Shania Rebecca (00000033628)

Mika Gabriel (00000033241)

Tugas SIA Chapter 8

P8-1)

Jwbn Term Definition

D 1. Vulnerability a. Code that corrects a flaw program.
S 2. Exploit b. Verification of claimed identity.
B 3. Authentication c. The firewall technique tha
filters traffic by comparing the
information in packet headers to a table
of established connections.
M 4. Authorization d. A flaw or weakness in a program.
F 5. Demilitarized zone (DMZ) e. A test to determine the time it takes
to compromise a system.
T 6. Deep packet inspection f. A subnetwork that is accessible
from the Internet but separate from
the organization’s internal network.
O 7. router g. The device that connects
the organization to the Internet.
J 8. social engineering h. The rules (protocol) that govern
routing of packets across networks.
K 9. Firewall i. The rules (protocol) that govern
the division of a large file into packets
and subsequent reassembly of the file
from those packets.
N 10. Hardening j. An attack that involves deception
to obtain access.
L 11. CIRT k. A device that provides
perimeter security by filtering packets.
A 12. patch l. The set of employees
assigned responsibility for resolving
problems and incidents.
U 13. virtualization m. Restricting the actions that a user
is permitted to perform.
I 14. Transmission Control Protocol (TCP) n. Improving security by removal
or disabling of unnecessary programs
and features.
Q 15. static packet filtering o. A device that uses the Internet Protoco
P8-3)

Complete the following access control matrix so that it enables each employee to
perform those specific activities

P8-4)

a) An employee’s laptop was stolen at the airport. The laptop contained personally
identifying information about the company’s customers that could potentially be
used to commit identity theft
• Preventive: Kebijakan yang melarang penyimpanan informasi sensitif pada
laptop dan mensyaratkan bahwa jika ada informasi tersebut harus ada pada
laptop yang dienkripsi. Pelatihan tentang cara melindungi laptop saat
bepergian untuk meminimalkan risiko pencurian.
• Corrective: Pemasangan perangkat lunak "telepon rumah" dapat membantu
organisasi memulihkan laptop atau menghapus informasi yang dikandungnya
dari jarak jauh.

b) A salesperson successfully logged into the payroll system by guessing the payroll
supervisor’s password.
• Preventive: Persyaratan kata sandi yang kuat seperti panjang minimal 8
karakter, penggunaan beberapa tipe karakter, karakter acak, dan
mengharuskan kata sandi sering diganti.
• Detective: Mengunci akun setelah 3-5 kali gagal login; karena ini adalah
serangan "tebakan", mungkin diperlukan lebih dari beberapa upaya untuk
masuk.

c) A criminal remotely accessed a sensitive database using the authentication

credentials (user ID and strong password) of an IT manager. At the time the
attack occurred, the IT manager was logged into the system at his workstation at
company headquarters.
• Preventive: Integrasikan keamanan fisik dan logis. Dalam hal ini, sistem harus
menolak setiap upaya pengguna dari jarak jauh login ke sistem jika pengguna
yang sama sudah masuk dari workstation fisik.
 • Detective: Memiliki sistem memberitahukan staf keamanan yang tepat tentang
insiden seperti itu.

d) An employee received an email purporting to be from her boss informing her of

an important new attendance policy. When she clicked on a link embedded in the
email to view the new policy, she infected her laptop with a keystroke logger.
• Preventive: Pelatihan kesadaran keamanan adalah cara terbaik untuk
mencegah masalah seperti itu. Karyawan harus diajari bahwa ini adalah
contoh umum penipuan phishing yang canggih
• Detective and corrective: Perangkat lunak anti-spyware yang secara otomatis
memeriksa dan membersihkan semua spyware yang terdeteksi pada komputer
karyawan sebagai bagian dari proses masuk untuk mengakses sistem informasi
perusahaan.

e) A company’s programming staff wrote custom code for the shopping cart
feature on its web site. The code contained a buffer overflow vulnerability that
could be exploited when the customer typed in the ship-to address.
• Preventive: Ajari programmer mengamankan praktik pemrograman, termasuk
kebutuhan untuk memeriksa semua input pengguna dengan cermat.
Manajemen harus mendukung komitmen untuk mengamankan praktik
pengkodean, bahkan jika itu berarti keterlambatan dalam menyelesaikan,
menguji, dan menggunakan program baru.
• Detective: Pastikan program diuji secara menyeluruh sebelum mulai
digunakan. Apakah auditor internal secara rutin menguji perangkat lunak yang
dikembangkan sendiri.

f) A company purchased the leading “off-the-shelf” e-commerce software for

linking its electronic storefront to its inventory database. A customer discovered
a way to directly access the back-end database by entering appropriate SQL
code.
• Preventive: Bersikeras kode aman sebagai bagian dari spesifikasi untuk
membeli perangkat lunak pihak ke-3. Tes perangkat lunak sebelum digunakan.
Gunakan program manajemen tambalan sehingga setiap vendor yang
menyediakan perbaikan dan tambalan segera diimplementasikan.

g) Attackers broke into the company’s information system through a wireless

access point located in one of its retail stores. The wireless access point had been
purchased and installed by the store manager without informing central IT or
security.
• Preventive: Terapkan kebijakan yang melarang pemasangan titik akses
nirkabel yang tidak sah.
• Detective: Melakukan audit rutin untuk jalur akses nirkabel yang tidak sah
atau jahat.
• Corrective:Sanksi karyawan yang melanggar kebijakan dan menginstal jalur
akses nirkabel jahat
h) An employee picked up a USB drive in the parking lot and plugged it into their
laptop to “see what was on it,” which resulted in a keystroke logger being
installed on that laptop.
• Preventive: Pelatihan kesadaran keamanan. Ajari karyawan untuk tidak pernah
memasukkan drive USB kecuali mereka benar-benar yakin dengan
sumbernya. Perangkat lunak anti-spyware yang secara otomatis memeriksa
dan membersihkan semua spyware yang terdeteksi pada komputer karyawan
sebagai bagian dari proses masuk.

i) Once an attack on the company’s website was discovered, it took more than 30
minutes to determine who to contact to initiate response actions.
• Preventive: Dokumentasikan semua anggota CIRT dan informasi kontak
mereka. Praktikkan rencana respons insiden.

j) To facilitate working from home, an employee installed a modem on his office

workstation. An attacker successfully penetrated the company’s system by
dialing into that modem.
• Preventive: Periksa secara rutin untuk modem yang tidak sah atau nakal
dengan memutar semua nomor telepon yang diberikan kepada perusahaan dan
mengidentifikasi mereka yang terhubung ke modem.

k) An attacker gained access to the company’s internal network by installing a

wireless access point in a wiring closet located next to the elevators on the fourth
floor of a high-rise office building that the company shared with seven other
companies.
• Preventive: Amankan atau kunci semua lemari kabel. Memerlukan otentikasi
kuat dari semua upaya untuk masuk ke sistem dari klien nirkabel.
Menggunakan sistem deteksi intrusi