KATA PENGANTAR

Puji syukur penulis panjatkan kepada Allah SWT karena atas berkah
dan rahmat-Nya penulis dapat menyelesaikan makalah berjudul
“Pengendalian untuk Keamanan Informasi”. Shalawat dan salam semoga
selalu tercurah kepada Rasulullah, keluarga, para sahabat dan pengikut
mereka yang setia sampai hari kiamat.

Tak lupa penulis ucapkan terima kasih kepada pihak – pihak terkait
yang senantiasa membantu dalam pengerjaan makalah ini, serta Bapak
Petrolis Nusa Perdana selaku dosen mata kuliah sistem informasi
akuntansi yang dengan sabar telah membimbing penulis sehingga penulis
dapat mengetahui lebih dalam tentang berbagai bentuk pengendalian
untuk keamanan informasi.

Harapan penulis adalah semoga makalah ini dapat bermanfaat dan

menambah wawasan para pembaca. Penulis menyadari masih adanya
kekurangan dan kesalahan, baik dari segi bahan penulisan maupun
kemampuan ilmiah. Oleh karena itu penulis sangat mengharapkan saran
dan kritik dari pembaca demi penyempurnaan makalah ini.

Jakarta, April 2015

Penulis

Pengendalian untuk Keamanan Informasi

1
 DAFTAR ISI

KATA
PENGANTAR.............................................................................................................
1
DAFTAR
ISI....................................................................................... ....................................2

BAB 1: PENDAHULUAN

1.1
Latar
Belakang..............................................................................................
....3
1.2 Rumusan
Masalah............................................................................................4
1.3 Tujuan
Penulisan.............................................................................................
.4
1.4 Metode
Penulisan.............................................................................................
4
1.5 Manfaat
Penulisan............................................................................................
4
.
BAB 2: PEMBAHASAN

2.1 Dua Konsep Keamanan Informasi

Fundamental.................................................5
2.2 Memahami Serangan yang
Ditargetkan...............................................................6
2.3 Pengendalian Preventif........
……………...............................................................7
2.3.1 Orang-orang: Penciptaan Sebuah Budaya “Sadar-
Keamanan”...................7
2.3.2 Orang-orang:
Pelatihan.............................................................................8
2.3.3 Proses: Pengendalian Akses Pengguna (User Access
Controls).......................8
2.3.3.1 Pengendalian
Autentikasi...........................................................9
2.3.3.2 Pengendalian
Otorisasi...............................................................9
2.3.4 Solusi TI : Pengendalian
Antimalware.....................................................10

Pengendalian untuk Keamanan Informasi

2
 2.3.5 Pengendalian Akses Jaringan (Network Access
Controls)..............................11
2.3.6 Pengendalian Pengukuhan Peralatan dan Perangkat Lunak
(Device and Software Hardening
Controls).....................................................................14
2.3.7 Solusi TI:
Enkripsi..................................................................................15
2.3.8 Keamanan Fisik: Pengendalian
Akses.....................................................16
2.3.9 Pengendalian Perubahan dan Manajemen
Perubahan..............................17

2.4 Pengendalian
Detektif...........................................................................................18
2.4.1 Analisis
Log...........................................................................................18
2.4.2 Sistem Deteksi
Gangguan.......................................................................18
2.4.3 Pengujian
Penetrasi................................................................................18
2.4.4 Pengawasan
Berkelanjutan.....................................................................19

2.5 Pengendalian
Korektif...........................................................................................19
2.5.1 Computer Incident Response Team
(CIRT).............................................19
2.5.2 Chief Information Security Officer
(CISO)...............................................20
2.5.3 Manajemen
Patch...................................................................................20

2.6 Implikasi Keamanan Virtualisasi dan Cloud....….....................

………….................20
2.7 Kasus Integratif: Northwest
Indutries.....................................................................21

BAB 3: KESIMPULAN

3.1
Kesimpulan.........................................................................................................23

DAFTAR
PUSTAKA............................................................................................................24

BAB 1

PENDAHULUAN

Pengendalian untuk Keamanan Informasi

3
1.1 Latar Belakang

Saat ini, setiap organisasi bergantung pada teknologi

informasi (IT-information technology). Banyak juga organisasi yang
setidaknya memindahkan sebagian dari sistem informasinya ke
cloud. Manajemen menginginkan jaminan bahwa informasi yang
dihasilkan oleh sistem akuntansi milik perusahaan adalah reliabel
serta keandalan penyedia layanan cloud dengan rekan kontraknya.
Selain itu, manajemen juga menginginkan jaminan bahwa organisasi
patuh terhadap susunan peraturan dan ketentuan industri yang terus
berkembang termasuk Sarbanes-Oxley (SOX), Health Insurance
Portability and Accountability Act (HIPAA), dan Payment Card Industry
Data Security Standards (PCI-DSS).

Trust Services Framework mengatur pengendalian TI ke dalam lima

prinsip yang berkontribusi secara bersamaan terhadap kendala
sistem:

1. Keamanan (security) - akses (baik fisik maupun logis) terhadap

sistem dan data di dalamnya dikendalikan serta terbatas untuk
pengguna yang sah.
2. Kerahasiaan (confidentiality) – informasi keorganisasian yang
sensitif terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy) – informasi pribadi tentang pelanggan, pegawai,
pemasok, atau rekan kerja hanya dikumpulkan, digunakan,
diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap
kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) – data diproses secara
akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang
sesuai.
5. Ketersediaan (availability) – sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.

Pengendalian untuk Keamanan Informasi

4
 Keamanan informasi merupakan landasan sistem dan
diperlukan untuk mencapai masing-masing dari empat prinsip
lainnya. Prosedur-prosedur keamanan informasi membatasi akses
sistem hanya untuk pengguna yang terotorisasi saja, sehingga
melindungi kerahasiaan data keorganisasian yang sensitif dan
privasi atas informasi yang dikumpulkan pelanggan. Sejumlah
prosedur keamanan informasi melindungi integritas informasi
dengan mencegah terjadinya transaksi tanpa izin atau fiktif serta
mencegah perubahan tanpa izin terhadap data atau program
tersimpan. Terakhir, prosedur-prosedur keamanan informasi
memberikan perlindungan terhadap berbagai serangan, termasuk
virus dan worm, sehingga memastikan bahwa sistem tersedia ketika
diperlukan.

1.2 Rumusan Masalah

Bagaimana cara organisasi melakukan pengendalian untuk
keamanan informasi ?

1.3 Tujuan Penulisan

Tujuan dari penulisan makalah ini yaitu untuk memenuhi tugas
mata kuliah SIA dan menjelaskan berbagai bentuk pengendalian
yang dapat dilakukan organisasi untuk keamanan informasi.

1.4 Metode Penulisan

Dari beberapa metode penulisan yang ada, penulis mengunakan
metode kepustakaan dengan sumber informasi yang berasal dari
buku.

1.5 Manfaat Penulisan

Pengendalian untuk Keamanan Informasi

5
 Harapan penulis adalah semoga makalah ini dapat bermanfaat
dalam memberikan pemahaman yang jelas tentang konsep
pengendalian untuk keamanan informasi.

BAB 2

PEMBAHASAN

2.1 Dua Konsep Keamanan Informasi

Fundamental

a. Keamanan merupakan masalah manajemen, bukan hanya

masalah teknologi

Walaupun keamanan informasi yang efektif mensyaratkan

penggunaan alat-alat berteknologi seperti firewall, antivirus, dan
enkripsi, keterlibatan serta dukungan manajemen senior juga
menjadi dasar untuk keberhasilan. Manajemen senior harus
berpartisipasi dalam pengembangan kebijakan karena mereka
harus memutuskan sanksi yang akan diberikan terhadap tindakan
ketidakpatuhan. Sebagai tambahan, dukungan dan keterlibatan
aktif dari manajemen puncak diperlukan untuk memastikan bahwa
pelatihan dan komunikasi keamanan informasi dilakukan dengan
serius. Manajemen senior juga harus mengotorisasi investasi
sumber daya yang diperlukan untuk mengatasi ancaman yang
terindentifikasi serta mencapai level keamanan yang dikehendaki.

Pengendalian untuk Keamanan Informasi

6
 Kemajuan dari TI menciptakan ancaman baru dan mengubah risiko
yang tercampur dengan ancaman lama.

b.Defense-in-depth dan model keamanan informasi berbasis

waktu

Defense-in-depth adalah penggunaan berbagai lapisan

pengendalian untuk menghindari satu poin kegagalan. Defense-in-
depth secara khusus melibatkan penggunaan sebuah kombinasi
dari pengendalian preventif, detektif, dan korektif. Peran
pengendalian preventif adalah untuk membatasi tindakan individu
tertentu agar sesuai dengan kebijakan keamanan organisasi.

Mendeteksi penorobosan keamanan dan penetapan tindakan

perbaikan korektif harus tepat waktu karena segera setelah
pengendalian preventif diterobos, seorang penyusup dapat dengan
cepat menghancurkan, membahayakan, atau mencuri sumber
daya ekonomi dan informasi organisasi.

Oleh karena itu, tujuan dari model keamanan berbasis waktu

(time-based model of security) adalah menggunakan kombinasi
perlindungan preventif, detektif, dan korektif yang melindungi aset
informasi cukup lama agar memungkinkan organisasi untuk
mengenali bahwa sebuah serangan tengah terjadi dan mengambil
langkah-langkah untuk menggagalkannya sebelum informasi hilang
atau rusak. Tujuan ini dapat ditunjukkan dengan sebuah formula
yang menggunakan tiga variabel berikut:

P = waktu yang diperlukan seorang penyerang untuk menerobos

pengendalian preventif organisasi.

D = waktu yang diperlukan untuk mendeteksi bahwa sebuah

serangan sedang dalam proses.

C = waktu yang diperlukan untuk merespon serangan dan

mengambil tindakan korektif.

Pengendalian untuk Keamanan Informasi

7
 Ketiga variabel tersebut kemudian dievaluasi sebagai berikut: jika P
> D + C, maka prosedur keamanan organisasi efektif. Jika
sebaliknya, keamanan tidaklah efektif. Model keamanan berbasis
waktu memberikan sebuah sarana bagi manajemen untuk
mengidentifikasi pendekatan yang paling hemat biaya untuk
meningkatkan keamanan dengan membandingkan efek investasi
tambahan dalam pengendalian preventif, detektif dan korektif.

2.2 Memahami Serangan Yang Ditargetkan

Meskipun banyak keamanan informasi, seperti virus, worm, bencana

alam, kegagalan perangkat keras, dan kesalahan manusia yang
seringnya merupakan kejadian acak (tidak ditargetkan), organisasi
juga sering kali menjadi sasaran dari serangan yang disengaja.
Langkah-langkah dasar yang dilakukan para penjahat untuk
menyerang sistem informasi suatu perusahaan antara lain:

1. Melakukan pengintaian (conduct reconnaissance)

Penyerang mempelajari sebanyak mungkin tentang target serta
meng-identifikasikan kerentanan potensial.

2. Mengupayakan rekayasa sosial (attemp social engineering)

Penyerang menggunakan tipuan untuk mendapatkan akses tanpa
izin terhadap sumber daya informasi.

3. Memindai dan memetakan target (scan and map the target)

Penyerang melakukan lebih banyak pengintaian terperinci untuk
mengidentifikasi titik-titik potensial entri jarak jauh. Penyerang
menggunakan berbagai alat otomatis untuk mengidentifikasi
computer yang dapat dikendalikan dari jarak jauh serta berbagai
jenis perangkat lunak yang mereka jalankan.

4. Penelitian (research)

Pengendalian untuk Keamanan Informasi

8
 Penyerang melakukan penelitian untuk menemukan kerentanan
yang terdeteksi pada program-program serta mempelajari
bagaimana memanfaatkan kerentanan tersebut.

5. Mengeksekusi serangan (execute the attack)

Penyerang memanfaatkan kerentanan untuk mendapatkan akses
tanpa izin terhadap sistem informasi target.

6. Menutupi jejak (cover tracks)

Penyerang berupaya untuk menutupi jejak mereka dan menciptakan
“pintu belakang” yang dapat mereka gunakan untuk mendapatkan
akses jika serangan awal mereka telah diketahui.

2.3 Pengendalian Preventif

Pengendalian preventif yang digunakan organisasi secara umum

digunakan untuk membatasi akses terhadap sumber daya informasi.
Berbagai pengendalian preventif tersebut selaras bersamaan seperti
kepingan-kepingan puzzle yang menyediakan defense-in-depth
secara kolektif. Meskipun seluruh kepingan penting, komponen
“orang-orang” adalah yang paling penting.

2.3.1 Orang-orang: Penciptaan Sebuah Budaya

“Sadar-Keamanan”

COBIT 5 secara spesifik mengidentifikasi budaya dan etika

organisasi sebagai salah satu dari fasilitator kritis untuk
keamanan informasi yang efektif. Untuk menciptakan sebuah
budaya sadar keamanan agar para pegawai mematuhi
kebijakan keorganisasian, manajemen puncak tidak hanya
harus mengomunikasikan kebijakan keamanan organisasi,
tetapi juga harus memandu dengan mencontohkannya. Para
pegawai cenderung patuh dengan kebijakan keamanan
informasi ketika mereka melihat manajer mereka yang
melakukannya.

Pengendalian untuk Keamanan Informasi

9
2.3.2 Orang-orang: Pelatihan

COBIT 5 mengidentifikasi kemampuan dan kompetensi

pegawai sebagai sebuah fasilitator kritis lainnya untuk
keamanan informasi yang efektif. Para pegawai harus
memahami cara untuk mengikuti kebijakan keamanan
organisasi. Oleh karena itu, pelatihan adalah sebuah
pengendalian preventif yang kritis. Seluruh pegawai harus
diajarkan tentang pentingnya ukuran-ukuran keamanan bagi
kebertahanan jangka panjang organisasi.

Mereka juga perlu dilatih untuk mengikuti praktik-praktik

komputasi yang aman. Pelatihan penting dilakukan untuk
melatih para pegawai tentang serangan rekayasa sosial.
Pelatihan kesadaran keamanan penting pula bagi manajemen
senior karena pada tahun-tahun belakangan ini, banyak
serangan rekayasa sosial.

Pelatihan professional keamanan informasi juga

merupakan hal yang tak kalah penting. Perkembangan
teknologi saat ini, secara berkelanjutan menciptakan ancaman
keamanan baru dan membuat solusi lama menjadi usang.
Dengan demikian, penting bagi organisasi untuk mendukung
kelanjutan edukasi profesional untuk spesialis keamanan
mereka.

2.3.3 Proses: Pengendalian Akses Pengguna

(User Access Controls)

Penerapan praktik manajemen COBIT 5 DSS05.04 melibatkan

penggunaan atas dua jenis pengendalian akses pengguna
yang saling berhubungan satu sama lain, yaitu :

Pengendalian untuk Keamanan Informasi

10
2.3.3.1 Pengendalian Autentikasi
Autentikasi (authentication) adalah proses verifikasi identitas
seseorang atau perangkat yang mencoba untuk mengakses
sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah
yang dapat mengakses sistem.

Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi

identitas seseorang :

1. Sesuatu yang mereka ketahui, seperti kata sandi atau personal

identification number (PIN).
2. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID.
3. Beberapa karakteristik fisik atau perilaku, seperti sidik jari atau
pola tulisan.

Meskipun tidak satupun dari ketiga tanda bukti autentikasi, yang

dengan sendirinya sangat mudah digunakan, penggunaan dua
atau semua tiga jenis secara bersamaan yang disebut autentikasi
multifaktor cukup efektif. Dalam beberapa situasi, dapat
dilakukan autentikasi multimodal yang menggunakan berbagai
tanda bukti dari jenis yang sama untuk meningkatkan keamanan.

2.3.3.2 Pengendalian Otorisasi

Otorisasi (authorization) adalah proses memperketat akses

dari pengguna sah terhadap bagian spesifik sistem dan
membatasi tindakan-tindakan apa saja yang diperbolehkan untuk
dilakukan. Tujuannya adalah untuk menyusun hak serta
keistimewaan setiap pegawai dengan cara menetapkan dan
mengelola pemisahan tugas yang tepat.

Pengendalian otorisasi biasanya diimplementasikan dengan

menciptakan matriks pengendalian akses (access control matrix).
Kemudian, ketika seorang pegawai berusaha mengakses sumber

Pengendalian untuk Keamanan Informasi

11
 daya sistem informasi tertentu, sistem akan melakukan sebuah
uji kompatibilitas (compatibility test) yang mencocokkan tanda
bukti autentikasi pengguna dengan matriks pengendalian akses
untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk
mengakses sumber daya dan melakukan tindakan yang diminta.

Penting untuk memperbarui secara teratur matriks pengendalian

akses agar merefleksikan perubahan pada tugas pekerjaan karena
promosi atau pemindahan. Informasi yang terdapat di dalam sebuah
matriks pengendalian akses digunakan unntuk mengimplementasikan
pengendalian otorisasi pada sistem ERP.

Contoh Matriks Pengendalian Akses

Pengguna File Program

ID Pengguna A B C 1 2 3 4
NHale 0 0 1 0 0 0 0
JPJones 0 2 0 0 0 0 1
BArnold 1 1 0 1 1 0 0
… … … … … … …

Kode untuk akses File : Kode untuk akses program

0 = Tidak Ada Akses 0 = Tidak Ada Akses
1 = Hanya baca/tampilkan 1 = Eksekusi
2 = Hanya baca/tampilkan dan perbarui
3 = Baca/tampilkan, perbarui, buat, dan hapus

Dalam setiap peran pegawai, sistem memberikan nomor kombinasi

yang sudah ditentukan sebelumnya atas izin untuk melakukan
pembatasan akses umum. Sangat mungkin untuk mencapai pengendalian
dan pemisahan tugas yang lebih besar dengan menggunakan sistem
manajemen proses bisnis guna melekatkan otorisasi ke dalam proses
bisnis yang otomatis daripada tergantung pada matriks pengendalian
akses yang statis. Pengendalian otorisasi juga dapat diterapkan tidak
hanya untuk orang, tetapi juga pada perangkat yang merupakan cara lain
ketika defense-in-depth meningkatkan keamanan.

Pengendalian untuk Keamanan Informasi

12
2.3.4 Solusi TI : Pengendalian Antimalware
Malware (virus, worm, perangkat lunak keystroke logging, dsb.)
adalah ancaman besar yang dapat menghancurkan informasi atau
akses tanpa izin. COBIT 5 DSS05.01 yang mendaftar perlindungan
malware sebagai salah satu kunci keamanan yang efektif
merekomendasikan:

1. Edukasi kesadaran perangkat lunak jahat.

2. Pemasangan alat anti-malware pada seluruh perangkat.
3. Manajemen terpusat atas sejumlah patch dan memperbaharui
perangkat lunak anti-malware
4. Tinjauan teratur atas ancaman malware baru
5. Menyaring lalu lintas masuk untuk mengeblok sumber malware
potensial
6. Melatih pegawai untuk tidak memasang perangkat yang
dibagikan atau tidak disetujui.

2.3.5 Pengendalian Akses Jaringan (Network

Access Controls)

 Pertahanan Perimeter : Router, Firewall dan

Sistem Pencegahan Gangguan

Sebuah perangkat yang disebut dengan border router

menghubungkan sistem informasi sebuah organisasi ke internet.
Dibalik border router terdapat firewall utama, yang dapat
menjadi perangkat keras bertujuan khusus atau perangkat lunak
yang bekerja pada sebuah komputer bertujuan umum yang
mengendalikan baik komunikasi masuk maupun keluar antara
sistem di balik firewall dan jaringan lainnya.
Demilitarized zone (DMZ) adalah sebuah jaringan terpisah
yang berada di luar sistem informasi organisasi serta

Pengendalian untuk Keamanan Informasi

13
 mengizinkan akses yang dikendalikan dari internet untuk
memilih sumber daya. Secara bersamaan, border router dan
firewall bertindak sebagai penyaring untuk mengendalikan
informasi apa yang diizinkan untuk masuk dan keluar dari sistem
informasi organisasi.

 Tinjauan menyeluruh TCP/IP dan Ethernet

Saat kita mengirimkan sebuah file, file dipecah ke dalam seri-
seri potongan kecil yang dikirim secara individu dan disusun
ulang selama pengiriman. Setiap jaringan area lokal
menggunakan Ethernet untuk mentransmisikan informasi dalam
paket-paket dengan ukuran maksimum 1.440 bit.

Meski demikian, kebanyakan file berukuran lebih besar dari 1 MB,

sehingga sejumlah file dibagi ke dalam ribuan paket. Masing-masing
paket harus dilabeli dengan tepat agar seluruh file dapat disusun
ulang dengan benar sesuai tujuan.

Informasi yang dikerjakan adalah informasi yang dimuat pada

header Transmission Control Protocol (TCP), Internet Protocol (IP), dan
Ethernet. Header TCP berisi bidang-bidang yang merinci posisi
berurutan dari paket yang berkaitan dengan keseluruhan file dan port
number (alamat) pada perangkat-perangkat pengiriman dan
penerimaan dari asal file hingga ke mana file disusun kembali.

Header IP berisi bidang-bidang yang merinci alamat jaringan

(alamat IP) dari perangkat pengiriman dan penerimaan. Router adalah
perangkat bertujuan khusus yang didesain untuk membaca bagian
alamat sumber dan tujuan pada header paket IP untuk memutuskan
kemana akan mengirim (rute) paket selanjutnya. Header Ethernet
berisi alamat MAC perangkat pengiriman dan penerimaan yang
digunakan untuk mengendalikan aliran lalu lintas pada local area
network (LAN).

Pengendalian untuk Keamanan Informasi

14
 Contoh Arsitektur Jaringan Keorganisasian

 Mengendalikan Akses dengan Paket Penyaringan

Border router dan firewall utama organisasi menggunakan
seperangkat aturan IF-THEN, disebut access control list (ACL) yang
digunakan untuk menentukan tindakan yang dilakukan pada paket
yang tiba. Penyaringan paket (packet filtering) yaitu sebuah proses
yang menggunakan berbagai bagian pada header IP dan TCP paket
untuk memutuskan tindakan yang dilakukan pada paket.
Kemudian, dilakukan pemeriksaan data fisik sebuah paket TCP
untuk mengendalikan lalu lintas yang disebut deep packet inspection.
Pada saat router dan firewall memeriksa paket individu, sistem
pencegah gangguan (intrusion prevention system-IPS) jaringan
mengawasi pola-pola pada arus lalu lintas untuk mengidentifikasi dan
mengeblok serangan secara otomatis.

Pengendalian untuk Keamanan Informasi

15
 Menggunakan Defense-in-Depth untuk Membatasi
Akses Jaringan
Salah satu dimensi dari konsep defense-in-depth adalah penggunakan
multi-firewall internal untuk membuat segmentasi departemen
berbeda di dalam organisasi. Firewall internal membantu untuk
mempersempit jenis data dan porsi sistem informasi sebuah
organisasi yang dapat diakses seorang pegawai tertentu. Hal ini tidak
hanya meningkatkan keamanan, tetapi juga memperkuat
pengendalian internal dengan menyediakan sebuah sarana untuk
melaksanakan pemisahan tugas.

 Mengamankan Koneksi Dial-Up

Remote Aunthetication Dial-in User Service (RADIUS) adalah sebuah
metode standar untuk memverifikasi identitas pengguna yang
berupaya untuk terhubung melalui akses dial-in. Selain itu, sebuah
modem yang tidak diotorisasi (“rogue”) terhubung pada stasiun kerja
desktop seorang pegawai dapat menciptakan “pintu belakang” yang
sering kali dapat diserang karena sebuah sistem yang tidak terlindungi
dengan baik. Cara untuk mengatasinya adalah menggunakan
perangkat lunak war dialing untuk menghubungi setiap nomor telepon
yang ditentukan oleh organisasi guna mengidentifikasi nomor yang
terhubung dengan modem.

 Mengamankan Akses Nirkabel

Prosedur yang yang perlu diikuti untuk mengamankan akses nirkabel
secara memadai adalah sebagai berikut :

a. Menyalakan fitur keamanan yang tersedia.

b. Membuktikan keabsahan seluruh perangkat yang digunakan
sebelum menentukan sebuah alamat IP untuk mereka.

Pengendalian untuk Keamanan Informasi

16
 c. Mengatur seluruh perangkat nirkabel agar hanya agar hanya
beroperasi pada modus infrastuktur yang memaksa perangkat
untuk hanya terhubung ke titik akses nirkabel.
d. Menggunakan nama yang noninformatif sebagai alamat titik
akses yang disebut dengan service set identifier (SSID).
e. Mengurangi kekuatan publikasi dari titik akses nirkabel.
f. Mengenkripsi seluruh lalu lintas nirkabel.

Terakhir, seperti halnya kasus modem, lebih mudah dan murah bagi
para pegawai untuk membangun titik akses nirkabel tanpa izin di
kantor mereka. Oleh karena itu, staf keamanan informasi atau audit
internal secara periodik harus menguji keberadaan titik akses nirkabel
rogue, mematikan yang ditemukan, dan secara tepat mendisiplinkan
para pegawai yang bertanggung jawab atas pe-masangannya.

2.3.6 Pengendalian Pengukuhan Peralatan dan

Perangkat Lunak (Device and Software
Hardening Controls)

 Konfigurasi Endpoint
Endpoint merupakan istilah kolektif untuk stasiun kerja,
server, printer, dan perangkat lain yang meliputi jaringan
organsasi. Endpoint dapat dibuat lebih aman dengan
memodifikasi konfigurasinya. Setiap program yang berjalan
menunjukkan titik serangan potensial karena ia kemungkinan
memiliki kerusakan, disebut kerentanan (vulnerability) yang
dapat dimanfaatkan baik untuk merusak sistem maupun
mengambil kendalinya.

Oleh karena itu, setiap program dan fitur opsional yang tidak
digunakan seharusnya dimatikan. Alat-alat yang disebut pemindai
kerentanan (vulnerabilities scanners) dapat digunakan untuk

Pengendalian untuk Keamanan Informasi

17
 mengidentifikasi program yang tidak digunakan, sehingga tidak
memerlukan program yang menunjukkan ancaman keamanan
potensial.

Proses memodifikasi konfigurasi dasar endpoint untuk

mengeliminasi pengaturan dan layanan yang tidak diperlukan
disebut pengukuhan (hardening). Sebagai tambahan untuk
pengukuhan, setiap endpoint perlu menjalankan perangkat lunak
antivirus dan firewall yang diperbarui secara teratur. Pengukuhan
tersebut juga diperlukan untuk memasang perangkat lunak
pencegahan gangguan langsung pada endpoint untuk mencegah
upaya tanpa izin guna mengubah konfigurasi pengukuhan
perangkat.

 Manajemen Akun Pengguna

Praktik manajemen COBIT 5 DSS05.04 menekankan kebutuhan

untuk secara hati-hati mengelola seluruh akun pengguna,
terutama akun-akun yang memiliki hak tak terbatas
(administratif) pada komputer. Hak administratif dibutuhkan
untuk memasang perangkat lunak dan mengubah sebagian besar
pengaturan konfigurasi.

 Desain Perangkat Lunak

Teknik-teknik pemrograman yang buruk memngaruhi tidak hanya

kode ciptaan secara internal, tetapi juga perangkat lunak yang
dibeli dari pihak ketiga. Oleh karena itu, salah satu bagian dari
kerangka COBIT 5 menspesifikasikan kebutuhan untuk mendesain
keamanan secara cermat.

2.3.7 Solusi TI: Enkripsi

Pengendalian untuk Keamanan Informasi

18
 Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk
mencegah akses tanpa izin terhadap informasi sensitif.

2.3.8 Keamanan Fisik: Pengendalian Akses

Sudah menjadi hal yang mendasar untuk mengendalikan
akses fisik terhadap sumber daya informasi. Seorang penyerang
yang ahli hanya membutuhkan beberapa menit untuk akses fisik
langsung tanpa pengawasan untuk menembus pengendalian
keamanan informasi yang ada. Seseorang dengan akses fisik yang
tak terawasi juga dapat menyusupkan disk “boot” khusus yang
memberikan akses langsung terhadap setiap file di komputer dan
kemudian menyalin sejumlah file sensitif ke sebuah perangkat
portabel seperti USB port atau iPod. Cara lainnya, seorang
penyerang dengan akses fisik tak terawasi dapat dengan mudah
memindahkan hard drive atau bahkan mencuri seluruh komputer.
COBIT 5 DSS05.05 menjelaskan praktik-praktik terbaik mengenai
pengendalian akses fisik.
Pengendalian akses fisik dimulai dari pintu masuk ke dalam
gedung itu sendiri. Segera setelah masuk ke dalam gedung, akses
fisik pada ruangan-ruangan yang menyimpan komputer juga harus
dibatasi. Ruangan-ruangan tersebut harus dikunci secara aman
dan seluruh pintu masuk/keluar diawasi dengan sistem CCTV.
Setelan rumit khusus dari pengendalian akses fisik disebut sebagai
jebakan –manusia (man-trap), yaitu teknik yang melibatkan
penggunaan ruangan-ruangan yang didesain secara khusus.
Ruangan-ruangan ini biasanya memiliki dua pintu, masing-masing
pintu menggunakan berbagai metode autentikasi untuk
mengendalikan akses.
Akses terhadap wiring yang digunakan dalam LAN organisasi
juga perlu dibatasi untuk mencegah wiretapping. Lemari wiring
yang berisi perlengkapan telekomunikasi perlu dikunci dengan
aman. Stop kontak tembok yang sedang tidak digunakan harus

Pengendalian untuk Keamanan Informasi

19
 diputus koneksinya secara fisik dari jaringan, untuk mencegah
seseorang menancapkannya ke laptop dan berupaya mengakses
jaringan. Idealnya, para pegawai sebaiknya tidak menyimpan
segala informasi sensitif didalam laptop atau perangkat pribadi
lainnya.
Jika informasi keorganisasian sensitif harus disimpan di dalam
laptop atau perangkat portabel, informasi tersebut harus
dienkripsi, sehingga jika perangkat hilang atau dicuri informasi
tidak akan bisa diakses. Selain itu, praktik-praktik manajemen
COBIT 5 DSS05.06 menekankan pentingnya pembatasan akses-
akses fisik ke jaringan printer karena printer sering kali menyimpan
gambar-gambar dokumen dalam hard drive-nya.
Terakhir, cara yang sangat memungkinkan untuk mencapai
defense-in-depth adalah mengintegrasikan sistem pengendalian
akses fisik dan akses jarak jauh. Hal tersebut akan mengidentifikasi
kondisi yang menunjukkan adanya penerobosan keamanan, seperti
ketika seorang pengguna yang semestinya di dalam kantor secara
terus-menerus mencoba untuk masuk ke dalam sistem secara
jarak jauh dari lokasi lain yang jaraknya jauh secara geografis.

2.3.9 Pengendalian Perubahan dan Manajemen

Perubahan
Pengendalian perubahan dan manajemen perubahan adalah
proses formal yang digunakan untuk memastikan bahwa modifikasi
pada perangkat keras, perangkat lunak, atau pada proses tidak
mengurangi keandalan sistem. Beberapa karakteristik proses
pengendalian perubahan dan manajemen perubahan yang
didesain dengan baik melibatkan:

 Dokumentasi seluruh permintaan perubahan,

pengidentifikasian sifat perubahan, rasionalitasnya,
tanggal permintaan, dan hasil permintaan.

Pengendalian untuk Keamanan Informasi

20
  Persutujan terdokumentasi atas seluruh permintaan
perubahan dilakukan oleh tingkat manajemen yang sesuai.
 Pengujian seluruh perubahan menggunakan sebuah sistem
yang terpisah, bukan hanyayang digunakan untuk proses
bisnis harian.
 Pengendalian konversi memastikan memastikan bahwa
data ditransfer secara akurat dan lengkap daei sistem
lama ke sistem baru. Para auditor internal harus meninjau
proses konversi.
 Pembaruan seluruh dokumentasi (instruksi program,
deskripsi sistem, manual prosedur, dsb.) untuk
menunjukkan implementasi perubahan terbaru.
 Sebuah proses khusus untuk peninjauan, persetujuan, dan
dokumentasi secara tepat waktu atas “perubahan darurat”
segera setelah krisis terjadi.
 Pengembangan dan dokumentasi rencana “mundur untuk
mempermudah pengembalian ke konfigurasi sebelumnya
jika perubahan baru dapat menciptakan masalah yang
tidak diharapkan.

 Pengawasan dan peninjauan dengan cermat atas hak dan

keistimewaan pengguna selama proses perubahan untuk
memastikan bahwa pemisahan tugas yang sesuai telah
ditetapkan.

2.4 Pengendalian Detektif

2.4.1 Analisis Log

Analisis log (log analysis) adalah proses pemeriksaan log

untuk mengidentifikasi bukti kemungkinan serangan.
Catatan log dibuat secara rutin kapan saja sesuai terjadinya
peristiwa. Log-log tersebut juga perlu dianalisis secara

Pengendalian untuk Keamanan Informasi

21
 teratur untuk mendeteksi masalah secara tepat waktu. Hal
ini tentunya memerlukan pertimbangan manusia untuk
mengartikan laporan dan mengidentifikasi situasi yang tidak
“normal”.

2.4.2 Sistem Deteksi Gangguan

Sistem deteksi gangguan (intrusion detection system-IDS)

adalah sebuah sistem jaringan terdiri atas satu set sensor
dan unit pengawasan pusat (central monitoring unit) yang
menghasilkan log dari seluruh lalu lintas yang diizinkan
untuk melewati firewall dan kemudian menganalisis log-log
tersebut sebagai tanda atas gangguan yang diupayakan
atau yang berhasil dilakukan.

2.4.3 Pengujian Penetrasi

Uji penetrasi (penetration test) adalah upaya terotorisasi

oleh baik tim audit internal maupun kantor konsultasi
keamanan eksternal untuk menerobos kedalam sistem
informasi organisasi.

2.4.4 Pengawasan Berkelanjutan

Praktik manajemen COBIT 5 menekankan pentingnya
pengawasan berkelanjutan dan kepatuhan pegawai
terhadap kebijakan keamanan informasi organisasi serta
kinerja keseluruhan proses bisnis. Pengawasan tersebut
merupakan pengendalian detektif penting untuk
mengidentifikasi masalah potensial secara tepat waktu.

2.5 Pengendalian Korektif

2.5.1 Computer Incident Response Team (CIRT)

Pengendalian untuk Keamanan Informasi

22
 Sebuah komponen utama agar mampu merespons insiden
keamanan dengan tepat dan efektif adalah tim perespons
insiden komputer (computer incident response team – CIRT).
Sebuah CIRT harus mengarahkan proses respons insiden
organisasi melalui empat tahapan berikut:

1. Pemberitahuan (recognition) adanya sebuah masalah.

Biasanya, ini terjadi ketika sebuah IPS dan IDS memberi
sinyal, tetapi juga dapat berasal dari hasil analisis log yang
dilakukan oleh administrator sistem.

2. Penahanan (containment) masalah. Segera setelah

gangguan terdeteksi, tindakan yang tepat diperlukan untuk
menghentikan gangguan dan menahan bahaya.

3. Pemulihan (recovery). Bahaya yang disebabkan oleh

serangan harus diperbaiki dengan melibatkan
penyimpanan ulang data dari backup serta pemasangan
ulang program-program yang rusak.

4. Tindak lanjut (follow up). CIRT harus memimpin analisis

bagaimana insiden terjadi. Keputusan penting yang perlu
dibuat adalah apakah akan mengupayakan untuk
menangkap dan menghukum pelaku perusakan. Jika
organisasi memutuskan bahwa ia ingin menuntut pelaku,
perusahaan perlu melibatkan pakar forensik untuk
memastikan bahwa seluruh bukti dapat dikumpulkan dan
dikelola dengan cara yang membuatnya dapat diterima
secara administratif di pengadilan.

2.5.2 Chief Information Security Officer (CISO)

Posisi CISO harus independen dari fungsi-fungsi sistem
informasi lainnya serta harus melapor baik ke chief executive
officer (CEO) maupun chief information officer (CIO) untuk
mendesain, mengimplementasi, serta membangun kebijakan

Pengendalian untuk Keamanan Informasi

23
 dan prosedur keamanan yang baik. Oleh karena itu, CISO
harus memiliki tanggung jawab untuk memastikan bahwa
penilaian kerentanan dan risiko dilakukan secara teratur serta
audit keamanan dilakukan secara periodik. CISO juga perlu
bekerja sama dengan pihak yang berwenang atas keamanan
fisik, karena akses fisik tanpa izin dapat memungkinkan
penyusup untuk menerobos pengendalian akses logis yang
paling rumit.

2.5.3 Manajemen Patch

Peningkatan terus-menerus atas ukuran dan kompleksitas
program perangkat lunak memuat sejumlah kerentanan.Oleh
karena itu, setelah sebuah kerentanan teridentifikasi, penting
untuk mengambil langkah secara tepat waktu sebelum sebuah
exploit muncul, yaitu sebuah program yang didesain untuk
memanfaatkan adanya kerentanan yang terdeteksi. Patch
adalah kode yang dirilis pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah
proses untuk secara teratur menerapkan patch dan
memperbarui perangkat lunak yang digunakan oleh
organisasi.

2.6 Implikasi Keamanan Virtualisasi dan

Cloud
Virtualisasi memanfaatkan kekuatan dan kecepatan komputer
modern untuk menjalankan berbagai sistem secara bersamaan
pada satu komputer fisik. Hal ini memotong biaya perangkat keras
karena semakin sedikit server yang perlu dibeli. Komputasi cloud
memanfaatkan high bandwidth dari jaringan telekomunikasi global
modern agar memungkinkan para pegawai menggunakan sebuah

Pengendalian untuk Keamanan Informasi

24
 browser untuk mengakses perangkat lunak dari jarak jauh,
perangkat penyimpan data, dan seluruh lingkungan aplikasi.
Virtualisasi dan komputasi cloud dapat memiliki baik efek
positif maupun negatif pada keseluruhan tingkatan keamanan
informasi, tergantung pada sebaik apa organisasi atau penyedia
cloud mengimplementasikan berbagai lapisan dari pengendalian
preventif, detektif, dan korektif.

2.7 Kasus Integratif : Northwest Industries

Penugasan Jason Scott selanjutnya adalah untuk meninjau

pengendalian internal pada sistem informasi Northwest Industries.
Jason mendapatkan sebuah salinan dari Control Objectives for
Information and Related Technology 5 (COBIT 5) dan terkesan
dengan ketelitiannya. Meski demikian, ia memberi tahu temannya
bahwa ia merasa kewalahan untuk mencoba menggunakan COBIT 5
dalam merencanakan auditnya di Northwest Industries. Temannya
menyarankan agar ia memeriksa Trust Service Framework yang
dikembangkan secara bersamaan oleh American Institute of Certified
Public Acccountant (AICPA) dan Canadian Institute of Chartered
Accountants (CICA) untuk memandu para auditor dalam menilai
keandalan sistem informasi sebuah perusahaan. Setelah meninjau
kerangka tersebut, Jason menyimpulkan bahwa ia dapat
menggunakannya sebagai panduan upaya auditnya. Ia memutuskan
bahwa ia akan memulainya dengan berfokus pada pengendalian
yang didesain untuk memberikan jaminan memadai tentang
keamanan informasi.

1. Pengendalian apa yang Northwest Industries gunakan untuk

mencegah akses tanpa izin ke sistem akuntansinya ?

Northwest Industries menggunakan berbagai bentuk

pengendalian preventif. Salah satunya adalah menciptakan buaya

Pengendalian untuk Keamanan Informasi

25
 sadar keamanan yang mengharuskan para pegawai untuk
mengikuti seminar isu keamanan terkini setiap bulannya.

2. Bagaimana keberhasilan dan kegagalan upaya perusakan sistem

akuntansi perusahaan dapat terdeteksi secara tepat waktu ?

Northwest Industries menggunakan kombinasi pengendalian

detektif dan korektif yang akan memungkinkan perusahaan untuk
mendeteksi serta merespon serangan dalam waktu yang lebih
singkat dari yang dibutuhkan penyusup untuk membobol
pengendalian preventif dan berhasil menyerang sistem.

3. Prosedur apa saja yang dijalankan untuk merespons peristiwa-

peristiwa tentang keamanan ?

 Akses fisik ke kantor perusahaan dibatasi oleh satu pintu

masuk utama yang dijaga sepanjang waktu oleh penjaga
keamanan.
 Seluruh pengunjung harus mendaftar ke meja keamanan dan
dikawal sepanjang waktu oleh seorang pegawai.
 Akses terhadap ruangan-ruangan yang dilengkapi peralatan
komputasi memerlukan penyisipan badge pegawai di dalam
pembaca kartu dan memasukkan PIN ke dalam kunci keypad
di pintu.
 Pengendalian akses jarak jauh meliputi firewall utama yang
melakukan penyaringan paket dan sebuah firewall aplikasi
situs yang menggunakan deep packet inspection untuk
menyaring seluruh lalu lintas yang menuju server web.
 Terdapat firewall internal tambahan yang memisahkan fungsi
bisnis yang berbeda satu sama lain.
 Staf keamanan informasi secara teratur memindai seluruh
perlengkapan terkait masalah kerentanan serta memastikan
bahwa setiap stasiun kerja pegawai menjalankan versi terbaru
dari perangkat lunak antivirus dan firewall perusahaan.

Pengendalian untuk Keamanan Informasi

26
  Perusahaan menggunakan sistem pendeteksi gangguan
(intrusion detection system)
 Manajemen puncak menerima laporan bulanan atas
efektivitas keamanan sistem.

BAB 3

KESIMPULAN

3.1 Kesimpulan

Ada tiga bentuk pengendalian untuk keamanan informasi yaitu

pengendalian preventif, pengendalian detektif, dan pengendalian
korektif. Pengendalian preventif terdiri dari penciptaan budaya
sadar-keamanan, pelatihan, pengendalian akses pengguna yang
terbagi menjadi pengendalian autentikasi dan pengendalian
otorisasi, pengendalian antimalware, pengendalian akses jaringan,
pengendalian pengukuhan peralatan dan perangkat lunak, enkripsi,
pengendalian akses serta pengendalian perubahan dan manajemen
perubahan. Pengendalian detektif terbagi menjadi empat jenis yaitu
analisis log, sistem deteksi gangguan, pengujian penetrasi, dan
pengawasan berkelanjutan. Pengendalian korektif terdiri dari tiga
komponen yaitu Computer Incident Response Team (CIRT), Chief
Information Security Officer (CISO), dan penerapan sistem
manajemen patch.

Pengendalian untuk Keamanan Informasi

27
 DAFTAR PUSTAKA

Romney, Marshall B dan Paul John Steinbart. 2014. Sistem Informasi

Akuntansi Edisi 13. Jakarta: Salemba Empat.

Pengendalian untuk Keamanan Informasi

28