Agenda
Sejarah COBIT; COBIT terbit tahun 1996 dari hasil riset yang
dilakukan ISACF (Information Systems Audit and Control
Foundation), yaitu sebuah badan riset bentukan ISACA.
1. Data
2. Application systems
3. Technology
4. Facilities
5. People
1. Efektif (effective)
2. Efisien (efficiency)
3. Kerahasiaan (confidentiality)
4. Integritas (integrity)
5. Ketersediaan (availability)
6. Ketaatan (compliance)
7. Andal/dapat dipercaya (reliability).
ISO/IEC 27003 mencakup ISO/IEC 27004, standard yang ISO /IEC 27005, Standard yang
panduan mengenai bagaimana memberikan panduan tentang memberikan panduan mengenai
mengimplementasikan ISMS metode pengukuran, bagaimana implementasi information
yang mencakup konsep PDCA mengukur efektifitas dari ISMS security risk management
3
menyediakan Tingkatan terutama
serangkaian Implementasi digunakan untuk
kegiatan membantu mengidentifikasi
cybersecurity organisasi dan
memandang memprioritaskan
manajemen risiko peluang
keamanan siber
Ancaman alam
• Seperti banjir, gempa bumi, badai dan tornado, kebakaran, kondisi temperatur, dan lain
sebagainya.
Ancaman sistem.
• Seperti distribusi tegangan, gangguan komunikasi, gangguan ke berbagai sumber daya
lainnya seperti air, uap air, gas dan lain sebagainya.
Level 4 –
Keamanan
Level 3 – Keamanan
informasi
Level 2 –
Keamanan
Level 1 – Keamanan jaringan
database, data,
komputer,
Level 0 – peralatan & aplikasi
Keamanan fisik
Mengurangi kerugian
Kesalahan manusia
Kesalahan transfer
Integritas
Entity Integritas Integritas
Buatan
Integrity Referensial Domain
Pengguna
Mengembangkan kriteria
Mendapatkan garis dari hasil analisis, dan
Membuat pengukuran
besar performance yang memikirkan level
tindakan keamanan dan kekuatan
dibutuhkan
yang dibutuhkan
Mengidentifikasi dan
Terus menerus mengawasi
mengimplementasikan
setiap tindakan
tindakan
Reception
Server
Workstation Area
Access Control
Wiretapping
Remote Access
Perangkat rentan
Mengunci ruang Mengatur pengawasan
/ surveillance
ditempatkan di
server
ruangan terkunci
Jauhkan penyusup
Jangan lupakan Gunakan rack
dari membuka
workstation mount server
casing
Rounding Salami
Data Diddling Trojan Horses
Down Techniques
Asynchronous
Data Leakage Wire-tapping Piggybacking
Attack
File
File-
program Bagian boot
directory File Data
yang dapat dan sistem
system
dieksekusi
Write-
protected
tabs pada
floppy disks
Hardware-
Remote
based
booting
password
Boot virus
protection
Workstation
tanpa floppy
disks
Integrity
Checkers
Active
Monitors
Scanners
Blackmail/Industrial Espionage
Loss of Credibility or Competitive • pelanggar dapat memeras pembayaran atau jasa
dari suatu organisasi dengan ancaman untuk
Edge mengekploitasi pelanggaran sekuriti
• pelanggaran sekuriti dapat sangat merusak
kredibilitas, yang berakibat pada kerugian bisnis
dan prestis
Interested or
Former
Educated Pesaing Pihak asing
Employees
Outsiders
Part-time and
Kejahatan
Crackers Phreackers Temporary
terorganisasi
Personnel
Firewall
Mengenkrip paket
Menyadap dan
yang dikirimkan
mencatat semua
antara lokasi fisik
komunikasi antara
yang berbeda dalam
Mencegah user suatu jaringan
Menghalangi akses suatu organisasi
tertentu mengakses internal dengan
ke situs tertentu dengan
server atau servis dunia luar untuk
dalam Internet menciptakan suatu
tertentu menyelidiki adanya
jaringan pribadi
penetrasi jaringan
virtual (virtual
atau mendeteksi
private network)
subversi internal.
melalui Internet
Pemantauan
aktivitas tidak Adanya keraguan
dilakukan secara pada security
teratur
Firewall yang
konfigurasinya
salah
Kurangnya Kurangnya
keamanan enkripsi
fisik
Penghancuran
Penyimpanan
data yang
cloud
tidak lengkap
Kebijakan
Pencegahan Keamanan Keamanan Pencadangan
keamanan
Kontrol akses Enkripsi kehilangan jaringan yang titik akhir Redundansi dan
penyimpanan
data kuat yang kuat pemulihan
data
Produk, layanan,
Kelangsungan dan model bisnis
hidup baru
Keintiman
Keunggulan
pelanggan dan
kompetitif
pemasok
Pengambilan
keputusan yang
lebih baik
IDS network-based
• ditempatkan diantara Internet dan firewall, hal itu
akan mendeteksi semua usaha serangan, memasuki
atau tidak memasuki firewall
IDS host-based
• dikonfigurasikan untuk suatu lingkungan spesifik dan
akan memantau berbagai sumberdaya internal dari
sistem operasi untuk memberi peringatan adanya
kemungkinan serangan.
Kesalahan Malware,
Perangkat keras
Kesalahan Kesalahan konfigurasi dan ancaman orang
yang
manusia transfer kesalahan dalam, dan
dikompromikan
keamanan serangan siber
Retrievabilitas
Traceability Keandalan
& aksesibilitas
Input Validasi
Validasi Data
Mencadangkan Data
Kontrol Akses
Privasi Privasi
medis internet
Privasi
keuangan
Enskripsi
Mengurangi dan mendeteksi
perubahan data
Integritas Data
Otentikasi
Digital
Signature
Non–repudiation
Replay protection