NIM : 2018320134
Trust Service Framework mengatur pengendalian TI kedalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem:
1. Keamanan (securitiy), akses (baik fisik maupun logis) terhadap sistem dan data didalamnya
dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), Informasi keorganisasian yang sensitif (seperti rencana pemasaran,
rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy), Informasi pribadi tentang pelanggan, pengawal, pemasok, atau rekan kerja
hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap
kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan yang
tanpa izin.
4. Integritas Pemrosesan (Processing Intregity), data diproses secara akurat, lengkp, tepat waktu,
dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), Sistem dan informasinya tersedia untuk memenuhi kewajiban
operasional dan kontraktual.
Pengendalian Preventif
a) Orang-orang: Penciptaan sebuah budaya “sadar-keamanan”.
Untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan
keorganisasian, manajemen puncak tidak hanya harus mengomunikasikan kebijakan keamanan
organisasi, tetapi juga harus memandu dengan mencontohkannya. Para pegawai cenderung patuh
dengan kebijakan keamanan informasi ketika mereka melihat manajer mereka juga
melakukannya.
b) Orang-orang: Pelatihan
Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan bagi pertahanan
jangka panjang organisasi. Mereka juga perlu dilatih untuk mengikuti praktik-praktik komputasi
yang aman, seperti jangan membuka lampiran e-mail yang tidak diinginkan, hanya menggunakan
perangkat lunak yang disetujui, tidak membagikan kata sandi, dan mengmbil langkah untuk
melindungi laptop secara fisik.
Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang dipeerbolehkan untuk
dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap pegawai
dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.
Konfigurasi Aman atas Perangkat Mobile
Masalah-masalah utama beserta solusinya:
1. Autentikasi yang lemah atau tidak ada
Ancaman: akses tanpa izin ke jaringan perusahaan.
Solusi: Meminta para pegawai untuk mengonfigurasi setiap perangkat mobile personal yang
mereka inginkan untuk terhubung ke jaringan perusahaan menggunakan kata sandi yang
memenuhi kebijakan kata sandi untuk autentikasi dan juga mengonfigurasi perangkat untuk
menutupi area kata sandi serta mengaktifkan sebuah kata kunci-layar setelah periode yang
diberikannya tidak aktif.
3. Malware.
Ancaman: infeksi yang dapat menyebar ke jaringan perusahaan.
Solusi: memberi para pegawai perangkat lunak keamanan dan meminta mereka untuk
memasang perangkat lunak tersebut ke dalam perangkat mobile yang akan digunakan dalam
mengakses jaringan perusahaan.
c) Pengujian penetrasi
Sebuah uji penetrasi adalah sebuah upaya terotorisasi oleh baik tim audit internal maupun kantor
konsultasi keamanan eksternal untuk menerobos kedalam sistem informasi organisasi.
d) Pengawasan berkelanjutan
Pengawasan tersebut merupakan pengendalian detektif penting yang dapat mengidentifikasi
masalah potensial secara tepat waktu.
Pengendalian Korektif
a) Computer Incident Response Team (CIRT)
Sebuah komponen utama agar mampu merenspons insiden keamanan dengan tepat dan efektif
adalah penetapan sebuah tim perespons insiden komputer.
Sebuah CIRT harus mengarahkan proses repons insiden organisasi melalui empat tahapan
berikut:
1. Pemberitahuan adanya sebuah masalah.
2. Penahanan masalah.
3. Pemulihan.
4. Tindak lanjut.
c) Manajemen Patch
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan
tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbaiki
seluruh perangkat lunak yang digunakan oleh organisasi.
Implikasi Keamanan Virtualisasi dan Cloud
Akhir-akhir ini banyak organisasi yang telah melibatkan virtualisasi dan komputasi cloud untuk
meningkatkan baik efisiensi maupun efektivitas. Virualisasi memanfaatkan kekuatan dan kecepatan
komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi cloud memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar
memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat lunak dari
jarak jauh, perangkat penyimpanan data, perangkat keras, dan seluruh lingkungan aplikasi.
Virtualisasi dan komputasi cloud mengubah risiko beberapa ancaman keamanan informasi. Sebagai
contoh, akses fisik yang tidak diawasi disebuah lingkungan virtualisasi membongkar tidak hanya satu
perangkat, tetapi juga seluruh jaringan virtual risiko pencurian atau penghancuran dan perusakan.
Sama halnya, perusakan sebuah sistem penyedia cloud mungkin menyediakan akses tanpa izin ke
berbagai sistem. Selain itu, karena cloud publik, secara definisi dapat diakses melalui internet, proses
autentikasi merupakan tujuan utama atas perlindungan data anda yang tersimpan dalam cloud dari
akses tanpa izin.
Meskipun virtualisasi dan komputasi cloud dapat meningkatkan risiko beberapa ancaman,
perkembangan keduanya juga menawarkan peluang untuk meningkatkan keseluruhan keamanan
secara signifikan.