Anda di halaman 1dari 26

KATA PENGANTAR

Puji syukur penulis panjatkan kepada Allah SWT karena atas berkah
dan

rahmat-Nya

penulis

dapat

menyelesaikan

makalah

berjudul

Pengendalian untuk Keamanan Informasi. Shalawat dan salam semoga


selalu tercurah kepada Rasulullah, keluarga, para sahabat dan pengikut
mereka yang setia sampai hari kiamat.
Tak lupa penulis ucapkan terima kasih kepada pihak pihak terkait
yang senantiasa membantu dalam pengerjaan makalah ini, serta Bapak
Petrolis Nusa Perdana selaku dosen mata kuliah sistem informasi
akuntansi yang dengan sabar telah membimbing penulis sehingga penulis
dapat mengetahui lebih dalam tentang berbagai bentuk pengendalian
untuk keamanan informasi.
Harapan penulis adalah semoga makalah ini dapat bermanfaat dan
menambah wawasan para pembaca. Penulis menyadari masih adanya
kekurangan dan kesalahan, baik dari segi bahan penulisan maupun
kemampuan ilmiah. Oleh karena itu penulis sangat mengharapkan saran
dan kritik dari pembaca demi penyempurnaan makalah ini.

Jakarta, April 2015

Penulis

Pengendalian untuk Keamanan Informasi

DAFTAR ISI
KATA
PENGANTAR.............................................................................................................
1
DAFTAR
ISI....................................................................................... ....................................2
BAB 1: PENDAHULUAN
1.1

Latar
Belakang..............................................................................................
....3
1.2
Rumusan
Masalah............................................................................................4
1.3
Tujuan
Penulisan.............................................................................................
.4
1.4
Metode
Penulisan.............................................................................................
4
1.5
Manfaat
Penulisan............................................................................................
4
.
BAB 2: PEMBAHASAN
2.1 Dua Konsep Keamanan Informasi
Fundamental.................................................5
2.2 Memahami Serangan yang
Ditargetkan...............................................................6
2.3 Pengendalian Preventif........
...............................................................7
2.3.1 Orang-orang: Penciptaan Sebuah Budaya SadarKeamanan...................7
2.3.2 Orang-orang:
Pelatihan.............................................................................8
2.3.3 Proses: Pengendalian Akses Pengguna (User Access
Controls).......................8
2.3.3.1 Pengendalian
Autentikasi...........................................................9
2.3.3.2 Pengendalian
Otorisasi...............................................................9
2.3.4 Solusi TI : Pengendalian
Antimalware.....................................................10
2.3.5 Pengendalian Akses Jaringan (Network Access
Controls)..............................11
Pengendalian untuk Keamanan Informasi

2.3.6 Pengendalian Pengukuhan Peralatan dan Perangkat Lunak


(Device and Software Hardening
Controls).....................................................................14
2.3.7 Solusi TI:
Enkripsi..................................................................................15
2.3.8 Keamanan Fisik: Pengendalian
Akses.....................................................16
2.3.9 Pengendalian Perubahan dan Manajemen
Perubahan..............................17
2.4 Pengendalian
Detektif...........................................................................................18
2.4.1 Analisis
Log...........................................................................................18
2.4.2 Sistem Deteksi
Gangguan.......................................................................18
2.4.3 Pengujian
Penetrasi................................................................................18
2.4.4 Pengawasan
Berkelanjutan.....................................................................19
2.5 Pengendalian
Korektif...........................................................................................19
2.5.1 Computer Incident Response Team
(CIRT).............................................19
2.5.2 Chief Information Security Officer
(CISO)...............................................20
2.5.3 Manajemen
Patch...................................................................................20
2.6 Implikasi Keamanan Virtualisasi dan Cloud.........................
.................20
2.7 Kasus Integratif: Northwest
Indutries.....................................................................21
BAB 3: KESIMPULAN
3.1
Kesimpulan.........................................................................................................23
DAFTAR
PUSTAKA............................................................................................................24

BAB 1
PENDAHULUAN
3

Pengendalian untuk Keamanan Informasi

1.1 Latar Belakang


Saat

ini,

setiap

organisasi

bergantung

pada

teknologi

informasi (IT-information technology). Banyak juga organisasi yang


setidaknya memindahkan sebagian dari sistem informasinya ke
cloud. Manajemen menginginkan jaminan bahwa informasi yang
dihasilkan oleh sistem akuntansi milik perusahaan adalah reliabel
serta keandalan penyedia layanan cloud dengan rekan kontraknya.
Selain itu, manajemen juga menginginkan jaminan bahwa organisasi
patuh terhadap susunan peraturan dan ketentuan industri yang terus
berkembang termasuk Sarbanes-Oxley (SOX), Health Insurance
Portability and Accountability Act (HIPAA), dan Payment Card Industry
Data Security Standards (PCI-DSS).
Trust Services Framework mengatur pengendalian TI ke dalam lima
prinsip yang berkontribusi secara bersamaan terhadap kendala
sistem:
1. Keamanan (security) - akses (baik fisik maupun logis) terhadap
sistem dan data di dalamnya dikendalikan serta terbatas untuk
pengguna yang sah.
2. Kerahasiaan (confidentiality)

informasi

keorganisasian

yang

sensitif terlindungi dari pengungkapan yang tanpa izin.


3. Privasi (privacy) informasi pribadi tentang pelanggan, pegawai,
pemasok,

atau

rekan

kerja

hanya

dikumpulkan,

digunakan,

diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap


kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) data diproses secara
akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang
sesuai.
5. Ketersediaan (availability) sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.
Keamanan

informasi

merupakan

landasan

sistem

dan

diperlukan untuk mencapai masing-masing dari empat prinsip

Pengendalian untuk Keamanan Informasi

lainnya. Prosedur-prosedur keamanan informasi membatasi akses


sistem hanya untuk pengguna yang terotorisasi saja, sehingga
melindungi kerahasiaan data keorganisasian yang sensitif dan
privasi atas informasi yang dikumpulkan pelanggan. Sejumlah
prosedur

keamanan

informasi

melindungi

integritas

informasi

dengan mencegah terjadinya transaksi tanpa izin atau fiktif serta


mencegah perubahan tanpa izin terhadap data atau program
tersimpan.

Terakhir,

prosedur-prosedur

keamanan

informasi

memberikan perlindungan terhadap berbagai serangan, termasuk


virus dan worm, sehingga memastikan bahwa sistem tersedia ketika
diperlukan.

1.2 Rumusan Masalah


Bagaimana

cara

organisasi

melakukan

pengendalian

untuk

keamanan informasi ?

1.3 Tujuan Penulisan


Tujuan dari penulisan makalah ini yaitu untuk memenuhi tugas mata
kuliah SIA dan menjelaskan berbagai bentuk pengendalian yang
dapat dilakukan organisasi untuk keamanan informasi.

1.4 Metode Penulisan


Dari beberapa metode penulisan yang ada, penulis mengunakan
metode kepustakaan dengan sumber informasi yang berasal dari
buku.

1.5 Manfaat Penulisan


Harapan penulis adalah semoga makalah ini dapat bermanfaat
dalam

memberikan

pemahaman

yang

jelas

tentang

konsep

pengendalian untuk keamanan informasi.

Pengendalian untuk Keamanan Informasi

BAB 2
PEMBAHASAN
2.1

Dua

Konsep

Keamanan

Informasi

Fundamental
a. Keamanan merupakan masalah manajemen, bukan hanya
masalah teknologi
Walaupun keamanan informasi yang efektif mensyaratkan
penggunaan alat-alat berteknologi seperti firewall, antivirus, dan
enkripsi, keterlibatan serta dukungan manajemen senior juga
menjadi

dasar

untuk

keberhasilan.

Manajemen

senior

harus

berpartisipasi dalam pengembangan kebijakan karena mereka harus


memutuskan

sanksi

yang

akan

diberikan

terhadap

tindakan

ketidakpatuhan. Sebagai tambahan, dukungan dan keterlibatan aktif


dari manajemen puncak diperlukan untuk memastikan bahwa
pelatihan dan komunikasi keamanan informasi dilakukan dengan
serius. Manajemen senior juga harus mengotorisasi investasi
sumber daya yang diperlukan untuk mengatasi ancaman yang
terindentifikasi serta mencapai level keamanan yang dikehendaki.
Kemajuan dari TI menciptakan ancaman baru dan mengubah risiko
yang tercampur dengan ancaman lama.
b. Defense-in-depth dan model keamanan informasi berbasis
waktu
Defense-in-depth

adalah

penggunaan

berbagai

lapisan

pengendalian untuk menghindari satu poin kegagalan. Defense-indepth secara khusus melibatkan penggunaan sebuah kombinasi
dari

pengendalian

preventif,

detektif,

dan

korektif.

Peran

Pengendalian untuk Keamanan Informasi

pengendalian preventif adalah untuk membatasi tindakan individu


tertentu agar sesuai dengan kebijakan keamanan organisasi.
Mendeteksi penorobosan keamanan dan penetapan tindakan
perbaikan korektif harus tepat waktu karena segera setelah
pengendalian preventif diterobos, seorang penyusup dapat dengan
cepat menghancurkan, membahayakan, atau mencuri sumber
daya ekonomi dan informasi organisasi.
Oleh karena itu, tujuan dari model keamanan berbasis waktu
(time-based model of security) adalah menggunakan kombinasi
perlindungan preventif, detektif, dan korektif yang melindungi aset
informasi

cukup

lama

agar

memungkinkan

organisasi

untuk

mengenali bahwa sebuah serangan tengah terjadi dan mengambil


langkah-langkah untuk menggagalkannya sebelum informasi hilang
atau rusak. Tujuan ini dapat ditunjukkan dengan sebuah formula
yang menggunakan tiga variabel berikut:
P = waktu yang diperlukan seorang penyerang untuk menerobos
pengendalian preventif organisasi.
D = waktu yang diperlukan untuk mendeteksi bahwa sebuah
serangan sedang dalam proses.
C = waktu yang diperlukan untuk merespon serangan dan
mengambil tindakan korektif.
Ketiga variabel tersebut kemudian dievaluasi sebagai berikut: jika P
> D + C, maka prosedur keamanan organisasi efektif. Jika
sebaliknya, keamanan tidaklah efektif. Model keamanan berbasis
waktu

memberikan

sebuah

sarana

bagi

manajemen

untuk

mengidentifikasi pendekatan yang paling hemat biaya untuk


meningkatkan keamanan dengan membandingkan efek investasi
tambahan dalam pengendalian preventif, detektif dan korektif.

2.2 Memahami Serangan Yang Ditargetkan


7

Pengendalian untuk Keamanan Informasi

Meskipun banyak keamanan informasi, seperti virus, worm, bencana


alam, kegagalan perangkat keras, dan kesalahan manusia yang
seringnya merupakan kejadian acak (tidak ditargetkan), organisasi
juga sering kali menjadi sasaran dari serangan yang disengaja.
Langkah-langkah

dasar

yang

dilakukan

para

penjahat

untuk

menyerang sistem informasi suatu perusahaan antara lain:


1. Melakukan pengintaian (conduct reconnaissance)
Penyerang mempelajari sebanyak mungkin tentang target serta
meng-identifikasikan kerentanan potensial.
2. Mengupayakan rekayasa sosial (attemp social engineering)
Penyerang menggunakan tipuan untuk mendapatkan akses tanpa
izin terhadap sumber daya informasi.
3. Memindai dan memetakan target (scan and map the target)
Penyerang melakukan lebih banyak pengintaian terperinci untuk
mengidentifikasi titik-titik potensial entri jarak jauh. Penyerang
menggunakan

berbagai

alat

otomatis

untuk

mengidentifikasi

computer yang dapat dikendalikan dari jarak jauh serta berbagai


jenis perangkat lunak yang mereka jalankan.
4. Penelitian (research)
Penyerang melakukan penelitian untuk menemukan kerentanan
yang

terdeteksi

pada

program-program

serta

mempelajari

bagaimana memanfaatkan kerentanan tersebut.


5. Mengeksekusi serangan (execute the attack)
Penyerang memanfaatkan kerentanan untuk mendapatkan akses
tanpa izin terhadap sistem informasi target.
6. Menutupi jejak (cover tracks)
Penyerang berupaya untuk menutupi jejak mereka dan menciptakan
pintu belakang yang dapat mereka gunakan untuk mendapatkan
akses jika serangan awal mereka telah diketahui.

2.3 Pengendalian Preventif


Pengendalian preventif yang digunakan organisasi secara umum
digunakan untuk membatasi akses terhadap sumber daya informasi.

Pengendalian untuk Keamanan Informasi

Berbagai pengendalian preventif tersebut selaras bersamaan seperti


kepingan-kepingan

puzzle

yang

menyediakan

defense-in-depth

secara kolektif. Meskipun seluruh kepingan penting, komponen


orang-orang adalah yang paling penting.

2.3.1

Orang-orang: Penciptaan Sebuah Budaya

Sadar-Keamanan
COBIT 5 secara spesifik mengidentifikasi budaya dan etika
organisasi sebagai salah satu dari fasilitator kritis untuk
keamanan informasi yang efektif. Untuk menciptakan sebuah
budaya sadar keamanan agar para

pegawai mematuhi

kebijakan keorganisasian, manajemen puncak tidak hanya


harus mengomunikasikan kebijakan keamanan organisasi,
tetapi juga harus memandu dengan mencontohkannya. Para
pegawai

cenderung

informasi

ketika

patuh

mereka

dengan

kebijakan

melihat manajer

keamanan

mereka

yang

melakukannya.

2.3.2

Orang-orang: Pelatihan
COBIT 5 mengidentifikasi kemampuan dan kompetensi

pegawai

sebagai

keamanan

sebuah

informasi

fasilitator

yang

memahami

cara

untuk

organisasi.

Oleh

karena

efektif.

mengikuti
itu,

kritis
Para

lainnya

untuk

pegawai

harus

kebijakan

pelatihan

keamanan

adalah

sebuah

pengendalian preventif yang kritis. Seluruh pegawai harus


diajarkan tentang pentingnya ukuran-ukuran keamanan bagi
kebertahanan jangka panjang organisasi.
Mereka juga perlu dilatih untuk mengikuti praktik-praktik
komputasi yang aman. Pelatihan penting dilakukan untuk
melatih para pegawai tentang serangan rekayasa sosial.
Pelatihan kesadaran keamanan penting pula bagi manajemen

Pengendalian untuk Keamanan Informasi

senior karena pada tahun-tahun belakangan ini, banyak


serangan rekayasa sosial.
Pelatihan

professional

merupakan hal yang tak

keamanan

informasi

juga

kalah penting. Perkembangan

teknologi saat ini, secara berkelanjutan menciptakan ancaman


keamanan baru dan membuat solusi lama menjadi usang.
Dengan demikian, penting bagi organisasi untuk mendukung
kelanjutan edukasi profesional untuk spesialis keamanan
mereka.

2.3.3

Proses:

Pengendalian

Akses

Pengguna

(User Access Controls)


Penerapan praktik manajemen COBIT 5 DSS05.04 melibatkan
penggunaan atas dua jenis pengendalian akses pengguna
yang saling berhubungan satu sama lain, yaitu :

2.3.3.1

Pengendalian Autentikasi

Autentikasi (authentication) adalah proses verifikasi identitas


seseorang atau perangkat yang mencoba untuk mengakses
sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah
yang dapat mengakses sistem.
Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi
identitas seseorang :
1. Sesuatu yang mereka ketahui, seperti kata sandi atau personal
identification number (PIN).
2. Sesuatu yang mereka miliki, seperti kartu pintar atau
badge ID.
3. Beberapa karakteristik fisik atau perilaku, seperti sidik jari atau
pola tulisan.
Meskipun tidak satupun dari ketiga tanda bukti autentikasi, yang
dengan sendirinya sangat mudah digunakan, penggunaan dua
atau semua tiga jenis secara bersamaan yang disebut autentikasi

10

Pengendalian untuk Keamanan Informasi

multifaktor cukup efektif. Dalam beberapa situasi, dapat dilakukan


autentikasi multimodal yang menggunakan berbagai tanda bukti
dari jenis yang sama untuk meningkatkan keamanan.

2.3.3.2

Pengendalian Otorisasi
Otorisasi (authorization) adalah proses memperketat akses

dari

pengguna

sah

terhadap

bagian

spesifik

sistem

dan

membatasi tindakan-tindakan apa saja yang diperbolehkan untuk


dilakukan.

Tujuannya

adalah

untuk

menyusun

hak

serta

keistimewaan setiap pegawai dengan cara menetapkan dan


mengelola pemisahan tugas yang tepat.
Pengendalian otorisasi biasanya diimplementasikan dengan
menciptakan matriks pengendalian akses (access control matrix).
Kemudian, ketika seorang pegawai berusaha mengakses sumber
daya sistem informasi tertentu, sistem akan melakukan sebuah uji
kompatibilitas (compatibility test) yang mencocokkan tanda bukti
autentikasi pengguna dengan matriks pengendalian akses untuk
menentukan sebaiknya pegawai diizinkan atau tidak untuk
mengakses sumber daya dan melakukan tindakan yang diminta.
Penting untuk memperbarui secara teratur matriks pengendalian
akses agar merefleksikan perubahan pada tugas pekerjaan karena
promosi atau pemindahan. Informasi yang terdapat di dalam sebuah
matriks pengendalian akses digunakan unntuk mengimplementasikan
pengendalian otorisasi pada sistem ERP.
Contoh Matriks Pengendalian Akses
Pengguna
ID Pengguna
NHale
JPJones
BArnold

11

A
0
0
1

File
B
C
0
1
2
0
1
0

1
0
0
1

Program
2
3
0
0
0
0
1
0

4
0
1
0

Pengendalian untuk Keamanan Informasi

Kode untuk akses File :


Kode untuk akses program
0 = Tidak Ada Akses
0 = Tidak Ada Akses
1 = Hanya baca/tampilkan
1 = Eksekusi
2 = Hanya baca/tampilkan dan perbarui
3 = Baca/tampilkan, perbarui, buat, dan hapus

Dalam setiap peran pegawai, sistem memberikan nomor kombinasi


yang

sudah

ditentukan

sebelumnya

atas

izin

untuk

melakukan

pembatasan akses umum. Sangat mungkin untuk mencapai pengendalian


dan pemisahan tugas yang lebih besar dengan menggunakan sistem
manajemen proses bisnis guna melekatkan otorisasi ke dalam proses
bisnis yang otomatis daripada tergantung pada matriks pengendalian
akses yang statis. Pengendalian otorisasi juga dapat diterapkan tidak
hanya untuk orang, tetapi juga pada perangkat yang merupakan cara lain
ketika defense-in-depth meningkatkan keamanan.

2.3.4

Solusi TI : Pengendalian Antimalware

Malware (virus, worm, perangkat lunak keystroke logging, dsb.)


adalah ancaman besar yang dapat menghancurkan informasi atau
akses tanpa izin. COBIT 5 DSS05.01 yang mendaftar perlindungan
malware

sebagai

salah

satu

kunci

keamanan

yang

efektif

merekomendasikan:
1. Edukasi kesadaran perangkat lunak jahat.
2. Pemasangan alat anti-malware pada seluruh perangkat.
3. Manajemen terpusat atas sejumlah patch dan memperbaharui
perangkat lunak anti-malware
4. Tinjauan teratur atas ancaman malware baru
5. Menyaring lalu lintas masuk untuk mengeblok sumber malware
potensial
6. Melatih pegawai

untuk

tidak

memasang

perangkat

yang

dibagikan atau tidak disetujui.

2.3.5

Pengendalian Akses Jaringan (Network

Access Controls)

12

Pengendalian untuk Keamanan Informasi

Pertahanan

Perimeter

Router,

Firewall

dan

Sistem Pencegahan Gangguan


Sebuah

perangkat

yang

disebut

dengan

border

router

menghubungkan sistem informasi sebuah organisasi ke internet.


Dibalik border router terdapat firewall utama, yang dapat
menjadi perangkat keras bertujuan khusus atau perangkat lunak
yang bekerja pada sebuah komputer bertujuan umum yang
mengendalikan baik komunikasi masuk maupun keluar antara
sistem di balik firewall dan jaringan lainnya.
Demilitarized zone (DMZ) adalah sebuah jaringan terpisah
yang

berada

mengizinkan

di
akses

luar

sistem

yang

informasi

dikendalikan

dari

organisasi

serta

internet

untuk

memilih sumber daya. Secara bersamaan, border router dan


firewall bertindak sebagai penyaring untuk mengendalikan
informasi apa yang diizinkan untuk masuk dan keluar dari sistem
informasi organisasi.

Tinjauan menyeluruh TCP/IP dan Ethernet


Saat kita mengirimkan sebuah file, file dipecah ke dalam seri-seri
potongan kecil yang dikirim secara individu dan disusun ulang
selama pengiriman. Setiap jaringan area lokal menggunakan
Ethernet untuk mentransmisikan informasi dalam paket-paket
dengan ukuran maksimum 1.440 bit.
Meski demikian, kebanyakan file berukuran lebih besar dari 1 MB,
sehingga sejumlah file dibagi ke dalam ribuan paket. Masing-masing
paket harus dilabeli dengan tepat agar seluruh file dapat disusun
ulang dengan benar sesuai tujuan.
Informasi yang dikerjakan adalah informasi yang dimuat pada
header Transmission Control Protocol (TCP), Internet Protocol (IP), dan
Ethernet. Header TCP berisi bidang-bidang yang merinci posisi
berurutan dari paket yang berkaitan dengan keseluruhan file dan port

13

Pengendalian untuk Keamanan Informasi

number

(alamat)

pada

perangkat-perangkat

pengiriman

dan

penerimaan dari asal file hingga ke mana file disusun kembali.


Header IP berisi bidang-bidang yang merinci alamat jaringan
(alamat IP) dari perangkat pengiriman dan penerimaan. Router adalah
perangkat bertujuan khusus yang didesain untuk membaca bagian
alamat sumber dan tujuan pada header paket IP untuk memutuskan
kemana akan mengirim (rute) paket selanjutnya. Header Ethernet
berisi alamat MAC perangkat pengiriman dan penerimaan yang
digunakan untuk mengendalikan aliran lalu lintas pada local area
network (LAN).
Contoh Arsitektur Jaringan Keorganisasian

Mengendalikan Akses dengan Paket Penyaringan


Border router dan firewall utama organisasi menggunakan
seperangkat aturan IF-THEN, disebut access control list (ACL) yang

14

Pengendalian untuk Keamanan Informasi

digunakan untuk menentukan tindakan yang dilakukan pada paket


yang tiba. Penyaringan paket (packet filtering) yaitu sebuah proses
yang menggunakan berbagai bagian pada header IP dan TCP paket
untuk memutuskan tindakan yang dilakukan pada paket.
Kemudian, dilakukan pemeriksaan data fisik sebuah paket TCP
untuk mengendalikan lalu lintas yang disebut deep packet inspection.
Pada saat router dan firewall memeriksa paket individu, sistem
pencegah

gangguan

(intrusion

prevention

system-IPS)

jaringan

mengawasi pola-pola pada arus lalu lintas untuk mengidentifikasi dan


mengeblok serangan secara otomatis.

Menggunakan Defense-in-Depth untuk Membatasi


Akses Jaringan

Salah satu dimensi dari konsep defense-in-depth adalah penggunakan


multi-firewall

internal

untuk

membuat

segmentasi

departemen

berbeda di dalam organisasi. Firewall internal membantu untuk


mempersempit jenis data dan porsi sistem informasi sebuah organisasi
yang dapat diakses seorang pegawai tertentu. Hal ini tidak hanya
meningkatkan keamanan, tetapi juga memperkuat pengendalian
internal dengan menyediakan sebuah sarana untuk melaksanakan
pemisahan tugas.

Mengamankan Koneksi Dial-Up


Remote Aunthetication Dial-in User Service (RADIUS) adalah sebuah
metode

standar

untuk

memverifikasi

identitas

pengguna

yang

berupaya untuk terhubung melalui akses dial-in. Selain itu, sebuah


modem yang tidak diotorisasi (rogue) terhubung pada stasiun kerja
desktop seorang pegawai dapat menciptakan pintu belakang yang
sering kali dapat diserang karena sebuah sistem yang tidak terlindungi
dengan

baik.

Cara

untuk

mengatasinya

adalah

menggunakan

perangkat lunak war dialing untuk menghubungi setiap nomor telepon


yang ditentukan oleh organisasi guna mengidentifikasi nomor yang
terhubung dengan modem.

15

Pengendalian untuk Keamanan Informasi

Mengamankan Akses Nirkabel


Prosedur yang yang perlu diikuti untuk mengamankan akses nirkabel
secara memadai adalah sebagai berikut :
a. Menyalakan fitur keamanan yang tersedia.
b. Membuktikan keabsahan seluruh perangkat yang digunakan
sebelum menentukan sebuah alamat IP untuk mereka.
c. Mengatur seluruh perangkat nirkabel agar hanya agar hanya
beroperasi pada modus infrastuktur yang memaksa perangkat
untuk hanya terhubung ke titik akses nirkabel.
d. Menggunakan nama yang noninformatif sebagai alamat titik
akses yang disebut dengan service set identifier (SSID).
e. Mengurangi kekuatan publikasi dari titik akses nirkabel.
f. Mengenkripsi seluruh lalu lintas nirkabel.
Terakhir, seperti halnya kasus modem, lebih mudah dan murah bagi
para pegawai untuk membangun titik akses nirkabel tanpa izin di
kantor mereka. Oleh karena itu, staf keamanan informasi atau audit
internal secara periodik harus menguji keberadaan titik akses nirkabel
rogue, mematikan yang ditemukan, dan secara tepat mendisiplinkan
para pegawai yang bertanggung jawab atas pe-masangannya.

2.3.6 Pengendalian Pengukuhan Peralatan dan


Perangkat Lunak (Device and Software
Hardening Controls)
Konfigurasi Endpoint
Endpoint merupakan istilah kolektif untuk stasiun kerja,
server, printer, dan perangkat lain yang meliputi jaringan
organsasi.

Endpoint

dapat

dibuat

lebih

aman

dengan

memodifikasi konfigurasinya. Setiap program yang berjalan


menunjukkan titik serangan potensial karena ia kemungkinan
memiliki kerusakan, disebut kerentanan (vulnerability) yang
dapat dimanfaatkan baik untuk merusak sistem maupun
mengambil kendalinya.

16

Pengendalian untuk Keamanan Informasi

Oleh karena itu, setiap program dan fitur opsional yang tidak
digunakan seharusnya dimatikan. Alat-alat yang disebut pemindai
kerentanan (vulnerabilities scanners) dapat digunakan untuk
mengidentifikasi program yang tidak digunakan, sehingga tidak
memerlukan program yang menunjukkan ancaman keamanan
potensial.
Proses

memodifikasi

konfigurasi

dasar

endpoint

untuk

mengeliminasi pengaturan dan layanan yang tidak diperlukan


disebut

pengukuhan

(hardening).

Sebagai

tambahan

untuk

pengukuhan, setiap endpoint perlu menjalankan perangkat lunak


antivirus dan firewall yang diperbarui secara teratur. Pengukuhan
tersebut juga diperlukan untuk memasang perangkat lunak
pencegahan gangguan langsung pada endpoint untuk mencegah
upaya

tanpa

izin

guna

mengubah

konfigurasi

pengukuhan

perangkat.

Manajemen Akun Pengguna


Praktik manajemen COBIT 5 DSS05.04 menekankan kebutuhan
untuk

secara

terutama

hati-hati

akun-akun

mengelola
yang

seluruh

memiliki

hak

akun
tak

pengguna,
terbatas

(administratif) pada komputer. Hak administratif dibutuhkan untuk


memasang perangkat lunak dan mengubah sebagian besar
pengaturan konfigurasi.

Desain Perangkat Lunak


Teknik-teknik pemrograman yang buruk memngaruhi tidak hanya
kode ciptaan secara internal, tetapi juga perangkat lunak yang
dibeli dari pihak ketiga. Oleh karena itu, salah satu bagian dari
kerangka COBIT 5 menspesifikasikan kebutuhan untuk mendesain
keamanan secara cermat.

2.3.7
17

Solusi TI: Enkripsi


Pengendalian untuk Keamanan Informasi

Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk


mencegah akses tanpa izin terhadap informasi sensitif.

2.3.8 Keamanan Fisik: Pengendalian Akses


Sudah menjadi hal yang mendasar untuk mengendalikan
akses fisik terhadap sumber daya informasi. Seorang penyerang
yang ahli hanya membutuhkan beberapa menit untuk akses fisik
langsung tanpa pengawasan untuk menembus

pengendalian

keamanan informasi yang ada. Seseorang dengan akses fisik yang


tak terawasi juga dapat menyusupkan disk boot khusus yang
memberikan akses langsung terhadap setiap file di komputer dan
kemudian menyalin sejumlah file sensitif ke sebuah perangkat
portabel seperti USB port atau iPod. Cara lainnya, seorang
penyerang dengan akses fisik tak terawasi dapat dengan mudah
memindahkan hard drive atau bahkan mencuri seluruh komputer.
COBIT 5 DSS05.05 menjelaskan praktik-praktik terbaik mengenai
pengendalian akses fisik.
Pengendalian akses fisik dimulai dari pintu masuk ke dalam
gedung itu sendiri. Segera setelah masuk ke dalam gedung, akses
fisik pada ruangan-ruangan yang menyimpan komputer juga harus
dibatasi. Ruangan-ruangan tersebut harus dikunci secara aman
dan seluruh pintu masuk/keluar diawasi dengan sistem CCTV.
Setelan rumit khusus dari pengendalian akses fisik disebut sebagai
jebakan manusia
penggunaan

(man-trap), yaitu teknik yang melibatkan

ruangan-ruangan

yang

didesain

secara

khusus.

Ruangan-ruangan ini biasanya memiliki dua pintu, masing-masing


pintu

menggunakan

berbagai

metode

autentikasi

untuk

mengendalikan akses.
Akses terhadap wiring yang digunakan dalam LAN organisasi
juga perlu dibatasi untuk mencegah wiretapping. Lemari wiring
yang berisi perlengkapan telekomunikasi perlu dikunci dengan
aman. Stop kontak tembok yang sedang tidak digunakan harus

18

Pengendalian untuk Keamanan Informasi

diputus koneksinya secara fisik dari jaringan, untuk mencegah


seseorang menancapkannya ke laptop dan berupaya mengakses
jaringan. Idealnya, para pegawai sebaiknya tidak menyimpan
segala informasi sensitif didalam laptop atau perangkat pribadi
lainnya.
Jika informasi keorganisasian sensitif harus disimpan di dalam
laptop

atau

perangkat

portabel,

informasi

tersebut

harus

dienkripsi, sehingga jika perangkat hilang atau dicuri informasi


tidak akan bisa diakses. Selain itu, praktik-praktik manajemen
COBIT 5 DSS05.06 menekankan pentingnya pembatasan aksesakses fisik ke jaringan printer karena printer sering kali menyimpan
gambar-gambar dokumen dalam hard drive-nya.
Terakhir, cara yang sangat memungkinkan untuk mencapai
defense-in-depth adalah mengintegrasikan sistem pengendalian
akses fisik dan akses jarak jauh. Hal tersebut akan mengidentifikasi
kondisi yang menunjukkan adanya penerobosan keamanan, seperti
ketika seorang pengguna yang semestinya di dalam kantor secara
terus-menerus mencoba untuk masuk ke dalam sistem secara
jarak jauh dari lokasi lain yang jaraknya jauh secara geografis.

2.3.9 Pengendalian

Perubahan

dan

Manajemen

Perubahan
Pengendalian perubahan dan manajemen perubahan adalah proses
formal yang digunakan untuk memastikan bahwa modifikasi pada
perangkat

keras,

perangkat

lunak,

atau

pada

proses

tidak

mengurangi keandalan sistem. Beberapa karakteristik proses


pengendalian

perubahan

dan

manajemen

perubahan

yang

didesain dengan baik melibatkan:


Dokumentasi
pengidentifikasian

seluruh
sifat

permintaan
perubahan,

perubahan,
rasionalitasnya,

tanggal permintaan, dan hasil permintaan.

19

Pengendalian untuk Keamanan Informasi

Persutujan

terdokumentasi

atas

seluruh

permintaan

perubahan dilakukan oleh tingkat manajemen yang sesuai.


Pengujian seluruh perubahan menggunakan sebuah sistem
yang terpisah, bukan hanyayang digunakan untuk proses
bisnis harian.
Pengendalian konversi memastikan memastikan bahwa
data ditransfer secara akurat dan lengkap daei sistem
lama ke sistem baru. Para auditor internal harus meninjau
proses konversi.
Pembaruan seluruh
deskripsi

sistem,

dokumentasi
manual

(instruksi

prosedur,

program,

dsb.)

untuk

menunjukkan implementasi perubahan terbaru.


Sebuah proses khusus untuk peninjauan, persetujuan, dan
dokumentasi secara tepat waktu atas perubahan darurat
segera setelah krisis terjadi.
Pengembangan dan dokumentasi rencana mundur untuk
mempermudah pengembalian ke konfigurasi sebelumnya
jika perubahan baru dapat menciptakan masalah yang
tidak diharapkan.
Pengawasan dan peninjauan dengan cermat atas hak dan
keistimewaan pengguna selama proses perubahan untuk
memastikan bahwa pemisahan tugas yang sesuai telah
ditetapkan.

2.4 Pengendalian Detektif


2.4.1 Analisis Log
Analisis log (log analysis) adalah proses pemeriksaan log
untuk

mengidentifikasi

bukti

kemungkinan

serangan.

Catatan log dibuat secara rutin kapan saja sesuai terjadinya


peristiwa. Log-log tersebut juga perlu dianalisis secara
teratur untuk mendeteksi masalah secara tepat waktu. Hal
ini tentunya memerlukan pertimbangan manusia untuk
mengartikan laporan dan mengidentifikasi situasi yang tidak
normal.

20

Pengendalian untuk Keamanan Informasi

2.4.2

Sistem Deteksi Gangguan

Sistem deteksi gangguan (intrusion detection system-IDS)


adalah sebuah sistem jaringan terdiri atas satu set sensor
dan unit pengawasan pusat (central monitoring unit) yang
menghasilkan log dari seluruh lalu lintas yang diizinkan
untuk melewati firewall dan kemudian menganalisis log-log
tersebut sebagai tanda atas gangguan yang diupayakan
atau yang berhasil dilakukan.

2.4.3

Pengujian Penetrasi

Uji penetrasi (penetration test) adalah upaya terotorisasi


oleh baik tim audit internal maupun kantor konsultasi
keamanan eksternal untuk menerobos kedalam sistem
informasi organisasi.

2.4.4

Pengawasan Berkelanjutan

Praktik

manajemen

pengawasan

COBIT

berkelanjutan

menekankan

dan

pentingnya

kepatuhan

pegawai

terhadap kebijakan keamanan informasi organisasi serta


kinerja keseluruhan proses bisnis. Pengawasan tersebut
merupakan

pengendalian

detektif

penting

untuk

mengidentifikasi masalah potensial secara tepat waktu.

2.5 Pengendalian Korektif


2.5.1 Computer Incident Response Team (CIRT)
Sebuah komponen utama agar mampu merespons insiden
keamanan dengan tepat dan efektif adalah tim perespons
insiden komputer (computer incident response team CIRT).
Sebuah CIRT harus mengarahkan proses respons insiden
organisasi melalui empat tahapan berikut:
1. Pemberitahuan

(recognition)

adanya

sebuah

masalah.

Biasanya, ini terjadi ketika sebuah IPS dan IDS memberi


sinyal, tetapi juga dapat berasal dari hasil analisis log yang
dilakukan oleh administrator sistem.

21

Pengendalian untuk Keamanan Informasi

2. Penahanan

(containment)

masalah.

Segera

setelah

gangguan terdeteksi, tindakan yang tepat diperlukan untuk


menghentikan gangguan dan menahan bahaya.
3. Pemulihan

(recovery).

serangan

harus

Bahaya

yang

diperbaiki

disebabkan

dengan

oleh

melibatkan

penyimpanan ulang data dari backup serta pemasangan


ulang program-program yang rusak.
4. Tindak lanjut (follow up). CIRT harus memimpin analisis
bagaimana insiden terjadi. Keputusan penting yang perlu
dibuat

adalah

menangkap

apakah

dan

akan

menghukum

mengupayakan
pelaku

untuk

perusakan.

Jika

organisasi memutuskan bahwa ia ingin menuntut pelaku,


perusahaan

perlu

melibatkan

pakar

forensik

untuk

memastikan bahwa seluruh bukti dapat dikumpulkan dan


dikelola dengan cara yang membuatnya dapat diterima
secara administratif di pengadilan.

2.5.2
Posisi

Chief Information Security Officer (CISO)


CISO

harus

independen

dari

fungsi-fungsi

sistem

informasi lainnya serta harus melapor baik ke chief executive


officer (CEO) maupun chief information officer (CIO) untuk
mendesain, mengimplementasi, serta membangun kebijakan
dan prosedur keamanan yang baik. Oleh karena itu, CISO
harus memiliki tanggung jawab untuk memastikan bahwa
penilaian kerentanan dan risiko dilakukan secara teratur serta
audit keamanan dilakukan secara periodik. CISO juga perlu
bekerja sama dengan pihak yang berwenang atas keamanan
fisik, karena akses fisik tanpa izin dapat memungkinkan
penyusup untuk menerobos pengendalian akses logis yang
paling rumit.

2.5.3

Manajemen Patch

Peningkatan terus-menerus atas ukuran dan kompleksitas


program perangkat lunak memuat sejumlah kerentanan.Oleh

22

Pengendalian untuk Keamanan Informasi

karena itu, setelah sebuah kerentanan teridentifikasi, penting


untuk mengambil langkah secara tepat waktu sebelum sebuah
exploit muncul, yaitu sebuah program yang didesain untuk
memanfaatkan adanya kerentanan yang terdeteksi. Patch
adalah kode yang dirilis pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah
proses

untuk

memperbarui

secara

teratur

perangkat

lunak

menerapkan
yang

patch

digunakan

dan
oleh

organisasi.

2.6 Implikasi Keamanan Virtualisasi dan


Cloud
Virtualisasi memanfaatkan kekuatan dan kecepatan komputer
modern untuk menjalankan berbagai sistem secara bersamaan pada
satu komputer fisik. Hal ini memotong biaya perangkat keras karena
semakin

sedikit

server

yang

perlu

dibeli.

Komputasi

cloud

memanfaatkan high bandwidth dari jaringan telekomunikasi global


modern agar memungkinkan para pegawai menggunakan sebuah
browser

untuk

mengakses

perangkat

lunak

dari

jarak

jauh,

perangkat penyimpan data, dan seluruh lingkungan aplikasi.


Virtualisasi dan komputasi cloud dapat memiliki baik efek
positif maupun negatif pada keseluruhan tingkatan keamanan
informasi, tergantung pada sebaik apa organisasi atau penyedia
cloud mengimplementasikan berbagai lapisan dari pengendalian
preventif, detektif, dan korektif.

2.7 Kasus Integratif : Northwest Industries


Penugasan

Jason

Scott

selanjutnya

adalah

untuk

meninjau

pengendalian internal pada sistem informasi Northwest Industries.


Jason mendapatkan sebuah salinan dari Control Objectives for
Information and Related Technology 5 (COBIT 5) dan terkesan dengan

23

Pengendalian untuk Keamanan Informasi

ketelitiannya. Meski demikian, ia memberi tahu temannya bahwa ia


merasa kewalahan untuk mencoba menggunakan COBIT 5 dalam
merencanakan

auditnya

di

Northwest

Industries.

Temannya

menyarankan agar ia memeriksa Trust Service Framework yang


dikembangkan secara bersamaan oleh American Institute of Certified
Public Acccountant (AICPA) dan Canadian Institute of Chartered
Accountants (CICA) untuk memandu para auditor dalam menilai
keandalan sistem informasi sebuah perusahaan. Setelah meninjau
kerangka

tersebut,

Jason

menyimpulkan

bahwa

ia

dapat

menggunakannya sebagai panduan upaya auditnya. Ia memutuskan


bahwa ia akan memulainya dengan berfokus pada pengendalian
yang

didesain

untuk

memberikan

jaminan

memadai

tentang

keamanan informasi.
1. Pengendalian apa yang Northwest Industries gunakan untuk
mencegah akses tanpa izin ke sistem akuntansinya ?
Northwest

Industries

menggunakan

berbagai

bentuk

pengendalian preventif. Salah satunya adalah menciptakan buaya


sadar

keamanan

yang

mengharuskan

para

pegawai

untuk

mengikuti seminar isu keamanan terkini setiap bulannya.


2. Bagaimana keberhasilan dan kegagalan upaya perusakan sistem
akuntansi perusahaan dapat terdeteksi secara tepat waktu ?
Northwest Industries menggunakan kombinasi pengendalian
detektif dan korektif yang akan memungkinkan perusahaan untuk
mendeteksi serta merespon serangan dalam waktu yang lebih
singkat

dari

yang

dibutuhkan

penyusup

untuk

membobol

pengendalian preventif dan berhasil menyerang sistem.


3. Prosedur apa saja yang dijalankan untuk merespons peristiwaperistiwa tentang keamanan ?
Akses fisik ke kantor perusahaan dibatasi oleh satu pintu
masuk utama yang dijaga sepanjang waktu oleh penjaga
keamanan.

24

Pengendalian untuk Keamanan Informasi

Seluruh pengunjung harus mendaftar ke meja keamanan dan


dikawal sepanjang waktu oleh seorang pegawai.
Akses terhadap ruangan-ruangan yang dilengkapi peralatan
komputasi memerlukan penyisipan badge pegawai di dalam
pembaca kartu dan memasukkan PIN ke dalam kunci keypad
di pintu.
Pengendalian akses jarak jauh meliputi firewall utama yang
melakukan penyaringan paket dan sebuah firewall aplikasi
situs yang menggunakan deep packet inspection untuk
menyaring seluruh lalu lintas yang menuju server web.
Terdapat firewall internal tambahan yang memisahkan fungsi
bisnis yang berbeda satu sama lain.
Staf keamanan informasi secara teratur memindai seluruh
perlengkapan terkait masalah kerentanan serta memastikan
bahwa setiap stasiun kerja pegawai menjalankan versi terbaru
dari perangkat lunak antivirus dan firewall perusahaan.
Perusahaan menggunakan sistem pendeteksi gangguan
(intrusion detection system)
Manajemen puncak menerima

laporan

bulanan

atas

efektivitas keamanan sistem.

BAB 3
KESIMPULAN
3.1 Kesimpulan

25

Pengendalian untuk Keamanan Informasi

Ada tiga bentuk pengendalian untuk keamanan informasi yaitu


pengendalian preventif, pengendalian detektif, dan pengendalian
korektif. Pengendalian preventif terdiri dari penciptaan budaya
sadar-keamanan, pelatihan, pengendalian akses pengguna yang
terbagi

menjadi

pengendalian

autentikasi

dan

pengendalian

otorisasi, pengendalian antimalware, pengendalian akses jaringan,


pengendalian pengukuhan peralatan dan perangkat lunak, enkripsi,
pengendalian akses serta pengendalian perubahan dan manajemen
perubahan. Pengendalian detektif terbagi menjadi empat jenis yaitu
analisis log, sistem deteksi gangguan, pengujian penetrasi, dan
pengawasan berkelanjutan. Pengendalian korektif terdiri dari tiga
komponen yaitu Computer Incident Response Team (CIRT), Chief
Information

Security

Officer

(CISO),

dan

penerapan

sistem

manajemen patch.

DAFTAR PUSTAKA

Romney, Marshall B dan Paul John Steinbart. 2014. Sistem Informasi


Akuntansi Edisi 13. Jakarta: Salemba Empat.

26

Pengendalian untuk Keamanan Informasi