FARIQ ANANDA DIRATAMA

1711022008
RIZKA OCTA PUTRI
1711022001

PENGENDALIAN UNTUK KEAMANAN INFORMASI

A. Dua Konsep Keamanan Informasi Dasar

1. Keamanan Adalah Masalah Manajemen, Bukan Hanya Masalah Teknologi
Meskipun keamanan informasi yang efektif membutuhkan penyebaran alat-alat teknologi
semacam itu seperti firewall, antivirus, dan enkripsi, keterlibatan dan dukungan manajemen senior di
seluruh semua fase siklus kehidupan keamanan sangat penting untuk kesuksesan. Langkah pertama
dalam siklus kehidupan keamanan adalah menilai ancaman terkait keamanan informasi yang dihadapi
organisasi dan pilih respons yang tepat. Para profesional keamanan informasi memiliki keahlian untuk
mengidentifikasi potensi ancaman dan memperkirakan kemungkinan dan dampak. Namun,
manajemen senior harus memilih mana dari empat tanggapan risiko yang dijelaskan (kurangi, terima,
bagikan, atau hindari) sesuai untuk diadopsi sehingga sumber daya diinvestasikan dalam keamanan
informasi mencerminkan risk appetite organisasi.
Langkah 2 melibatkan pengembangan kebijakan keamanan informasi dan
mengkomunikasikannya kepada semua para karyawan. Manajemen senior harus berpartisipasi dalam
mengembangkan kebijakan karena mereka harus. putuskan sanksi yang akan mereka ajukan untuk
ketidakpatuhan. Selain itu, dukungan yang ada dan keterlibatan manajemen puncak diperlukan untuk
memastikan keamanan informasi pelatihan dan komunikasi dianggap serius. Agar efektif, komunikasi
ini harus melibatkan lebih dari sekadar menyerahkan dokumen tertulis kepada seseorang atau
mengirimi mereka pesan e-mail dan meminta mereka untuk menandatangani pengakuan yang mereka
terima dan membaca pemberitahuan. Sebagai gantinya karyawan harus menerima pengingat berkala
dan teratur tentang kebijakan keamanan dan pelatihan bagaimana cara mematuhinya.
Langkah 3 dari siklus kehidupan keamanan melibatkan perolehan atau pembangunan
teknologi spesifik alat. Manajemen senior harus mengesahkan investasi sumber daya yang diperlukan
untuk mengurangi ancaman diidentifikasi dan mencapai tingkat keamanan yang diinginkan.
Akhirnya, Langkah 4 di siklus hidup keamanan memerlukan pemantauan kinerja secara
teratur untuk mengevaluasi efektivitas program keamanan informasi organisasi. Kemajuan dalam IT
menciptakan ancaman baru dan perubahan risiko yang terkait dengan ancaman lama. Oleh karena itu,
manajemen harus secara berkala mengkaji ulang respons risiko organisasi dan, bila perlu, membuat
perubahan pada kebijakan keamanan informasi dan berinvestasi dalam solusi baru untuk memastikan
bahwa upaya keamanan informasi organisasi mendukung strategi bisnisnya dengan cara yang
konsisten dengan risk appetite manajemen.
2. Defense-in-Depth dan Model Berbasis Waktu Keamanan Informasi
Ide pertahanan-mendalam adalah menggunakan beberapa lapisan kontrol untuk menghindari
satu titik kegagalan. Sebagai contoh, banyak organisasi tidak hanya menggunakan firewall tetapi juga
banyak metode otentikasi (kata sandi, token, dan biometrik) untuk membatasi akses ke informasi
mereka sistem.
Penggunaan kontrol yang tumpang tindih, saling melengkapi, dan berlebihan meningkat
keefektifan secara keseluruhan karena jika satu kontrol gagal atau terhindar, yang lain dapat berfungsi
seperti yang direncanakan. Pertahanan-mendalam biasanya melibatkan penggunaan kombinasi
pencegahan, detektif, dan kontrol korektif. Peran kontrol preventif adalah membatasi tindakan
terhadap individu tertentu sesuai dengan kebijakan keamanan organisasi. Namun, auditor sudah lama
diakui bahwa kontrol pencegahan tidak pernah dapat memberikan perlindungan 100%. Dengan waktu
dan sumber daya yang cukup, setiap kontrol preventif dapat dielakkan. Oleh karena itu, diperlukan
suplemen pencegahan kontrol dengan metode untuk mendeteksi insiden dan prosedur untuk
mengambil tindakan korektif tindakan perbaikan. Mendeteksi pelanggaran keamanan dan memulai
tindakan perbaikan korektif harus tepat waktu karena setelah kontrol preventif dilanggar, penyusup
dapat dengan cepat menghancurkan, kompromi, atau mencuri sumber daya ekonomi dan informasi
organisasi. Oleh karena itu, tujuan dari model keamanan berbasis waktu adalah dengan menggunakan
kombinasi pencegahan, detektif dan kontrol korektif yang melindungi aset informasi cukup lama
untuk memungkinkan suatu organisasi mengenali bahwa serangan sedang terjadi dan mengambil
langkah-langkah untuk menggagalkannya sebelum informasi apa pun hilang atau dikompromikan.
Tujuan ini dapat dinyatakan dalam formula yang menggunakan tiga berikut variabel:
P = waktu yang dibutuhkan penyerang untuk menerobos kontrol pencegahan organisasi
D = waktu yang dibutuhkan untuk mendeteksi bahwa serangan sedang berlangsung
C = waktu yang dibutuhkan untuk menanggapi serangan dan mengambil tindakan korektif
Ketiga variabel tersebut kemudian dievaluasi sebagai berikut: Jika P 7 D + C, maka organisasi
prosedur keamanan efektif. Kalau tidak, keamanan tidak efektif.

B. Memahami Serangan Bertarget

Meskipun banyak ancaman keamanan informasi, seperti virus, worm, bencana alam, perangkat
keras kegagalan, dan kesalahan manusia sering kejadian acak (tidak bertarget), organisasi juga sering
menjadi sasaran serangan yang disengaja. Sebelum kita membahas pencegahan, detektif, dan kontrol
korektif yang dapat digunakan untuk mengurangi risiko intrusi sistem, akan sangat membantu
memahami langkah-langkah dasar yang digunakan penjahat untuk menyerang sistem informasi
organisasi:
1. Melakukan pengintaian. Perampok bank biasanya tidak hanya menyetir ke bank dan
mencoba untuk merampoknya. Sebaliknya, mereka terlebih dahulu mempelajari tata letak fisik target
mereka untuk mempelajari kontrolnya ada di tempat (alarm, jumlah penjaga, penempatan kamera,
dll.). Begitu pula komputer penyerang memulai dengan mengumpulkan informasi tentang target
mereka. Membaca keuangan organisasi pernyataan, Securities and Exchange Commission (SEC)
pengajuan, situs web, dan pers rilis dapat menghasilkan banyak informasi berharga. Tujuan
pengintaian awal ini adalah belajar sebanyak mungkin tentang target dan mengidentifikasi potensi
kerentanan.
2. Mencoba rekayasa sosial. Mengapa harus melalui semua kesulitan untuk mencoba
membobol sistem apakah Anda bisa meminta seseorang untuk membiarkan Anda masuk? Penyerang
akan sering mencoba menggunakan informasi diperoleh selama pengintaian awal mereka untuk
"menipu" karyawan yang tidak menaruh curiga memberi mereka akses. Penggunaan penipuan
semacam itu untuk mendapatkan akses tidak sah ke informasi sumber daya disebut sebagai rekayasa
sosial. Rekayasa sosial dapat terjadi dalam jumlah yang tak terhitung jumlahnya cara, hanya dibatasi
oleh kreativitas dan imajinasi penyerang. Rekayasa sosial serangan sering terjadi melalui telepon.
Salah satu teknik umum adalah untuk penyerang untuk meniru seorang eksekutif yang tidak dapat
memperoleh akses jarak jauh ke file penting. Penyerang memanggil asisten administrasi yang baru
diangkat dan meminta orang itu untuk membantu mendapatkan file penting. Tipu muslihat umum
lainnya adalah bagi penyerang untuk berpura-pura sebagai orang yang tidak tahu apa-apa pekerja
yang tidak dapat masuk ke sistem dan memanggil bantuan untuk bantuan. Sosial serangan rekayasa
juga bisa terjadi melalui email. Serangan yang sangat efektif dikenal sebagai the phishing speak
melibatkan pengiriman e-mail yang konon dari seseorang yang menjadi korban tahu. Email phishing
tombak meminta korban mengklik tautan yang disematkan atau membuka tautan lampiran. Jika
penerima melakukannya, program kuda Trojan dijalankan yang memungkinkan penyerang untuk
mendapatkan akses ke sistem. Namun taktik rekayasa sosial lainnya menyebar Drive USB di tempat
parkir organisasi yang ditargetkan. Karyawan yang tidak curiga atau ingin tahu yang mengambil drive
dan memasukkannya ke komputer mereka akan memuat kuda Trojan program yang memungkinkan
penyerang untuk mendapatkan akses ke sistem.
3. Pindai dan petakan target. Jika penyerang tidak berhasil menembus sistem target melalui
rekayasa sosial, langkah selanjutnya adalah melakukan pengintaian yang lebih rinci untuk
mengidentifikasi titik potensi entri jarak jauh. Penyerang menggunakan berbagai alat otomatis untuk
mengidentifikasi
komputer yang dapat diakses dari jarak jauh dan jenis perangkat lunak yang mereka jalankan.
4. Penelitian. Setelah penyerang telah mengidentifikasi target tertentu dan tahu versi apa
perangkat lunak berjalan pada mereka, langkah selanjutnya adalah melakukan penelitian untuk
menemukan kerentanan yang diketahui untuk program-program tersebut dan pelajari cara
memanfaatkan kerentanan tersebut.
5. Jalankan serangan. Pidana mengambil keuntungan dari kerentanan untuk mendapatkan yang
tidak sah akses ke sistem informasi target.
6. Tutup trek. Setelah menembus sistem informasi korban, sebagian besar penyerang berusaha
menutupi jejak mereka dan membuat "pintu belakang" yang dapat mereka gunakan untuk
mendapatkan akses jika awal mereka serangan ditemukan dan kontrol diimplementasikan untuk
memblokir metode masuknya.

C. Kontrol Preventif
Berbagai pencegahan ini Kontrol cocok bersama-sama seperti potongan-potongan dalam teka-
teki untuk secara kolektif memberikan pertahanan-mendalam. Meskipun semua bagian diperlukan,
komponen "orang" adalah yang paling penting. Pengelolaan harus menciptakan budaya "sadar
keamanan" dan karyawan harus dilatih untuk mengikuti keamanan kebijakan dan praktik perilaku
komputasi yang aman.
a. People: Creation of a “security-conscious” culture
Pembahasan kerangka kerja COSO dan COSO-ERM (Enterprise Risk Management) di Bab 7
menekankan bagaimana perilaku dan perilaku risiko manajemen puncak menciptakan internal
lingkungan yang mendukung dan memperkuat kontrol internal yang sehat atau yang secara efektif
meniadakan kebijakan kontrol tertulis. Prinsip yang sama berlaku untuk keamanan informasi.
b. People : Training
COBIT 5 mengidentifikasi keterampilan dan kompetensi karyawan sebagai enabler penting lain
untuk efektif informasi keamanan. Karyawan harus memahami cara mengikuti keamanan organisasi
kebijakan. Dengan demikian, pelatihan adalah kontrol pencegahan yang kritis. Memang,
kepentingannya tercermin dalam fakta bahwa pelatihan kesadaran keamanan dibahas sebagai praktik
utama untuk mendukung beberapa 52 proses manajemen COBIT 5.
c. Proses: Kontrol Akses Pengguna
Penting untuk memahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang
karyawan mungkin menjadi tidak puas karena sejumlah alasan (mis., diteruskan untuk promosi) dan
membalas dendam, atau mungkin rentan dirusak karena kesulitan keuangan, atau mungkin diperas
untuk memberikan informasi sensitif.
d. Physical Security: Access Controls
Sangat penting untuk mengontrol akses fisik ke sumber informasi. Seorang penyerang yang
terampil hanya membutuhkan beberapa menit akses fisik langsung tanpa pengawasan untuk melewati
jalan pintas yang ada kontrol keamanan informasi. Misalnya, penyerang dengan akses fisik langsung
tanpa pengawasan dapat menginstal perangkat pendeteksi keystroke yang menangkap kredensial
otentikasi pengguna, yang memungkinkan penyerang untuk kemudian memperoleh akses yang tidak
sah ke sistem oleh menyamar sebagai pengguna yang sah. Seseorang dengan akses fisik yang tidak
diawasi juga bisa menyisipkan khusus "boot" disk yang menyediakan akses langsung ke file di
komputer dan kemudian salin file sensitif ke perangkat portabel seperti drive USB atau iPod. Atau,
penyerang dengan akses fisik yang tidak diawasi dengan mudah dapat menghapus hard drive atau
bahkan mencuri seluruh hard drive komputer. Praktik manajemen COBIT 5 DSS 05.05
menggambarkan praktik terbaik terkait fisik kontrol akses.

D. Kontrol Detektif
Seperti disebutkan sebelumnya, kontrol pencegahan tidak pernah 100% efektif dalam
memblokir semua serangan. Karena itu, Praktek manajemen COBIT 5 DSS05.07 menguraikan
aktivitas organisasi itu juga perlu mengaktifkan deteksi intrusi dan masalah secara tepat waktu.
Bagian ini membahas empat jenis kontrol detektif yang tercantum dalam Tabel 8-1: analisis log,
sistem deteksi intrusi, penetrasi pengujian, dan pemantauan berkelanjutan.
a. Analisis Log
Sebagian besar sistem datang dengan kemampuan luas untuk penebangan yang mengakses sistem dan
apa tindakan spesifik yang dilakukan setiap pengguna. Log ini membentuk jejak audit akses sistem.
Seperti jejak audit lainnya, catatan hanya bernilai jika diperiksa secara rutin. Analisis log adalah
proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.
b. Sistem Deteksi Intrusi
Sistem deteksi intrusi jaringan (IDSs) terdiri dari satu set sensor dan pemantauan pusat unit
yang membuat log lalu lintas jaringan yang diizinkan untuk melewati firewall dan kemudian
menganalisis log tersebut untuk mencari tanda-tanda gangguan yang berhasil atau berhasil. Seperti
jaringan IPS, jaringan Fungsi IDS dengan membandingkan lalu lintas yang diamati ke basis
aturannya.
c. Pengujian Penetrasi
Proses kontrol COBIT 5 MEA01 dan MEA02 menyatakan perlunya menguji secara berkala
efektivitas proses bisnis dan kontrol internal (termasuk prosedur keamanan). Kita sudah membahas
penggunaan pemindai kerentanan untuk mengidentifikasi kelemahan potensial dalam sistem
konfigurasi. Penetrasi pengujian memberikan cara yang lebih teliti untuk menguji keefektifan
keamanan informasi organisasi.
d. Pemantauan Berkelanjutan
Praktek manajemen COBIT 5 APO01.08 menekankan pentingnya pemantauan terus menerus
kepatuhan karyawan terhadap kebijakan keamanan informasi organisasi dan secara keseluruhan
kinerja proses bisnis

E. Kontrol Korektif
1. Tim Respons Insiden Komputer (CIRT)
Komponen kunci untuk dapat menanggapi insiden keamanan dengan cepat dan efektif adalah
pembentukan tim respon insiden komputer (CIRT). CIRT harus memimpin proses tanggapan insiden
organisasi melalui yang berikut empat langkah:
1. Pengakuan bahwa ada masalah. Biasanya, ini terjadi ketika IPS atau IDS menandakan suatu
waspada, tetapi bisa juga hasil dari analisis log oleh administrator sistem.
2. Pengendalian masalah. Setelah intrusi terdeteksi, tindakan cepat diperlukan untuk hentikan dan
menahan kerusakan.
3. Pemulihan. Kerusakan yang disebabkan oleh serangan harus diperbaiki. Ini mungkin melibatkan
pemulihan data dari cadangan dan menginstal ulang program yang rusak.
4. Tindak lanjut. Setelah proses pemulihan, CIRT harus memimpin analisis tentang bagaimana insiden
terjadi. Langkah-langkah mungkin perlu diambil untuk memodifikasi kebijakan keamanan yang ada
dan prosedur untuk meminimalkan kemungkinan insiden serupa terjadi di masa depan. Sebuah
keputusan penting yang perlu dibuat adalah apakah akan berusaha menangkap dan menghukum
pelaku. Jika organisasi memutuskan bahwa ia ingin mengadili penyerang, dibutuhkan untuk segera
melibatkan ahli forensik untuk memastikan bahwa semua bukti yang mungkin dikumpulkan dan
dipelihara dengan cara yang membuatnya dapat diterima untuk digunakan di pengadilan.
2. Chief Information Security Officer (CISO)
COBIT 5 mengidentifikasi struktur organisasi sebagai enabler penting untuk mencapai kontrol
yang efektif dan keamanan. Sangat penting bahwa organisasi menetapkan tanggung jawab untuk
informasi keamanan kepada seseorang pada tingkat manajemen senior yang sesuai. Salah satu cara
untuk memuaskan ini Tujuannya adalah untuk menciptakan posisi CISO, yang harus independen dari
informasi lain fungsi sistem dan harus melapor ke chief operating officer (COO) atau chief pejabat
eksekutif (CEO).
3. Tambalan Manajemen
Ketersediaan luas dari banyak eksploitasi dan kemudahan penggunaannya membuatnya penting
bagi organisasi untuk mengambil langkah-langkah untuk secara cepat memperbaiki kerentanan yang
diketahui dalam perangkat lunak yang mereka gunakan. Patch adalah kode yang dirilis oleh
pengembang perangkat lunak yang memperbaiki kerentanan tertentu. Tambalan manajemen adalah
proses untuk secara teratur menerapkan tambalan dan pembaruan untuk semua perangkat lunak yang
digunakan oleh organisasi. Ini tidak semudah kedengarannya.
F. Implikasi Keamanan dari Virtualisasi dan Cloud
Baru-baru ini, banyak organisasi telah memeluk virtualisasi dan komputasi awan untuk
meningkatkanbaik efisiensi maupun efektivitas. Virtualisasi mengambil keuntungan dari kekuatan dan
kecepatan komputer modern untuk menjalankan beberapa sistem secara bersamaan pada satu
komputer fisik. Ini memotong biaya perangkat keras, karena lebih sedikit server yang perlu dibeli.
Lebih sedikit mesin berarti lebih rendah biaya perawatan. Biaya pusat data juga jatuh karena lebih
sedikit ruang yang perlu disewa, yang juga mengurangi biaya utilitas.
Cloud computing memanfaatkan bandwidth tinggi global modern jaringan telekomunikasi
untuk memungkinkan karyawan menggunakan browser untuk akses jarak jauh perangkat lunak
(perangkat lunak sebagai layanan), perangkat penyimpanan data (penyimpanan sebagai layanan),
perangkat keras (infrastruktur sebagai layanan), dan seluruh lingkungan aplikasi (platform sebagai
layanan). Pengaturan ini disebut sebagai awan "pribadi," "publik," atau "hibrida" tergantung pada
apakah sumber daya yang diakses dari jauh sepenuhnya dimiliki oleh organisasi, sepertiganya pesta,
atau campuran keduanya, masing-masing. Cloud computing berpotensi menghasilkan signifikan
penghematan biaya.

Ringkasan dan Kesimpulan Kasus

Jason Scott selesai meninjau prosedur keamanan sistem informasi Northwest Industri dan
menyiapkan laporan sementara untuk atasannya. Laporan itu dimulai dengan menjelaskan itu
keamanan adalah salah satu dari lima prinsip keandalan sistem. Karena keamanan mutlak tidak
praktis, laporan itu mencatat bahwa tujuan Northwest Industries harus mengadopsi waktu berbasis
model keamanan dan menggunakan kombinasi kontrol detektif dan korektif yang akan
memungkinkan perusahaan untuk mendeteksi dan menanggapi serangan dalam waktu kurang dari
yang dibutuhkan penyusup untuk menerobos kontrol pencegahannya dan berhasil menyerang sistem.
Selain itu, laporan menunjukkan nilai penggelaran kontrol yang berlebihan dan tumpang tindih untuk
memberikan lapisan pertahanan mendalam.