Naura Khairunnisa A

201770018

RINGKASAN CHAPTER 8: Controls for Information Security

Trust Services Framework

- Security
Akses ke sistem dan data dikendalikan dan dibatasi untuk pengguna yang sah.
- Confidentiality
Data organisasi yang sensitif dilindungi.
- Privacy
Informasi pribadi tentang mitra dagang, investor, dan karyawan dilindungi.
- Processing Integrity
Data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang tepat.
- Availability
Sistem dan informasi tersedia.

Security Life Cycle

Meskipun keamanan informasi yang efektif membutuhkan alat-alat teknologi seperti

firewall, antivirus, dan enkripsi, keterlibatan dan dukungan dari manajemen senior di
seluruh fase security life cycle sangat penting untuk keberhasilan sistem keamanan
informasi.
Step-step dalam security life cycle yaitu :
a. Menilai ancaman & memilih respon atas risiko yang ada
b. Mengembangkan dan mengomunikasikan kebijakan
c. Memperoleh & mengimplementasikan solusi atas ancaman dan risiko
d. Memantau kinerja dari pengimplementasian solusi

Security Approach

Tujuan dari model keamanan informasi berbasis waktu adalah untuk menerapkan kombinasi
kontrol preventif, detektif, dan korektif untuk melindungi aset informasi yang cukup lama bagi
organisasi untuk mendeteksi bahwa serangan/ancaman sedang terjadi dan untuk mengambil
langkah tepat waktu dalam menggagalkan serangan/ancaman tersebut sebelum semua informasi
terhapus.
Model keamanan informasi berbasis waktu dapat dinyatakan dalam rumus berikut:

P>D+C

Keterangan:
P = waktu yang diperlukan penyerang untuk menerobos berbagai kontrol yang melindungi aset
informasi organisasi
D = waktu yang dibutuhkan organisasi untuk mendeteksi bahwa serangan tersebut sedang
berlangsung
C = waktu yang diperlukan untuk merespons dan menghentikan serangan

Understanding Targeted Attacks

Langkah-langkah dasar yang digunakan penjahat untuk menyerang sistem informasi organisasi:

1. Melakukan pengintaian.
2. Melakukan percobaan social engineering yaitu melakukan penipuan untuk
mendapatkan akses tidak sah ke sumber daya informasi.
3. Memindai dan memetakan target.
4. Melakukan penelitian.
5. Menjalankan serangan.
6. Membuat opsi lain apabila opsi pertama sudah diketahui pihak korban.

How to Mitigate Risk of Attack

Preventive Controls

- People
- Process
- IT Solutions
- Physical security

Preventive: People

- Culture of security
Nada diatur di bagian atas dengan manajemen
- Pelatihan
 Ikuti praktik komputasi yang aman
 Jangan pernah membuka lampiran email yang tidak diminta
 Gunakan hanya perangkat lunak yang disetujui
 Jangan bagikan kata sandi
 Lindungi secara fisik laptop / ponsel
 Lindungi dari rekayasa sosial
Preventive Process: User Access Controls

- Otentikasi — memverifikasi orang tersebut

1. Seseorang tahu sesuatu
2. Sesuatu yang dimiliki seseorang
3. Beberapa karakteristik biometrik
4. Kombinasi ketiganya
- Otorisasi — menentukan apa yang dapat diakses seseorang

Preventive Process: Change Controls and Change Management

- Proses formal digunakan untuk memastikan bahwa modifikasi pada perangkat keras,
perangkat lunak, atau proses tidak mengurangi keandalan sistem
- Dibutuhkan manajemen dan kontrol perubahan yang baik seperti:
 Documentation
 Approval
 Testing
 Develop “backout” plan
 Monitoring

Preventive: IT Solutions

- Antimalware controls
- Network access controls
- Device and software hardening controls
- Encryption

Preventive: Physical Security: Access Controls

- Physical security access controls

 Batasi entri untuk bangunan
 Batasi akses ke jaringan dan data

Detective Controls

- Log analysis
- Intrusion detection systems
- Continuous monitoring

Detecting Attacks

- Log Analysis
memeriksa log untuk mengidentifikasi bukti kemungkinan serangan
 - Intrusion Detection Systems (IDSs)
sistem yang menciptakan log lalu lintas jaringan yang diizinkan untuk melewati firewall
dan kemudian menganalisis log tersebut untuk mencari tanda-tanda intrusi yang dicoba
atau berhasil
- Continuous Monitoring
kepatuhan karyawan terhadap kebijakan keamanan informasi organisasi dan kinerja
keseluruhan proses bisnis

Response

- Computer Incident Response Teams (CIRT)

Komponen utama untuk dapat menanggapi insiden keamanan dengan cepat dan efektif
adalah pembentukan CIRT. CIRT harus memimpin proses respons insiden organisasi
melalui empat langkah yaitu, pengakuan, penahanan masalah, pemulihan, dan penindak
lanjutan.
- Chief Information Security Officer (CISO)
COBIT 5 mengidentifikasi struktur organisasi sebagai enabler penting untuk mencapai
kontrol dan keamanan yang efektif. Sangat penting bahwa organisasi memberikan
tanggung jawab untuk keamanan informasi kepada seseorang di tingkat manajemen
senior yang tepat karena perusahaan yang melakukannya lebih cenderung memiliki tim
respon insiden yang terlatih daripada perusahaan yang tidak memiliki seseorang yang
bertanggung jawab atas keamanan informasi perusahaan.

Security Implications of Virtualization, Cloud Computing, and the Internet of Things

Virtualisasi dan Cloud Computing

- Dampak positif terhadap keamanan

 Menerapkan kontrol akses yang kuat adalah keamanan yang baik atas semua sistem
- Dampak negatif pada keamanan
 Masalah keandalan
 Risiko pencurian atau kehancuran jika akses fisik tanpa pengawasan