PERTEMUAN VIII :

Pengendalian Sistem
Informasi Berbasis Komputer
Mahasiswa mampu menjelaskan konsep
keamanan informasi serta tipe2 kontrol untuk
keandalan sistem informasi , konsep COBIT’s
Framework
 Chapter 8

Introduction

Virtualization
Security
and the
Concepts
cloud

Information
Corective
Security Targeted
Control Attacks

Detective Preventive
Control Control
Cobit Framework
Trust Services Framework
 Security Concepts
• Keamanan sistem adalah masalah
manajemen, bukan masalah teknologi semata.
• Untuk menjamin keamanan sistem diperlukan
defense-in-depth dan time-based model of
security
Defense-in-depth
Penggunaan berbagai lapisan pengendalian untuk menghindari
kegagalan sistem
 Time-based Model of Security
Pengertian
Penggunaan kombinasi tiga
P>D+C jenis perlindungan untuk
melindungi aset informasi
sehingga memungkinkan
sistem untuk mengenali dan
P waktu yang diperlukan untuk
menerobos pengendalian preventif
mengambil langkah untuk
organisasi menggagalkan serangan
D Waktu yang diperlukan untuk yang terjadi
mendeteksi sebuah serangan sedang
berlangsung
C Waktu yang diperlukan untuk
mengambil tindakan atas serangan
yang terjadi
 Understand Targeted Attacks
Langkah yang dilakukan penjahat untuk
menyerang suatu sistem informasi :
Pindai dan
Social
Pengintaian memetakan
Engineering
target

Menutupi Eksekusi
Research
jejak serangan
 Preventive Control

Pengendalian
Pengendalian Network Access : Pengendalian
User Access: • Firewalls Physical Access:
Training
• Authentication • Intrution • Locks
• Authorization prevention • Guards
system
Network Access Control
 Detective Control
Intrusion Managerial
Log Analysis Penetration Test
Detection System Reports
Pemeriksaan log Sistem yang Uji terotorisasi Laporan berisi
untuk menghasilkan untuk menerobos jumlah gangguan,
mengidentifikasi sejumlah log dari ke dalam sistem user yang tidak
bukti lalu lintas informasi memenuhi
kemungkinan jaringan yang standar
serangan melewati firewall password, kunci/
dan pengamanan
menganalisisnya yang terbobol
untuk
mengetahui
adanya gangguan
Log Analysis
Intrusion Detection System
 Corrective Control
Computer Incident Chief Information
Patch Management
Response Team (CIRT) Security Officer (CISO)

Tim yang • Harus independen Proses menerapkan

bertanggungjawab • Memahami patch secara teratur
untuk mengatasi lingkungan dan memperbarui
insiden keamanan teknologi perangkat lunak
utama • Mampu menjadi
penilai dan
pengevaluasi IT
• Bekerjasama
dengan CIO
mendesain prosedur
keamanan yang baik
 Virtualisation dan Cloud Computing

Virtualisation Cloud Computing

Menjalankan berbagai sistem
secara bersamaan dalam satu
komputer fisik
Penggunaan browser untuk
mengakses perangkat lunak,
penyimpanan data, perangkat
keras dan aplikasi dari jarak
jauh
 Chapter 9

Introduction
Encryption

Confidentiality
Preserving
Privacy
Preserving Confidentiality
Identifikasi dan
Enkripsi
klasifikasi informasi

Penjagaan
kerahasiaan
dan privasi

Pelatihan Pengendalian akses

 Information Right Managements

Perangkat lunak yang menawarkan kemampuan

membatasi akses terhadap file, seperti baca,
salin, cetak, unduh.
 Data Loss Prevention

Perangkat lunak yang bekerja seperti antivirus secara terbalik

dengan memblok pesan keluar (email, social media, IM dll) yang
mengandung frase kunci yang terkait dengan kekayaan
intelektual atau data sensitif yang ingin dilindungi organisasi
Digital Watermark

Kode yang terkandung dalam dokumen yang

memungkinkan pihak tertentu untuk
mengidentifikasi informasi rahasia yang telah
diungkapkan
 Privacy
Dua permasalahan privacy

Email yang tidak diinginkan

Penggunaan identitas seseorang oleh
karena mengandung konten
pihak lain yang tidak berhak untuk
periklanan ataupun
keuntungan ekonomi
penyerangan
Data Masking
Program yang
melindungi privasi
dengan mengganti
informasi pribadi
dengan nilai-nilai
palsu
Generally Accepted Privacy Principles
Encryption
Encryption

Proses
mentransformasikan
teks normal (plain
text) ke bentuk yang
tidak dapat dibaca
(chiper text)

Plain Text

Teks normal yang

belum dienkripsi

Dekripsi Chiper Text

Mengubah chiper text Plain text yang diubah

kembali menjadi menjadi bentuk yang
plaintext tidak dapat dibaca
menggunakan enkripsi
 Faktor Yang Memengaruhi Kekuatan
Enkripsi
Key Length

Encryption Algorithm

Kebijakan Mengelola
Kunci Kriptografi
Symetric Encryption System Asymetric Encryption System
• Satu kunci rahasia • Dua Kunci (rahasia dan
• Lebih cepat publik)
• Kunci rahasia harus • Lebih lamban
terlindungi • Kunci privat harus
• Untuk enkripsi data yang terlindungi
besar • Untuk pembuatan tanda
tangan digital
Hashing
Mengubah plaintext ke dalam kode
singkat yang disebut hash
 Digital Signature

Sebuah hash yang dienkripsi dengan kunci privat milik pembuat

hash
 Digital Certificate

Sebuah dokumen elektronik yang mengandung kunci

publik milik entitas dan menerangkan identitas pemilik
kunci publik tersebut
Digital Signature Vs Digital Certificate
 Digital Signature Vs Digital Certificate
• Anto hendak mengirim pesan ke Badu. Setelah membubuhkan digital
signature ke dalam pesan, Anto hendak mengirim kunci publiknya (PbA)
kepada Badu. Tapi saat kunci itu dikirim lewat jaringan publik, Maling
mencuri kunci PbA. Kemudian Maling menyerahkan kunci publiknya (PbM)
kepada Badu, sambil mengatakan bahwa kunci itu adalah kunci publik
milik Anto.
• Badu, karena tidak pernah memegang kunci publik Anto yang asli, percaya
saja saat menerima PbM. Saat Anto hendak mengirim dokumen yang telah
ditandatanganinya dengan kunci privatnya (PvA) kepada Badu, sekali lagi
Maling mencurinya. Tanda tangan Anto pada dokumen itu lalu dihapus,
dan kemudian Maling membubuhkan tanda tangannya dengan kunci
privatnya (PvM). Maling mengirim dokumen itu ke Badu sambil
mengatakan bahwa dokumen ini berasal dari Anto dan ditandatangani
oleh Anto. Badu kemudian memeriksa tanda tangan itu, dan mendapatkan
bahwa tanda tangan itu sah dari Anto. Tentu saja kelihatan sah, karena
Badu memeriksanya dengan kunci publik PbM, bukan dengan PbA.
 Digital Signature Vs Digital Certificate
• Untuk mengatasi masalah sekuriti pendistribusian kunci publik,
maka kunci publik itu ‘direkatkan’ pada suatu digital certificate.
Digital certificate adalah kartu kredit elektronik yang membuat
surat kuasa anda ketika melakukan bisnis atau transaksi lainnya di
Web. Hal ini dikeluarkan oleh otoritas sertifikasi (CA).
• Digital certificate ini berisi nama anda, nomor seri, tanggal
kadaluarsa, salinan kunci publik pemegang sertifikat (digunakan
untuk mengenkripsi pesan dan digital signature), dan digital
siganture dari sertifikat sehingga penerima dapat memverifikasi
bahwa sertifikat tersebut benar . Beberapa digital certificate sesuai
dengan standar, X.509. Digital certificate dapat disimpan dalam
registri otentikasi sehingga pengguna dapat melihat kunci publik
user lain.
Sumber : https://vier2cha.wordpress.com/definisi-digital-signature-
dan-digital-certificate/
Public Key Infrastructure
Sistem untuk
menerbitkan
sepasang kunci
publik dan privat
serta sertifikat
digital terkait
Virtual Private Network
Menggunakan enkripsi dan
autentikasi untuk
mentransfer informasi
melalui internet dengan
aman sehingga
menciptakan sebuah
jaringan privat virtual
 Referensi :
Accounting Information Systems 12th Edition
Marshall B. Romney
Paul John Steinbart