Nama : Erlly Aprillya Cahyaningrum

NIM : 2018320134

Pengendalian untuk Keamanan Informasi

Trust Service Framework mengatur pengendalian TI kedalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem:

1. Keamanan (securitiy), akses (baik fisik maupun logis) terhadap sistem dan data didalamnya
dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), Informasi keorganisasian yang sensitif (seperti rencana pemasaran,
rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy), Informasi pribadi tentang pelanggan, pengawal, pemasok, atau rekan kerja
hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap
kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan yang
tanpa izin.
4. Integritas Pemrosesan (Processing Intregity), data diproses secara akurat, lengkp, tepat waktu,
dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), Sistem dan informasinya tersedia untuk memenuhi kewajiban
operasional dan kontraktual.

 Dua Konsep Keamanan Informasi Fundamental

a) Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi.
Para professional keamanan informasi memilliki keahlian untuk mengidentifikasi ancaman
potensional dan mengestimasikan kemungkinan serta dampaknya. Meski dmeikian, manajemen
senior harus memilih mana dari 4 respon resiko yang dijelaskan di Bab 7 (menurunkan,
menerima, membagi, atau menghindari) yang sesuai untuk diadopsi sehingga sumber daya yang
diinvestasikan pada keamanan informasi menunjukan kebutuhan resiko organisasi. Manajemen
senior harus berpartisipasi dalam pengembangan kebijakan karena mereka harus memutuskan
sanksi yang akan diberikan terhadap tind akan ketidakpatuhan. Manajemen senior juga harus
mengotorisasi investasi sumber daya yang diperlukan untuk mengatasi ancaman yang
teridentifikasi serta mencapai level keamanan yang dikehendaki.

b) Defense-In-Depth dan model keamanan informasi berbasis waktu.

Gagasan dari defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk
menghindari satu poin kegagalan. Defense-in-depth secara khusus melibatkan penggunaan sebuah
kombinasi dari pengendalian preventif, detektif, dan korektif. Peran pengendalian preventif
adalah untuk membatasi tindakan individu tertentu agar sesuai dengan kebijakan keamanan
organisasi.
 Tujuan dari keamanan berbasis waktu (time-based model of security) adalah menggunakan
kombinasi perlindungan preventif, detektif, dan korektif yang melindungi aset informasi cukup
lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan
mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak.

 Memahami Serangan yang Ditargetkan

Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu
perusahaan:
1. Melakukan pengintaian (conduct reconnaissance).
2. Mengupayakan rekayasa sosial (attempt social engineering).
3. Memindai dan memetakan target (scan and map the target).
4. Penelitian (research).
5. Mengeksekusi serangan (excute the attack).
6. Menutupi jejak (cover tracks).

 Pengendalian Preventif
a) Orang-orang: Penciptaan sebuah budaya “sadar-keamanan”.
Untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan
keorganisasian, manajemen puncak tidak hanya harus mengomunikasikan kebijakan keamanan
organisasi, tetapi juga harus memandu dengan mencontohkannya. Para pegawai cenderung patuh
dengan kebijakan keamanan informasi ketika mereka melihat manajer mereka juga
melakukannya.

b) Orang-orang: Pelatihan
Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan bagi pertahanan
jangka panjang organisasi. Mereka juga perlu dilatih untuk mengikuti praktik-praktik komputasi
yang aman, seperti jangan membuka lampiran e-mail yang tidak diinginkan, hanya menggunakan
perangkat lunak yang disetujui, tidak membagikan kata sandi, dan mengmbil langkah untuk
melindungi laptop secara fisik.

c) Proses: Pengendalian akses pengguna

 Pengendalian autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba
untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang
dapat mengakses sistem.

 Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang dipeerbolehkan untuk
dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap pegawai
dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.
 Konfigurasi Aman atas Perangkat Mobile
Masalah-masalah utama beserta solusinya:
1. Autentikasi yang lemah atau tidak ada
Ancaman: akses tanpa izin ke jaringan perusahaan.
Solusi: Meminta para pegawai untuk mengonfigurasi setiap perangkat mobile personal yang
mereka inginkan untuk terhubung ke jaringan perusahaan menggunakan kata sandi yang
memenuhi kebijakan kata sandi untuk autentikasi dan juga mengonfigurasi perangkat untuk
menutupi area kata sandi serta mengaktifkan sebuah kata kunci-layar setelah periode yang
diberikannya tidak aktif.

2. Kegagalan untuk mengenkripsi transmisi sensitive.

Ancaman: Pengupingan.
Solusi: meminta para pegawai agar memungkinkan enkripsi ketika menggunakan perangkat
mobile-nya untuk mentransmisikan informasi perusahaan yang sensitif dan memberikan
pelatihan cara melakukannya.

3. Malware.
Ancaman: infeksi yang dapat menyebar ke jaringan perusahaan.
Solusi: memberi para pegawai perangkat lunak keamanan dan meminta mereka untuk
memasang perangkat lunak tersebut ke dalam perangkat mobile yang akan digunakan dalam
mengakses jaringan perusahaan.

4. Kehilangan atau pencurian.

Ancaman: akses tanpa izin terhadap data sensitif dalam perangkat.
Solusi: menjalankan enkripsi data tersimpan serta mengonfigurasi perangkat untuk dimatikan
dari jarak jauh apabila hilang atau dicuri.

5. Penggunaan yang tidak aman.

Ancaman: peningkatan resiko sebuah insiden keamanan.
Solusi: mengembangkan kebijakan komprehensif untuk penggunaan perangkat mobile yang
aman. Melatih para pegawai tentang kebijakan. Awasi kepatuhan dan laksanakan sanksi yang
sesuai atas pelanggaran kebijakan.

Solusi TI: ENKRIPSI

Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akeses tanpa izin terhadap
informasi sensitif.

Keamanan Fisik: Pengendalian Akses

Pengendalian akses fisik dimulai dari pintu masuk ke dalam gedung itu sendiri. Idealnya, sebaiknya
hannya terdapat satu pintu masuk regular yang tetap terbuka selama jam kerja normal. Kode kebakaran
biasanya memerlukan pintu keluar darurat tambahan, tetapi pintu-pintu tersebut sebaiknya tidak
memperkenankan siapapun menggunakannya untuk masuk dari luar, selain itu pintu tersebut terhubung
dengan sistem alarm sehingga secara otomatis terpicu kapanpun pintu darurat terbuka. Selain itu, baik
resepsionis maupun keamanan maupun keamanan harus bertugas di pintu masuk utama untuk
memverifikasi identitas para pegawai. Para pengunjung harus disyaratkan untuk mendaftar dan
didampingi oleh seorang pegawai kemanapun mereka pergi di dalam gedung.
Segera setelah masuk kedalam gedung, akses fisik pada ruangan-ruangan yang menyimpan komputer juga
harus dibatasi. Ruangan-ruangan tersebut harus dikunci secara aman dan seluruh pintu masuk/keluar
diawasi dengan sistem CCTV. Berbagai upaya akses yang gagal harus memicu alarm. Ruangan-ruangan
yang menyimpan server, terutama yang memuat data sensitif harus ditambahi kunci regular dengan
teknologi yang lebih kuat.
Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu dibatasi untuk mencegah
wiretapping. Itu berarti bahwa pengabelan dan wiring seharusnya tidak dipasang di area yang dapat
diakses pengunjung biasa. Lemari wiring yang berisi perlengkapan telekomunikasi perlu dikunci dengan
aman. Jika lemari wiring digunakan bersama dengan penyewa lain di dalam gedung kantor, organisasi
tersebut harus meletakan perlengkapan telekomunikasinya didalam kurungan besi terkunci untuk
mencegah akses fisik tanpa izin oleh siapa saja untuk akses ke dalam lemari wiring tersebut. Stop kontak
tembok yang sedang tidak digunakan harus diputus koneksinya secara fisik dari jaringan, untuk mencegah
seseorang menancapkannya ke laptop dan berupaya mengakses jaringan.

Pengendalian Perubahan dan Manajemen Perubahan.

Pengendalian perubahan dan manajemen perubahan mengarah pada proses formal yang digunakan untuk
memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi
keandalan sistem.
Beberapa karakteristik proses pengendalian perubahan dan manajemen perubahan yang didesain dengan
baik melibatkan:
 Dokumentasi seluruh permintaan perubahan, pengidentifikasian sifat perubahan, rasionalitasnya,
tanggal permintaan, dan hasil permintaan.
 Persetujuan terdokumentasi atas seluruh permintaan perubahan dilakukan oleh tingkat
manajemen yang sesuai.
 Pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah, bukan hanya yang
digunakan untuk proses bisnis harian. Hal tersebut menurunkan risiko bahwa “kesalahan-
kesalahan” dalam modifikasi tidak mengganggu bisnis normal.
 Pengendalian konversi memastikan bahwa data ditransfer secara akurat dan lengkap dari sistem
lama ke sistem baru. Para auditor internal harus meninjau proses konversi.
 Pembaruan seluruh dokumentasi untuk menunjukkan implementasi perubahan terbaru.
 Sebuah proses khusus untuk peninjauan, persetujuan, dan dokumentasi secara tepat waktu atas
“perubahan darurat” segera setelah krisis terjadi.
 Pengembangan dan dokumentasi rencana “mundur” untuk mempermudah pengendalian ke
konfigurasi sebelumnya jika perubahan baru menciptakan masalah yang tidak diharapkan.
 Pengawasan dan peninjauan dengan cermat atas hak dan keistimewaan pengguna selama proses
perubahan untuk memastikan bahwa pemisahan tugas yang sesuai telah ditetapkan.
 Pengendalian Detektif
a) Analisi Log
Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.

b) Sistem deteksi gangguan

Sistem deteksi gangguan jaringan terdiri atas satu set sensor dan unit pengawasan pusat yang
menghasilkan log dari seluruh lalu lintas jaringan yang di izinkan untuk melewati firewall dan
kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau
berhasil dilakukan.

c) Pengujian penetrasi
Sebuah uji penetrasi adalah sebuah upaya terotorisasi oleh baik tim audit internal maupun kantor
konsultasi keamanan eksternal untuk menerobos kedalam sistem informasi organisasi.

d) Pengawasan berkelanjutan
Pengawasan tersebut merupakan pengendalian detektif penting yang dapat mengidentifikasi
masalah potensial secara tepat waktu.

 Pengendalian Korektif
a) Computer Incident Response Team (CIRT)
Sebuah komponen utama agar mampu merenspons insiden keamanan dengan tepat dan efektif
adalah penetapan sebuah tim perespons insiden komputer.
Sebuah CIRT harus mengarahkan proses repons insiden organisasi melalui empat tahapan
berikut:
1. Pemberitahuan adanya sebuah masalah.
2. Penahanan masalah.
3. Pemulihan.
4. Tindak lanjut.

b) Chief Information Security Officer (CISO)

Sangat penting agar organisasi menentukan pertanggungjawaban atas keamanan informasi kepada
seseorang di level manajemen senior yang tepat. Satu cara untuk memenuhi sasaran ini adalah
menciptakan posisi CISO, yang harus independen dari fungsi-fungsi sistem informasi lainnya
serta harus melapor baik ke chief operating officer maupun chief executive officer.

c) Manajemen Patch
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan
tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbaiki
seluruh perangkat lunak yang digunakan oleh organisasi.
 Implikasi Keamanan Virtualisasi dan Cloud
Akhir-akhir ini banyak organisasi yang telah melibatkan virtualisasi dan komputasi cloud untuk
meningkatkan baik efisiensi maupun efektivitas. Virualisasi memanfaatkan kekuatan dan kecepatan
komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi cloud memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar
memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat lunak dari
jarak jauh, perangkat penyimpanan data, perangkat keras, dan seluruh lingkungan aplikasi.
Virtualisasi dan komputasi cloud mengubah risiko beberapa ancaman keamanan informasi. Sebagai
contoh, akses fisik yang tidak diawasi disebuah lingkungan virtualisasi membongkar tidak hanya satu
perangkat, tetapi juga seluruh jaringan virtual risiko pencurian atau penghancuran dan perusakan.
Sama halnya, perusakan sebuah sistem penyedia cloud mungkin menyediakan akses tanpa izin ke
berbagai sistem. Selain itu, karena cloud publik, secara definisi dapat diakses melalui internet, proses
autentikasi merupakan tujuan utama atas perlindungan data anda yang tersimpan dalam cloud dari
akses tanpa izin.
Meskipun virtualisasi dan komputasi cloud dapat meningkatkan risiko beberapa ancaman,
perkembangan keduanya juga menawarkan peluang untuk meningkatkan keseluruhan keamanan
secara signifikan.