Pengantar
Saat ini, setiap organisasi bergantung pada teknologi informasi (TI). Banyak organisasi juga memindahkan
setidaknya sebagian dari sistem informasi mereka ke cloud. Manajemen menginginkan kepastian bahwa informasi
yang dihasilkan oleh sistem akuntansi organisasi itu dapat diandalkan dan juga tentang keandalan penyedia
layanan cloud yang dikontraknya. Selain itu, manajemen juga menginginkan jaminan bahwa organisasi tersebut
mematuhi berbagai persyaratan peraturan dan industri yang terus meningkat termasuk Sarbanes-Oxley (SOX),
Undang-undang Portabilitas dan Akuntabilitas asuransi kesehatan (HIPAA), dan Standar Keamanan Data Industri
Kartu Pembayaran (PCI-DSS).
Seperti disebutkan dalam Bab 7, COBIT 5 adalah kerangka kerja komprehensif praktik terbaik yang berkaitan
dengan semua aspek tata kelola dan manajemen TI. Namun, dalam buku ini kami fokus hanya pada bagian-bagian
COBIT 5 yang paling langsung berkaitan dengan keandalan sistem informasi dan kepatuhan dengan standar
peraturan. Sebagai konsekuensinya, kami mengatur bab ini dan dua berikutnya tentang prinsip-prinsip dalam
Kerangka Layanan Perwalian, yang dikembangkan bersama oleh AICPA dan CICA untuk memberikan panduan
untuk menilai keandalan sistem informasi. Namun demikian, karena COBIT 5 adalah kerangka kerja yang diakui
secara internasional yang digunakan oleh banyak organisasi, auditor dan akuntan harus terbiasa dengannya. Oleh
karena itu, sepanjang diskusi kami, kami merujuk bagian COBIT 5 yang relevan yang berhubungan dengan setiap
topik sehingga Anda dapat memahami bagaimana prinsip-prinsip yang berkontribusi pada keandalan sistem juga
penting untuk mengelola investasi organisasi dalam TI secara efektif.
Kerangka Layanan Trust mengatur kontrol terkait TI menjadi lima prinsip yang secara bersama-sama berkontribusi
pada keandalan sistem:
1. Keamanan - akses (baik fisik dan logis) ke sistem dan datanya dikendalikan dan dibatasi untuk pengguna yang
sah.
2. Kerahasiaan - informasi organisasi yang sensitif (mis., Rencana pemasaran, rahasia dagang) dilindungi dari
pengungkapan yang tidak sah.
3. Privasi - informasi pribadi tentang pelanggan, karyawan, pemasok, atau mitra bisnis dikumpulkan, digunakan,
diungkapkan, dan dipelihara hanya sesuai dengan kebijakan internal dan persyaratan peraturan eksternal dan
dilindungi dari pengungkapan yang tidak sah.
4. Memproses integritas - data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang
tepat.
5. Ketersediaan - sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontrak.
Seperti yang ditunjukkan Gambar 8-1. Keamanan informasi adalah dasar dari keandalan sistem dan diperlukan
untuk mencapai masing-masing dari empat prinsip lainnya. Prosedur keamanan informasi membatasi akses sistem
hanya untuk pengguna yang berwenang. dengan demikian melindungi kerahasiaan data organisasi yang sensitif
dan privasi informasi pribadi yang dikumpulkan dari pelanggan. Prosedur keamanan informasi melindungi
integritas informasi dengan mencegah pengajuan transaksi yang tidak sah atau fiktif dan mencegah perubahan
yang tidak sah pada data atau program yang disimpan. Akhirnya, prosedur keamanan informasi memberikan
perlindungan terhadap berbagai serangan, termasuk Virus dan worm, sehingga memastikan bahwa sistem tersedia
saat dibutuhkan. Akibatnya, bab ini berfokus pada keamanan informasi. Bab 9 membahas kontrol TI yang relevan
untuk melindungi kerahasiaan kekayaan intelektual organisasi dan privasi informasi yang dikumpulkannya tentang
pelanggan dan mitra bisnisnya. Bab 10 kemudian membahas kontrol TI yang dirancang untuk memastikan
integritas dan ketersediaan informasi yang dihasilkan oleh sistem akuntansi organisasi.
Two Fundamental Information Security Concepts (Dua Konsep Keamanan Informasi Dasar)
1. SECURITY IS A MANAGEMENT ISSUE, NOT JUST A TECHNOLOGY ISSUE (KEAMANAN ADALAH MASALAH
MANAJEMEN, BUKAN HANYA MASALAH TEKNOLOGI)
Meskipun keamanan informasi yang efektif membutuhkan penyebaran alat teknologi seperti firewall, antivirus,
dan enkripsi, keterlibatan dan dukungan manajemen senior melalui semua fase siklus hidup keamanan (lihat
Gambar 8-2) sangat penting untuk keberhasilan. Langkah pertama dalam siklus kehidupan keamanan adalah
menilai ancaman terkait keamanan informasi yang dihadapi organisasi dan memilih respons yang sesuai. Para
profesional keamanan informasi memiliki keahlian untuk mengidentifikasi potensi ancaman dan memperkirakan
kemungkinan dan dampaknya. Namun, manajemen senior harus memilih yang mana dari empat respons risiko
yang diuraikan dalam Bab 7 (kurangi, terima, bagikan, atau hindari) yang tepat untuk diadopsi sehingga sumber
daya yang dimasukkan dalam keamanan informasi mencerminkan selera risiko organisasi.
Langkah 2 melibatkan pengembangan kebijakan keamanan informasi dan mengkomunikasikannya kepada semua
karyawan. Manajemen senior harus berpartisipasi dalam mengembangkan kebijakan karena mereka harus
memutuskan sanksi yang ingin mereka terapkan untuk ketidakpatuhan. Selain itu, dukungan aktif dan keterlibatan
manajemen puncak diperlukan untuk memastikan bahwa pelatihan dan komunikasi keamanan informasi
ditanggapi dengan serius. Agar efektif, komunikasi ini harus melibatkan lebih dari sekadar menyerahkan dokumen
tertulis kepada orang atau mengirimi mereka pesan email dan meminta mereka menandatangani pengakuan
bahwa mereka menerima dan membaca pemberitahuan. Sebagai gantinya, karyawan harus menerima pengingat
berkala dan berkala tentang kebijakan keamanan dan pelatihan tentang cara mematuhinya.
Langkah 3 dari siklus hidup keamanan melibatkan akuisisi atau pembangunan alat teknologi tertentu. Manajemen
senior harus mengotorisasi menginvestasikan sumber daya yang diperlukan untuk mengurangi ancaman yang
diidentifikasi dan mencapai tingkat keamanan yang diinginkan. Akhirnya, langkah 4 dalam siklus kehidupan
keamanan memerlukan pemantauan kinerja secara teratur untuk mengevaluasi efektivitas program keamanan
informasi organisasi. Kemajuan dalam IT menciptakan ancaman baru dan mengubah risiko yang terkait dengan
ancaman lama. Oleh karena itu, manajemen harus secara berkala menilai kembali respons risiko organisasi dan,
jika perlu, membuat perubahan pada kebijakan keamanan informasi dan berinvestasi dalam solusi baru untuk
memastikan bahwa upaya keamanan informasi organisasi mendukung strategi bisnisnya dengan cara yang
konsisten dengan selera risiko manajemen.
2. THE TIME-BASED MODEL OF INFORMATION SECURITY (MODEL KEAMANAN INFORMASI BERBASIS WAKTU)
Tujuan dari model keamanan informasi berbasis waktu adalah untuk menggunakan kombinasi kontrol preventif,
detektif, dan korektif untuk melindungi aset informasi cukup lama bagi organisasi untuk mendeteksi bahwa
serangan sedang terjadi dan untuk mengambil langkah tepat waktu untuk menggagalkan serangan sebelum
informasi apa pun hilang atau dikompromikan. Model keamanan informasi berbasis waktu dapat dinyatakan dalam
rumus berikut:
P> D + R, dimana
P = waktu yang diperlukan penyerang untuk menerobos berbagai kontrol yang melindungi aset informasi
organisasi
D = waktu yang dibutuhkan organisasi untuk mendeteksi bahwa serangan sedang berlangsung
R = waktu yang diperlukan untuk merespons dan menghentikan serangan
Jika persamaan terpenuhi (mis., Jika P> D + R benar), maka informasi prosedur sea cunty organisasi efektif. Kalau
tidak, keamanan tidak efektif.
Organisasi berusaha untuk memenuhi tujuan model keamanan berbasis waktu dengan menerapkan defense-in-
depth (strategi pertahanan mendalam), yang mengharuskan penggunaan beberapa lapis kontrol untuk
menghindari satu titik kegagalan. Defense-in-depth mengakui bahwa meskipun tidak ada kontrol yang dapat 100%
efektif, penggunaan kontrol yang tumpang tindih, komplementer, dan redundan meningkatkan efektivitas secara
keseluruhan karena jika satu kontrol gagal atau dielakkan, yang lain mungkin berhasil.
Model keamanan berbasis waktu menyediakan sarana bagi manajemen untuk mengidentifikasi pendekatan yang
paling hemat biaya untuk meningkatkan keamanan dengan membandingkan efek investasi tambahan dalam
pencegahan, detektif, atau kontrol korektif. Sebagai contoh, manajemen mungkin mempertimbangkan investasi $
100.000 tambahan untuk meningkatkan keamanan. Salah satu opsi mungkin pembelian firewall baru yang akan
meningkatkan nilai P dalam 10 menit. Pilihan kedua mungkin untuk meningkatkan sistem deteksi intrusi organisasi
dengan cara yang akan menurunkan nilai D dalam 12 menit. Opsi ketiga mungkin berinvestasi dalam metode baru
untuk merespons insiden keamanan informasi sehingga mengurangi tambang R dalam 30 menit. Dalam contoh ini,
pilihan yang paling hemat biaya adalah berinvestasi dalam kontrol korektif tambahan yang memungkinkan
organisasi untuk merespons serangan lebih cepat.
Meskipun model keamanan berbasis waktu menyediakan dasar teoritis yang kuat untuk mengevaluasi dan
mengelola praktik keamanan informasi organisasi, itu tidak boleh dilihat sebagai formula matematika yang tepat.
Satu masalah adalah sulit, jika bukan tidak mungkin, untuk mendapatkan pengukuran parameter P, D, dan R. yang
akurat dan andal. Selain itu, bahkan ketika nilai parameter tersebut dapat dihitung secara andal, perkembangan TI
baru dapat dengan cepat mengurangi validitasnya. Sebagai contoh, penemuan kerentanan baru yang besar dapat
secara efektif mengurangi nilai P menjadi nol. Akibatnya, model keamanan berbasis waktu paling baik digunakan
sebagai kerangka kerja tingkat tinggi untuk analisis strategis, untuk secara jelas menggambarkan prinsip
pertahanan mendalam dan kebutuhan untuk menggunakan beberapa kontrol preventif, detektif, dan korektif.
Sekarang setelah kita memiliki pemahaman dasar tentang bagaimana para penjahat menyerang sistem informasi
organisasi, kita dapat melanjutkan untuk membahas metode untuk mengurangi risiko serangan tersebut, serta
ancaman acak seperti virus dan worm, akan berhasil. Bagian berikut membahas tipe utama dari kontrol preventif,
detektif, dan korektif yang tercantum dalam Tabel 8-1 yang digunakan organisasi untuk memberikan keamanan
informasi melalui pertahanan mendalam.
PEOPLE: TRAINING
COBIT 5 mengidentifikasi keterampilan dan kompetensi karyawan sebagai pendukung penting lainnya untuk
keamanan informasi yang efektif. Karyawan harus memahami cara mengikuti kebijakan keamanan organisasi.
Dengan demikian, pelatihan adalah kontrol preventif yang kritis. Memang, pentingnya tercermin dalam fakta
bahwa pelatihan kesadaran keamanan dibahas sebagai praktik utama untuk mendukung beberapa proses
manajemen COBIT 5.
Semua karyawan harus diajari mengapa langkah-langkah keamanan penting untuk kelangsungan hidup jangka
panjang organisasi. Mereka juga perlu dilatih untuk mengikuti praktik komputasi yang aman, seperti tidak pernah
membuka lampiran email yang tidak diminta, hanya menggunakan perangkat lunak yang disetujui, tidak berbagi
kata sandi, dan mengambil langkah-langkah untuk melindungi laptop secara fisik. Pelatihan sangat diperlukan
untuk mendidik karyawan tentang serangan rekayasa sosial. Misalnya, karyawan harus diajari untuk tidak
membocorkan kata sandi atau informasi lain tentang akun mereka atau konfigurasi stasiun kerja mereka kepada
siapa saja yang menghubungi mereka melalui telepon, email, atau pesan instan dan mengklaim sebagai bagian
dari fungsi keamanan sistem informasi organisasi; Karyawan juga perlu dilatih untuk tidak membiarkan orang lain
mengikuti mereka melalui pintu masuk akses terbatas. Serangan rekayasa sosial ini, yang disebut piggybacking,
dapat terjadi tidak hanya di pintu masuk utama gedung, tetapi juga di pintu-pintu terkunci internal, terutama ke
kamar-kamar yang berisi peralatan komputer. Piggybacking dapat diupayakan tidak hanya oleh orang luar tetapi
juga oleh karyawan lain yang tidak berwenang untuk memasuki area tertentu. Membonceng sering berhasil
karena banyak orang merasa tidak sopan untuk tidak membiarkan orang lain melewati pintu bersama mereka
atau karena mereka ingin menghindari konfrontasi. Latihan bermain peran sangat efektif untuk meningkatkan
sensitivitas dan keterampilan untuk menghadapi serangan rekayasa sosial.
Pelatihan kesadaran keamanan juga penting untuk manajemen senior, karena dalam beberapa tahun terakhir
banyak serangan rekayasa sosial, seperti phishing tombak, telah ditargetkan pada mereka.
Pelatihan profesional keamanan informasi juga penting. Perkembangan baru dalam teknologi terus-menerus
menciptakan ancaman keamanan baru dan membuat solusi lama menjadi usang. Karena itu, penting bagi
organisasi untuk mendukung pendidikan profesional berkelanjutan bagi spesialis keamanan mereka.
Namun, investasi organisasi dalam pelatihan keamanan hanya akan efektif jika manajemen menunjukkan dengan
jelas bahwa itu mendukung karyawan yang mengikuti kebijakan keamanan yang ditentukan. Ini sangat penting
untuk memerangi serangan rekayasa sosial, karena tindakan balasan terkadang dapat menciptakan konfrontasi
yang memalukan dengan karyawan lain. Misalnya, salah satu penulis mendengar anekdot tentang seorang
profesional sistem di sebuah bank besar yang menolak untuk mengizinkan orang yang tidak ada dalam daftar
karyawan yang berwenang untuk memasuki ruangan yang menampung server-server yang berisi informasi
keuangan utama bank. Orang tersebut menolak masuk kebetulan adalah seorang eksekutif baru yang baru saja
dipekerjakan. Alih-alih menegur karyawan, eksekutif menunjukkan komitmen dan dukungan bank untuk
keamanan yang kuat dengan menulis surat pujian resmi untuk kinerja berjasa yang akan ditempatkan dalam file
kinerja karyawan. Jenis dukungan manajemen puncak yang terlihat untuk keamanan inilah yang meningkatkan
efektivitas semua kebijakan keamanan. Manajemen puncak juga perlu mendukung penegakan sanksi, hingga dan
termasuk pemecatan, terhadap karyawan yang sengaja melanggar kebijakan keamanan. Melakukan hal itu tidak
hanya mengirim pesan yang kuat kepada karyawan lain tetapi juga terkadang dapat mengurangi konsekuensi bagi
organisasi jika seorang karyawan terlibat dalam perilaku ilegal.
PROCESS: USER ACCESS CONTROLS
Penting untuk dipahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang karyawan dapat
menjadi tidak puas karena sejumlah alasan (mis., Dilewatkan untuk promosi) dan membalas dendam, atau
mungkin rentan menjadi korup karena kesulitan keuangan, atau mungkin diperas untuk memberikan informasi
sensitif. Oleh karena itu, organisasi perlu menerapkan serangkaian kontrol yang dirancang untuk melindungi aset
informasi mereka dari penggunaan dan akses yang tidak sah oleh karyawan. Untuk mencapai tujuan itu, praktik
manajemen COBIT 5 DSSOS.04 menekankan perlunya kontrol untuk mengelola identitas pengguna dan akses logis
sehingga dimungkinkan untuk secara unik mengidentifikasi setiap orang yang mengakses sistem informasi
organisasi dan melacak tindakan yang mereka lakukan. Menerapkan DSSOS.04 melibatkan penggunaan dua jenis
yang berbeda tetapi berbeda kontrol akses pengguna: kontrol otentikasi dan kontrol otorisasi. Kontrol otentikasi
membatasi siapa yang dapat mengakses sistem informasi organisasi. Kontrol otorisasi membatasi apa yang dapat
dilakukan orang-orang itu begitu mereka diberi akses.
AUTHENTICATION CONTROLS. Otentikasi adalah proses memverifikasi identitas orang atau perangkat yang
mencoba mengakses sistem. Tujuannya adalah untuk memastikan bahwa hanya pengguna yang sah yang dapat
mengakses sistem. Tiga jenis kredensial dapat digunakan untuk memverifikasi identitas seseorang:
1. Sesuatu yang diketahui orang tersebut, seperti kata sandi atau nomor identifikasi pribadi (PIN)
2. Sesuatu yang dimiliki orang tersebut, seperti kartu pintar atau lencana ID
3. Beberapa karakteristik fisik atau perilaku (disebut sebagai pengidentifikasi biometrik) dari orang tersebut,
seperti sidik jari atau pola pengetikan.
Secara individual, setiap metode otentikasi memiliki keterbatasan. Kata sandi bisa ditebak. hilang, ditulis, atau
diberikan. Fokus 8-1 membahas beberapa persyaratan untuk membuat kata sandi yang kuat serta debat
berkelanjutan tentang penggunaannya yang berkelanjutan di masa mendatang. Teknik identifikasi fisik (kartu,
lencana, perangkat USB, dll.) Dapat hilang, dicuri, atau digandakan. Bahkan teknik biometrik tidak 100% akurat,
kadang-kadang menolak pengguna yang sah (mis., Sistem pengenalan suara mungkin tidak mengenali karyawan
yang terkena flu) dan Terkadang memungkinkan akses ke orang yang tidak berwenang. Apalagi beberapa teknik
biometrik. Seperti sidik jari, membawa konotasi negatif yang dapat menghalangi penerimaan mereka. Ada juga
kekhawatiran keamanan tentang penyimpanan informasi biometrik itu sendiri. Templat biometrik. Seperti
representasi digital dari sidik jari atau suara seseorang. harus disimpan di suatu tempat. Kompromi dari templat
tersebut akan menciptakan masalah serius seumur hidup bagi donor karena karakteristik biometrik, tidak seperti
kata sandi atau token fisik, tidak dapat diganti atau diubah.
Meskipun tidak satu pun dari tiga kredensial otentikasi dasar, dengan sendirinya, sangat mudah, penggunaan dua
atau ketiga jenis bersamaan, proses yang disebut otentikasi multifaktor, cukup efektif. Misalnya, mengharuskan
pengguna untuk memasukkan kartu pintar ke pembaca kartu dan memasukkan kata sandi memberikan otentikasi
yang jauh lebih kuat daripada hanya menggunakan metode mana pun. Dalam beberapa situasi, menggunakan
beberapa kredensial dari jenis yang sama, suatu proses yang disebut sebagai otentikasi multi-modal, juga dapat
meningkatkan keamanan. Misalnya, banyak situs perbankan online menggunakan Beberapa hal yang diketahui
seseorang (kata sandi, ID pengguna, dan pengenalan gambar grafik) untuk otentikasi. Demikian pula, karena
sebagian besar laptop sekarang dilengkapi dengan kamera dan mikrofon, ditambah pembaca sidik jari,
dimungkinkan untuk menggunakan otentikasi biometrik multimoda yang melibatkan kombinasi pengenalan
wajah, suara, dan sidik jari untuk memverifikasi identitas.
Otentikasi multifaktor dan otentikasi multimodal adalah contoh penerapan prinsip pertahanan mendalam.
Namun, otentikasi multifaktor lebih baik daripada multimodal karena kredensial independen satu sama lain. Oleh
karena itu, kompromi satu kredensial tidak mempengaruhi kemungkinan berhasil kompromi yang lain. Misalnya,
kompromi kata sandi seseorang tidak memengaruhi kemungkinan mencuri kartu pintar mereka. Sebaliknya,
kompromi kata sandi seseorang dapat membuatnya lebih mudah untuk mendapatkan jawaban atas pertanyaan
keamanan apa pun karena orang tersebut mungkin telah menggunakan kata sandi yang sama untuk akun media
sosial mereka.
Penting untuk mengotentikasi tidak hanya orang, tetapi juga setiap perangkat yang mencoba terhubung ke
jaringan. Setiap stasiun kerja, printer, atau perangkat komputer lain memerlukan kartu antarmuka jaringan (NIC)
untuk terhubung ke jaringan internal organisasi. Setiap NIC memiliki pengidentifikasi unik, yang disebut sebagai
alamat media access control (MAC). Oleh karena itu, organisasi dapat membatasi akses jaringan hanya ke
perangkat yang dimiliki perusahaan dengan membandingkan MAC perangkat dengan daftar alamat MAC yang
dikenal. Namun, ada perangkat lunak yang dapat digunakan untuk mengubah alamat MAC perangkat, sehingga
memungkinkan pengguna jahat untuk "menipu" identitas perangkat mereka. Oleh karena itu, cara yang lebih kuat
untuk mengotentikasi perangkat melibatkan penggunaan sertifikat digital yang menggunakan teknik enkripsi
untuk menetapkan fungsi unik. pengidentifikasi untuk setiap perangkat. Sertifikat dan enkripsi digital dibahas
dalam Bab 9.
FOCUS 8-1 - Effectiveness of Passwords as Authentication Credentials (Efektivitas Kata Sandi sebagai Kredensial
Otentikasi)
Efektivitas menggunakan kata sandi sebagai kredensial otentikasi tergantung pada banyak faktor:
Panjangnya. Kekuatan kata sandi berhubungan langsung dengan panjangnya. Semakin lama, semakin baik.
Beberapa tipe karakter. Menggunakan campuran huruf besar dan kecil alfabet, numerik, dan karakter khusus
sangat meningkatkan kekuatan kata sandi.
Acak. Kata sandi seharusnya tidak mudah ditebak. Oleh karena itu, kata-kata tersebut tidak boleh ditemukan
dalam kamus. Juga tidak boleh berupa kata-kata dengan karakter numerik sebelum atau sesudahnya (seperti
3Diamond atau Diamond3). Mereka juga tidak boleh terkait dengan minat atau hobi pribadi karyawan; kamus
khusus-peruntukan kata sandi yang berisi kata sandi paling umum yang terkait dengan berbagai topik tersedia di
Internet. Misalnya, kata sandi Ncc1701 muncul, pada pandangan pertama, agar sesuai dengan persyaratan kata
sandi yang kuat karena berisi campuran karakter dan angka besar dan kecil. Tapi penggemar Star Trek akan
langsung mengenalinya sebagai penunjukan Enterprise starship. Akibatnya, Ncc170‘l dan banyak variasi di atasnya
(mengubah huruf mana yang ditulis dengan huruf besar, mengganti angka 1 dengan simbol!, Dll) dimasukkan
dalam sebagian besar kamus peretas kata sandi dan, oleh karena itu, dengan cepat dikompromikan.
Sering diubah. Kata sandi harus diubah secara berkala. Sebagian besar pengguna harus mengubah kata sandi
mereka setidaknya setiap 90 hari; pengguna dengan akses ke informasi sensitif. harus mengganti kata sandi
mereka lebih sering, mungkin setiap 30 hari.
Simpan rahasia. Yang paling penting, kata sandi harus dirahasiakan agar efektif. Namun, masalah dengan kata
sandi yang kuat, seperti dX% m8K # 2, tidak mudah diingat. Akibatnya, ketika mengikuti persyaratan untuk
membuat kata sandi yang kuat, orang cenderung menuliskan kata sandi itu. Ini melemahkan nilai kata sandi
dengan mengubahnya dari sesuatu yang mereka ketahui menjadi sesuatu yang mereka miliki - yang kemudian
dapat dicuri dan digunakan oleh siapa saja.
Banyaknya faktor yang dapat menentukan keefektifan kata sandi telah membuat beberapa pakar keamanan
informasi menyimpulkan bahwa upaya untuk menegakkan penggunaan kata sandi yang kuat itu kontraproduktif.
Mereka mencatat bahwa komponen utama dari biaya help desk terkait dengan mengatur ulang kata sandi yang
dilupakan pengguna. Akibatnya, mereka berargumen untuk mengabaikan pencarian untuk mengembangkan dan
menggunakan kata sandi yang kuat dan mengandalkan penggunaan metode otentikasi dua faktor, seperti
kombinasi kartu pintar dan PIN sederhana.
Para pakar keamanan informasi lainnya tidak setuju. Mereka mencatat bahwa sistem operasi sekarang dapat
mengakomodasi kata sandi yang panjangnya lebih dari 15 karakter. Ini berarti bahwa pengguna dapat membuat
frasa sandi yang kuat, namun mudah diingat, seperti llove2gosnorkelinginHawaiidoU? Frasa sandi yang panjang
seperti itu secara dramatis meningkatkan upaya yang diperlukan untuk memecahkannya dengan menebak dengan
kasar dari setiap kombinasi. Misalnya, kata sandi delapan karakter yang hanya terdiri dari huruf dan angka huruf
besar dan kecil memiliki 628 kemungkinan kombinasi, tetapi frasa sandi 20 karakter memiliki 6220 kemungkinan
kombinasi. Ini berarti frasa sandi tidak perlu diubah sesering kata sandi. Oleh karena itu, beberapa pakar
keamanan informasi berpendapat bahwa kemampuan untuk menggunakan kata sandi yang sama untuk jangka
waktu yang lama, ditambah dengan fakta bahwa lebih mudah untuk mengingat kata sandi yang panjang daripada
kata sandi yang kuat, harus secara dramatis memangkas biaya meja bantuan sekaligus meningkatkan keamanan.
Namun, masih perlu dilihat apakah pengguna akan menolak karena harus memasukkan frasa sandi yang panjang,
terutama jika mereka perlu melakukannya sering karena mereka diharuskan untuk menggunakan screen saver
yang dilindungi oleh kata sandi.
AUTHORIZATION CONTROLS Otorisasi adalah proses membatasi akses pengguna terotentikasi ke bagian tertentu
dari sistem dan membatasi tindakan apa yang diizinkan untuk dilakukan. Sebagaimana dijelaskan oleh praktik
manajemen COBIT 5 DSS06.03, tujuannya adalah untuk menyusun hak dan hak istimewa karyawan secara
individual dengan cara yang menetapkan dan memelihara pemisahan tugas yang memadai. Sebagai contoh,
seorang perwakilan layanan pelanggan tidak boleh berwenang untuk mengakses sistem penggajian. Selain itu,
perwakilan layanan pelanggan harus diizinkan hanya membaca, tetapi tidak mengubah, harga barang inventaris.
Kontrol otorisasi sering diterapkan dengan membuat matriks kontrol akses (Gambar 8-4). Ketika seorang karyawan
yang diautentikasi mencoba mengakses sumber daya sistem informasi tertentu, sistem melakukan tes
kompatibilitas yang cocok dengan kredensial otentikasi pengguna terhadap matriks kontrol akses untuk
menentukan apakah karyawan tersebut harus diizinkan untuk mengakses sumber daya itu dan melakukan tindakan
yang diminta. Penting untuk memperbarui matriks kontrol akses secara berkala untuk mencerminkan perubahan
dalam tugas pekerjaan karena promosi atau transfer. Jika tidak, dari waktu ke waktu seorang karyawan dapat
mengakumulasikan serangkaian hak dan hak istimewa yang tidak sesuai dengan pemisahan tugas yang tepat.
Gambar 8-5 menunjukkan bagaimana informasi yang terkandung dalam matriks kontrol akses digunakan untuk
mengimplementasikan kontrol otorisasi dalam sistem ERP. Bagian atas tangkapan layar menunjukkan bahwa untuk
setiap peran karyawan, sistem menyediakan sejumlah kombinasi izin yang telah ditetapkan untuk menegakkan
pembatasan akses umum. Misalnya, entri pertama (Pembatasan Karyawan) membuka kotak dialog yang
menanyakan apakah karyawan dalam peran ini dapat melihat catatan untuk karyawan lain (sesuai untuk manajer)
atau hanya milik mereka. Bagian bawah tangkapan layar menunjukkan bahwa kontrol dapat dirancang untuk
setiap aktivitas spesifik yang dilakukan oleh peran karyawan ini. Tersedak pada kata "Edit" di sebelah kanan
aktivitas tertentu memunculkan layar lain di mana izin khusus (baca, edit, buat, hapus) dapat ditugaskan ke
himpunan bagian catatan tertentu dan bahkan ke bidang dalam catatan tersebut.
Dimungkinkan untuk mencapai kontrol yang lebih besar dan pemisahan tugas dengan menggunakan sistem
manajemen proses bisnis untuk menanamkan otorisasi ke dalam proses bisnis otomatis, daripada mengandalkan
matriks kontrol akses statis. Misalnya, otorisasi hanya dapat diberikan untuk melakukan tugas tertentu untuk
transaksi tertentu. Dengan demikian, karyawan tertentu dapat diizinkan untuk mengakses informasi kredit tentang
pelanggan yang saat ini meminta layanan, tetapi secara bersamaan dicegah dari "browsing" melalui sisa file
pelanggan. Selain itu, sistem manajemen proses bisnis menegakkan pemisahan tugas karena karyawan dapat
hanya melakukan tugas-tugas khusus yang telah ditetapkan oleh sistem kepada mereka. Karyawan tidak dapat
menghapus tugas dari daftar tugas yang ditugaskan, dan sistem mengirimkan pesan pengingat sampai tugas
selesai-dua langkah lagi yang semakin meningkatkan kontrol. transaksi yang memerlukan otorisasi khusus (seperti
penjualan kredit di atas jumlah tertentu) secara elektronik kepada manajer untuk persetujuan.Transaksi tidak
dapat dilanjutkan sampai otorisasi diberikan, tetapi karena kebutuhan untuk persetujuan tersebut ditunjukkan dan
diberikan atau ditolak secara elektronik. ditegakkan tanpa mengorbankan efisiensi.
Seperti kontrol otentikasi, kontrol otorisasi dapat dan harus diterapkan tidak hanya untuk orang tetapi juga untuk
perangkat. Misalnya, memasukkan alamat MAC atau sertifikat digital dalam matriks kontrol akses memungkinkan
untuk membatasi akses ke sistem penggajian dan file master penggajian hanya untuk karyawan departemen
penggajian dan hanya ketika mereka masuk dari desktop atau komputer laptop yang ditugaskan. Lagipula,
mengapa petugas penggajian perlu masuk dari workstation yang berlokasi di gudang atau berupaya membangun
akses dial-in dari negara lain? Menerapkan kontrol otentikasi dan otorisasi untuk manusia dan perangkat adalah
cara lain di mana pertahanan yang mendalam meningkatkan keamanan.
PROCESS: CHANGE CONTROLS AND CHANGE MANAGEMENT (PROSES: PERUBAHAN KONTROL DAN MANAJEMEN
PERUBAHAN)
Organisasi terus-menerus mengubah sistem informasi mereka untuk mencerminkan praktik bisnis baru dan untuk
mengambil keuntungan dari kemajuan TI. Kontrol perubahan dan manajemen perubahan merujuk pada proses
formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau proses
tidak mengurangi keandalan sistem. Kontrol perubahan yang baik sering menghasilkan kinerja operasi yang lebih
baik karena ada lebih sedikit masalah untuk diperbaiki. Perusahaan dengan manajemen perubahan yang baik dan
proses kontrol perubahan juga mengalami biaya yang lebih rendah ketika insiden keamanan terjadi. Memang,
kemampuan untuk dengan cepat mengidentifikasi perubahan yang tidak sah dan memberi sanksi kepada mereka
yang bertanggung jawab untuk menghindari kontrol perubahan dan proses manajemen perubahan adalah salah
satu karakteristik paling penting yang membedakan organisasi berkinerja terbaik dari yang lainnya. Oleh karena itu,
tidak mengherankan bahwa dua proses kunci COBIT 5 berhubungan dengan mengelola perubahan (BA106) dan
prosedur untuk pengujian dan transisi ke solusi baru (BAIO7). Karakteristik dari kontrol perubahan yang dirancang
dengan baik dan proses manajemen perubahan meliputi:
- Dokumentasi semua permintaan perubahan, mengidentifikasi sifat perubahan, alasannya, tanggal
permintaan, dan hasil dari permintaan tersebut.
- Persetujuan terdokumentasi dari semua permintaan perubahan oleh tingkat manajemen yang sesuai.
Sangat penting bagi manajemen senior untuk meninjau dan menyetujui perubahan besar pada proses dan
sistem untuk memastikan bahwa perubahan yang diajukan konsisten dengan rencana strategis jangka
panjang organisasi.
- Pengujian semua perubahan dalam sistem yang terpisah, bukan yang digunakan untuk proses bisnis
sehari-hari. Ini mengurangi risiko "bug" dalam modifikasi mengganggu bisnis normal.
- Kontrol konversi untuk memastikan bahwa data secara akurat dan lengkap ditransfer dari yang lama ke
sistem yang baru. Auditor internal harus meninjau proses konversi.
- Memperbarui semua dokumentasi (instruksi program, deskripsi sistem, manual prosedur, dll.) Untuk
mencerminkan perubahan yang baru diterapkan.
- Proses khusus untuk peninjauan, persetujuan, dan dokumentasi tepat waktu tentang "perubahan
darurat" segera setelah krisis sebagaimana praktisnya. Semua perubahan darurat harus dicatat untuk
menyediakan jejak audit. Sejumlah besar atau peningkatan jumlah perubahan darurat yang ditandai
adalah tanda bahaya potensial dari masalah lain (prosedur manajemen konfigurasi yang buruk, kurangnya
pemeliharaan preventif, atau “permainan” untuk menghindari proses kontrol perubahan yang normal).
- Pengembangan dan dokumentasi rencana "backout" untuk memfasilitasi kembali ke konfigurasi
sebelumnya jika perubahan baru menciptakan masalah yang tidak terduga.
- Pemantauan yang cermat dan peninjauan hak pengguna dan hak istimewa selama proses perubahan
untuk memastikan bahwa pemisahan tugas yang tepat dipertahankan.
Controlling Access by Filtering Packets (Mengontrol Akses dengan Memfilter Paket). Router dan firewall
mengontrol akses dengan memfilter paket individual. Organisasi memiliki satu atau lebih router perbatasan yang
menghubungkan jaringan internal mereka ke Penyedia Layanan Internet. Router perbatasan dan firewall utama
organisasi menggunakan set aturan IF-THEN, yang disebut Access Control Lists (ACL), untuk menentukan apa yang
harus dilakukan dengan paket yang tiba. Router perbatasan harus memeriksa bidang alamat IP tujuan di header
paket IP untuk menentukan apakah paket ditujukan untuk organisasi atau harus diteruskan kembali ke Internet.
Jika alamat IP tujuan paket adalah organisasi, aturan di ACL router perbatasan memeriksa bidang alamat sumber di
header paket IP untuk memblokir paket dari sumber tertentu yang tidak diinginkan (mis., Situs perjudian atau situs
porno yang dikenal). Semua paket lain dengan alamat IP organisasi di bidang tujuan diteruskan ke firewall utama
untuk penyaringan lebih lanjut. Aturan dalam ACL firewall utama organisasi melihat bidang lain di header paket IP
dan TCP untuk menentukan apakah akan memblokir paket masuk atau mengizinkannya masuk. Perhatikan,
bagaimanapun, bahwa firewall tidak memblokir semua lalu lintas, tetapi hanya memfilternya. Itulah sebabnya
semua firewall pada Gambar 8-6 memiliki lubang di dalamnya - untuk menunjukkan bahwa jenis lalu lintas tertentu
dapat melewatinya.
Proses yang dijelaskan dalam paragraf sebelumnya tentang memeriksa berbagai bidang dalam paket IP dan tajuk
TCP untuk memutuskan apa yang harus dilakukan dengan paket tersebut disebut sebagai packet filtering.
Penyaringan paket cepat dan dapat menangkap lalu lintas yang sebenarnya tidak diinginkan, tetapi efektivitasnya
terbatas. Lalu lintas yang tidak diinginkan dapat melewati jika alamat IP sumber tidak ada dalam daftar sumber
yang tidak dapat diterima atau jika pengirim sengaja menyamarkan alamat sumber yang sebenarnya. Dengan
demikian, sama seperti sensor surat fisik lebih efektif jika setiap amplop atau paket dibuka dan diperiksa, kontrol
atas lalu lintas jaringan lebih efektif jika firewall memeriksa data aktual (yaitu, bagian dari file yang terkandung
dalam paket TCP), sebuah proses disebut sebagai deep packet filtering (inspeksi paket yang mendalam). Sebagai
contoh, firewall aplikasi web menggunakan inspeksi paket yang dalam untuk melindungi server web e-commerce
organisasi dengan lebih baik dengan memeriksa konten paket yang masuk untuk mengizinkan permintaan data
menggunakan perintah “get” HTML. tetapi memblokir upaya untuk menggunakan perintah "put" HTML yang dapat
digunakan untuk merusak situs web. Kontrol tambahan yang disediakan oleh inspeksi paket mendalam,
bagaimanapun, datang pada biaya Kecepatan: Dibutuhkan lebih banyak waktu untuk memeriksa hingga 1,4 kB data
dalam paket daripada hanya 40 atau lebih byte dalam header IP dan TCP. Oleh karena itu, hanya firewall yang
melakukan inspeksi paket mendalam; router tidak.
Sementara router dan firewall memeriksa paket individu, sistem pencegahan intrusi jaringan (IPS) memonitor pola
dalam arus lalu lintas untuk mengidentifikasi dan secara otomatis memblokir serangan. Ini penting karena
memeriksa pola lalu lintas seringkali merupakan satu-satunya cara untuk mengidentifikasi aktivitas yang tidak
diinginkan. Misalnya, firewall aplikasi web yang melakukan inspeksi paket mendalam akan mengizinkan paket
masuk yang berisi perintah HTML yang diijinkan untuk terhubung ke port TCP 80 dan 443 pada server web e-
commerce organisasi, tetapi akan memblokir semua paket yang masuk ke port TCP lain di web server. Tindakan
firewall terbatas untuk melindungi server web. Sebuah jaringan IPS, sebaliknya, dapat mengidentifikasi bahwa
urutan paket yang mencoba untuk terhubung ke berbagai port TCP pada server web e-commerce adalah indikator
dari upaya untuk memindai dan memetakan server web (langkah 3 dalam proses yang ditargetkan serangan seperti
yang dibahas sebelumnya dalam bab ini). IPS tidak hanya akan memblokir paket yang menyinggung. tetapi juga
akan memblokir semua lalu lintas berikutnya yang berasal dari sumber itu dan memberi tahu administrator
keamanan bahwa upaya pemindaian sedang berlangsung. Dengan demikian, IPS memberikan kesempatan untuk
respon serangan terhadap waktu nyata.
IPS jaringan terdiri dari satu set sensor dan unit monitor pusat yang menganalisis data yang dikumpulkan. Sensor
harus dipasang pada setiap segmen jaringan yang diinginkan untuk pemantauan waktu nyata. Sebagai contoh,
mengingat arsitektur jaringan yang digambarkan pada Gambar 8-6, organisasi dapat menempatkan sensor IPS pada
DMZ, di belakang firewall utama, dan di belakang masing-masing firewall yang digunakan untuk segmen segmen:
dari jaringan internal.
IPSs menggunakan dua teknik utama untuk mengidentifikasi pola lalu lintas yang tidak diinginkan. Pendekatan
paling sederhana adalah membandingkan pola lalu lintas dengan database tanda tangan serangan yang dikenal.
Pendekatan yang lebih rumit melibatkan pengembangan profil lalu lintas "normal" dan menggunakan analisis
statistik untuk mengidentifikasi paket yang tidak sesuai dengan profil itu. Keindahan dari pendekatan ini adalah
bahwa ia memblokir tidak hanya serangan yang diketahui, yang tanda tangannya sudah ada, tetapi juga setiap
serangan baru yang melanggar standar.
Using Defense-in-Depth to Restrict Network Access (Menggunakan Defense-in-Depth untuk Membatasi Akses
Jaringan). Penggunaan beberapa perangkat filter perimeter lebih efisien dan efektif daripada hanya mengandalkan
satu perangkat. Dengan demikian, sebagian besar organisasi menggunakan router perbatasan untuk dengan cepat
menyaring paket yang jelas buruk dan meneruskan sisanya ke firewall utama. Firewall utama melakukan
pengecekan lebih rinci, dan kemudian firewall lain melakukan inspeksi paket yang mendalam untuk lebih
melindungi perangkat spesifik seperti server web organisasi dan server e-mail. Selain itu, IPS memantau lalu lintas
yang dilewati oleh firewall untuk mengidentifikasi dan memblokir pola lalu lintas jaringan yang mencurigakan yang
mungkin mengindikasikan bahwa serangan sedang berlangsung.
Gambar 8-6 mengilustrasikan satu dimensi lain dari konsep pertahanan-mendalam: penggunaan beberapa firewall
internal untuk mensegmentasi berbagai departemen dalam organisasi. Ingatlah bahwa banyak insiden keamanan
melibatkan karyawan, bukan orang luar. Firewall internal membantu membatasi data dan bagian apa dari sistem
informasi organisasi tertentu yang dapat diakses karyawan. Ini tidak hanya meningkatkan keamanan tetapi juga
memperkuat kontrol internal dengan menyediakan sarana untuk menegakkan pemisahan tugas.
SECURING WIRELESS ACCESS. MENGAMANKAN AKSES NIRKABEL. Banyak organisasi juga menyediakan akses
nirkabel ke sistem informasi mereka. Akses nirkabel mudah dan mudah, tetapi juga menyediakan tempat lain
untuk serangan dan memperluas perimeter yang harus dilindungi. Sebagai contoh, sejumlah perusahaan telah
mengalami insiden keamanan di mana penyusup memperoleh akses nirkabel tidak sah ke jaringan perusahaan dari
laptop sambil duduk di mobil yang diparkir di luar gedung.
Tidak cukup hanya memantau tempat parkir, karena sinyal nirkabel seringkali dapat diambil bermil-mil jauhnya.
Gambar 8-6 menunjukkan bahwa bagian penting dari pengamanan akses nirkabel adalah menempatkan semua
titik akses nirkabel (perangkat yang menerima komunikasi nirkabel masuk dan memungkinkan perangkat pengirim
untuk terhubung ke jaringan organisasi) di DMZ. Ini memperlakukan semua akses nirkabel seolah-olah itu datang
dari Internet dan memaksa semua lalu lintas nirkabel untuk pergi melalui firewall utama dan setiap IPS yang
digunakan untuk melindungi perimeter jaringan internal. Selain itu, prosedur berikut perlu diikuti untuk
mengamankan akses nirkabel:
- Aktifkan fitur keamanan yang tersedia. Sebagian besar peralatan nirkabel dijual dan diinstal dengan fitur-
fitur ini dinonaktifkan. Misalnya, konfigurasi instalasi default untuk sebagian besar router nirkabel tidak
mengaktifkan enkripsi.
- Otentikasi semua perangkat yang berusaha membuat akses nirkabel ke jaringan sebelum menetapkannya
alamat IP. Ini dapat dilakukan dengan memperlakukan koneksi nirkabel yang masuk sebagai upaya untuk
mengakses jaringan dari Internet dan merutekannya terlebih dahulu melalui server akses jarak jauh atau
perangkat otentikasi lainnya.
- Konfigurasikan semua perangkat nirkabel resmi untuk beroperasi hanya dalam mode infrastruktur, yang
memaksa perangkat untuk terhubung hanya ke titik akses nirkabel. (Perangkat nirkabel juga dapat diatur
untuk beroperasi dalam mode ad hoc, yang memungkinkan mereka untuk berkomunikasi secara langsung
dengan perangkat nirkabel lainnya. Ini adalah ancaman keamanan karena ia menciptakan jaringan peer-
to-peer dengan sedikit atau tanpa kontrol otentikasi.) Selain itu , tentukan sebelumnya daftar alamat MAC
resmi, dan konfigurasikan titik akses nirkabel untuk menerima koneksi hanya jika alamat MAC perangkat
ada pada daftar resmi.
- Gunakan nama non-informasi untuk alamat titik akses, yang disebut pengidentifikasi set layanan (SSID).
SSID seperti "penggajian," "keuangan," atau "R&D" adalah target yang lebih jelas untuk diserang daripada
perangkat dengan SSID generik seperti "A1" atau "X2."
- Kurangi kekuatan siaran dari titik akses nirkabel, letakkan di bagian dalam gedung, dan gunakan antena
terarah untuk membuat penerimaan tidak sah di luar lokasi menjadi lebih sulit. Cat khusus dan kaca film
juga dapat digunakan untuk memuat sinyal nirkabel di dalam gedung.
- Enkripsi semua lalu lintas nirkabel. Ini sangat penting untuk melindungi kerahasiaan dan privasi
komunikasi nirkabel karena mereka ditransmisikan "melalui udara" dan, karenanya, secara inheren rentan
terhadap intersepsi yang tidak sah.
Akhirnya, mudah dan murah bagi karyawan untuk mengatur jalur akses nirkabel tanpa izin di kantor mereka. Oleh
karena itu, keamanan informasi atau staf audit internal harus secara berkala menguji keberadaan titik akses jahat
tersebut, menonaktifkan semua yang ditemukan, dan mendisiplinkan karyawan yang bertanggung jawab untuk
menginstalnya dengan tepat.
IT SOLUTIONS: DEVICE AND SOFTWARE HARDENING CONTROLS (SOLUSI IT: PERANGKAT DAN PENGENDALIAN
PERANGKAT LUNAK PERANGKAT LUNAK)
Firewall dan IPS dirancang untuk melindungi batas jaringan. Namun, seperti halnya banyak rumah dan bisnis
melengkapi kunci pintu eksterior dan sistem alarm dengan lemari dan brankas yang terkunci untuk menyimpan
barang-barang berharga, sebuah organisasi dapat meningkatkan keamanan sistem informasi dengan menambah
kontrol pencegahan pada perimeter jaringan dengan kontrol pencegahan tambahan pada workstation, server,
printer , dan perangkat lain (secara kolektif disebut sebagai titik akhir) yang terdiri dari jaringan organisasi. Praktik
manajemen COBIT 5 DSSOS.03 menjelaskan aktivitas yang terlibat dalam mengelola keamanan titik akhir. Tiga
bidang patut mendapat perhatian khusus: (1) konfigurasi titik akhir, (2) manajemen akun pengguna, dan (3) desain
perangkat lunak.
ENDPOINT CONFIGURATION (KONFIGURASI AKHIR). Endpoint dapat dibuat lebih aman dengan memodifikasi
konfigurasi mereka. Konfigurasi default sebagian besar perangkat biasanya mengaktifkan sejumlah besar
pengaturan opsional yang jarang, jika pernah, digunakan. Demikian pula, instalasi default banyak sistem operasi
akan muncul pada banyak program tujuan khusus, yang disebut layanan. itu tidak penting. Menghidupkan fitur-
fitur yang tidak perlu dan layanan tambahan membuat instalasi lebih mungkin berhasil tanpa memerlukan
dukungan pelanggan. Kenyamanan ini. datang dengan biaya menciptakan kelemahan keamanan. Setiap program
yang sedang berjalan mewakili titik serangan potensial karena mungkin mengandung kelemahan, yang disebut
kerentanan, yang dapat dieksploitasi baik untuk crash sistem atau mengambil kendali. Karena itu, semua program
dan fitur opsional yang tidak digunakan harus dinonaktifkan. Alat yang disebut pemindai kerentanan dapat
digunakan untuk mengidentifikasi program yang tidak digunakan dan, oleh karena itu, tidak perlu yang mewakili
potensi ancaman keamanan.
Ukuran dan kompleksitas program perangkat lunak yang terus meningkat hampir menjamin bahwa mereka
mengandung banyak kerentanan. Untuk memahami alasannya, pertimbangkan bahwa banyak program berisi
jutaan baris kode. Bahkan jika kode itu 99,99% bebas dari "bug," itu berarti bahwa untuk setiap juta baris kode
kemungkinan ada 100 kemungkinan masalah yang dapat mewakili kerentanan. Itulah sebabnya baik penyerang
maupun perusahaan konsultan keamanan terus menguji kerentanan dalam perangkat lunak yang banyak
digunakan. Setelah kerentanan diidentifikasi, penting untuk mengambil langkah tepat waktu untuk memulihkannya
karena tidak akan lama sebelum eksploitasi, yang merupakan program yang dirancang untuk memanfaatkan
kerentanan yang diketahui, dibuat. Meskipun dibutuhkan keterampilan yang cukup besar untuk membuat exploit,
begitu dipublikasikan di Internet, ia dapat dengan mudah digunakan oleh siapa saja.
Adanya banyak eksploit yang tersebar luas dan kemudahan penggunaannya menjadikannya penting bagi organisasi
untuk mengambil langkah-langkah cepat memperbaiki kerentanan yang diketahui dalam perangkat lunak yang
mereka gunakan. Patch adalah kode yang dirilis oleh pengembang perangkat lunak yang memperbaiki kerentanan
tertentu. Manajemen tambalan adalah proses untuk secara teratur menerapkan tambalan dan pembaruan untuk
semua perangkat lunak yang digunakan oleh organisasi. Ini tidak semudah kedengarannya. Tambalan merupakan
modifikasi dari perangkat lunak yang sudah kompleks. Akibatnya, tambalan terkadang menciptakan masalah baru
karena efek samping yang tidak terduga. Oleh karena itu, organisasi perlu menguji efek tambalan dengan hati-hati
sebelum menerapkannya; jika tidak, mereka berisiko merusak aplikasi penting. Masalah rumit selanjutnya adalah
kenyataan bahwa kemungkinan ada beberapa tambalan yang dirilis setiap tahun untuk setiap program perangkat
lunak yang digunakan oleh suatu organisasi. Dengan demikian, organisasi dapat menghadapi tugas menerapkan
ratusan tambalan ke ribuan mesin setiap tahun. Ini adalah salah satu bidang di mana lPS memegang janji besar.
Jika lPS dapat dengan cepat dimutakhirkan dengan informasi yang diperlukan untuk merespons kerentanan baru
dan memblokir eksploitasi baru, organisasi dapat menggunakan IPS untuk membeli waktu yang diperlukan untuk
menguji patch secara menyeluruh sebelum menerapkannya.
Proses memodifikasi konfigurasi default titik akhir untuk menghilangkan pengaturan dan layanan yang tidak perlu
disebut hardening (pengerasan). Selain pengerasan, setiap titik akhir harus menjalankan perangkat lunak antivirus
dan firewall yang diperbarui secara berkala. Mungkin juga diinginkan untuk menginstal perangkat lunak
pencegahan intrusi langsung pada titik akhir untuk mencegah upaya tidak sah untuk mengubah konfigurasi
perangkat yang diperkeras.
Kecenderungan ke arah mengizinkan karyawan untuk menggunakan perangkat pribadi mereka sendiri
(smartphone, tablet, dll.) Di tempat kerja, yang disebut sebagai Bring Your Own Device (BYOD), membuat
konfigurasi titik akhir menjadi jauh lebih rumit untuk dikelola secara efektif. Fokus 8-2 membahas masalah
konfigurasi perangkat seluler dengan benar.
USER ACCOUNT MANAGEMENT (MANAJEMEN AKUN PENGGUNA). Praktik manajemen COBIT 5 DSSOS.O4
menekankan perlunya mengelola semua akun pengguna dengan cermat, terutama akun yang memiliki hak
(administratif) tidak terbatas pada komputer itu. Hak administratif diperlukan untuk menginstal perangkat lunak
dan mengubah sebagian besar pengaturan konfigurasi. Kemampuan kuat ini membuat akun dengan target
administratif hak utama untuk penyerang. Oleh karena itu, karyawan yang membutuhkan kekuatan administratif
pada komputer tertentu harus diberi dua akun: satu dengan hak administratif dan yang lain hanya memiliki hak
istimewa terbatas. Karyawan ini harus dilatih untuk masuk dengan akun terbatas mereka untuk melakukan tugas
rutin sehari-hari dan untuk masuk ke akun administratif mereka hanya ketika mereka perlu melakukan beberapa
tindakan, seperti menginstal perangkat lunak baru. yang memerlukan hak administratif. Sangat penting bahwa
karyawan menggunakan akun pengguna reguler terbatas ketika menjelajah web atau membaca email. Dengan cara
ini, jika karyawan mengunjungi situs web yang disusupi atau membuka email yang terinfeksi, penyerang hanya
akan memperoleh hak terbatas pada mesin. Meskipun penyerang dapat menggunakan alat lain untuk akhirnya
mendapatkan hak administratif pada mesin itu, kontrol keamanan lainnya mungkin mendeteksi dan menggagalkan
upaya tersebut untuk meningkatkan hak istimewa sebelum mereka dapat diselesaikan. Sebaliknya, jika karyawan
menggunakan akun dengan hak administratif, malware akan sepenuhnya membahayakan perangkat sebelum
kontrol lain dapat mendeteksi bahwa ada masalah. Akhirnya, penting untuk mengubah kata sandi default pada
semua akun administratif yang dibuat selama instalasi awal perangkat lunak atau perangkat keras karena nama-
nama akun dan kata sandi standarnya tersedia untuk umum di Internet dan dengan demikian memberi para
penyerang cara mudah untuk berkompromi dengan sistem.
DESAIN PERANGKAT LUNAK. Sebagai organisasi telah meningkatkan efektivitas kontrol keamanan perimeter
mereka, penyerang semakin menjadi sasaran kerentanan dalam program aplikasi. Buffer overflows, injeksi SQL,
dan scripting lintas situs adalah contoh umum serangan terhadap perangkat lunak yang berjalan di situs web.
Semua serangan ini mengeksploitasi perangkat lunak yang ditulis dengan buruk yang tidak memeriksa input yang
disediakan pengguna secara menyeluruh sebelum diproses lebih lanjut. Pertimbangkan tugas umum meminta
masukan pengguna seperti nama dan alamat. Sebagian besar program menyisihkan jumlah memori tetap, disebut
sebagai buffer, untuk menampung input pengguna. Namun, jika program tidak hati-hati memeriksa ukuran data
yang dimasukkan, penyerang dapat memasukkan berkali-kali jumlah data yang diantisipasi dan meluap buffer.
Kelebihan data dapat ditulis ke area memori yang biasanya digunakan untuk menyimpan dan menjalankan
perintah. Dalam kasus seperti itu, penyerang mungkin dapat mengambil kendali mesin dengan mengirimkan
perintah yang dibuat dengan hati-hati dalam kelebihan data. Demikian pula, serangan injeksi SQL terjadi setiap kali
perangkat lunak aplikasi web yang berinteraksi dengan server database tidak memfilter input pengguna, sehingga
memungkinkan penyerang untuk menanamkan perintah SQL dalam permintaan entri data dan menjalankan
perintah-perintah itu di server database. Serangan skrip lintas situs terjadi ketika perangkat lunak aplikasi web
tidak dengan hati-hati menyaring input pengguna sebelum mengembalikan data itu ke browser, dalam hal ini
browser korban akan menjalankan skrip berbahaya yang tertanam.
Tema umum dalam semua serangan ini adalah kegagalan untuk "menggosok" input pengguna untuk menghapus
kode yang berpotensi berbahaya. Oleh karena itu, programmer harus dilatih untuk memperlakukan semua input
dari pengguna eksternal sebagai tidak dapat dipercaya dan untuk memeriksanya sebelum melakukan tindakan
lebih lanjut. Teknik pemrograman yang buruk tidak hanya memengaruhi kode yang dibuat secara internal tetapi
juga perangkat lunak yang dibeli dari pihak ketiga. Akibatnya, bagian BAIO3 dari kerangka kerja COBIT 5
Menentukan kebutuhan untuk merancang keamanan dengan hati-hati ke semua aplikasi baru dan bagian APO10
menetapkan praktik terbaik untuk mengelola risiko yang terkait dengan pembelian perangkat lunak.
Mendeteksi Serangan.
Seperti disebutkan sebelumnya, kontrol pencegahan tidak pernah 100% efektif dalam memblokir semua serangan.
Oleh karena itu, praktik manajemen COBIT 5 DSSOS.07 menjelaskan kegiatan yang juga perlu dilakukan organisasi
untuk memungkinkan deteksi intrusi dan masalah secara tepat waktu. Bagian ini membahas tiga jenis kontrol
detektif yang tercantum dalam Tabel 8-1: analisis log, sistem deteksi intrusi, dan pemantauan berkelanjutan.
ANALISA LOG
Sebagian besar sistem dilengkapi dengan kemampuan yang luas untuk mencatat siapa yang mengakses sistem dan
tindakan spesifik apa yang dilakukan setiap pengguna. Log-log ini membentuk jejak audit dari akses sistem. Seperti
jejak audit lainnya, log hanya bernilai jika diperiksa secara rutin. Analisis log adalah proses memeriksa log untuk
mengidentifikasi bukti kemungkinan serangan.
Sangat penting untuk menganalisis log dari upaya yang gagal untuk masuk ke sistem dan upaya yang gagal untuk
mendapatkan akses ke sumber daya informasi tertentu. Sebagai contoh, Gambar 8-8 menyajikan sebagian log
keamanan dari komputer yang menjalankan sistem operasi Windows yang menunjukkan bahwa pengguna
bernama "rjones" tidak berhasil mencoba masuk ke komputer bernama "server penggajian." Tujuan analisis log
adalah untuk tentukan alasan kegagalan upaya masuk ini. Satu penjelasan yang mungkin adalah bahwa rjones
adalah pengguna yang sah yang lupa kata sandinya. Kemungkinan lain adalah bahwa rjones adalah pengguna yang
sah tetapi tidak diizinkan untuk mengakses server penggajian. Namun kemungkinan lain adalah bahwa ini mungkin
mewakili upaya serangan oleh pengguna yang tidak sah.
Penting juga untuk menganalisis perubahan pada log itu sendiri (mis., “Untuk mengaudit jejak audit”). Catatan log
secara rutin dibuat setiap kali peristiwa yang sesuai terjadi. Namun, catatan log biasanya tidak dihapus atau
diperbarui. Oleh karena itu, menemukan perubahan tersebut pada file log menunjukkan bahwa sistem
kemungkinan telah dikompromikan.
Catatan perlu dianalisis secara teratur untuk mendeteksi masalah pada waktu yang tepat. Ini tidak mudah, karena
log dapat dengan cepat tumbuh dalam ukuran. Masalah lain adalah bahwa banyak alat menghasilkan log dengan
format eksklusif, sehingga sulit untuk mengkorelasikan dan meringkas log dari perangkat yang berbeda. Alat
perangkat lunak seperti sistem manajemen log dan sistem manajemen informasi keamanan berusaha untuk
mengatasi masalah ini dengan mengubah format log khusus vendor menjadi representasi umum dan menghasilkan
laporan yang menghubungkan dan merangkum informasi dari berbagai sumber. Namun demikian, analisis log pada
akhirnya membutuhkan penilaian manusia untuk menafsirkan laporan dan mengidentifikasi situasi yang tidak
"normal."
Menanggapi Serangan
Deteksi masalah tepat waktu, meskipun penting, tidak cukup. Seperti yang dijelaskan oleh praktik manajemen
COBIT 5 MEAOIDS, organisasi juga memerlukan prosedur untuk melakukan tindakan korektif yang tepat waktu.
Namun, banyak kontrol korektif mengandalkan penilaian manusia. Karena itu. efektivitasnya sangat tergantung
pada perencanaan dan persiapan yang tepat. Itulah sebabnya COBIT 5 mengabdikan dua bagian untuk seluruh
proses untuk mengelola dan menanggapi insiden (D5802) dan masalah (D8803). Kami sekarang membahas dua
kontrol yang sangat penting yang tercantum dalam Tabel 8-1: (1) pembentukan tim respons insiden komputer
(CIRT), dan (2) penunjukan individu tertentu, biasanya disebut sebagai Kepala Petugas Keamanan Informasi (CISO) ,
dengan tanggung jawab organisasi untuk keamanan informasi.
Istilah Internet of Things (IoT) mengacu pada penanaman sensor di banyak perangkat (lampu, pemanas dan
pendingin udara, peralatan, dll.) Sehingga perangkat tersebut sekarang dapat terhubung ke Internet. IoT memiliki
implikasi signifikan bagi keamanan informasi. Di satu sisi, itu membuat desain satu set kontrol yang efektif jauh
lebih kompleks. Secara tradisional, keamanan informasi berfokus pada pengontrolan akses ke sejumlah titik akhir:
laptop, komputer desktop, server, printer, dan perangkat seluler. Perpindahan ke IoT berarti bahwa banyak
perangkat lain yang ditemukan dalam pengaturan kerja sekarang menyediakan sarana potensial untuk mengakses
jaringan perusahaan dan, karenanya, harus diamankan. Di sisi lain, IoT memberikan kesempatan untuk
meningkatkan kontrol akses fisik. Sebagai contoh, berjuta sensor kecil dapat digunakan di seluruh kantor, gudang,
dan area produksi untuk memberikan informasi real-time tentang pergerakan masuk dan keluar dari area tersebut.
Selain itu, organisasi dapat menggunakan sensor di perangkat yang dapat dipakai untuk melacak lokasi karyawan
dan pengunjung. Dengan demikian, efek bersih dari IoT pada kemampuan organisasi untuk memenuhi model
keamanan berbasis waktu tergantung pada seberapa baik ia mengatasi dan menggunakan pengembangan baru ini.
Laporan Jason kemudian menggambarkan dan mengevaluasi berbagai prosedur keamanan yang berlaku di
Northwest Industries. Akses fisik ke kantor perusahaan terbatas pada satu pintu masuk utama, yang dikelola setiap
saat oleh penjaga keamanan. Semua pengunjung harus masuk di meja keamanan dan dikawal setiap saat oleh
seorang karyawan. Akses ke kamar dengan peralatan komputasi membutuhkan penyisipan lencana karyawan di
pembaca kartu plus entri PIN di kunci tombol di pintu. Kontrol akses jarak jauh mencakup firewall utama yang
melakukan pemfilteran paket dan firewall aplikasi web yang menggunakan inspeksi paket yang mendalam untuk
memfilter semua lalu lintas yang menuju server web. Ada firewall internal tambahan yang memisahkan fungsi
bisnis yang berbeda satu sama lain. Staf keamanan informasi secara teratur memindai semua peralatan untuk
mengetahui kerentanan dan memastikan bahwa stasiun kerja setiap karyawan menjalankan versi perangkat lunak
antivirus perusahaan saat ini serta firewall. Untuk meningkatkan kesadaran keamanan, semua karyawan
menghadiri lokakarya bulanan berdurasi bulanan yang membahas masalah keamanan terkini yang berbeda setiap
bulan. Perusahaan menggunakan sistem deteksi intrusi, dan manajemen puncak menerima laporan bulanan
tentang efektivitas keamanan sistem. Kontrol korektif meliputi tim respons insiden komputer dan praktik
triwulanan dari rencana respons insiden. Jason menyimpulkan bahwa karena manajemen senior Northwest
Industries menganggap keamanan informasi sebagai bagian integral dari proses organisasi, mirip dengan kualitas,
telah mengambil langkah-langkah untuk menerapkan praktik keamanan informasi yang proaktif dan efektif.
Namun, Jason mengidentifikasi dua kelemahan terkait dengan kontrol perubahan. Satu hal yang menjadi perhatian
adalah bahwa beberapa "perubahan darurat" yang dilakukan selama setahun terakhir tidak didokumentasikan.
Masalah kedua adalah bahwa untuk menghemat uang, Northwest Industries tidak memiliki lingkungan pengujian
yang terpisah, tetapi memberi para programmer akses langsung ke sistem pemrosesan transaksi untuk membuat
perubahan. Untuk memperbaiki masalah pertama, Jason merekomendasikan CIO untuk memberi seseorang
tanggung jawab untuk memastikan bahwa semua perubahan didokumentasikan dengan baik. Untuk mengatasi
masalah kedua, Jason merekomendasikan bahwa Northwest Industries berinvestasi dalam teknologi virtualisasi
untuk menciptakan lingkungan pengujian dan pengembangan yang terpisah dan bahwa itu menghapus akses
programmer ke sistem pemrosesan transaksi. Atasan Jason senang dengan laporan sementaranya. Dia meminta
Jason untuk melanjutkan ulasannya tentang Northwest Industries: sistem informasi dengan memeriksa dua prinsip
keandalan sistem lainnya dalam Kerangka Layanan Trust AICPA: kerahasiaan dan privasi.