Pengendalian atas

Keamanan Informasi
 American Institute Certified Public Accountant (AICPA) dan Canadian Institute of
Chartered Accountant (CICA) mengembangkan Trust Service Framework sebagai
pedoman pengukuran keandalan sistem informasi.

 Lima prinsip yang berhubungan dengan keandalan sistem informasi:

1. Keamanan – akses (baik secara fisik atau logic) atas sistem dan data dikendalikan
dan dibatasi untuk user yang diijinkan.
2. Rahasia – informasi organisasi yg sensitive dilindungi dari pengungkapan yang tanpa
ijin.
3. Privasi – informasi pribadi mengenai pelanggan, karyawan, supplier, atau partner
bisnis yang dikumpulkan, digunakan, diungkapkan, dan dikelola selaras dengan
kebijakan internal, dan peraturan regulasi dilindungi dari pengungkapan tanpa ijin.
4. Integritas pemrosesan – data diproses secara akurat, lengkap, dalam waktu yang
tepat dan dengan otorisasi yg jelas.
5. Ketersediaan – Sistem dan informasinya tersedia sesuai dengan operasional dan
ketentuan.
Dua Konsep Keamanan Informasi yg
Fundamental
1. Keamanan data bukan hanya isu teknologi tetapi isu manajemen
Walaupun keamanan informasi membutuhkan sarana pengembangan teknologi seperti
firewall, antivirus, dan enkripsi, keterlibatan manajemen dibutuhkan untuk mendukung
semua fase siklus hidup keamanan sistem.
2. Model keamanan informasi berbasis waktu.
Tujuan utama model ini untuk menjalankan kombinasi pengendalian
pencegahan, deteksi, dan perbaikan untuk melindungi informasi sepanjang
organisasi mendeteksi kemungkinan terjadinya serangan, dan menggagalkan
serangan yang berakhibat hilangnya informasi.
P>D+R
P= Waktu yang dibutuhkan penyerang untuk membobol pengendalian sistem
organisasi
D= Waktu yang dibutuhkan organisasi untuk mendeteksi serangan yg terjadi
R= Waktu yang dibutuhkan untuk merespons dan menghentikan serangan.
 Memahami Target Penyerangan
 Untuk meminimalkan resiko pembobolan sistem, perlu
dipahami Langkah dasar yang digunakan oleh pembobol
dalam melakukan aktivitas pembobolan:
1. Melakukan pengintaian
2. Percobaan rekayasa sosial
3. Mengamati dan memetakan target
4. Melakukan penyelidikan
5. Eksekusi serangan
6. Menghilangkan jejak
Pengendalian Preventive, Detective, dan
Corrective berdasarkan Model Pengamanan
Berbasis Waktu
People
 Menciptakan Budaya Organisasi “Sadar Pentingnya Keamanan”
Budaya dan etika organisasi merupakan factor kritis yang menentukan
keefektifan pengendalian keamanan informasi organisasi. Top manajemen
mengkomunikasikan kebijakan keamanan informasi organisasi dengan
memberikan contoh kepada bawahannya.
 Pelatihan
Komptensi dan kemampuan karyawan merupakan factor lain yg menentukan
efektifitas pengendalian keamanan informasi. Pelatihan merupakan Tindakan
pencegahan yg penting.
Karyawan harus diberikan pelatihan praktik penggunaan sistem yg aman seperti:
tidak membuka email dari sumber tidak jelas, menggunakan software yg
diijinkan, merahasiakan password, dan melindungi secara fisik laptop atau
computer pribadi.
 Process
 Pengendalian Otentifikasi
Otentifikasi: proses verifikasi identitas personel atau peralatan yang digunakan mengakses sistem
dengan tujuan memastikan hanya orang yang diijinkan yg dapat mengakses sistem
3 Jenis bentuk verifikasi identitas orang yang mengakses sistem:
1. Penggunaan Password/PIN
2. Penggunaan smart card/ ID badges
3. Karakteristik fisik atau perilaku seperti fingerprint, typing pattern,

 Pengendalian Otorisasi
Otorisasi: Proses pembatasan akses dari pengguna sistem yang sah atas bagian tertentu dari sistem
dan Tindakan yang diijinkan mereka lakukan dalam sistem.
Contoh: Access matrix control
 Pengujian Masuk
Pengujian masuk merupakan Tindakan sah yang dilakukan oleh internal audit atau konsultan eksternal untuk menguji
keamanan sistem dgn membobol sistem organisasi.
Pengujian ini dilakukan untuk mengidentifikasi tambahan perlindungan yang harus ditambahkan untuk memperkuat
perlindungan sistem informasi organisasi.
 Perubahan Pengendalian dan Perubahan Manajemen
Perubahan pengendalian dan perubahan manajemen mengacu pada proses formal yang digunakan untuk memastikan
modifikasi hardware, software, atau proses tidak mengurnagi keandalan sistem.
Karakteristik perubahan pengendalian dan manajemen yang didesain baik mencakup:
- Dokumentasi semua permintaan perubahan, identifikasi lingkungan perubahan, pemikiran rasional yang mendasari,
tanggal permintaan, dan tindak lanjut permintaan perubahan tsb.
- Dokumentasi persetujuan untuk semua permintaan perubahan oleh level manajemen yg tepat.
- Menguji semua perubahan dalam sistem yang terpisah bukan dalam proses harian rutin yang biasa dilakukan.
- Pengendalian perubahan untuk memastikan semua data ditransfer secara akurat dan lengkap dari sistem lama ke
sistem baru.
- Update semua proses dokumentasi
- Melakukan review untuk tahapan proses khusus, dan dokumentasi semua perubahan darurat yang dilakukan.
- Pengembangan dan dokumentasi rencana cadangan jika perubahan baru menimbulkan permasalahan.
- Pengawasan secara hati-hati dan review hak-hak pengguna selama prose perubahan dilaksanakan untuk memastikan
pemisahan tugas dan tanggung jawab telah dilaksanakan.
Solusi IT
 Pengendalian Anti Malware
Malware (seperti virus, worms, dan program-program lain) vadalah
ancaman besar.
Langkah-Langkah pengendalian yang bisa dilakukan:
- Edukasi untuk meningkatkan program-program yang berbahaya
- Install program antimalware pada semuanperalatan yg digunakan
- Manajemen yang terpusat dan update software antimalware
- Review berkala atas ancaman malware baru
- Filter semua data masuk untuk mengantisipasi masuknya malware
- Training karyawan untuk tidak menginstall program yang tidak
diijinkan.
 Pengendalian Akses terhadap Jaringan
- Perimeter Defense: Router, Firewall dan Sistem Pencegahan Gangguan.
Border Router merupakan alat yang menghubungkan sistem organisasi dengan internet. Di balik
router terdapat firewall utama, dimana hardware atau software dijalankan untuk tujuan umum yang
mengendalikan komunikasi masuk maupun keluar dibalik firewall dan jaringan lain.
- Pengendalian akses dengan filtering tiap bagian dalam sistem.
Organisasi harus memiliki setidaknya 1 atau lebih border router yang menghubungkan jaringan
internal perusahaan dengan internet. Border router dan firewall ini menggunakan lofika “If-Then”,
atau yang disebut Access Control List untuk memilah-milah data yang akan masuk kedalam jaringan.
Border router akan memeriksa IP address data yang masuk untuk menentukan apakah data aman
diakses.
- Menggunakan strategi “Defense-in-depth” untuk membatasi akses jaringan.
Organisasi menggunakan beberapa filter (lebih dari 1) untuk memastikan efisiensi dan efektifitas
filtering. Filtering disetting di beberapa bagian untuk mengantisipasi jikaada salah satu bagian yang
“bobol”
- Mengamankan akses wireless
Akses wireless sering digunakan oleh organisasi karena simple dan nyaman, membuka peluang
serangan dilakukan sehingga diperlukan perlindungan. Ada beberapa Langkah mengamankan akses
wireless: mengaktifkan fitur keamanan yg ada, otentifikasi semua device yang akan terhubung ke
akses wireless, mensetting penggunaan akses wireless hanya dapat mengakses ke bagian luar dari
system bukan bagian utama, mengurangi sinyal tangkapan wireless untuk jarak tertentu.
 Pengendalian Pengetatan Perangkat dan Software
Sebagaimana dengan penggunaan sistem alarm dan penggunaan lemari besi Ketika melakukan
penyimpanan fisik, organisasi meningkatkan keamanan sistem dengan menambahkan tambahan
pengendalian pencegahan pada perimeter jaringan termasuk server, printer, dan peralatan
lainnya (mengacu pada endpoint)
- Konfigurasi endpoint
Melakukan konfigurasi endpoint dengan menyeleksi program yang sering digunakan dan tidak
membahayakan keamanan sistem perusahaan.
- Manajemen account user
Melakukan kendalia software dengan manajemen otritas user. Hanya user yang berdomain
admin yang dapat melakukan install program pada perangkat yang digunakan organisasi.
- Desain software
Melakukan pengendalian dengan pengecekan software. Terjadi beberapa kasus dimana sebuah
program akan menghasilkan data dalam kapasitas, kapasitas besar ini berpotensi disusupi oleh
pembobol untuk menyisipkan “command” untuk membobol sistem.
 Enkripsi
Enkripsi merupakan tahap akhir dari pertahanan sistem organisasi untuk mencegah akses yang
tidak sah terhadap sistem informasi organisasi.
Enkripsi merupakan proses teknis yang mengkonversikan informasi menjadi kode rahasia,
sehingga mengaburkan data yang anada kirim, terima, atau simpan.
 Keamanan Fisik
 Pengendalian Akses
Selain pengendalian terhadap sistem, perlu dilakukan pengendalian terhadap akses
sistem secara fisik seperti:
- Pembatasan pintu masuk ke dalam kantor (one gate system) untuk
mempersempit celah terjadinya akses tak resmi secara fisik
- Pengawasan bangunan kantor dengan CCTV
- Penyimpanan server yang terpisah dengan kegiatan operasional dan hanya bisa
diakses oleh pihak-pihak yg berkepentingan.
- Pengendalian keamanan fisik laptop, telp seluler, dan perngkat lainnya yang
terkoneksi langsung dengan sistem.
Deteksi Serangan
 Pegendalian pencegahan tidak mutlak dapat mencegah terjadinya serangan.
 Terdapat 3 jenis pengendalian deteksi :
1. Log Analysis
Log analysis merupakan proses pemeriksaan log (catatan dlm sistem) untuk
mengidentifikasi bukti serangan yang mungkin terjadi. Dari menganalisis rekaman
kegagalan log in ke dalam sistem, dapat ditemukan kemungkinan adannya tindakan
pembobolan ke dalam sistem.
2. Sistem Deteksi Gangguan (Intrusion Detection System/IDS)
IDS terdiri dari seperangkat sensor dan unit pengawasan terpusat yang menciptakan
log lalu lintas jaringan dan menganalisis percobaan yang akan atau sedang terjadi.
3. Pengawasan berkesinambungan
Meskipun sistem telah dirancang dengan keamanan yg baik, pengawasan
berkesinambungan sangat penting. Pengawasan yg efektif membutuhkan
pertimbangan dan kemampuan yang fleksibel sesuai dengan permasalahan yang
dihadapi
Respons terhadap Serangan
 Walaupun pencegahan dan pendeteksian secara tepat waktu terjadinya serangan
penting, Organisasi harus membuat prosedur untuk melakukan Tindakan koreksi jika
serangan terjadi. Efektifitas Tindakan koreksi bergantung dari seberapa luas dan
tepat perencanaan dan persiapannya. Tindakan koreksi sangat bergantung pada
pertimbangan individu, tidak hanya pada sistem. Oleh karena itu penunjukan
individu dengan kompetensi dan kualifikasi yg sesuai penting untuk merepons dan
melakukan koreksi apabila serangan terjadi.
Dua pengendalian yang dilakukan terkait dengan respons terhadap serangan:
1. Computer Incident Response Team (CIRT)
CIRT sebaiknya diisi oleh orang yang tidak hanya memiliki keahlian teknis tetapi juga
merupakan senior manajemen yang mengenai proses operasional agar dapat mengambil
kebijakan diskresi Ketika adanya serangan untuk segera mengambalikan keamanan
sistem.
Tindakan yang dilakukan CIRT:pengakuan adanya masalah, menahan masalah,
perbaikan, menindaklanjuti permasalahan dan penyebabnya
2. Chief Information Security Officer (CISO)
CISO sebaiknya diisi oleh manajemen level senior dan terbiasa menghadapi
permasalahan dan mengambil kebijakan perbaikan. CISO harus memahami lingkungan
teknologi perusahaan, dan bekerjasama dnegan Chief Information Officer untuk
mendesain, mengimplementasikan, dan menggalakkan kebijakan dan prosedur
keamanan sistem perusahaan.