknya

o   Semua pekerjaan dikerjakan sesuai dengan keyakinannya.

o   Kurang menghargai kedudukan orang lain

o   Selalu memberikan hukuman bagi yang mengabaikan tugasnya.

o   Pembagian pekerjaan selalu di putuskannya

o   Semua ide muncul atas keputusannya

  1. GAYA KEPEMIMPINAN DEMOKRASI

Ciri-ciri gaya melatih yang demokrasi adalah sebagai berikut :

o   Ramah dan bersahabat

o   Rencana kerja slalu didiskusikan dengan kelompok

o   Tidak terlalu mengikat

o   Slalu menerima dari saran dari pihak lain

  1. Gaya kepemimpinan berpusat pada atlet. Ciri-cirinya

o   Penekanan utama memenuhi kebutuhan atlet

o   Selalu berinteraksi dengan atlet dan orang sekitar

o   Akan berhasil dalam tingkat kesulitan yang sedang

o   Kurang mendorong semangat tempur kepada atlet

  1. Gaya kepemimpinan yang berpusat pada tugas. Ciri-cirinya :

o   Fokus terhafap kemenangan

o   Kurang berinteraksi dengan atlet

o   Slalu sukses dalam tugasnya

o   Kurang harmonis dengan anggota se tim

 

sumber:http://haryadideni.blogspot.co.id/2013/09/pengertian-pelatih-coach.html