Keamanan Informasi
American Institute Certified Public Accountant (AICPA) dan Canadian Institute of
Chartered Accountant (CICA) mengembangkan Trust Service Framework sebagai
pedoman pengukuran keandalan sistem informasi.
Pengendalian Otorisasi
Otorisasi: Proses pembatasan akses dari pengguna sistem yang sah atas bagian tertentu dari sistem
dan Tindakan yang diijinkan mereka lakukan dalam sistem.
Contoh: Access matrix control
Pengujian Masuk
Pengujian masuk merupakan Tindakan sah yang dilakukan oleh internal audit atau konsultan eksternal untuk menguji
keamanan sistem dgn membobol sistem organisasi.
Pengujian ini dilakukan untuk mengidentifikasi tambahan perlindungan yang harus ditambahkan untuk memperkuat
perlindungan sistem informasi organisasi.
Perubahan Pengendalian dan Perubahan Manajemen
Perubahan pengendalian dan perubahan manajemen mengacu pada proses formal yang digunakan untuk memastikan
modifikasi hardware, software, atau proses tidak mengurnagi keandalan sistem.
Karakteristik perubahan pengendalian dan manajemen yang didesain baik mencakup:
- Dokumentasi semua permintaan perubahan, identifikasi lingkungan perubahan, pemikiran rasional yang mendasari,
tanggal permintaan, dan tindak lanjut permintaan perubahan tsb.
- Dokumentasi persetujuan untuk semua permintaan perubahan oleh level manajemen yg tepat.
- Menguji semua perubahan dalam sistem yang terpisah bukan dalam proses harian rutin yang biasa dilakukan.
- Pengendalian perubahan untuk memastikan semua data ditransfer secara akurat dan lengkap dari sistem lama ke
sistem baru.
- Update semua proses dokumentasi
- Melakukan review untuk tahapan proses khusus, dan dokumentasi semua perubahan darurat yang dilakukan.
- Pengembangan dan dokumentasi rencana cadangan jika perubahan baru menimbulkan permasalahan.
- Pengawasan secara hati-hati dan review hak-hak pengguna selama prose perubahan dilaksanakan untuk memastikan
pemisahan tugas dan tanggung jawab telah dilaksanakan.
Solusi IT
Pengendalian Anti Malware
Malware (seperti virus, worms, dan program-program lain) vadalah
ancaman besar.
Langkah-Langkah pengendalian yang bisa dilakukan:
- Edukasi untuk meningkatkan program-program yang berbahaya
- Install program antimalware pada semuanperalatan yg digunakan
- Manajemen yang terpusat dan update software antimalware
- Review berkala atas ancaman malware baru
- Filter semua data masuk untuk mengantisipasi masuknya malware
- Training karyawan untuk tidak menginstall program yang tidak
diijinkan.
Pengendalian Akses terhadap Jaringan
- Perimeter Defense: Router, Firewall dan Sistem Pencegahan Gangguan.
Border Router merupakan alat yang menghubungkan sistem organisasi dengan internet. Di balik
router terdapat firewall utama, dimana hardware atau software dijalankan untuk tujuan umum yang
mengendalikan komunikasi masuk maupun keluar dibalik firewall dan jaringan lain.
- Pengendalian akses dengan filtering tiap bagian dalam sistem.
Organisasi harus memiliki setidaknya 1 atau lebih border router yang menghubungkan jaringan
internal perusahaan dengan internet. Border router dan firewall ini menggunakan lofika “If-Then”,
atau yang disebut Access Control List untuk memilah-milah data yang akan masuk kedalam jaringan.
Border router akan memeriksa IP address data yang masuk untuk menentukan apakah data aman
diakses.
- Menggunakan strategi “Defense-in-depth” untuk membatasi akses jaringan.
Organisasi menggunakan beberapa filter (lebih dari 1) untuk memastikan efisiensi dan efektifitas
filtering. Filtering disetting di beberapa bagian untuk mengantisipasi jikaada salah satu bagian yang
“bobol”
- Mengamankan akses wireless
Akses wireless sering digunakan oleh organisasi karena simple dan nyaman, membuka peluang
serangan dilakukan sehingga diperlukan perlindungan. Ada beberapa Langkah mengamankan akses
wireless: mengaktifkan fitur keamanan yg ada, otentifikasi semua device yang akan terhubung ke
akses wireless, mensetting penggunaan akses wireless hanya dapat mengakses ke bagian luar dari
system bukan bagian utama, mengurangi sinyal tangkapan wireless untuk jarak tertentu.
Pengendalian Pengetatan Perangkat dan Software
Sebagaimana dengan penggunaan sistem alarm dan penggunaan lemari besi Ketika melakukan
penyimpanan fisik, organisasi meningkatkan keamanan sistem dengan menambahkan tambahan
pengendalian pencegahan pada perimeter jaringan termasuk server, printer, dan peralatan
lainnya (mengacu pada endpoint)
- Konfigurasi endpoint
Melakukan konfigurasi endpoint dengan menyeleksi program yang sering digunakan dan tidak
membahayakan keamanan sistem perusahaan.
- Manajemen account user
Melakukan kendalia software dengan manajemen otritas user. Hanya user yang berdomain
admin yang dapat melakukan install program pada perangkat yang digunakan organisasi.
- Desain software
Melakukan pengendalian dengan pengecekan software. Terjadi beberapa kasus dimana sebuah
program akan menghasilkan data dalam kapasitas, kapasitas besar ini berpotensi disusupi oleh
pembobol untuk menyisipkan “command” untuk membobol sistem.
Enkripsi
Enkripsi merupakan tahap akhir dari pertahanan sistem organisasi untuk mencegah akses yang
tidak sah terhadap sistem informasi organisasi.
Enkripsi merupakan proses teknis yang mengkonversikan informasi menjadi kode rahasia,
sehingga mengaburkan data yang anada kirim, terima, atau simpan.
Keamanan Fisik
Pengendalian Akses
Selain pengendalian terhadap sistem, perlu dilakukan pengendalian terhadap akses
sistem secara fisik seperti:
- Pembatasan pintu masuk ke dalam kantor (one gate system) untuk
mempersempit celah terjadinya akses tak resmi secara fisik
- Pengawasan bangunan kantor dengan CCTV
- Penyimpanan server yang terpisah dengan kegiatan operasional dan hanya bisa
diakses oleh pihak-pihak yg berkepentingan.
- Pengendalian keamanan fisik laptop, telp seluler, dan perngkat lainnya yang
terkoneksi langsung dengan sistem.
Deteksi Serangan
Pegendalian pencegahan tidak mutlak dapat mencegah terjadinya serangan.
Terdapat 3 jenis pengendalian deteksi :
1. Log Analysis
Log analysis merupakan proses pemeriksaan log (catatan dlm sistem) untuk
mengidentifikasi bukti serangan yang mungkin terjadi. Dari menganalisis rekaman
kegagalan log in ke dalam sistem, dapat ditemukan kemungkinan adannya tindakan
pembobolan ke dalam sistem.
2. Sistem Deteksi Gangguan (Intrusion Detection System/IDS)
IDS terdiri dari seperangkat sensor dan unit pengawasan terpusat yang menciptakan
log lalu lintas jaringan dan menganalisis percobaan yang akan atau sedang terjadi.
3. Pengawasan berkesinambungan
Meskipun sistem telah dirancang dengan keamanan yg baik, pengawasan
berkesinambungan sangat penting. Pengawasan yg efektif membutuhkan
pertimbangan dan kemampuan yang fleksibel sesuai dengan permasalahan yang
dihadapi
Respons terhadap Serangan
Walaupun pencegahan dan pendeteksian secara tepat waktu terjadinya serangan
penting, Organisasi harus membuat prosedur untuk melakukan Tindakan koreksi jika
serangan terjadi. Efektifitas Tindakan koreksi bergantung dari seberapa luas dan
tepat perencanaan dan persiapannya. Tindakan koreksi sangat bergantung pada
pertimbangan individu, tidak hanya pada sistem. Oleh karena itu penunjukan
individu dengan kompetensi dan kualifikasi yg sesuai penting untuk merepons dan
melakukan koreksi apabila serangan terjadi.
Dua pengendalian yang dilakukan terkait dengan respons terhadap serangan:
1. Computer Incident Response Team (CIRT)
CIRT sebaiknya diisi oleh orang yang tidak hanya memiliki keahlian teknis tetapi juga
merupakan senior manajemen yang mengenai proses operasional agar dapat mengambil
kebijakan diskresi Ketika adanya serangan untuk segera mengambalikan keamanan
sistem.
Tindakan yang dilakukan CIRT:pengakuan adanya masalah, menahan masalah,
perbaikan, menindaklanjuti permasalahan dan penyebabnya
2. Chief Information Security Officer (CISO)
CISO sebaiknya diisi oleh manajemen level senior dan terbiasa menghadapi
permasalahan dan mengambil kebijakan perbaikan. CISO harus memahami lingkungan
teknologi perusahaan, dan bekerjasama dnegan Chief Information Officer untuk
mendesain, mengimplementasikan, dan menggalakkan kebijakan dan prosedur
keamanan sistem perusahaan.