PENGENDALIAN UNTUK KEAMANAN

INFORMASI

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS PENDIDIKAN NASIONAL (UNDIKNAS)

DENPASAR

2020

i
 KATA PENGANTAR

Puji syukur kami panjatkan kehadirat Tuhan Yang Maha Esa yang telah melimpahkan
rahmat, taufik serta hidayah-Nya, sehingga kami dapat menyelesaikan makalah “Pengendalian
Untuk Keamanan Informasi” dengan baik dan tepat pada waktu.

Makalah ini kami susun untuk memenuhi tugas “Sistem Informasi Akuntansi dan
Pengendalian Internal”. Kami menyadari bahwa dalam pembuatan makalah ini terdapat
kekurangan, maka saran dan kritik yang membangun sangat kami butuhkan dari semua pihak
untuk penyempurnaan makalah ini.

Akhir kata, kami mengucapkan banyak terima kasih, semoga makalah ini bermanfaat dan
dapat dijadikan sebagai acuan pembuatan makalah yang sama dikemudian hari.

Denpasar, 09 Oktober 2020

Penulis

i
 DAFTAR ISI

KATA PENGANTAR................................................................................................................................i
DAFTAR ISI..............................................................................................................................................ii
BAB I..........................................................................................................................................................1
PENDAHULUAN......................................................................................................................................1
1.1 Latar Belakang................................................................................................................................1
1.2 Rumusan Masalah...........................................................................................................................2
1.3 Tujuan Penulisan.............................................................................................................................2
BAB II........................................................................................................................................................3
PEMBAHASAN.........................................................................................................................................3
2.1 Konsep keamanan informasi fundamental....................................................................................3
2.2 Pengendalian Preventif...................................................................................................................5
2.3 Pengendalian Korektif...................................................................................................................12
2.4 Pengendalian Detektif...................................................................................................................12
2.5 Implikasi Keamanan Virtualisasi Dan Cloud..............................................................................13
BAB III PENUTUP.................................................................................................................................14
3.1 Kesimpulan....................................................................................................................................14
3.2 Saran...............................................................................................................................................15
DAFTAR PUSTAKA..............................................................................................................................16

ii
 BAB I

PENDAHULUAN

1.1 Latar Belakang

Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka
aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari para
kriminal komputer dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah
satu cara untuk memerangi terorisme, isu-isu utama mengenai keamanan.
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas
pada semua sumber daya informasi perusahaan. Manajemen keamanan informasi terdiri atas
perlindungan harian, yang disebut manajemen keamanan informasi dan persiapan operasional
setelah suatu bencana yang disebut dengan manajemen keberlangsungan bisnis.

Keamanan sistem informasi pada saat ini telah banyak dibangun oleh para kelompok analis dan
programmer namun pada akhirnya ditinggalkan oleh para pemakainya. Hal tersebut terjadi
karena sistem yang dibangun lebih berorientasi pada pembuatnya sehingga berakibat sistem yang
dipakai sulit untuk digunakan atau kurang user friendly bagi pemakai, sistem kurang interaktif
dan kurang memberi rasa nyaman bagi pemakai, sistem sulit dipahami interface dari sistem
menu dan tata letak kurang memperhatikan kebiasaan perilaku pemakai, sistem dirasa memaksa
bagi pemakai dalam mengikuti prosedur yang dibangun sehingga sistem terasa kaku dan kurang
dinamis, keamanan dari sistem informasi yang dibangun tidak terjamin.

Hal-hal yang disebutkan diatas dapat disimpulkan bahwa dalam membangun sebuah keamanan
sistem informasi harus memiliki orientasi yang berbasis perspektif bagi pemakai bukan menjadi
penghalang atau bahkan mempersulit dalam proses transaksi dan eksplorasi dalam pengambilan
keputusan. Terdapat banyak cara untuk mengamankan data maupun informasi pada sebuah
sistem. Pengamanan data dapat dibagi menjadi dua jenis yaitu: penecegahan dan pengobatan.
Pencegahan dilakukan supaya data tidak rusak, hilang dan dicuri, sementara pengobatan
dilakukan apabila data sudah terkena virus, sistem terkena worm, dan lubang keamanan sudah
diexploitasi.

1
Keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan. Masalah tersebut
penting karena jika sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak
bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi
sebuah informasi yang menyesatkan.

Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk menjaga

keamanan karyawan, memungkinkan keberlangsungan operasional dengan cara menyediakan
fasilitas mengembangkan rencana kontinjensi baru tidak harus dari awal; beberapa model
berbasis peranti lunak tersedia, seperti halnya garis besar dan panduan dari pemerintah.

1.2 Rumusan Masalah

1. Konsep apa saja yang terdapat pada keamanan informasi fundamental ?
2. Apa yang dimaksud pengendalian preventif ?
3. Apa yang dimaksud pengendalian korektif ?
4. Apa yang dimaksud pengendalian detektif ?
5. Apa implikasi dari keamanan virtualisasi dan cloud ?

1.3 Tujuan Penulisan

Dari latar belakang diatas tujuan dari penulisan makalah ini yaitu pembaca diharapkan
1. Untuk memahami tentang apa yang dimaksud keamanan informasi.
2. Untuk memahami tentang tujuan dari keamanan informasi.
3. Untuk memahami tentang ancaman dan risiko dari keamanan informasi.

2
 BAB II

PEMBAHASAN

2.1 Konsep keamanan informasi fundamental

Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi
secara bersamaan terhadap keandalan sistem:

1. Keamanan (security) adalah akses (baik fisik maupun logis) terhadap sistem dan data di
dalamnnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiaity) adalah informasi keorganisasian yang sensitif (seperti rencana
pemasaran, rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy) adalah informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan
kerja hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan kepatuhan
terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari
pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) adalah data diproses secara akurat, lengkap,
tepat waktu, dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (avaibility) adalah sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
- Dua Konsep Keamanan Informasi Fundamental
1. Keamanan Merupakan Masalah Manajemen, Bukan Hanya Masalah Teknologi

Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat berteknologi

seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan manajemen senior juga jelas
menjadi dasar untuk keberhasilan. Manajemen senior harus berpartisipasi dalam pengembangan
kebijakan karena mereka harus memutuskan sanksi yang akan diberikan terhadap tindakan
ketidak patuhan. Manajemen senior juga harus mengotorisasi investasi sumber daya yang
diperlukan untuk mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang
dikehendaki.

2. Defense-In-Depth Dan Model Keamanan Informasi Berbasis Waktu

3
 Defense-in-depth adalah menggunakan berbagai lapisan pengendalian untuk menghindari
sebuah poin kegagalan. Sebagai contoh, banyak organisasi yang tidak hanya menggunakan
firewall, tetapi juga berbagai metode autentifikasi (kata sandi, token, dan biometrika). Untuk
membatasi akses terhadap sistem informasi mereka. Tujuan model keamanan berbasis
waktu (time-based model of security) adalah menggunakan kombinasi perlindungan preventif,
detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi
untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk
menggagalkannya sebelum informasi hilang atau dirusak.

- Memahami Serangan Yang Ditargetkan

Meskipun banyak ancaman keamanan informasi, seperti virus, worm, bencana alam, kegagalan
perangkat keras, dan kesalahan manusia yang sering merupakan kejadian acak (tidak diduga),
organisasi juga sering kali menjadi sasaran dari serangan yang disengaja. Untuk mengurangi
resiko gangguan sistem berikut langkah-langkah dasar yang dilakukan para penjahat untuk
menyerang sistem informasi suatu perusahaan adalah:

a. Melakukan pengintaian (conduct reconnaissance). Tujuan pengintaian awal yang digunakan

perampok atau penyerang komputer adalah untuk mempelajari sebanyak mungkin tentang
target serta mengindentifikasi kerentanan potensial.
b. Mengupayakan rekayasa sosial (attemp social engineering). Rekayasa sosial (social
engineering) adalah menggunakan tipuan untuk mendapatkan akses tanpa izin terhadap
sumber daya informasi.
c. Memindai dan memetakan target (scan and map the target). Langkah selanjutnya yang
digunakan para penjahat adalah melakukan lebih banyak pengintaian terperinci untuk
mengindentifikasi titik-titik potensial entri jarak jauh. Penyerang menggunakan berbagai alat
otomatis untuk mengidentifikasi komputer yang dapat dikendalikan dari jarak jauh serta
berbagai jenis perangkat lunak yang mereka jalankan.
d. Penelitian (research). Penjahat selanjutnya melakukan penelitian untuk menemukan
kerentanan yang terdeteksi pada program-program tersebut serta mempelajari bagaimana
memanfaatkan kerentanan tersebut.
e. Mengeksekusi serangan (execute the attack). Penyerang memanfaatkan kerentanan untuk
mendapatkan akses tanpa izin terhadap sistem informasi target.

4
f. Menutupi jejak (cover tracks). Sebagian besar penyerang berupaya untuk menutupi jejak
mereka dan menciptakan “pintu belakang” yang dapat mereka gunakan untuk mendapatkan
akses jika serangan awal mereka diketahui dan pengendalian diimplementasikan untuk
memblok metode masuk tersebut.

2.2 Pengendalian Preventif

Manajemen harus menciptakan sebuah budaya "sadar keamanan" dan pegawai harus dilatih
untuk mengikuti kebijakan-kebijakan keamanan serta mempraktikkan perilaku komputasi yang
aman,

1. Orang-orang : Penciptaan Sebuah Budaya "SADAR-KEAMANAN"

COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu dari
fasilitator kritis untuk keamanan informasi yang efektif. Untuk menciptakan sebuah budaya sadar
keamanan agar para pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak
hanya harus mengomunikasikan kebijakan keamanan organisasi, tetapi juga harus memandu
dengan mencontohkannya.

2. Orang-orang : Pelatihan

COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis
lainnya untuk keamanan informasi yang efektif. Para pegawai harus memahami cara untuk
mengikuti kebijakan keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah
pengendalian preventif yang kritis.

3. Proses : Pengendalian Akses Pengguna

Penting untuk memahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang
pegawai mungkin tidak puas karena berbagai alasan (contoh: tidak dipromosikan) dan mencoba
balas dendam, atas mungkin melakukan korupsi karena kesulitan keuangan, atau mungkin juga
memaksa untuk diberi informasi sensitif. Oleh karena itu, organisasi perlu menerapkan satu set
pengendalian yang dirancang untuk melindungi aset informasi mereka dari penggunaan dan
akses tanpa izin yang dilakukan oleh pegawai.

A. Pengendalian Auntentikasi

5
 Autentikasi (authentication) adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa anya pengguna yang sah
yang dapat mengakses sistem. Tiga tanda bukti yang dapat digunakan untuk memverifikasi
identitas seseorang :

1. Sesuatu yang mereka ketahui, seperti kata sandi atau personal identification

number (PIN).
2. Sesuatu yang mereka miliki, sepertu kartu pintar atau badge ID.
3. Beberapa karakteristik fisik atau perilaku (disebut dengan pengidentifikasi
biometri (biometric identifier): sebuah karakteristik disik atau perilaku yang digunakan
sebagai informasi keaslian), seperti sidik jari atau pola tulisan.

Kata sandi memungkinkan metode autentifikasi yang paling umum digunakan, dan juga
paling kontroversial. Secara individu, masing-masing metode autentifikasi memiliki
keterbatasan. Teknik-teknik identifikasi fisik (kartu, badge, USB device, dsb) bisa hilang, dicuri,
atau digandakan. Bahkan, teknik-teknik biometri belum 100% akurat, terkadang menolak
pengguna yang sah dan terkadang mengizinkan akses untuk orang-orang yang tidak sah.
Beberapa teknik biometri, seperti sidik jari membawa konotasi negatif yang mungkin
menghalangi penerimaannya.

Meskipun tidak satupun dari ketiga tanda bukti autentifikasi dengan sendirinya. Namun,
terdapat tanda bukti yang sangat mudah digunakan yaitu penggunaan dua atau tiga jenis secara
bersamaan yang disebut autentifikasi multifactor (multifactor authentication). Dalam beberapa
situasi menggunakan berbagai tanda bukti dari jenis yang sama atau yang disebut juga
autentifikasi multimodal (multimodal authentication) juga dapat meningkatkan keamanan.

B. Pengendalian Otorisasi

Otorisasi (authorization) adalah proses memperketat akses pengguna terotorisasi atas bagian

spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Tujuannya adalah untuk Menyusun hak serta keistimewaan setiap pegawai dengan cara
menetapkan dan mengelola pemisahan tugas yang tepat.

Pengendalian otorisasi biasanya diimplementasikan dengan menciptakan matriks

pengendalian akses. Matriks pengendalian akses (access control matrix) adalah sebuah tabel

6
yang digunakan untuk mengimplementasikan pengendalian otorisasi. Berikut contoh matriks
pengendalian akses: 

Kemudian, ketika seorang pegawai berusaha mengakses sumber daya sistem informasi tertentu,
sistem akan melakukan sebuah uji kompatibilitas. Uji kompabilitas (compability test) adalah
mencocokkan tanda bukti autentikasi pengguna terhadap matriks pengendalian akses untuk
menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber daya dan
melakukan tindakan yang diminta.

SOLUSI TI: PENGENDALIAN ANTIMALWARE

Salah satu dari bagian COBIT 5 DSS05.01 mendaftar perlindungan malware sebagai salah

satu dari kunci keamanan yang efektif, merekomendasikan secara spesifik:

1. Edukasi kesadaran perangkat lunak jahat.

2. Pemasangan alat perlindungan anti-malware pada seluruh perangkat.
3. Manajemen terpusat atas sejumlah patch dan memberbarui perangkat lunak anti-malware.
4. Tinjauan teratur atas ancaman malware baru.
5. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial.
6. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau tidak

7
SOLUSI TI: PENGENDALIAN AKSES JARINGAN

Sebagian besar organisasi menyediakan para pegawai, pelanggan, dan pemasok dengan akses
jarak jauh terhadap sistem informasi mereka. Biasanya, akses ini dilakukan melalui internet,
tetapi beberapa organisasi masih mengelola jaringan hak milik mereka sendiri atau menyediakan
akses dial-up langsung melalui modem.

- Pertahanan Perimeter: Router, Firewall, dan Sistem Pencegahan Gangguan

Border router adalah sebuah perangkat yang menghubungkan sistem informasi organisasi ke
internet. Dibalik border router terdapay firewall utama. Firewall adalah sebuah perangkat keras
yang bertujuan khusus atau perangkat lunak yang bekerja pada sebuah komputer bertujuan
umum yang mengendalikan baik komunikasi masuk maupun keluar antara sistem di
balik firewall dan jaringan lainnya. Demilitarized zone (DMZ) adalah sebuah jaringan terpisah
yang berada di luar sistem informasi internal organisasi serta mengizinkan akses yang
dikendalikan dari internet. Secara bersamaan, border router, firewall bertindak sebagai
penyaring untuk mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari
sistem informasi organisasi.

- Bagaimana Arus Informasi Pada Jaringan: Tinjauan Menyeluruh TCP/IP dan Ethernet

Berikut contoh arsitektur jaringan keorganisasian:

8
Router adalah perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber
dan tujuan pada header paket IP untuk memutuskan selanjutnya akan mengirim (rute) paket ke
mana.

- Mengendalikan Akses dengan Paket Penyaringan

Organisasi memiliki satu border router atau lebih yang menghubungkan jaringan internal
mereka ke penyedia layanan internet. Border router dan firewall utama organisasi menggunakan
seperangkat aturan IF-THEN, disebut access control list (ACL). Access Control
List (ACL): seperangkat aturan IF-THEN yang digunakan untuk menentukan tindakan untuk
paket yang tiba.

Selanjutnya dilakukan penyaringan paket (packet filtering). Penyaringan paket (packet

filtering) sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP paket untuk
memutuskan tindakan yang dilakukan pada paket.

Selanjutnya dilakukan deep packer inspection. Deep packer inspection adalah sebuah proses
yang memeriksa data fisik sebuah paket TCP untuk mengendalikan lalu lintas, bukan hanya
melihat informasi pada header IP dan TCP.

Pada saat router dan firewall memeriksa paket individu, sistem pencegah gangguan yang
digunakan. Sistem pencegah gangguan (instrusion prevention- IPS) adalah perangkat lunak atau

9
perangkat keras yang mengawasi pola-pola dalam arus lalu-lintas untuk mengidentifikasi dan
mengeblok serangan secara otomatis.

- Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan

Salah satu dimensi lain dari konsep defense-in-depth adalah penggunaan multi-

firewall internal untuk membuat segmentasi departemen berbeda di dalam organisasi. Firewall
internal membantu untuk mempersempit jenis data dan porsi sistem informasi sebuah organisasi
yang dapat diakses seorang pegawai tertentu. Hal ini tidak hanya meningkatkan keamanan, tetapi
juga memperkuat pengendalian internal dengan menyediakan sebuah sarana untuk melaksanakan
pemisahan tugas.

- Mengamankan Koneksi DIAL-UP

Remote Authentication Dial-in User Servise (RADIUS) adalah sebuah metode standar untuk
memverifikasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in. Para
pengguna dial-in terhubung ke sebuah server akses jarak jauh dan memasukkan tanda bukti log-
in mereka.

War dialing adalah mencari sebuah modem menganggur dengan memprogram sebuah
kompuer untuk memanggil ribuan lini telepon.

- Mengamankan Akses Nirkabel

Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara memadai
adalah sebagai berikut :

 Menyalakan fitur keamanan yang tersedia.

 Membuktikan keabsahan seluruh perangkat yang digunakan untuk menetaokan akses nirkabel
ke jaringan sebelum menentukan sebuah alamat IP untuk mereka.
 Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus
infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel.

10
 Menggunakan nama yang noninformatif sebagai alamat titik akases yang disebut
dengan service set identifier (SSID).
 Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior
gedung, dan menggunakan antena pengarahan untuk membuat penerimaan lokal tana izin
menjadi lebih sulit.
 Mengenkripsi seluruh lalu lintas nirkabel.

SOLUSI TI : PENGENDALIAN PENGUKUHAN PERALATAN DAN PERANGKAT

LUNAK

Endpoint adalah istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang
meliputi jaringan organisasi. Tiga area yang berhak mendapatkan perhatian lebih :

- Konfigurasi Endpoint

Kerentanan (vulnerabilities) adalah cacat pada program yang dapat dimanfaatkan baik untuk
merusak sistem maupun mengambil kendalinya.

Pemindai kerentanan (vulnerabilities scanners) adalah alat otomatis yang didesain untuk

mengidentifikasi apakah sebuah sistem bawaan memiliki program yang tidak digunakan dan
tidak perlu serta menunjukkan ancaman keamanan potensial.

Pengukuhan (hardening) adalah proses memodifikasi konfigurasi dasar endpoint untuk

mengeliminasi pengaturan dan layanan yang tidak perlu.

- Manajemen Akun Pengguna

Praktik manajemen COBIT 5 DDS05.04 menekankan kebutuhan untuk secara hati-hati

mengelola seluruh akun pengguna, terutama akun-akun yang memiliki hak terbatas
(administratif) pada komputer.

- Desain Perangkat Lunak

Limpahan buffer, injeksi SQL, dan cross-site scripting adalah contoh umum dari serangan

terhadap perangkat lunak yang dijakankan dalam situs.

SOLUSI TI: ENKRIPSI

11
Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin
terhadap informasi sensitif.

- Keamanan Fisik: Pengendalian Akses

Sudah menjadi hal mendasar untuk mengendalikan akses fisik terhadap sumber daya informasi
karena seorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses fisik
langsung tanpa pengawasan untuk menembus pengendalian keamanan informasi yang ada.

- Pengendalian Perubahan dan Manajemen Perubahan

Pengendalian perubahan dan manajemen perubahan (change control and change

management): proses formal yang digunakan untuk memastikan bahwa modifikasi pada
perangkat keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem. Beberapa
karakteristik proses pengendalian perubahan dan manajemen perubahan yang didesain dengan
baik melibatkan:

 Dokumentasi seluruh permintaan perubahan, pengidentifikasian sifat perubahan,

rasionalitasnya, tanggal permintaan, dan hasil permintaan.
 Persetujuan terdokumentasi atas seluruh permintaan perubahan dilakukan oleh tingkat
manajemen yang sesuai.
 Pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah, bukan hanya yang
digunakan untuk proses bisnis harian.
 Pengendalian konversi memastikan bahwa data ditransfer secara akurat dan lengkap dari
sistem lama ke sistem baru.
 Pembaruan seluruh dokumentasi untuk menunjukkan implementasi perubahan terbaru.
 Sebuah proses khusus untuk peninjauan, persetujuan, dan dokumentasi secara tepat waktu atas
"perubahan darurat" segera setelah krisi terjadi.
 Pengembangan dan dokumentasi rencana "mundur" untuk mempermudah pengembalian ke
konfigurasi sebelumnya jika perubahan baru menciptakan masalah yang tidak diharapkan.
 Pengawasan dan peninjawan dengan cermat atas hak dan keistimewaan pengguna selama
proses perubahan untuk memastikan bahwa pemisahan tugas yang sesuai telah ditetapkan.

12
2.3 Pengendalian Korektif
COMPUTER INCIDENT RESPONSE TEAM (CIRT)

Tim perespons insiden komputer (computer incident response team- CIRT): sebuah tim yang

bertanggung jawab untuk mengatasi insiden keamanan utama. Empat tahapan dalam CIRT:

1. Pemberitahuan (recognition) adanya sebuah masalah.

2. Penahanan (containment) masalah.
3. Pemulihan (recovery).
4. Tindak lanjut (follow up).

2.4 Pengendalian Detektif

- Analisis Log

Analisis Log: proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.

- Sistem Deteksi Gangguan

Intrusion detection system (IDS): sebuah sistem yang menghasilkan sejumlah log dari seluruh
lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log
tersebut sebgai tanda atas gangguan yang diupayakan atau berhasil dilakukan.

- Pengujian Penetrasi

Uji penetrasi (penetration test): upaya terotorisasi untuk menerobos ke dalam sistem informasi

organisasi.

PENGAWASAN BERKELANJUTAN

Praktik COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai

terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis.

- Chief Information Security Officer (CISO)

CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko
dilakukan secara teratur serta audit keamanan dilakukan secara periodik.

- Manajemen Patch

13
Exploit: sebuah program yang didesain untuk memanfaatkan dari kerentanan yang diketahui.
Patch:  kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan
tertentu.
Manajemen patch (patch management): proses untuk secara teratur menerapkan patch dan
memperbarui perangkat lunak.
2.5 Implikasi Keamanan Virtualisasi Dan Cloud
Virtualisasi (virtualization): menjalankan berbagai sistem secara bersamaan pada satu komputer
fisik.
Komputasi Cloud (cloud computing): menggunakan sebuah browser untuk mengakses perangkat
lunak, penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.

14
 BAB III
PENUTUP

3.1 Kesimpulan
Berdasarkan paparan yang terdapat dalam pembahasan, maka penulis dapat
menyimpulkan isi dari makalah ini adalah sebagai berikut:
1. Sistem informasi merupakan data yang dikumpulkan, dikelompokkan dan diolah
sedemikian rupa sehingga menjadi sebuah satu kesatuan informasi yang berharga yang
dalam menampilkannya menggunakan berbagai media, informasi tersebut digunakan
dalam kegiatan strategi dari suatu organisasi atau perusahaan untuk dapat menyediakan
kepada pihak luar tertentu dalam bentuk informasi berupa laporan – laporan yang
diperlukan. Keamanan informasi (information security) digunakan untuk
mendeskripsikan perlindungan baik peralatan komputer dan non komputer dan non
komputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak
berwenang .
2. Pengendalian sistem merupakan pengendalian yang secara khusus dipasangkan pada
aplikasi tertentu atau suatu subsistem tertentu. Bertujuan untuk mencegah akses oleh
pengguna atau aplikasi yang dapat mengakibatkan penggunaan tak terkendali ataupun
merugikan sistem operasi atau arsip data, mengendalikan pengguna yang satu dari
pengguna lainnya agar seorang pengguna tidak dapat menghancurkan atau mengkorupsi
program atau data pengguna lainnya, mencegah arsip-arsip atau program seorang
pengguna dirusak oleh program lainnya yang digunakan oleh pengguna yang sama,
mencegah sistem operasi dari bencana yang disebabkan oleh kejadian eksternal, seperti
kerusakan pada pembangkit listrik.
3. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen
keamanan informasi (information security management – ISM ), sedangkan aktivitas
untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity
management – BCM). Istilah manajemen risiko (risk management) dibuat untuk

15
 menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi
perusahaan dibandingkan dengan risiko yang dihadapinya.
Ancaman keamanan sistem informasi adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan.Ancaman itu terdiri dari ancaman internal dan eksternal . Untuk mengendalikan
Ancaman serta risiko keamanan informasi itu dapat dilakukan dengan berbagai pengendalian
yaitu: pengendalian teknis, kriptografis, fisik, formal dan informal.

3.2 Saran
Sebaiknya para pengguna menggunakan strategi - strategi dari keamanan informasi untuk
mengamankan informasinya yang penting supaya dapat mencegah akses oleh pengguna atau
aplikasi yang dapat mengakibatkan penggunaan tak terkendali ataupun merugikan sistem operasi
atau arsip data, mencegah arsip-arsip atau program seorang pengguna dirusak oleh program
lainnya yang digunakan oleh pengguna yang sama, dll. Serta diharapkan menggunakan metode -
metode keamanan Informasi seperti keamanan password, dll.

16
 DAFTAR PUSTAKA
Romney, Marshall B. dan Paul John Steinbart. 2015. Sistem Informasi Akuntansi Edisi 13.
Jakarta: Salemba Empat

http://betajati.blogspot.com/2018/10/pengendalian-untuk-keamanan-informasi.html

http://43217110334.blog.mercubuana.ac.id/2018/11/26/keamanan-informasi/

17