Pengendalian (Control)

Pengendalian Teknis
Pengendalian Formal
Pengendalian Informal

Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat
oleh para penyusun sistem selama masa siklus penyusunan sistem.
Melibatkan auditor internal di dalam tim proyek merupakan satu
cara yang amat baik untuk menjaga agar pengendalian semacam ini
menjadi bagian dari desain system.
Contoh pengendalian teknis:

Pengendalian akses
Sistem deteksi gangguan
Firewall
Pengendalian Kriptografis
Pengendalian Fisik

Pengendalian Akses
Merupakan dasar untuk
keamanan melawan
ancaman yang dilakukan
oleh orang-orang yang
tidak diotorisasi.
Mencakup tiga tahap:
Identifikasi pengguna
memanfaatkan user profile
Otentikasi pengguna
memanfaatkan user profile
Otorisasi pengguna
memanfaatkan access

Sistem Deteksi Gangguan

Logika dasarnya Mengenali upaya pelanggaran
keamanan sebelum memiliki kesempatan untuk
melakukan perusakan.
Contoh: Peranti lunak proteksi virus, peralatan prediksi
ancaman dari dalam.

Firewall
Berfungsi sebagai penyaring
dan penghalang yang
membatasi aliran data ke dan
dari perusahaan tersebut dan
Internet.
Konsep di balik Firewall
adalah dibuatnya suatu
pengaman untuk semua
computer pada jaringan
perusahaan dan bukannya
pengaman terpisah untuk
masing-masing computer.

Tiga jenis firewall:

Firewall Penyaring Paket

Firewall Tingkat Sirkuit
Firewall tingkat Aplikasi

Lokasi Firewall di Jaringan

Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan
dapat dilindungi dari pengungkapan yang tidak
terotorisasi dengan Kriptografi penggunaan kode
yang menggunakan proses-proses matematika.
Data dan informasi dapat dienkripsi dalam
penyimpanan dan juga ditransmisikan ke dalam
jaringan. Jika sesorang yang tidak mempunyai otorisasi
memperoleh akses, enkripsi akan membuat data dan
informasi tidak berarti apa-apa dan mencegah
kesalahan penggunaan.

Pengendalian Fisik
Cara pertama Mengunci pintu ruangan computer.
Perusahaan dapat melaksanakan pengendalian fisik
hingga pada tahap tertinggi dengan cara menempatkan
pusat komputernya di tempat terpencil yang jauh dari
kota dan jauh dari wilayah yang sensitif terhadap
bencana alam.

Pengendalian Formal dan Informal

Pengendalian Formal

Mencakup:

Penentuan cara berperilaku

Dokumentasi prosedur dan
praktik yang diharapkan
Pengawasan serta
pencegahan perilaku yang
berbeda dari panduan yang
berlaku.

Pengendalian Informal

Bersifat formal karena manajemen menghabiskan waktu

untuk menyusun, mendokumentasikannya dalam bentuk
tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

Mencakup:

Program-program pelatihan
dan edukasi
Program pembangunan
manajeman

Ditujukan untuk menjaga agar para karyawan perusahaan

memahami serta mendukung program keamanan tersebut.

Mencapai Tingkat Pengendalian

yang Tepat
Pengendalian harus ditetapkan pada tingkatan yang sesuai.
Dibuat berdasarkan analisis manfaat-biaya.

Dukungan Pemerintah dan Industri

Beberapa organisasi pemerintahan dan internasional telah
menentukan standar-standar yang ditujukan untuk menjadi panduan
bagi organisasi yang ingin mendapatkan keamanan informasi.
Beberapa standar ini berbentuk benchmark, yang telah diidentifikasi
seblumnya sebagai penyedia strategi alternative untuk manajemen
risiko.

Contoh standar
BS7799 milik Inggris
BS IT Baseline Protection Manual
COBIT
GASSP. Generally Accepted System Security Principles.
ISF Standard of Good Practice

Peraturan Pemerintah
Standar Keamanan Komputer Pemerintah AS
UU Antiterorisme, Kejahatan, dan Keamanan Inggris (ATCSA)

Standar Industri

The Center for Internet Security (CIS)

CIS Benchmark membantu para pengguna untuk mengamankan system
informasi mereka dengan cara menerapkan pengendalian khusus teknologi.
CIS Scoring Tools memberi kemampuan bagi pengguna untuk menghitung
tingkat keamanan, membandingkannya dengan benchmark, dan
menyiapkan laporan yang mengarahkan pengguna dan admisnistrator
system untuk mengamankan sistem.

Sertifikasi Profesional
Asosiasi Audit Sistem dan Pengendalian
Konsorsium Sertifikasi Keamanan Sistem Informasi
Internasional
Institut SANS

Meletakkan Manajemen
Keamanan Informasi pada
Tempatnya

Perusahaan harus mencanangkan kebijakan manajemen

keamanan informasi sebelum menempatkan pengendalian.
Kebijakan tersebut dapat dibuat berdasarkan identifikasi
ancaman dan risiko ataupun berdasarkan panduan yang
diberikan oleh pemerintah dan asosiasi industri.
Perusahaan harus mengimplementasikan gabungan dari
pengendalian teknis, formal, dan informal yang diharapkan
untuk menawarkan tingkat keamanan yang diinginkan pada
batasan biaya yang telah ditentukan dan disesuaikan
dengan pertimbangan lain yang membuat perusahaan dan
sistemnya mampu berfungsi secara efektif.

Manajemen Keberlangsungan
Bisnis
Merupakan aktivitas yang ditujukan untuk menentukan
operasional perusahaan setelah terjadi gangguan
sistem informasi.
Mencakup subrencana sebagai berikut:
Rencana Darurat
Rencana Cadangan
Rencana Catatan Penting

Menetapkan Kerangka Kerja

Pengamanan dan Pengendalian
(Loudon)
Penilaian Risiko
Kebijakan Pengamanan

Direktur Keamanan
Acceptable Use Policy
Authorization Pilicy
Sistem Manajemen Otorisasi

Memastikan Keberlangsungan Sistem

Perencanaan Pemulihan Bencana dan Perencanaan Keberlangsungan
Bisnis
Alih Kontrak Pengamanan

Peran Proses Audit

Teknologi dan Perangkat

Pengamanan
Kontrol Akses

Autentikasi
Token
Smart Card
Autentikasi Biometrik

Firewall, Sistem Deteksi Gangguan, dan Antivirus

Firewall
Sistem Deteksi Gangguan
Peranti Lunak Antivirus dan Antispyware

Mengamankan Jaringan Nirkabel

Enkripsi dan Infrustruktur Kunci Publik

Firewall Perusahaan

Enkripsi Kunci Publik

Sertifikat Digital