PENDAHULUAN
Pada makalah ini, akan membahas seputar prinsip-prinsip dari Trust Services
Framework yang dikembangkan secara bersamaan oleh AICPA dan CICA untuk
menyediakan panduan penilaian keandalan sistem informasi. Di dalam makalah ini juga
akan direferensikan bagian-bagian yang relevan dari COBIT 5 yang berkaitan dengan
masing-masing topik. COBIT 5 merupakan sebuah kerangka komperehensif dari praktik-
praktik terbaik terkait keseluruhan aspek dari tata kelola dan manajemen TI.
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan
data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive
(seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok,
atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,
lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
1
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
I.III Tujuan
BAB II
2
PEMBAHASAN
Model ini ditunjukan dengan formula dengan menggunakan 3 variable sebagai berikut:
3
P = Waktu yang diperlukan seorang penyerang untuk menerobos pengendalian
preventif organisasi
D = Waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam
proses
C = Waktu yang diperlukan untuk merespons serangan dan mengambil tindakan
korektif
jika P > D + C , Maka prosedur keamanan organisassi efektif dan jika sebaliknya maka
pengendalian tidaklah efektif.
4. Penelitian (Research)
Melakukan penelitian untuk menemukan kerentanan yang terdeteksi pada
program-program tersebut serta mempelajari bagaimana memanfaatkan kerentanan
tersebut.
4
5. Mengeksekusi Serangan (excute the attack)
Penyerang memanfaatkan kerentanan untuk mendapatkan akses tanpa izin
terhadap sistem informasi target.
6. Menutupi jejak (cover tracks)
Setelah memasuki sistem informasi pengguna, sebagain besar penyerang
berupaya untuk menutupi jejak mereka dan menciptakan “pintu belakang” yang dapat
mereka gunakan untuk mendapatkan akses jika serangan awal mereka diketahui dan
pengendalian diimplementasikan untuk mengeblok metode entri tersebut.
2. Orang–orang : Pelatihan
Para pegawai harus memahami cara untuk mengikuti kebijakan keamanan
organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang
kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran –ukuran keamanan
bagi kebertahanan jangka panjang organisasi serta dilatih untuk mengikuti praktik-
praktik komputasi yang aman.
5
3. Proses : Pengendalian Akses Pengguna
Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk
melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang
dilakukan oleh pegawai. Untuk mencapai tujuan tersebut maka praktik manajemen
COBIT 5 menekankan perlunya pengendalian untuk mengelola identitas penggunaan
dan akses logis, sehingga memungkinkan identifikasi secara khusus siapa saja yang
mengakses sistem informasi organisasi serta melacak tindakan yang mereka lakukan.
Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu pengendalian autentikasi
dan pengendalian otorisasi.
- Pengendalian Autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya
pengguna sah yang dapat mengakses sistem.
Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang:
a. Sesuatu yang mereka ketahui, seperti kata sandi atau PIN
b. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID
c. Beberapa karakteristik atau prilaku (pengidentifikasi biometri seperti sidik jari
atau pola tulisan.
- Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap
bagain spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan
untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap
pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat
6
f. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau
tidak disetujui.
5. Solusi TI : Pengendalian Akses Jaringan
Sebuah pengendalian dimana beberapa organisasi masih mempertahankan
pengelolaan jaringan hak milik mereka sendiri dengan menyediakan dial up langsung
melalui modem, dan tidak menggunakan jaringan internet.
6. Pertahanan Perimeter : router, firewall, dan sistem pencegahan gangguan
Border router adalah sebuah perangkat yang menghubungakan sistem informasi
organisasi ke internet. Dibalik border router terdapat firewall utama yang menjadi
perangkat keras yang bertujuan khusus. Firewall adalah perangkat lunak yang
berkerja pada sebuah komputer yang bertujuan umum yang mengendalikan baik
komunikasi masuk ataupun keluar antara sistem dibalik firewall dan jaringan lainnya.
Demilitarized Zone (DMZ) adalah sebuah jaringan terpisah yang berada diluar sistem
informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet .
Secara bersamaan border router dan firewall bertindak sebagai penyaring untuk
mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari sistem
informasi organisasi.
7. Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet
Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer,
seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan kasus file di pecah
ke dalam seri – seri potongan kecil yang dikirim secara individu dan disusun ulang
selama pengiriman. Informasi yang dikerjakan adalah informasi yang dimuat pada
Header Transmission Control Protocol (TCP), Internet Protocol (IP) dan Ethernet.
Header TCP berisi bidang-bidang yang merinci posisi berurutan dari
paket yang berkaitan dengan keseluruhan file dan port number pada perangkat-
perangkat pengiriman dan penerimaan dari asal file hingga ke mana file disusun
kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan dari perangkat
pengiriman dan penerimaan.
8. Mengendalikan Akses dengan Paket Penyaringan
Organisasi memiliki satu border router atau lebih yang menghubungkan
jaringan internal mereka ke penyedia layanan internet. Border router dan firewall
utama organisasi menggunakan seperangkat aturan IF-THEN yang disebut Access
7
control list (ACL). ACL digunakan untuk menentukan tindakan yang dilakukan pada
paket yang tiba. Penyaringan paket adalah sebuah proses yang menggunakan berbagai
bagian pada header IP dan TCP Paket untuk memutuskan tindakan yang dilakukan.
9. Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan
Salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall
internal untuk membuat segmentasi department berbeda didalam organisasi. Firewall
internal membantu untuk mempersempit jenis data dan porsi sistem informasi sebuah
organisasi yang dapat diakses seorang pegawai tertentu. Hal ini tidak hanya
meningkatkan keamanan namun juga memperkuat pengendalian internal dengan
menyediakan sebuah sarana untuk melaksanakan pemisahan tugas.
10. Mengamankan Koneksi Dial-Up
Penting untuk memverifikasi identitas pengguna yang berupaya untuk
mendapatkan akses dial-in yaitu dengan cara Remote Authentication Dial-In User
Service (RADIUS). RADIUS adalah sebuah metode standar untuk memverifikasi
identitas pengguna yang berupaya untuk terhubung melalui akses dial-in, sehingga
hanya pengguna yang telah terverifikasi sajalah yang dapat mengakses jaringan
internal perusahaan.
11. Mengamankan Akses Nirkabel
Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara
memadai adalah (1) Menyalakan fitur keamanan yang tersedia, (2) Membuktikan
keabsahan seluruh perangkat yang digunakan untuk menetapkan akses nirkabel ke
jaringan sebelum menentukan sebuah alamat IP untuk mereka, (3) Mengatur seluruh
perangkat nirkabel terotorisasi agar hanya beroperasi pada modus infrastruktur yang
memaksa perangkat untuk hanya terhubung ke titik akses nirkabel, (4) Menggunakan
nama yang noninformatif sebagai alamat titik akses yang disebut dengan service set
identifier (SSID), (5) Mengurangi kekuatan publikasi dari titik akses nirkabel,
menempatkannya pada interior gedung, dan menggunakan antena pengarahan untuk
membuat penerimaan lokal tanpa izin menjadi lebih sulit, (6) Mengenkripsi seluruh
lalu lintas nirkabel.
12. Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak
8
Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server,
printer, dan perangkat lain yang meliputi jaringan organisasi.) yang berhak
mendapatkan perhatian lebih menurut COBIT 5 DSS05.03:
a. Konfigurasi endpoint >> endpoint dapat dibuat lebih aman dengan memodifikasi
konfigurasinya
b. Manajemen akun pengguna >> akun pengguna harus dikelola secara hati-hati,
terutama akun-akun yang memiliki hak tak terbatas (administratif) pada komputer.
Oleh karena itu, para pegawai yang memerlukan kewenanagan administratif untuk
sebuah komputer khusus harus diberikan dua akun; 1 dengan hak administratif dan
akun lainnya hanya memiliki keistimewaan terbatas
c. Desain perangkat lunak >> limpahan buffer, injeksi SQL, dan cross-site scripting
adalah contoh umum dari serangan-serangan terhadap perangkat lunak, sehingga
perlu menspesifikasikan kebutuhan untuk mendesain keamanan secara cermat ke
dalam seluruh aplikasi baru.
11
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara
teratur menerapkan patch dan memperbaharui seluruh perangkat lunak yang
digunakan oleh organisasi. Sejumlah patch merepresentasikan modifikasi perangkat
lunak yang sungguh rumit. Akibatnya patch terkadang menciptakan masalah baru
karena dampak lain yang tidak diantisipasi. Oleh karena itu organisasi perlu menguji
dengan cermat efek dari patch sebelum menyebarkannya
12
BAB III
PENUTUP
III.I Kesimpulan
Keamanan informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukuran
teknis yang digunakan untuk mencegah akses yang tidak sah, program, pencurian
terhadap sistem informasi.
Dua konsep keamanan informasi fudamental : (1) Keamanan merupakan masalah
manajemen bukan hanya masalah teknologi, (2) deffense-in-depth dan Model
keamanan informasi berbasis waktu
Langkah-langkah untuk memahami serangan yang ditargetkan yaitu Melakukan
Pengintaian
(conduct reconnaissance), Mengupayakan rekayasa sosial
(attempt social engineering), Memindai dan Memetakan target
(scan and map the target), Penelitian (Research), Mengeksekusi Serangan (excute the
attack)
Menutupi jejak (cover tracks).
Pengendalian Preventif : Digunakan organisasi secara umum untuk membatasi akses
terhadap sumber daya informasi.
Hal-hal yang harus dilakukan dalam pengendalian preventif adalah komponen orang
yang paling penting, pengendalian akses pengguna, pengendalian antimalware,
pertahanan perimeter, keamanan fisik : pengendalian akses
Pengendalian Detektif Salah satu praktik manajemen COBIT 5 DSS05.07 menjelaskan
aktivitas-aktivitas yang juga dibutuhkan organisasi untuk memungkinkan deteksi
gangguan dan masalah secara tepat waktu.
Jenis-Jenis Pengendalian Detektif : Analisa Log, Sistem Deteksi Gangguan, Pengujian
Penetrasi, Pengawasan Berkelanjutan
Pengendalian Korektif : Mengidentifikasi dan memperbaiki masalah serta
memperbaiki dan memulihkannya dari kesalahan yang dihasilkan
Tiga pengendalian korektif yaitu : (1) Pembentukan sebuah tim perespons insiden
komputer (computer incident response team -CIRT), (2) Pendesainan individu khusus,
Chief Information Security Officer (CISO) dengan tanggung jawab luas atas keamanan
informasi, dan (3) Manajemen Patch.
13