BAB I

PENDAHULUAN

I.I Latar Belakang

Saat ini setiap organisasi bergantung pada teknologi informasi (TI-information technology).
Banyak juga organisasi yang setidaknya memindahkan sebagian dari sistem informasinya ke cloud.
Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh sistem akuntansi milik
perusahaan adalah reliable serta keandalan penyedia layanan cloud dengan rekan kontraknya.
Selain itu, manajemen juga menginginkan jaminan bahwa organisasi patuh terhadap
susunan pperaturan dan ketentuan industri yang terus berkembang termasuk Sarbanes–
Oxley (SOX), Health Insurance Portability And Accountability Act (HIPAA), dan
Payment Card Industry Data Security Standards (PCI-DSS).

Pada makalah ini, akan membahas seputar prinsip-prinsip dari Trust Services
Framework yang dikembangkan secara bersamaan oleh AICPA dan CICA untuk
menyediakan panduan penilaian keandalan sistem informasi. Di dalam makalah ini juga
akan direferensikan bagian-bagian yang relevan dari COBIT 5 yang berkaitan dengan
masing-masing topik. COBIT 5 merupakan sebuah kerangka komperehensif dari praktik-
praktik terbaik terkait keseluruhan aspek dari tata kelola dan manajemen TI.

Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang

berkontribusi secara bersamaan terhadap keandalan sistem :

1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan
data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive
(seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok,
atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,
lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.

1
 5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.

Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk

mencapai masing-masing dari empat prinsip lainnya. Prosedur keamanan informasi
membatasi akses ke sistem hanya untuk pengguna yang terotorisasi, sehingga melindungi
kerahasiaan data keorganisasian yang sensitif dan privasi atas informasi pribadi yang
dikumpulkan dari pelanggan. Selain itu, prosedur keamanan melindungi integritas
informasi dengan mencegah terjadinya transaksi tanpa ijin atau fiktif serta memberikan
perlindungan terhadap berbagai serangan termasuk virus dan worm.

I.II Rumusan Masalah

1.Bagaimana keamanan informasi mempengaruhi keandalan sistem informasi?

2.Bagaimana sebuah kombinasi dari pengendalian preventif, detektif, dan korektif

digunakan untuk mmberikan jaminan memadai keamanan sistem informasi sebuah
perusahaan?

I.III Tujuan

1.Mengetahui keamanan informasi mempengaruhi keandalan sistem informasi

2.Mengetahui sebuah kombinasi dari pengendalian preventif, detektif, dan korektif

digunakan untuk mmberikan jaminan memadai keamanan sistem informasi sebuah
perusahaan.

BAB II

2
 PEMBAHASAN

II.I Dua Konsep Keamanan Informasi Fundamental

1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi

Keamanan informasi yang efektif mensyaratkan penggunaan alat-alat
berteknologi seperti farewall, antivirus dan enkripsi, namun keterlibatan serta
dukungan manajemen senior juga menjadi dasar untuk keberhasilan. Para profesional
keamanan informasi harus memiliki keahilan dalam mengidentifikasi ancaman
potensial dan mengestimasikan kemungkinan serta dampaknya, dimana manajemen
senior harus mampu memilih mana dari 4 respon resiko (menurunkan, menerima,
membagi atau menghindari) yang sesuai untuk diadopsi sehingga sumber daya yang
diinvestasikan pada keamanan informasi menunjukan kebutuhan risiko organisasi.
2. Defense-In-Depth dan model keamanan informasi berbasis waktu
Defense-In-Depth adalah penggunaan berbagai lapisan pengendalian untuk
menghindari satu poin kegagalan. Contohnya penggunaan firewall yang didukung pula
dengan penggunaan metode autentikasi untuk membatasi akses terhadap sistem
informasi.
Penggunaan pengendalian yang tumpang tindih, saling melengkapi dan berulang
dapat meningkatkan keseluruhan efektivitas karena jika satu pengendalian gagal atau
terlewat maka yang lainnya dapat berfungsi seperti yang direncanakan. Konsep ini
juga merupakan kombinasi dari pengendalian preventif, detektif dan korektif. Model
keamanan berbasis waktu adalah menggunakan kombinasi perlindungan preventif,
detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan
organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil
langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak.

Model ini ditunjukan dengan formula dengan menggunakan 3 variable sebagai berikut:

3
 P = Waktu yang diperlukan seorang penyerang untuk menerobos pengendalian
preventif organisasi
D = Waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam
proses
C = Waktu yang diperlukan untuk merespons serangan dan mengambil tindakan
korektif
jika P > D + C , Maka prosedur keamanan organisassi efektif dan jika sebaliknya maka
pengendalian tidaklah efektif.

II.II Memahami Serangan Yang Ditargetkan

Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem
informasi suatu Perusahaan:
1. Melakukan Pengintaian (conduct reconnaissance)
Para perampok mempelajari tata ruang fsik target mereka untuk memahami
pengendalian yang dimiliki oleh tempat tersebut. Tujuan pengintaian awal adalah
untuk mempelajari sebanyak mungkin tentang target serta mengidentifikasikan
kerentanan potensial.
2. Mengupayakan rekayasa sosial (attempt social engineering)
Penyerang biasanya mencoba meggunakan informasi yang didapatkan selama
pengintaian awal untuk mengelabui seorang pegawai yang tidak merasa curiga untuk
memberi akses kepada mereka. Rekayasa sosial dapat terjadi melalui banyak cara,
hanya di batasi oleh kreatifitas dan imajinasi penyerang. Biasanya melalui telepon,
email, dan menyebarkan USB Drives diarea parker suatu organisasi yang menjadi
target.
3. Memindai dan Memetakan target (scan and map the target)
Serangan dengan melakukan pengintaian terperinci untuk mengidentifikasi titik-
titik potensial entri jarak jauh. Penyerang menggunakan berbagai alat otomatis untuk
mengidentifikasi computer yang dapat dikendaliakan dari jarak jauh serta berbagai
jenis perangkat lunak yang mereka jalankan.

4. Penelitian (Research)
Melakukan penelitian untuk menemukan kerentanan yang terdeteksi pada
program-program tersebut serta mempelajari bagaimana memanfaatkan kerentanan
tersebut.
4
 5. Mengeksekusi Serangan (excute the attack)
Penyerang memanfaatkan kerentanan untuk mendapatkan akses tanpa izin
terhadap sistem informasi target.
6. Menutupi jejak (cover tracks)
Setelah memasuki sistem informasi pengguna, sebagain besar penyerang
berupaya untuk menutupi jejak mereka dan menciptakan “pintu belakang” yang dapat
mereka gunakan untuk mendapatkan akses jika serangan awal mereka diketahui dan
pengendalian diimplementasikan untuk mengeblok metode entri tersebut.

II.III Pengendalian Preventif

Bagian ini membahas pengendalian preventif yang digunakan organisasi secara
umum digunakan untuk membatasi akses terhadap sumber daya informasi. Berbagai
pengendalian preventif tersebut selaras bersamaan seperti kepingan-kepingan puzzle yang
menyediakan defense-in-depth secara kolektif. Meskipun seluruh kepingan penting,
komponen “orang-orang” yang paling penting. Manajemen harus menciptakan sebuah
budaya “sadar keamanan” dan para pegawai harus dilatih untuk mengikuti kebijakan-
kebijakan keamanan serta mempraktikkan perilaku komputasi yang aman
1. Orang-orang : penciptaan sebuah budaya “sadar keamanan”
Sesuai dengan COBIT 5 : Mengidentifikasi budaya dan etika organisasi sebagai
salah satu dari fasilitator kritis untuk keamanan informasi yang efektif. Pengendalian
ini untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi
kebijakan keorganisasian, manajemen puncak tidak hanya harus mengkomunikasikan
kebijakan keamanan organisasi, tetapi juga harus memandu dengan
mencontohkannya.

2. Orang–orang : Pelatihan
Para pegawai harus memahami cara untuk mengikuti kebijakan keamanan
organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang
kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran –ukuran keamanan
bagi kebertahanan jangka panjang organisasi serta dilatih untuk mengikuti praktik-
praktik komputasi yang aman.

5
3. Proses : Pengendalian Akses Pengguna
Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk
melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang
dilakukan oleh pegawai. Untuk mencapai tujuan tersebut maka praktik manajemen
COBIT 5 menekankan perlunya pengendalian untuk mengelola identitas penggunaan
dan akses logis, sehingga memungkinkan identifikasi secara khusus siapa saja yang
mengakses sistem informasi organisasi serta melacak tindakan yang mereka lakukan.
Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu pengendalian autentikasi
dan pengendalian otorisasi.
- Pengendalian Autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya
pengguna sah yang dapat mengakses sistem.
Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang:
a. Sesuatu yang mereka ketahui, seperti kata sandi atau PIN
b. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID
c. Beberapa karakteristik atau prilaku (pengidentifikasi biometri seperti sidik jari
atau pola tulisan.
- Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap
bagain spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan
untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap
pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat

4. Solusi TI : Pengendalian Antimalware

Malware (seperti virus, worm, perangkat lunak keystroke logging) adalah
sebuah ancaman besar. Malware dapat membahayakan atau menghancurkan
informasi atau menghasilkan sebuah cara untuk memperoleh akses tanpa izin. Berikut
cara yang direkomendasikan sebagai salah satu dari kunci keamanan untuk
perlindungan dari malware :
a. Edukasi kesadaran perangkat lunak jahat
b. Pemasangan alat perlindungan anti malware pada seluruh perangkat
c. Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak anti
malware
d. Tinjauan teratur atas ancaman malware baru
e. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial

6
 f. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau
tidak disetujui.
5. Solusi TI : Pengendalian Akses Jaringan
Sebuah pengendalian dimana beberapa organisasi masih mempertahankan
pengelolaan jaringan hak milik mereka sendiri dengan menyediakan dial up langsung
melalui modem, dan tidak menggunakan jaringan internet.
6. Pertahanan Perimeter : router, firewall, dan sistem pencegahan gangguan
Border router adalah sebuah perangkat yang menghubungakan sistem informasi
organisasi ke internet. Dibalik border router terdapat firewall utama yang menjadi
perangkat keras yang bertujuan khusus. Firewall adalah perangkat lunak yang
berkerja pada sebuah komputer yang bertujuan umum yang mengendalikan baik
komunikasi masuk ataupun keluar antara sistem dibalik firewall dan jaringan lainnya.
Demilitarized Zone (DMZ) adalah sebuah jaringan terpisah yang berada diluar sistem
informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet .
Secara bersamaan border router dan firewall bertindak sebagai penyaring untuk
mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari sistem
informasi organisasi.

7. Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet
Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer,
seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan kasus file di pecah
ke dalam seri – seri potongan kecil yang dikirim secara individu dan disusun ulang
selama pengiriman. Informasi yang dikerjakan adalah informasi yang dimuat pada
Header Transmission Control Protocol (TCP), Internet Protocol (IP) dan Ethernet.
Header TCP berisi bidang-bidang yang merinci posisi berurutan dari
paket yang berkaitan dengan keseluruhan file dan port number pada perangkat-
perangkat pengiriman dan penerimaan dari asal file hingga ke mana file disusun
kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan dari perangkat
pengiriman dan penerimaan.
8. Mengendalikan Akses dengan Paket Penyaringan
Organisasi memiliki satu border router atau lebih yang menghubungkan
jaringan internal mereka ke penyedia layanan internet. Border router dan firewall
utama organisasi menggunakan seperangkat aturan IF-THEN yang disebut Access

7
 control list (ACL). ACL digunakan untuk menentukan tindakan yang dilakukan pada
paket yang tiba. Penyaringan paket adalah sebuah proses yang menggunakan berbagai
bagian pada header IP dan TCP Paket untuk memutuskan tindakan yang dilakukan.
9. Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan
Salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall
internal untuk membuat segmentasi department berbeda didalam organisasi. Firewall
internal membantu untuk mempersempit jenis data dan porsi sistem informasi sebuah
organisasi yang dapat diakses seorang pegawai tertentu. Hal ini tidak hanya
meningkatkan keamanan namun juga memperkuat pengendalian internal dengan
menyediakan sebuah sarana untuk melaksanakan pemisahan tugas.
10. Mengamankan Koneksi Dial-Up
Penting untuk memverifikasi identitas pengguna yang berupaya untuk
mendapatkan akses dial-in yaitu dengan cara Remote Authentication Dial-In User
Service (RADIUS). RADIUS adalah sebuah metode standar untuk memverifikasi
identitas pengguna yang berupaya untuk terhubung melalui akses dial-in, sehingga
hanya pengguna yang telah terverifikasi sajalah yang dapat mengakses jaringan
internal perusahaan.
11. Mengamankan Akses Nirkabel
Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara
memadai adalah (1) Menyalakan fitur keamanan yang tersedia, (2) Membuktikan
keabsahan seluruh perangkat yang digunakan untuk menetapkan akses nirkabel ke
jaringan sebelum menentukan sebuah alamat IP untuk mereka, (3) Mengatur seluruh
perangkat nirkabel terotorisasi agar hanya beroperasi pada modus infrastruktur yang
memaksa perangkat untuk hanya terhubung ke titik akses nirkabel, (4) Menggunakan
nama yang noninformatif sebagai alamat titik akses yang disebut dengan service set
identifier (SSID), (5) Mengurangi kekuatan publikasi dari titik akses nirkabel,
menempatkannya pada interior gedung, dan menggunakan antena pengarahan untuk
membuat penerimaan lokal tanpa izin menjadi lebih sulit, (6) Mengenkripsi seluruh
lalu lintas nirkabel.
12. Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak

8
 Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server,
printer, dan perangkat lain yang meliputi jaringan organisasi.) yang berhak
mendapatkan perhatian lebih menurut COBIT 5 DSS05.03:
a. Konfigurasi endpoint >> endpoint dapat dibuat lebih aman dengan memodifikasi
konfigurasinya
b. Manajemen akun pengguna >> akun pengguna harus dikelola secara hati-hati,
terutama akun-akun yang memiliki hak tak terbatas (administratif) pada komputer.
Oleh karena itu, para pegawai yang memerlukan kewenanagan administratif untuk
sebuah komputer khusus harus diberikan dua akun; 1 dengan hak administratif dan
akun lainnya hanya memiliki keistimewaan terbatas
c. Desain perangkat lunak >> limpahan buffer, injeksi SQL, dan cross-site scripting
adalah contoh umum dari serangan-serangan terhadap perangkat lunak, sehingga
perlu menspesifikasikan kebutuhan untuk mendesain keamanan secara cermat ke
dalam seluruh aplikasi baru.

13. Solusi TI : Enkripsi

Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses
tanpa izin terhadap informasi sensitif.
14. Keamanan Fisik : Pengendalian Akses
Praktik manajemen COBIT 5 DSS05.5 menjelaskan praktik-praktik terbaik
mengenai pengendalian akses fisik, seperti pengendalian akses fisik dimulai dari
pintu masuk ke dalam gedung itu sendiri. Idealnya sebaiknya hanya terdapat satu
pintu masuk reguler yang tetap terbuka selama jam kerja normal dan tambahan untuk
pintu keluar darurat, tetapi pintu darurat tersebut sebaiknya tidak memperkenan
siapapun menggunakannya untuk masuk dari luar dan pintu tersebut sebaiknya
terhubung dengan sistem alarm sehingga secara otomatis terpicu kapan pun pintu
darurat terbuka. Selain itu, juga harus ada resepsionis maupun staff keamanan yang
harus bertugas di pintu masuk utama untuk memverifikasi identitas para pegawai.
Akses fisik pada ruangan-ruangan yang menyimpan komputer juga harus dibatasi.
Ruangan-ruangan tersebut harus dikunci secara aman dan seluruh pintu masuk/keluar
diawasi dengan sistem CCTV. Ruangan-ruangan yang menyimpan server, terutama
yang memuat data sensitif harus ditambahi kunci reguler dengan teknologi yang lebih
9
 kuat (seperti pembaca kartu, keypad numerik, atau berbagai perangkat biometri,
seperti pemindai retina, pembaca sidik jari, atau pengenal suara).
Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu
dibatasi untuk mencegah wiretapping. Itu berarti bahwa pengabelan dan wiring
seharusnya tidak dipasang di area yang dapat diakses pengunjung biasa dan jika
lemari wiring digunakan bersama dengan penyewa lain di dalam gedung kantor,
organisasi tersebut harus meletakkan perlengkapan telekomunikasinya di dalam
kurungan besi terkunci untuk mencegah akses fisik tanpa izin yang terotorisasi.
15. Pengendalian Perubahan dan Manajemen Perubahan
Pengendalian perubahan dan manajemen perubahan (change control and change
management) mengarah pada proses formal yang digunakan untuk memastikan
bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak
mengurangi keandalan sistem.

II.IV Pengendalian Detektif

Pengendalian preventif tidak pernah 100% efektif dalam mengeblok seluruh
serangan. Oleh karena itu, salah satu praktik manajemen COBIT 5 DSS05.07
menjelaskan aktivitas-aktivitas yang juga dibutuhkan organisasi untuk memungkinkan
deteksi gangguan dan masalah secara tepat waktu.
 Jenis-jenis pengendalian detektif:
1. Analisis log
Analisa log adalah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan serangan. Tujuan dari analisis log adalah untuk mengetahui alasan
dari kegagalan untuk masuk kedalam sistem dan untuk mencatat siapa yang
mengakses sistem dan tindakan-tindakan tertentu apa saja yang dilakukan setiap
pengguna.
2. Sistem deteksi gangguan
Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah
sistem yang menghasilkan sejumlah log dari seluruh log dari seluruh lalu lintas
jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log
tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan.
10
 IDS dapat dipasang pada sebuah perangkat tertentu untuk mengawasi upaya tanpa
izin untuk mengubah konfigurasi perangkat tersebut.
3. Pengujian penetrasi
Dua dari bagian proses pengendalian COBIT 5 menyatakan kebutuhan
untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal.
Pengujian penetrasi memberikan sebuah cara yang lebih cermat untuk menguji
efektivitas keamanan informasi sebuah organisasi. Uji penetrasi adalah sebuah
upaya terotorisasi oleh baik tim audit internal maupun kantor konsultasi
keamanan eksternal untuk menerobos ke dalam sistem informasi organisasi.
4. Pengawasan berkelanjutan
Pengawasan berkelanjutan merupakan pengendalian detektif penting yang
dapat menidentifikasi masalah potensial secara tepat waktu.

II.V Pengendalian Korektif

Tiga pengendalian korektif:
1. Pembentukan sebuah tim perespons insiden komputer (computer incident response
team -CIRT)
Sebuah komponen utama agar mampu merespons insiden keamanan dengan
tepat dan efektif. CIRT harus mengarahkan proses respons insiden organisasi melalui
4 tahapan: (1) Pemberitahuan (recognition) adanya sebuah masalah, (2) Penahanan
(containment) masalah, (3) Pemulihan (recovery), (4) Tindak lanjut (follow up)
2. Pendesainan individu khusus, biasanya disebut dengan Chief Information Security
Officer (CISO) dengan tanggung jawab luas atas keamanan informasi
Posisi CISO harus independen dari fungsi-fungsi sistem informasi lainnya.
CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan Chief
Information Officer (CIO) untuk mendesain, mengimplementasi, serta membangun
kebijakan dan prosedur keamanan yang baik. CISO harus menjadi penilai dan
pengevaluasi yang adil di lingkungan TI. CISO harus memiliki tanggung jawab untuk
emmastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta
audit keamanan dilakukan secara periodik.
3. Manajemen patch

11
 Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara
teratur menerapkan patch dan memperbaharui seluruh perangkat lunak yang
digunakan oleh organisasi. Sejumlah patch merepresentasikan modifikasi perangkat
lunak yang sungguh rumit. Akibatnya patch terkadang menciptakan masalah baru
karena dampak lain yang tidak diantisipasi. Oleh karena itu organisasi perlu menguji
dengan cermat efek dari patch sebelum menyebarkannya

II.VI Implikasi Keamanan Virtualisasi Dan Cloud

Virtualisasi memanfaatkan kekuatan dan kecepatan komputer modern untuk
menjalankan berbagai sistem secara bersamaan pada satu komputer fisik. Komputasi
cloud memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar
memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat
lunak dari jarak jauh (perangkat lunak sebagai sebuah layanan), perangkat penyimpanan
data (penyimpanan sebagai sebuah layanan), perangkat keras (infrastruktur sebagai
sebuah layanan), dan seluruh lingkungan aplikasi (platform sebagai sebuah layanan).

12
 BAB III
PENUTUP
III.I Kesimpulan
 Keamanan informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukuran
teknis yang digunakan untuk mencegah akses yang tidak sah, program, pencurian
terhadap sistem informasi.
 Dua konsep keamanan informasi fudamental : (1) Keamanan merupakan masalah
manajemen bukan hanya masalah teknologi, (2) deffense-in-depth dan Model
keamanan informasi berbasis waktu
 Langkah-langkah untuk memahami serangan yang ditargetkan yaitu Melakukan
Pengintaian
(conduct reconnaissance), Mengupayakan rekayasa sosial
(attempt social engineering), Memindai dan Memetakan target
(scan and map the target), Penelitian (Research), Mengeksekusi Serangan (excute the
attack)
Menutupi jejak (cover tracks).
 Pengendalian Preventif : Digunakan organisasi secara umum untuk membatasi akses
terhadap sumber daya informasi.
Hal-hal yang harus dilakukan dalam pengendalian preventif adalah komponen orang
yang paling penting, pengendalian akses pengguna, pengendalian antimalware,
pertahanan perimeter, keamanan fisik : pengendalian akses
 Pengendalian Detektif Salah satu praktik manajemen COBIT 5 DSS05.07 menjelaskan
aktivitas-aktivitas yang juga dibutuhkan organisasi untuk memungkinkan deteksi
gangguan dan masalah secara tepat waktu.
Jenis-Jenis Pengendalian Detektif : Analisa Log, Sistem Deteksi Gangguan, Pengujian
Penetrasi, Pengawasan Berkelanjutan
 Pengendalian Korektif : Mengidentifikasi dan memperbaiki masalah serta
memperbaiki dan memulihkannya dari kesalahan yang dihasilkan
Tiga pengendalian korektif yaitu : (1) Pembentukan sebuah tim perespons insiden
komputer (computer incident response team -CIRT), (2) Pendesainan individu khusus,
Chief Information Security Officer (CISO) dengan tanggung jawab luas atas keamanan
informasi, dan (3) Manajemen Patch.

13