Scribd Logo
Unggah

Selamat datang di Scribd!

  • Bab 8 Pengendalian

    Diunggah oleh

    Akuntansi PNP18
    40 tayangan5 halaman

    Judul Asli

    BAB_8_PENGENDALIAN

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOCX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    40 tayangan5 halaman

    Bab 8 Pengendalian

    Diunggah oleh

    Akuntansi PNP18

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 5

    PENGENDALIAN UNTUK KEAMANAN INFORMASI

    Oleh
    Kelompok 1
    1. Wina Nofrima Fitri : (1811022021)
    2. Ayu Efrianti : (1811022032)

    Dosen Pembimbing:
    Firman Surya

    IIA D-IV AKUNTANSI


    POLITEKNIK NEGERI PADANG
    TAHUN AKADEMIK 2019/2020
    PENGENDALIAN UNTUK KEAMANAN INFORMASI

    Trust Service Framework mengatur pengendalian TI ke dalam 5 prinsip:


    1. Keamanan (security)
    2. Kerahasiaan (confidentiality)
    3. Privasi (privacy)
    4. Integritas pemrosesan (processing integrity)
    5. Ketersediaan (availability)

    A. Dua Konsep Keamanan Informaasi Fundamental


    1. Keamanan meupakan masalah manajemen, bukan hanya masalah teknologi
    Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat
    berteknologi, keterlibatan serta dukungan manajemen senior juga jelas menjadi dasar
    keberhasilan. Manajemen senior harus berpartisipasi dalam pengembangan kebijakan
    karena mereka harus memutuskan sanksi yang akan diberikan terhadap
    ketidakpatuhan.
    2. Defense in depth dan model keamanan informasi berbasis waktu
    Gagasan dari defense in depth adalah penggunaan berbagai lapisan pengendalian
    untuk menghindari satu poin kegagalan. Defense in depth secara khusus melibatkan
    pennggunaan sebuah kombinasi dari pengendalian preventif, detektif dan korektif.
    Model keamanan berbasis waktu bertujuan menggunakan kombinasi perlindungan
    preventif, detektif, dan korektifyang melindungi aset informasi cukup lama agar
    memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi
    dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang
    atau dirusak.

    B. Memahami Serangan yang Ditargetkan


    langkah-langkah penyerangn sistem informasi suatu perusahaan:
    1. Melakukan pengintaian (conduct reconnaissance)
    2. Mengupayakan rekayasa sosial (attemp social engineering)
    3. Memindai dan memetakan target (scan and map the target)
    4. Penelitian (research)
    5. Mengeksekusi serangan (execute the attack)
    6. Menutupi jejak (cover tracks)
    C. Pengendalian Preventif
     Orang-orang : Penciptaan sebuah budaya “sadar keamanan”
    COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah
    satu dari fasilitator kritis untuk keamanan informasi yang efektif.
     Orang-orang : Pelatihan
    Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan bagi
    kebertahanan jangka panjang organisasi.
     Proses : Pengendalian akses pengguna
    Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi
    aset informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh
    pegawai.
     Pengendalian autentikasi
    Autentikasi (authentication) adalah proses verifikasi identitas seseorang atau
    perangkat yang mencoba untuk mengakses sistem.
     Pengendalian otorisasi
    Otorisasi (authorization) adalah proses dari memperketat akses dari pengguna sah
    terhadap ba gian spesifik sistem dan membatasi tindakan apa saja yang diperbolehkan
    untuk dilakukan.
     Solusi TI : Pengendalian antimalware
    Malware dapat membahayakan atau menghancurkan informasi atau menghasilkan
    sebuah cara untuk memperoleh akses tanpa izin.
     Solusi TI : Pengendalian akses jaringan
     Pertahanan primeter : Router, firewall, dan sistem pencegahan gangguan
    Border router menghubungkan sistem informasi sebuah organisasi ke internet. Di
    balik border router terdapat firewall utama yang dapat menjadi perangkat keras
    bertujuan khusus atau perangkat lunak yang bekerja pada sebuah komputer yang
    mengendaliakan komunikasi masuk atau keluar antara sistem dibalik firewall dan
    jaringan lainnya. Demilitarized zone (DMZ) adalah sebuah jaringan terpisah yang
    berada di luar sistem informasi internal organisasi serta mengizinkan akses yang
    dikendalikan dari internet untuk memilih sumber daya. Secara bersamaan, border
    router dan firewall bertindak sebagai penyaring untuk mengendalikan informasi apa
    yang diizinkan untuk masuk dan keluar dari sistem informasi organisasi.
     Bagaimana arus informasi pada jaringan : Tinjauan menyeluruh TOP/IP dan Ethernet
     Mengendalikan akses dengan paket penyaringan
     Menggunakan defense in depth untuk membatasi akses jaringan
     Mengamankan koneksi dial up
    Emote Authentication Dial in User Service (RADIUS) adalah sebuah metode standar
    untuk memverifikasi identitas pengguna yang berupaya untuk mendapatkan akses dial
    in.
     Mengamankan akses nirkabel
    banyak organisasi juga menyediakan akses nirkabel pada sistem informasinya. Akses
    nirkabel adalah akses yang nyaman dan mudah, tetapi juga memberi area lain untuk
    serangan dan memperpanjang primeter yang harus dilindungi.
     Solusi TI : Pengendalian pengukuhan peralatan dan perangkat lunak
     Konfigurasi Endpoint
     Manajemen akun pengguna
     Desain perangkat lunak
     Solusi TI : Enkripsi
     Keamanan fisik : Pengendalian akses
     Pengendalian perubahan dan manajemen perubahan

    D. Pengendalian Detektif
     Analisis log
    Analisis log (log analysis) adalah proses pemeriksaan log untuk mengidentifikasi
    bukti kemungkinan serangan.
     Sistem deteksi gangguan
    Terdiri atas satu set sensor dan unit pengawasan pusat yang menghasilkanlog dari
    seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall dan menganalisis
    log tersebut.
     Pengujian penetrasi
    Uji penetrasi (penetration test) adalah sebuah upaya terotorisasi oleh baik tim audit
    internal maupun kantor konsultasi keamanan eksternal untuk menerobos ke dalam
    sistem informasi organisasi.
     Pengawasan berkelanjutan

    E. Pengendalian Korektif
     Computer Incident Response Team (CIRT)
    Sebuah komponen utama agar mampu merespons insiden keamanan dengan tepat dan
    efektif adalah penetapan tim perespons insiden komputer yang tidak hanya
    melibatkan spesialis teknis tapi juga manajemen senior. Sebuah CIRT harus
    mengarahkan proses respons insiden melalui 4 tahap:
    1. Pemberitahuan (recognition) adanya sebuah masalah
    2. Penahanan (containment) masalah
    3. Pemulihan (recovey)
    4. Tindak lanjut (follow up)
     Chief Information Security Officer (CISO)
     Manajemen patch

    F. Implikasi Keamanan Virtualisasi dan Cloud


    Virtualisasi (virtualization) memanfaatkan kekuatan dan kecepatan komputer modern
    untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
    Komputasi cloud (cloud computing) memanfaatkan high bandwidth dari jaringan
    telekomunikasi global modern. Virtualisasi dan komputasi cloud mengubah risiko
    beberapa ancaman keamanan informasi. Meskipun virtualisasi dan komputasi cloud
    dapat meningkatkan risiko beberapa ancaman, perkembangan keduanya juga
    menawarkan peluang untuk meningkatkan keseluruhan keamanan secara signifikan.

    Anda mungkin juga menyukai