Chapter 8

Controls for Information Security (Kontrol untuk Keamanan Informasi

Baik dalam hal ini saya akan membahas tentang controls dor information security. Dari yang
dijelaskan oleh bu nish diBab 7, tentang COBIT 5 yang relevan yang berhubungan dengan setiap
topik yang berkontribusi pada keandalan sistem juga penting untuk mengelola investasi organisasi
dalam TI secara efektif.
Kerangka Layanan Trust dimana mengatur kontrol terkait TI menjadi lima prinsip yang secara
bersama-sama berkontribusi pada keandalan sistem:
1. Keamanan – yaitu, akses (baik fisik dan logis) ke sistem dan datanya dikendalikan dan dibatasi
untuk pengguna yang sah. Contoh nya kayak marcy mrk punya program dan itu hanya bisa
diakses 1 sampai 2 org aja. Nah jeleknya apabila org itu keluar akses untuk masuk ke program
nya akan susah untuk dptin data2 nya.
2. Kerahasiaan - informasi organisasi yang sensitif (mis., Rencana pemasaran, rahasia dagang)
dilindungi dari pengungkapan yang tidak sah. Contohnya misal jam rolex menjual jam nya itu
dengan cara menawarkan secara langsung kepada konsumen yang sudah menjadi pelanggan
tetap mrk.
3. Privasi - informasi pribadi tentang pelanggan, karyawan, pemasok, atau mitra bisnis
dikumpulkan, digunakan, diungkapkan, dan dipelihara hanya sesuai dengan kebijakan internal
dan persyaratan peraturan eksternal dan dilindungi dari pengungkapan yang tidak sah.
4. Integritas pemrosesan - data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan
otorisasi yang tepat. Contohnya reimbursement mis: bagian adm dan umu diperusahaan A
membeli perlengkapan, jadi untuk penggantian biaya atas pembelian tersebut bagian adm dan
umum harus mengajukan permohonan reimbursement kepada bagian keuangan. Lalu bagian
keuangan akan melakukan vrerifikasi berkas sprt bon, kuitansi dll dan data transaksi akan
diinput dalam satu sistem scr akurat, stlh itu bendara akan memberikan uang tersebut kepada
bagian adm dan umum.
5. Ketersediaan - sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan
kontrak.
PENJELASAN GAMBAR KE 1
Agar suatu sistem diperusahaan dpt diandalkan maka dibutuhkanlah pondasi2 seperti ada 4.
Supaya kendalan sistem tersebut dapat berdiri atau berjalan dengan baik maka, dibutuhkan jg
keamanan yang baik.
- confidentiality atau kerahasian yang setara dgn privasi dimana dalam hal ini dirancang untuk
mencegah informasi sensitif dan memastikan bahwa orang yang mempunyai akses adalah orang
yang tepat.
- Sedangkan processing integrity dan availability dimana informasi dapat selalu tersedia ketika
dibutuhkan oleh orang-orang yang memiliki akses atau wewenang. Hingga ketika user
membutuhkan informasi tersebut, informasi dapat diakses dan digunakan dengan cepat.
SECURITY LIFE CYCLE MENJELASKAN GAMBAR KE 2
Langkah pertama dalam siklus kehidupan keamanan adalah menilai ancaman terkait keamanan
informasi yang dihadapi organisasi dan memilih respons yang sesuai. Dimana Para profesional
keamanan informasi memiliki keahlian untuk mengidentifikasi potensi ancaman dan memperkirakan
kemungkinan dan dampaknya. Namun, manajemen senior harus memilih yang mana dari empat
respons risiko yang tadi sebelumnya diuraikan oleh bu nish tentang (kurangi, terima, bagikan, atau
hindari) yang tepat untuk diadopsi sehingga sumber daya yang dimasukkan dalam keamanan
informasi mencerminkan selera risiko organisasi.
Langkah 2 melibatkan pengembangan kebijakan keamanan informasi dan
mengkomunikasikannya kepada semua karyawan. Manajemen senior harus berpartisipasi dalam
mengembangkan kebijakan karena mereka harus memutuskan sanksi yang ingin mereka terapkan
untuk ketidak patuhan. Selain itu, dukungan aktif dan keterlibatan manajemen puncak diperlukan
untuk memastikan bahwa pelatihan dan komunikasi keamanan informasi ditanggapi dengan serius.
Agar efektif, komunikasi ini harus melibatkan lebih dari sekadar menyerahkan dokumen tertulis
kepada orang atau mengirimi mereka pesan email dan meminta mereka menandatangani
pengakuan bahwa mereka menerima dan membaca pemberitahuan. Sebagai gantinya, karyawan
harus menerima pengingat berkala dan berkala tentang kebijakan keamanan dan pelatihan tentang
cara mematuhinya.
Langkah 3 dari siklus hidup keamanan melibatkan akuisisi atau pembangunan alat teknologi
tertentu. Manajemen senior harus mengotorisasi menginvestasikan sumber daya yang diperlukan
untuk mengurangi ancaman yang diidentifikasi dan mencapai tingkat keamanan yang diinginkan.
Akhirnya,
langkah 4 dalam siklus kehidupan keamanan memerlukan pemantauan kinerja secara teratur
untuk mengevaluasi efektivitas program keamanan informasi organisasi. Kemajuan dalam IT
menciptakan ancaman baru dan mengubah risiko yang terkait dengan ancaman lama. Oleh karena
itu, manajemen harus secara berkala menilai kembali respons risiko organisasi dan, jika perlu,
membuat perubahan pada kebijakan keamanan informasi dan berinvestasi dalam solusi baru untuk
memastikan bahwa upaya keamanan informasi organisasi mendukung strategi bisnisnya dengan cara
yang konsisten dengan selera risiko manajemen.
THE TIME-BASED MODEL OF INFORMATION SECURITY (MODEL KEAMANAN INFORMASI BERBASIS
WAKTU)
Tujuan adalah untuk menggunakan kombinasi kontrol preventif, detektif, dan korektif untuk
melindungi aset informasi cukup lama bagi organisasi untuk mendeteksi bahwa serangan sedang
terjadi dan untuk mengambil langkah tepat waktu untuk menggagalkan serangan sebelum
informasi apa pun hilang atau dikompromikan. Model keamanan informasi berbasis waktu dapat
dinyatakan dalam rumus berikut:
P> D + R, dimana
P = waktu yang diperlukan penyerang untuk menerobos berbagai kontrol yang melindungi aset
informasi organisasi
D = waktu yang dibutuhkan organisasi untuk mendeteksi bahwa serangan sedang berlangsung
C = waktu yang diperlukan untuk merespons dan menghentikan serangan
Jika persamaan terpenuhi (mis., Jika P> D + R benar), maka informasi prosedur sea cunty
organisasi efektif. Kalau tidak, keamanan tidak efektif.
 Defense-in-depth mengakui bahwa meskipun tidak ada nya kontrol yang dapat 100% efektif,
penggunaan kontrol yang tumpang tindih, komplementer, dan redundan meningkatkan efektivitas
secara keseluruhan karena jika satu kontrol gagal atau dielakkan, yang lain mungkin berhasil.
Sebagai contoh, manajemen mungkin mempertimbangkan investasi $ 100.000 tambahan untuk
meningkatkan keamanan. Salah satu opsi mungkin pembelian firewall baru yang akan meningkatkan
nilai P dalam 10 menit. Pilihan kedua mungkin untuk meningkatkan sistem deteksi intrusi organisasi
dengan cara yang akan menurunkan nilai D dalam 12 menit. Opsi ketiga mungkin berinvestasi dalam
metode baru untuk merespons insiden keamanan informasi sehingga mengurangi tambang R dalam
30 menit. Dalam contoh ini, pilihan yang paling hemat biaya adalah berinvestasi dalam kontrol
korektif tambahan yang memungkinkan organisasi untuk merespons serangan lebih cepat.
How to Mitigate Risk of Attack (cara mengurangi risiki serangan)
Baca dislide aja.
Preventive: People terdapat 2 bagian yaitu:
1. buaya kemanan
dimana budaya dan etika organisasi sebagai salah satu faktor penting bagi keamanan informasi
yang efektif. Untuk menciptakan budaya sadar-keamanan di mana karyawan mematuhi kebijakan
organisasi, manajemen puncak tidak hanya harus mengomunikasikan kebijakan keamanan
organisasi, tetapi juga harus memimpin dengan memberi contoh. Karyawan lebih cenderung
mematuhi kebijakan keamanan informasi ketika mereka melihat manajer mereka melakukannya.
Sebaliknya, jika karyawan mengamati manajer yang melanggar kebijakan keamanan informasi,
misalnya dengan menuliskan kata sandi dan menempelkannya ke monitor, mereka cenderung
meniru perilaku itu.
2. Training
Dalam COBIT 5 mengidentifikasi keterampilan dan kompetensi karyawan sebagai pendukung
penting lainnya untuk keamanan informasi yang efektif. Karyawan harus memahami cara
mengikuti kebijakan keamanan organisasi. Dengan demikian, pelatihan adalah kontrol preventif
yang kritis.
Maka dari itu Semua karyawan harus diajari mengapa langkah-langkah keamanan penting untuk
kelangsungan hidup jangka panjang organisasi. Mereka juga perlu dilatih untuk mengikuti praktik
komputasi yang aman, seperti tidak pernah membuka lampiran email yang tidak diminta, hanya
menggunakan perangkat lunak yang disetujui, tidak berbagi kata sandi, dan mengambil langkah-
langkah untuk melindungi laptop secara fisik. Pelatihan sangat diperlukan untuk mendidik
karyawan tentang serangan rekayasa sosial.

Preventive: Process (pencegahan: proses)

AUTHENTICATION CONTROLS. Otentikasi adalah proses memverifikasi identitas orang atau

perangkat yang mencoba mengakses sistem. Tujuannya adalah untuk memastikan bahwa hanya
pengguna yang sah yang dapat mengakses sistem. Tiga jenis kredensial dapat digunakan untuk
memverifikasi identitas seseorang:
1. Sesuatu yang diketahui orang tersebut, seperti kata sandi atau nomor identifikasi pribadi
(PIN)
2. Sesuatu yang dimiliki orang tersebut, seperti kartu pintar atau lencana ID
3. Beberapa karakteristik fisik atau perilaku (disebut sebagai pengidentifikasi biometrik) dari
orang tersebut, seperti sidik jari atau pola pengetikan.
Secara individual, setiap metode otentikasi memiliki keterbatasan. Kata sandi bisa ditebak. hilang,
ditulis, atau diberikan.