CH 8 PENGENDALIAN UNTUK KEAMANAN INFORMASI

PENDAHULUAN

- Trust Service Framework mengatur pengendalian IT ke dalam lima prinsip :

1. Keamanan (Security) adalah akses ( baik fisinik maupun logis) terhadap sistem dan data di
dalamnya dikendalikan serta terbatas untuk pengguna sah
2. Kerahasiaan (confidentiality) adalah informasi keorganisasian yang sensitif terlindungi dari
pengungkapan yang tanpa izin
3. Privasi (privacy) adalah informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan
kerja hanya dikumpulkan, digunakan, diungkapkan dan dikelola sesuai dengan kepatuhan
terhadap kebijakan
4. Integritas Pemrosesan (processing integrity) adalah data di proses secara akurat, lengkap, tepat
waktu dan hanya dengan otoritas yang sesuai
5. Ketersediaan (availability) adalah sistem dan informasinya tersedia untuk memenuhi kewajiban
operasional dan kontraktual

DUA KONSEP KEAMANAN INFORMASI FUNDAMENTAL

KEAMANAN MERUPAKAN MASALAH MANAJEMEN, BUKAN HANYA MASALAH TEKNOLOGI.

- Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat berteknologi

seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan manajemen senior juga jelas
menjadi dasar untuk keberhasilan.
DEFENSE-IN DAN MODEL KEAMANAN INFORMASI BERBASIS WAKTU.
- defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu
poin kegagalan.
- Tujuan dari model keamanan berbasis waktu adalah menggunakan kombinasi perlindungan
preventif, detektif, korektif, yang melindungi aset informasi yang cukup lama agar
memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan
mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak.

Memahami Serangan yang Ditargetkan

- langkah-langkah yang dilakukan para penjahat untuk menyerang sistem informasi suatu
perusahaan :
1. Melakukan pengintaian
2. Mengupayakan rekayasa sosial
3. Memindai dan memetakan target
4. Penelitian
5. Mengeksekusi serangan
6. Menutupi jejak

Pengendalian Preventif

Pengendalian ini digunakan untuk membatasi akses terhadap sumber daya informasi.

ORANG-ORANG: PENCIPTAAN SEBUAH BUDAYA "SADAR-KEAMANAN"

COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator
kritis untuk keamanan informasi yang efektif. dalam hal ini manajemen puncak harus memandu para
pegawainya dengan cara mencontohkannya.

ORANG-ORANG : PELATIHAN
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya
untuk kemanan informasi yang efektif.

PROSES: PENGENDALIAN AKSES PENGGUNA

memahami bahwa "orang luar" bukan satu-satunya sumber ancaman.

PENGENDALIAN AUTENTIKASI
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses
sistem. tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem.

Autentikasi multifaktor adalah penggunaan dua atau lebih jenis tanda bukti autentikasi secara
bersamaan untuk mencapai tingkat keamanan yang lebih ketat.

Autentikasi multimodal adalah penggunaan berbagai tanda bukti autentikasi dari jenis yang sama untuk
mencapai tingkat keamanan yang ketat.
PENGENDALIAN OTORISASI
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagian spesifik sistem dan
membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. tujuannya adalah
menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisiahan
tugas yang tepat.

Matriks pengendalian akses : tabel yang digunakan untuk mengimplemetasikan pengendalian otorisasi.
Uji Kompatibilitas : mencocokan tanda bukti autentikasi penggunaan terhadap matriks pengendalian
akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber daya dan
melakukan tindakan yang diminta.

SOLUSI IT: PENGENDALIAN ANTIMALWARE

COBIT 5 DSS05.01 mendaftar perlindungan malware sebagai salah satu dari kunci keamanan yang
efektif, merekomendasikan secara spesifik :
1. Edukasi kesadaran perangkat lunak jahat.
2. Pemasangan alat perlindungan anti-malware pada seluruh perangkat.
3. Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak anti malware.
4. Tinjauan teratur atas ancaman malware baru.
5. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial.
6. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau tidak disetujui.

SOLUSI IT: PENGENDALIAN AKSES JARINGAN

Biasanya, akses ini dilakukan melalui internet, tetapi beberapa organisasi masih mengelola jaringan hak
milik mereka sendiri atau menyediakan akses dial-up langsung melalui modem.

PERTAHANAN PERIMETER: ROUTER, FIREWALL, DAN SISTEM PENCEGAHAN GANGGUAN

Border router: sebuah perangkat yang menghubungkan sistem informasi organisasi ke internet.

Firewall : sebuah perangkat keras yang bertujuan khusus atau perangkat lunak yang bekerja pada
sebuah komputer bertujuan umum yang mengendalikan baik komunikasi masuk maupun keluar antara
sistem di balik firewall dan jaringan lainnya.

Demilitarized zone (DMZ): sebuah jaringan terpisah yang berada di luar sistem informasi internal
organisasi serta mengizinkan akses yang dikendalikan dari internet.
BAGAIMANA ARUS INFORMASI PADA JARINGAN: TINJAUAN MENYELURUH TCP/IP DAN ETHERNET.

Router: Perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber dan tujuan
pada header paket IP untuk memutuskan selanjutnya akan mengirim (rute) paket ke mana.

Mengendalikan Akses dengan Paket Penyaringan:

Access Control List (ACL): seperangkat aturan IF-THEN yang digunakan untuk menentukan tindakan
untuk paket yang tiba.
Penyaringan paket (packet filtering): sebuah proses yang menggunakan berbagai bagian pada header IP
dan TCP paket untuk memutuskan tindakan yang dilakukan pada paket.

Deep packer inspection: sebuah proses yang memeriksa data fisik sebuah paket TCP untuk
mengendalikan lalu lintas, bukan hanya melihat informasi pada header IP dan TCP.

Sistem pencegah gangguan (instrusion prevention- IPS): perangkat lunak atau perangkat keras yang
mengawasi pola-pola dalam arus lalu-lintas untuk mengidentifikasi dan mengeblok serangan secara
otomatis.

Menggunakan Defense-in-Depth untuk membatasi akses jaringan.

menggunakan berbagai perangkat penyaringa perimeter lebih efisien dan efektif dibandingkan hanya
bergantung pada satu perangkat.

MENGAMANKAN KONEKSI DIAL-UP

Remote Authentication Dial-in User Servise (RADIUS): sebuah metode standar untuk memverifikasi
identitas pengguna yang berupaya untuk terhubung melalui akses dial-in.

War dialing: mencari sebuah modem menganggur dengan memprogram sebuah kompuer untuk
memanggil ribuan lini telepon.

MENGAMANKAN AKSES NIRKABEL

- prosedur-prosedur untuk mengamankan akses nirkabel secara memadai, sebagai berikut :
1. Menyalakan fitur keamanan yang tersedia.
2. Membuktikan keabsahan seluruh perangkat yang digunakan untuk menetapkan akses nirkabel
ke jaringan sebelum menentukan sebuah alamat IP untuk mereka.
3. Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus
infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel.
4. Menggunakan nama yang noninformatif sebagai alamat titik akases yang disebut dengan service
set identifier (SSID).
5. Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior gedung,
dan menggunakan antena pengarahan untuk membuat penerimaan lokal tana izin menjadi lebih
sulit.
6. Mengenkripsi seluruh lalu lintas nirkabel.

SOLUSI IT: PENGENDALIAN PENGUKUHAN PERALATAN DAN PERANGKAT LUNAK

Endpoint: istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan
organisasi.

KONFIGURASI ENDPOINT

Kerentanan (vulnerabilities): cacat pada program yang dapat dimanfaatkan baik untuk merusak sistem
maupun mengambil kendalinya.
Pemindai kerentanan (vulnerabilities scanners): alat otomatis yang didesain untuk mengidentifikasi
apakah sebuah sistem bawaan memiliki program yang tidak digunakan dan tidak perlu serta
menunjukkan ancaman keamanan potensial.

Pengukuhan (hardening): proses memodifikasi konfigurasi dasar endpoint untuk mengeliminasi

pengaturan dan layanan yang tidak perlu.

MANAJEMEN AKUN PENGGUNA

Praktik manajemen COBIT 5 DDS05.04 menekankan kebutuhan untuk secara hati-hati mengelola seluruh
akun pengguna, terutama akun-akun yang memiliki hak terbatas (administratif) pada komputer.

DESAIN PERANGKAT LUNAK

Sebagaimana organisasi yang telah meningkatkan keefektifan pengendalian keamanan perimeternya,
para penyerang juga meningkatkan kerentanan yang ditargetkan dalam program aplikasi.

SOLUSI IT: ENKRIPSI

Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin terhadap
informasi sensitif.

KEAMANAN FISIK: PENGENDALIAN AKSES

Seseorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses fisik langsung tanpa
pengawasan untuk menembus pengendalian keamanan informasi yang ada.

PENGENDALIAN PERUBAHAN DAN MANAJEMEN PERUBAHAN

Pengendalian perubahan dan manajemen perubahan: proses formal yang digunakan untuk memastikan
bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi keandalan
sistem.
- Beberapa karakteristik proses pengendalian perubahan dan manajemen perubahan:
1. Dokumentasi seluruh permintaan perubahan, pengidentifikasian sifat perubahan,
rasionalitasnya, tanggal permintaan, dan hasil permintaan.
2. Persetujuan terdokumentasi atas seluruh permintaan perubahan dilakukan oleh tingkat
manajemen yang sesuai.
3. Pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah, bukan hanya yang
digunakan untuk proses bisnis harian.
4. Pengendalian konversi memastikan bahwa data ditransfer secara akurat dan lengkap dari sistem
lama ke sistem baru.
5. Pembaruan seluruh dokumentasi untuk menunjukkan implementasi perubahan terbaru.

PENGENDALIAN DETEKTIF

ANALISIS LOG
Analisis Log: proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.
SISTEM DETEKSI GANGGUAN
Intrusion detection system (IDS): sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas
jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebgai tanda
atas gangguan yang diupayakan atau berhasil dilakukan.

PENGUJIAN PENETRASI
Uji penetrasi (penetration test): upaya terotorisasi untuk menerobos ke dalam sistem informasi
organisasi.

PENGAWASAN BERKELANJUTAN
Praktik COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai terhadap
kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis.

PENGENDALIAN KOREKTIF

COMPUTER INCIDENT RESPONSE TEAM (CIRT)

Tim perespons insiden komputer (CIRT): sebuah tim yang bertanggung jawab untuk mengatasi insiden
keamanan utama.
- 4 tahap CIRT:
1. Pemberitahuan (recognition) adanya sebuah masalah.
2. Penahanan (containment) masalah.
3. Pemulihan (recovery).
4. Tindak lanjut (follow up).

CHIEF INFORMATION SECURITY OFFICER (CISO)

COBIT 5 mengidentifikasi struktur keorganisasian sebagai sebuah fasilitator kritis untuk mencapai
pengendalian dan keamanan yang efektif.

MANAJEMEN PATCH
Exploit: sebuah program yang didesain untuk memanfaatkan dari kerentanan yang diketahui.

Patch: kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu.

Manajemen patch: proses untuk secara teratur menerapkan patch dan memperbarui perangkat lunak.

IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD

Virtualisasi: menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.

Komputasi Cloud: menggunakan sebuah browser untuk mengakses perangkat lunak, penyimpanan data,
perangkat keras, dan aplikasi dari jarak jauh.