Disusun:
Kelompok 1:
Universitas Jember
April, 2022
Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem:
1. Keamanan (security) - akses (baik fisik maupun logis) terhadap sistem dan data di dalamnnya
dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiaity) - informasi keorganisasian yang sensitif (seperti rencana
pemasaran, rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy) - informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja
hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap
kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan
yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) - data diproses secara akurat, lengkap, tepat
waktu, dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (avaibility) - sistem dan informasinya tersedia untuk memenuhi kewajiban
operasional dan kontraktual.
Beikut ini hubungan antara lima prinsip trust services untuk keandalan sistem:
Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu
perusahaan adalah:
1. melakukan pengintaian.
2. mengupayakan rekayasa sosial (attemp social engineering). Rekayasa sosial (social engineering):
menggunakan tipuan untuk mendapatkan akses tanpa izin terhadap sumber daya informasi.
3. memindai dan memetakan target (scan and map the target).
4. penelitian (research).
5. mengeksekusi serangan (execute the attack).
6. menutupi jejak (cover tracks).
PENGENDALIAN PREVENTIF
Manajemen harus menciptakan sebuah budaya "sadar keamanan" dan pegawai harus dilatih
untuk mengikuti kebijakan-kebijakan keamanan serta mempraktikkan perilaku komputasi yang aman,
COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu dari
fasilitator kritis untuk keamanan informasi yang efektif. Untuk menciptakan sebuah budaya sadar
keamanan agar para pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak hanya
harus mengomunikasikan kebijakan keamanan organisasi, tetapi juga harus memandu dengan
mencontohkannya.
ORANG-ORANG: PELATIHAN
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis
lainnya untuk keamanan informasi yang efektif. Para pegawai harus memahami cara untuk mengikuti
kebijakan keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang
kritis.
Penting untuk memahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang
pegawai mungkin tidak puas karena berbagai alasan (contoh: tidak dipromosikan) dan mencoba balas
dendam, atas mungkin melakukan korupsi karena kesulitan keuangan, atau mungkin juga memaksa
untuk diberi informasi sensitif. Oleh karena itu, organisasi perlu menerapkan satu set pengendalian yang
dirancang untuk melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan
oleh pegawai.
PENGENDALIAN AUNTENTIKASI
PENGENDALIAN OTORISASI
Otorisasi (authorization): proses memperketat akses pengguna terotorisasi atas bagian spesifik
sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Matriks pengendalian akses (access control matrix): sebuah tabel yang digunakan untuk
mengimplementasikan pengendalian otorisasi. Berikut matriks pengendalian akses:
Uji kompabilitas (compability test): mencocokkan tanda bukti autentikasi pengguna terhadap
matriks pengendalian akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk
mengakses sumber daya dan melakukan tindakan yang diminta.
Salah satu dari bagian COBIT 5 DSS05.01 mendaftar perlindungan malware sebagai salah satu dari
kunci keamanan yang efektif, merekomendasikan secara spesifik:
Sebagian besar organisasi menyediakan para pegawai, pelanggan, dan pemasok dengan akses
jarak jauh terhadap sistem informasi mereka. Biasanya, akses ini dilakukan melalui internet, tetapi
beberapa organisasi masih mengelola jaringan hak milik mereka sendiri atau menyediakan akses dial-up
langsung melalui modem.
Border router: sebuah perangkat yang menghubungkan sistem informasi organisasi ke internet.
Firewall: sebuah perangkat keras yang bertujuan khusus atau perangkat lunak yang bekerja
pada sebuah komputer bertujuan umum yang mengendalikan baik komunikasi masuk maupun
keluar antara sistem di balik firewall dan jaringan lainnya.
Demilitarized zone (DMZ): sebuah jaringan terpisah yang berada di luar sistem informasi internal
organisasi serta mengizinkan akses yang dikendalikan dari internet.
BAGAIMANA ARUS INFORMASI PADA JARINGAN: TINJAUAN MENYELURUH TCP/IP DAN ETHERNET
Router: perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber dan tujuan
pada header paket IP untuk memutuskan selanjutnya akan mengirim (rute) paket ke mana.
Access Control List (ACL): seperangkat aturan IF-THEN yang digunakan untuk menentukan
tindakan untuk paket yang tiba.
Penyaringan paket (packet filtering): sebuah proses yang menggunakan berbagai bagian pada
header IP dan TCP paket untuk memutuskan tindakan yang dilakukan pada paket.
Deep packer inspection: sebuah proses yang memeriksa data fisik sebuah paket TCP untuk
mengendalikan lalu lintas, bukan hanya melihat informasi pada header IP dan TCP.
Sistem pencegah gangguan (instrusion prevention- IPS): perangkat lunak atau perangkat keras
yang mengawasi pola-pola dalam arus lalu-lintas untuk mengidentifikasi dan mengeblok
serangan secara otomatis.
Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan
Salah satu dimensi lain dari konsep defense-in-depth: penggunaan multi-firewall internet untuk
membuat segmentasi departemen berbeda di dalam organisasi.
Remote Authentication Dial-in User Servise (RADIUS): sebuah metode standar untuk
memverifikasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in.
War dialing: mencari sebuah modem menganggur dengan memprogram sebuah kompuer untuk
memanggil ribuan lini telepon.
Endpoint: istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan
organisasi.
KONFIGURASI ENDPOINT
Kerentanan (vulnerabilities): cacat pada program yang dapat dimanfaatkan baik untuk merusak
sistem maupun mengambil kendalinya.
Pemindai kerentanan (vulnerabilities scanners): alat otomatis yang didesain untuk
mengidentifikasi apakah sebuah sistem bawaan memiliki program yang tidak digunakan dan
tidak perlu serta menunjukkan ancaman keamanan potensial.
Pengukuhan (hardening): proses memodifikasi konfigurasi dasar endpoint untuk mengeliminasi
pengaturan dan layanan yang tidak perlu.
Praktik manajemen COBIT 5 DDS05.04 menekankan kebutuhan untuk secara hati-hati mengelola
seluruh akun pengguna, terutama akun-akun yang memiliki hak terbatas (administratif) pada komputer.
DESAIN PERANGKAT LUNAK
Limpahan buffer, injeksi SQL, dan cross-site scripting adalah contoh umum dari serangan
terhadap perangkat lunak yang dijakankan dalam situs.
Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin
terhadap informasi sensitif.
Sudah menjadi hal mendasar untuk mengendalikan akses fisik terhadap sumber daya informasi
karena seorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses fisik langsung
tanpa pengawasan untuk menembus pengendalian keamanan informasi yang ada.
PENGENDALIAN DETEKTIF
ANALISIS LOG
Analisis Log: proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.
SISTEM DETEKSI GANGGUAN
Intrusion detection system (IDS): sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas
jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebgai tanda
atas gangguan yang diupayakan atau berhasil dilakukan.
PENGUJIAN PENETRASI
Uji penetrasi (penetration test): upaya terotorisasi untuk menerobos ke dalam sistem informasi
organisasi.
PENGAWASAN BERKELANJUTAN
PENGENDALIAN KOREKTIF
Tim perespons insiden komputer (computer incident response team- CIRT): sebuah tim yang
bertanggung jawab untuk mengatasi insiden keamanan utama. Empat tahapan dalam CIRT:
CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko
dilakukan secara teratur serta audit keamanan dilakukan secara periodik.
MANAJEMEN PATCH
Exploit: sebuah program yang didesain untuk memanfaatkan dari kerentanan yang diketahui.
Patch: kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan
tertentu.
Manajemen patch (patch management): proses untuk secara teratur menerapkan patch dan
memperbarui perangkat lunak.
Virtualisasi (virtualization): menjalankan berbagai sistem secara bersamaan pada satu komputer
fisik.
Komputasi Cloud (cloud computing): menggunakan sebuah browser untuk mengakses perangkat
lunak, penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.