Pertemuan 5- Chapter 11

1. Sebutkan dan jelaskan The Trust Services Framework organizes IT-related controls.

The Trust Services Framework organizes IT-related controls

1. Keamanan—akses (baik fisik maupun logis) ke sistem dan datanya dikendalikan dan
dibatasi untuk pengguna yang sah.

2. Kerahasiaan—informasi organisasi yang sensitif (misalnya, rencana pemasaran, rahasia

dagang) dilindungi dari pengungkapan yang tidak sah.

3. Privasi—informasi pribadi tentang pelanggan, karyawan, pemasok, atau mitra bisnis

dikumpulkan, digunakan, diungkapkan, dan dipelihara hanya sesuai dengan kebijakan
internal dan persyaratan peraturan eksternal dan dilindungi dari pengungkapan yang tidak
sah.

4. Integritas Pemrosesan—data diproses secara akurat, lengkap, tepat waktu, dan hanya
dengan otorisasi yang tepat.

5. Ketersediaan—sistem dan informasinya tersedia untuk memenuhi kewajiban operasional

dan kontrak.

2. Jelaskan Figure 11.1 Relationships Among the Five Trust Services Principles for Systems
Reliability

Gambar 11-1, keamanan informasi adalah dasar dari keandalan sistem dan diperlukan untuk
mencapai masing-masing dari empat prinsip lainnya. Prosedur keamanan informasi membatasi
akses sistem hanya untuk pengguna yang berwenang, sehingga melindungi kerahasiaan data
organisasi yang sensitif dan privasi informasi pribadi yang dikumpulkan dari pelanggan. Prosedur
keamanan informasi melindungi integritas informasi dengan mencegah pengiriman transaksi
yang tidak sah atau fiktif dan mencegah perubahan yang tidak sah pada data atau program yang
disimpan. Terakhir, prosedur keamanan informasi memberikan perlindungan terhadap berbagai
serangan, termasuk virus dan worm, sehingga memastikan bahwa sistem tersedia saat
dibutuhkan. Bab ini berfokus pada keamanan informasi.

3. Sebutkan dan jelaskan Three Fundamental Information Security Concept

1.
A. SECURITY IS A MANAGEMENT ISSUE, NOT JUST A TECHNOLOGY ISSUE

Meskipun keamanan informasi yang efektif memerlukan penyebaran alat teknologi seperti
firewall, antivirus, dan enkripsi, keterlibatan dan dukungan manajemen senior di seluruh
fase siklus hidup keamanan (lihat Gambar 11-2) sangat penting untuk keberhasilan. Langkah
pertama dalam siklus hidup keamanan adalah menilai ancaman terkait keamanan informasi
yang dihadapi organisasi dan memilih respons yang sesuai. Profesional keamanan informasi
memiliki keahlian untuk mengidentifikasi potensi ancaman dan memperkirakan
kemungkinan dan dampaknya. Langkah 2 melibatkan pengembangan kebijakan keamanan
informasi dan mengkomunikasikannya kepada semua karyawan. Langkah 3 dari siklus hidup
keamanan melibatkan akuisisi atau pembangunan alat teknologi tertentu. Akhirnya, langkah
4 dalam siklus hidup keamanan memerlukan pemantauan kinerja secara teratur untuk
 mengevaluasi efektivitas program keamanan informasi organisasi. Kemajuan TI menciptakan
ancaman baru dan mengubah risiko yang terkait dengan ancaman lama.

B. PEOPLE: THE CRITICAL FACTOR

Orang bisa menjadi "mata rantai terlemah" dalam keamanan atau aset penting. Untuk
menjadikan karyawan bagian positif dari upaya keamanan organisasi, manajemen harus
menciptakan budaya "sadar keamanan" dan memberikan pelatihan kesadaran keamanan
berkelanjutan. Keterampilan dan kompetensi karyawan adalah faktor penting lainnya untuk
keamanan informasi yang efektif. Karyawan harus memahami cara mengikuti kebijakan
keamanan organisasi.

C. THE TIME-BASED MODEL OF INFORMATION SECURITY

Tujuan dari model keamanan informasi berbasis waktu adalah untuk menggunakan
kombinasi kontrol preventif, detektif, dan korektif untuk melindungi aset informasi cukup
lama bagi organisasi untuk mendeteksi bahwa serangan sedang terjadi dan untuk
mengambil langkah tepat waktu untuk menggagalkan serangan sebelum informasi apa pun
hilang atau dikompromikan. Model keamanan berbasis waktu menyediakan sarana bagi
manajemen untuk mengidentifikasi pendekatan yang paling hemat biaya untuk
meningkatkan keamanan dengan membandingkan efek dari investasi tambahan dalam
pengendalian preventif, detektif, atau korektif.

1. Physical Access Control

Sangat penting untuk mengontrol akses fisik ke sumber daya informasi. Penyerang yang
terampil hanya membutuhkan beberapa menit akses fisik langsung tanpa pengawasan untuk
melewati kontrol keamanan informasi yang ada. Misalnya, penyerang dengan akses fisik
langsung tanpa pengawasan dapat menginstal perangkat logging keystroke yang menangkap
kredensial otentikasi pengguna, dengan demikian memungkinkan penyerang untu kemudian
mendapatkan akses tidak sah ke sistem dengan menyamar sebagai pengguna yang sah.
Seseorang dengan akses fisik tanpa pengawasan juga dapat memasukkan disk "boot" khusus
yang menyediakan akses langsung ke setiap file di komputer dan kemudian menyalin sensitif
file ke perangkat portabel seperti drive USB atau iPod. Atau, penyerang dengan akses fisik
tanpa pengawasan dapat dengan mudah melepas hard drive atau bahkan mencuri seluruh
komputer. Kami sekarang menjelaskan beberapa kontrol akses fisik terpenting yang dibahas
dalam praktik manajemen COBIT 2019 DSS05.05.

2. Laptop, ponsel, dan tablet memerlukan perhatian khusus pada keamanan fisiknya karena
sering kali menyimpan informasi sensitif dan mudah hilang atau dicuri. Biaya utama
bukanlah harga penggantian perangkat, melainkan hilangnya informasi rahasia yang
dikandungnya dan biaya untuk memberi tahu mereka yang terpengaruh. Seringkali,
perusahaan juga harus membayar layanan pemantauan kredit untuk pelanggan yang
informasi pribadinya hilang atau dicuri. Bahkan mungkin ada gugatan class action dan denda
oleh badan pengatur.

Idealnya, karyawan tidak boleh menyimpan informasi sensitif apa pun di laptop atau
perangkat pribadi lainnya perangkat. Jika informasi organisasi yang sensitif harus disimpan di
laptop atau perangkat portabel lainnya perangkat, itu harus dienkripsi sehingga jika
perangkat hilang atau dicuri informasinya tidak dapat diakses. Untuk menghadapi ancaman
pencurian laptop, karyawan harus dilatih untuk selalu mengunci laptop mereka ke benda
 tidak bergerak. Ini diperlukan bahkan ketika di kantor, karena ada adalah kasus di mana
pencuri yang menyamar sebagai petugas kebersihan telah mencuri laptop dan peralatan
lainnya selama jam kerja. Beberapa organisasi juga menginstal perangkat lunak khusus di
laptop dan lainnya perangkat seluler yang mengirim pesan ke server keamanan setiap kali
perangkat terhubung keInternet. Kemudian, jika perangkat hilang atau dicuri, lokasinya
dapat diidentifikasi pada saat berikutnya terhubung ke Internet. Server keamanan juga
dapat mengirim pesan balasan secara permanen menghapus semua informasi yang
tersimpan di perangkat.  

3. Penting juga untuk membatasi akses fisik ke printer jaringan karena mereka sering
menyimpan mendokumentasikan gambar pada hard drive mereka. Ada kasus di mana
penyusup telah mencuri hard drive di printer tersebut, sehingga mendapatkan akses ke
informasi sensitif.

Akhirnya, cara yang sangat menjanjikan untuk mencapai pertahanan yang mendalam adalah
dengan mengintegrasikan sistem kontrol akses fisik dan jarak jauh. Misalnya, jika sebuah
organisasi menggunakan papan tombol, kartu atau pembaca lencana, atau pengenal
biometrik untuk mengontrol dan mencatat akses fisik ke kantor, yang data harus digunakan
saat menerapkan kontrol akses jarak jauh. Ini akan mengidentifikasi situasi kemungkinan
untuk mewakili pelanggaran keamanan, seperti ketika seorang karyawan yang diduga berada
di dalamoffice secara bersamaan mencoba masuk ke sistem dari jarak jauh dari yang lain
secara geografis lokasi jauh 

4. Otentikasi adalah proses verifikasi identitas orang atau perangkat yang mencoba mengakses
sistem. Tujuannya adalah untuk memastikan bahwa hanya pengguna yang sah yang dapat
mengakses sistem.

Tiga jenis kredensial dapat digunakan untuk memverifikasi identitas seseorang:

 Sesuatu yang diketahui orang tersebut, seperti kata sandi atau nomor identifikasi pribadi
(PIN).
 Sesuatu yang dimiliki orang tersebut, seperti smart card atau ID badge.
 Beberapa karakteristik fisik atau perilaku (disebut sebagai pengenal biometrik) dari orang,
seperti sidik jari atau pola pengetikan.

Secara individual, setiap metode otentikasi memiliki keterbatasan. Password bisa ditebak,
hilang, ditulis, atau diberikan. Teknik identifikasi fisik (kartu, lencana, USB perangkat, dll.)
dapat hilang, dicuri, atau digandakan. Teknik biometrik tidak 100% akurat, terkadang
menolak pengguna yang sah (disebut tingkat penolakan palsu) dan terkadang mengizinkan
akses ke orang yang tidak berwenang (disebut tingkat penerimaan palsu). Masalah-masalah
ini terjadi karena sistem otentikasi biometrik hanya menggunakan sampel titik data dari
karakteristik. Misalnya, menyimpan sidik jari lengkap, sistem hanya merekam ada atau tidak
adanya fitur di sejumlah titik data, menghasilkan string biner digit di mana 1 menunjukkan
bahwa fitur itu ada dan 0 menunjukkan bahwa itu tidak ada. Kemudian membandingkan
string digit biner dengan sampel yang disimpan saat orang tersebut mendaftar dalam sistem
dan membuat kredensial biometrik mereka. Karena sistem menggunakan sampel,
penerimaan atau penolakan didasarkan pada apakah data biometrik yang dikumpulkan saat
mencoba masuk melebihi persentase kecocokan ambang batas yang ditetapkan oleh
organisasi. Akibatnya, jika orang tersebut tidakngunakan jumlah tekanan yang sama ketika
 mencoba menggunakan pemindai sidik jari untuk masuk atau telah mengubah gaya rambut
mereka atau pilek, sampel biometrik yang dihasilkan mungkin tidak cukup cocok dengan apa
yang disimpan dan orang tersebut akan ditolak secara palsu. Itu sebabnya banyak perangkat
menggunakan PIN sebagai cara alternatif untuk mengautentikasi jika biometrik gagal.
Sebaliknya, seseorang dengan karakteristik yang cukup mirip (misalnya, kembar identik)
mungkin "membodohi" sistem dan menjadi akses yang diberikan secara tidak benar
(penerimaan palsu).

5. Ada juga masalah keamanan tentang penyimpanan informasi biometrik itu sendiri. Template
biometrik, seperti representasi digital dari sidik jari atau suara individu, harus disimpan di
suatu tempat. Kompromi template tersebut akan menciptakan masalah serius seumur hidup
bagi donor karena karakteristik biometrik, tidak seperti kata sandi atau token fisik, tidak
dapat diganti atau diubah. Selain itu, banyak kredensial biometrik tidak dapat digunakan
oleh semua orang. Misalnya, orang dengan cerebral palsy atau multiple sclerosis tidak dapat
menggunakan pemindai sidik jari, dan beberapa agama mungkin tidak menyetujui
penggunaan sistem identifikasi wajah. Akibatnya, untuk menghindari potensi masalah
hukum yang timbul dari diskriminasi terhadap kelompok, organisasi yang ingin
menggunakan biometrik harus menggunakan beberapa biometrik alternatif, yang
menambah biaya dan kompleksitas yang terkait dengan mengintegrasikan dan mengelola
beberapa sistem.

6. Otorisasi adalah proses membatasi akses pengguna yang diautentikasi ke bagian tertentu
dari sistem dan membatasi tindakan apa yang diizinkan untuk mereka lakukan. Seperti yang
dijelaskan oleh praktik manajemen COBIT 2019 DSS06.03, tujuannya adalah untuk menyusun
hak dan hak istimewa karyawan individu dengan cara yang menetapkan dan
mempertahankan pemisahan tugas yang memadai. Misalnya, perwakilan layanan pelanggan
tidak boleh berwenang untuk mengakses sistem penggajian. Selain itu, perwakilan layanan
pelanggan harus diizinkan hanya untuk membaca, tetapi tidak untuk mengubah, harga
barang inventaris

Kontrol otorisasi sering diimplementasikan dengan membuat matriks kontrol akses. Ketika
seorang karyawan yang diautentikasi mencoba mengakses informasi tertentu sumber daya
sistem, sistem melakukan uji kompatibilitas yang cocok dengan kredensial otentikasi
pengguna terhadap matriks kontrol akses untuk menentukan apakah karyawan tersebut
harus diizinkan untuk mengakses sumber daya itu dan melakukan tindakan yang diminta. Ini
penting untuk memperbarui matriks kontrol akses secara teratur untuk mencerminkan
perubahan tugas pekerjaan karena promosi atau transfer. Jika tidak, seiring waktu seorang
karyawan dapat mengumpulkan serangkaian hak dan hak istimewa tidak sesuai dengan
pemisahan tugas yang tepat.

1. Malware (misalnya, virus, worm, perangkat lunak pencatatan keystroke, dll.) adalah
ancaman utama. Perangkat lunak perusak dapat merusak atau menghancurkan informasi
atau menyediakan sarana untuk akses yang tidak sah.

Contoh:

 Virus

Jenis malware pertama adalah virus. Virus merupakan malware yang muncul melalui
unduhan pada situs web, penggunaan USB, dokumen komputer, koneksi jaringan,
dan lain sebagainya. Jenis malware ini diciptakan untuk mengganggu proses kerja
 sistem serta merusak dan menghilangkan data, informasi, atau dokumen pada
komputer.  

Virus dapat bekerja ketika pengguna mulai membuka sebuah dokumen yang telah
terinfeksi sebelumnya. Selain itu virus juga dapat melakukan replikasi dan menyebar
pada sistem komputer tanpa sepengetahuan pengguna.

 Adware

Adware merupakan jenis malware yang dapat memunculkan iklan pada suatu situs
web ketika pengguna melakukan aktivitas tertentu pada situs tersebut. Perangkat
lunak ini umumnya berada di bagian belakang iklan yang muncul. Ketika mengklik
iklan tersebut, adware dapat masuk ke jaringan komputer.  

Jenis malware ini tidak membahayakan data pada komputer, namun mampu
mengirimkan spyware yang digunakan untuk melihat seluruh aktivitas komputer,
mengumpulkan data dan informasi pribadi untuk kemudian digunakan oleh hacker.
Informasi pribadi berupa kata sandi, informasi kartu kredit, dan lain lain akan bisa
dicuri.

 Trojan

Trojan merupakan malware yang bekerja dengan melakukan penyamaran sebagai

sebuah aplikasi yang tidak berbahaya sehingga meyakinkan pengguna untuk
mengunduh dan menggunakan aplikasi tersebut.

Ketika aplikasi telah diunduh dan mulai digunakan, trojan akan secara cepat
menyebar dan melihat seluruh aktivitas komputer. Selain itu, malware ini akan
mencuri informasi dan data pribadi Anda.

 Worm

Jenis malware selanjutnya yaitu worm. Worm merupakan jenis malware yang
memiliki kemampuan untuk menggandakan dirinya, sehingga dapat dengan mudah
menyebar pada sistem komputer. Jenis malware ini masuk melalui jaringan internet,
aplikasi ilegal, atau dokumen mencurigakan yang dikirimkan melalui email.

 Botnet

Robot network atau sering disebut dengan botnet merupakan jenis malware
berbentuk sekumpulan bot yang menyusup pada seluruh jaringan serta sistem
komputer yang dikendalikan oleh hacker. Botnet digunakan sebagai alat untuk
mendapatkan jalan masuk dan mengontrol perangkat melalui data yang diperoleh
sebelumnya.

 Ransomware

Ransomware merupakan jenis malware yang bekerja dengan cara mengunci dan
menolak pengguna untuk bisa menggunakan sistem komputer serta mengakses data
di dalamnya. Malware ini digunakan oleh para hacker untuk melakukan kejahatan
cyber, menuntut sejumlah uang sebagai tebusan untuk membuka kembali sistem.
2. Karena itu, Bagian COBIT 2019 DSS05.01 mencantumkan perlindungan malware sebagai
salah satu kunci keamanan yang efektif, secara khusus merekomendasikan hal berikut:

 Pendidikan kesadaran perangkat lunak berbahaya.

 Pemasangan alat perlindungan antimalware di semua perangkat.

 Manajemen tambalan dan pembaruan terpusat untuk perangkat lunak antimalware.
 Tinjauan berkala terhadap ancaman malware baru.
 Penyaringan lalu lintas masuk untuk memblokir potensi sumber malware.
 Melatih karyawan untuk tidak menginstal perangkat lunak yang tidak disetujui. 

3. Perangkat yang disebut border router menghubungkan sistem informasi organisasi ke

Internet. Di belakang router perbatasan adalah firewall utama, yang dapat berupa perangkat
keras tujuan khusus atau perangkat lunak yang berjalan pada komputer tujuan umum, yang
mengontrol komunikasi masuk dan keluar antara sistem di belakang firewall dan lainnya
jaringan. demilitarized zone (DMZ) adalah jaringan terpisah yang terletak di luar sistem
informasi internal organisasi yang memungkinkan akses terkontrol dari Internet ke sumber
daya, seperti server web e-commerce organisasi. Bersama-sama, router perbatasan dan
firewall bertindak sebagai filter untuk mengontrol informasi mana yang diizinkan masuk dan
keluar dari sistem informasi organisasi. Untuk memahami bagaimana mereka berfungsi,
pertama-tama perlu dijelaskan secara singkat mendiskusikan bagaimana informasi
ditransmisikan di Internet.

4. firewall - tujuan khusus perangkat keras atau perangkat lunak menjalankan komputer tujuan
umum yang mengontrol keduanya masuk dan komunikasi keluar antara sistem di belakang
firewall dan jaringan lainnya.

Jenis-Jenis Firewall

1. Personal Firewall

Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke

jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi
menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer
secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam
perangkat proteksi terhadap virus, anti-spyware, anti-spam, dan lainnya.

2. Network Firewall

Network Firewall didesain untuk melindungi jaringan secara keseluruhan dari

berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat
terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah
server.

Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA
Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga
sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam
sistem operasi Solaris.

5. Endpoints dapat dibuat lebih aman dengan memodifikasi konfigurasinya. Konfigurasi default
sebagian besar perangkat biasanya mengaktifkan sejumlah besar pengaturan opsional yang
 jarang, jika pernah, digunakan. Demikian pula, instalasi default dari banyak operasi sistem
mengaktifkan banyak program tujuan khusus, yang disebut layanan, yang tidak penting.
Mengaktifkan fitur-fitur yang tidak perlu dan layanan tambahan akan meningkatkan
kemungkinan pemasangan sukses tanpa perlu dukungan pelanggan. Kenyamanan ini,
bagaimanapun, datang di biaya untuk menciptakan kelemahan keamanan. Setiap program
yang berjalan mewakili titik potensial dari menyerang karena mungkin mengandung
kelemahan, yang disebut kerentanan, yang dapat dieksploitasi baik crash sistem atau
mengambil kendali itu. Oleh karena itu, program dan fitur opsional apa pun tidak digunakan
harus dinonaktifkan. Alat yang disebut vulnerability scanners dapat digunakan untuk
mengidentifikasi yang tidak digunakan dan, oleh karena itu, program yang tidak perlu yang
mewakili potensi ancaman keamanan.

vulnerability scanners - alat otomatis yang dirancang untuk mengidentifikasi apakah sistem
yang diberikan memiliki program yang tidak digunakan dan tidak perlu yang mewakili
potensi ancaman keamanan.

1. Jelaskan log analysis.

Sebagian besar sistem dilengkapi dengan kemampuan ekstensif untuk mencatat siapa yang
mengakses sistem dan tindakan spesifik apa yang dilakukan setiap pengguna. Log ini
membentuk jejak audit akses sistem. Seperti jejak audit lainnya, log hanya bernilai jika
diperiksa secara rutin. Analisis log adalah proses pemeriksaan log untuk mengidentifikasi
bukti kemungkinan serangan. Sangat penting untuk menganalisis log dari upaya yang gagal
untuk masuk ke sistem dan upaya yang gagal untuk mendapatkan akses ke sumber daya
informasi tertentu. Tujuan dari analisis log adalah untuk menentukan alasan upaya log-on
yang gagal ini. Log perlu dianalisis secara teratur untuk mendeteksi masalah secara tepat
waktu. Ini tidak mudah karena log dapat dengan cepat tumbuh dalam ukuran.

2. Jelaskan intrusion detection system.

Sistem deteksi intrusi jaringan (IDSs) terdiri dari satu set sensor dan unit pemantauan pusat
yang membuat log lalu lintas jaringan yang diizinkan untuk melewati firewall dan kemudian
menganalisis log tersebut untuk tanda-tanda upaya penyusupan atau berhasil. Seperti IPS
jaringan, IDS jaringan berfungsi dengan membandingkan lalu lintas yang diamati dengan
basis aturannya. Selain itu, IDS dapat diinstal pada perangkat tertentu untuk memantau
upaya tidak sah untuk mengubah konfigurasi perangkat tersebut. Perbedaan utama antara
IDS dan IPS adalah bahwa IDS hanya menghasilkan peringatan peringatan ketika mendeteksi
pola lalu lintas jaringan yang mencurigakan; kemudian terserah pada manusia yang
bertanggung jawab untuk memantau IDS untuk memutuskan tindakan apa yang harus
diambil. Sebaliknya, IPS tidak hanya mengeluarkan peringatan tetapi juga secara otomatis
mengambil langkah untuk menghentikan serangan yang dicurigai.

3. Jelaskan Computer Incident Response Team (CIrT)

Komponen kunci untuk dapat merespons insiden keamanan dengan cepat dan efektif adalah
pembentukan tim respons insiden komputer (CIRT). CIRT harus mencakup tidak hanya
spesialis teknis tetapi juga manajemen operasi senior karena beberapa tanggapan potensial
terhadap insiden keamanan memiliki konsekuensi ekonomi yang signifikan. Misalnya,
mungkin perlu mematikan sementara server e-niaga. Keputusan untuk melakukannya terlalu
 penting untuk diserahkan kepada kebijaksanaan staf keamanan TI; hanya manajemen yang
memiliki pengetahuan yang luas untuk mengevaluasi biaya dan manfaat tindakan tersebut
dengan tepat, dan hanya manajemen yang memiliki wewenang untuk membuat keputusan
tersebut.

CIRT harus memimpin proses respons insiden organisasi melalui empat langkah berikut:

a. Pengakuan bahwa ada masalah. Biasanya, ini terjadi ketika IPS atau IDS memberi
sinyal peringatan, tetapi juga dapat merupakan hasil dari analisis log oleh
administrator sistem.
b. Penahanan masalah. Setelah intrusi terdeteksi, tindakan cepat diperlukan untuk
menghentikannya dan menahan kerusakan.
c. Pemulihan. Kerusakan yang disebabkan oleh serangan itu harus diperbaiki. Ini
mungkin melibatkan pemberantasan malware dan memulihkan data dari cadangan
dan menginstal ulang program yang rusak. Kami akan membahas prosedur
pencadangan dan pemulihan bencana.
d. Tindak lanjut. Setelah pemulihan sedang dalam proses, CIRT harus memimpin
analisis tentang bagaimana insiden itu terjadi.
4. Jelaskan peranan Chief Information Security Officer (CISO) untuk menangani masalah
keamanan sistem informasi di perusahaan.

COBIT 2019 mengidentifikasi struktur organisasi sebagai pendukung penting untuk mencapai
kontrol dan keamanan yang efektif. Sangat penting bahwa organisasi menetapkan tanggung
jawab untuk keamanan informasi kepada seseorang di tingkat manajemen senior yang
sesuai karena organisasi yang melakukannya lebih mungkin memiliki tim respons insiden
yang terlatih daripada organisasi yang tidak membuat seseorang bertanggung jawab atas
keamanan informasi. Salah satu cara untuk memenuhi tujuan ini adalah dengan
menciptakan posisi CISO, yang harus independen dari fungsi sistem informasi lainnya dan
harus melapor kepada chief operating officer (COO) atau chief executive officer (CEO). CISO
harus memahami lingkungan teknologi perusahaan dan bekerja dengan chief information
officer (CIO) untuk merancang, menerapkan, dan mempromosikan kebijakan dan prosedur
keamanan yang baik. CISO juga harus menjadi penilai dan evaluator yang tidak memihak
terhadap lingkungan TI. Oleh karena itu, CISO harus memiliki tanggung jawab untuk
memastikan bahwa kerentanan dan penilaian risiko dilakukan secara teratur dan bahwa
audit keamanan dilakukan secara berkala. CISO juga perlu bekerja sama dengan orang yang
bertanggung jawab atas keamanan fisik karena akses fisik yang tidak sah dapat
memungkinkan penyusup untuk melewati kontrol akses logis yang paling rumit.

5. Jelaskan yang harus dilakukan organisasi perusahaan untuk menanggulangi masalah

keamanan khususnya dalam hal Virtualization, Cloud Computing, dan Internet of Things.

Virtualisasi dan komputasi awan mengubah risiko beberapa ancaman keamanan informasi.
Misalnya, akses fisik tanpa pengawasan dalam lingkungan virtualisasi tidak hanya
memaparkan satu perangkat tetapi juga seluruh jaringan virtual terhadap risiko pencurian
atau perusakan dan kompromi. Demikian pula, kompromi sistem penyedia cloud dapat
memberikan akses tidak sah ke beberapa sistem. Selain itu, karena cloud publik, menurut
definisi, dapat diakses melalui Internet, kesalahan konfigurasi dapat mengekspos data
sensitif ke akses yang tidak sah. Layanan berbagi file cloud juga dapat digunakan untuk
mendistribusikan malware. Awan publik juga meningkatkan kekhawatiran tentang aspek lain
dari keandalan sistem (kerahasiaan, privasi, integritas pemrosesan, dan ketersediaan) karena
organisasi mengalihkan kendali data dan sumber daya komputasinya kepada pihak ketiga.
 Kontrol akses pengguna yang kuat, idealnya melibatkan penggunaan otentikasi multifaktor,
dan kontrol akses fisik sangat penting. Firewall virtual, IPS, dan IDS perlu digunakan baik oleh
penyedia cloud untuk mengisolasi mesin virtual dan pelanggan cloud dari satu sama lain, dan
oleh organisasi untuk membatasi akses karyawan dengan benar hanya ke bagian sistem yang
diperlukan untuk melakukan pekerjaan yang ditugaskan.

Internet of Things (IoT) juga memiliki implikasi yang signifikan terhadap keamanan
informasi. Di satu sisi, ini membuat desain rangkaian kontrol yang efektif menjadi jauh lebih
kompleks. Secara tradisional, keamanan informasi berfokus pada pengendalian akses ke
sejumlah titik akhir yang terbatas: laptop, komputer desktop, server, printer, dan perangkat
seluler. Perpindahan ke IoT berarti bahwa banyak perangkat lain yang ditemukan di tempat
kerja sekarang menyediakan sarana potensial untuk mengakses jaringan perusahaan dan,
oleh karena itu, harus diamankan. Di sisi lain, IoT memberikan peluang untuk meningkatkan
kontrol akses fisik. Misalnya, berjuta sensor kecil dapat digunakan di seluruh area kantor,
gudang, dan produksi untuk memberikan informasi waktu nyata tentang pergerakan masuk
dan keluar dari area tersebut. Selain itu, organisasi dapat menggunakan sensor di perangkat
yang dapat dikenakan untuk melacak lokasi karyawan dan pengunjung. Dengan demikian,
efek bersih IoT pada kemampuan organisasi untuk memenuhi model keamanan berbasis
waktu bergantung pada seberapa baik ia menangani dan menggunakan perkembangan baru
ini.

Chapter 11 (ERP)

1. Enterprise Resource Planning (ERP) adalah beberapa paket perangkat lunak modul yang
berkembang terutama dari sistem perencanaan sumber daya manufaktur tradisional (MRP
II). Grup Gartner menciptakan istilah ERP, yang telah banyak digunakan dalam beberapa
tahun terakhir. Tujuan ERP adalah untuk mengintegrasikan proses kunci organisasi seperti
entri pesanan, manufaktur, pengadaan dan hutang, penggajian, dan sumber daya manusia.
Dengan demikian, satu sistem komputer dapat melayani kebutuhan unik setiap area
fungsional. Merancang satu sistem yang melayani semua orang adalah usaha dengan
proporsi yang sangat besar. Contoh dari fitur-fitur ERP ini sendiri adalah Accounting
(General Ledger), Finance (cash flow, accounts receivables, accounts payable), inventory and
warehouse management, purchasing, sales, dan lainnya.
2. Traditional information system adalah sistem informasi yang menggunakan sumber daya
informasi tradisional untuk memenuhi kebutuhan informasi dari penggunanya. Di figure 11.1
ini menunjukkan flowchart dari sistem informasi tradisional suatu perusahaan mengenai
bagaimana arus informasi dari penjualan produk dan juga pembelian barang dari
pemasok. Pada flowchart ini, kita bisa melihat informasi pesanan dari pelanggan akan masuk
ke dalam sistem dan kemudian diteruskan sampai dengan manufaktur dan sistem distribusi
yang kemudian produk tersebut akan dikirimkan ke palnggan. Hal yang sama juga berlaku
pada pembelian bahan, pesanan dari sistem manufaktur dan distribusi kemudian dikirimkan
ke pengadaan sistem dan disampaikan kepada pemasok sebelum pemasok mengirimkan
bahan yang dibutuhkan oleh perusahaan. Data-data ini kemudian akan disimpan ke dalam
tiga database, yaitu database pelanggan. manufaktur, dan juga procurement. Di dalam
sistrem informasi tradisional. Terjadi Kurangnya komunikasi yang efektif antara sistem dalam
model tradisional seringkali merupakan konsekuensi dari proses desain sistem yang
terfragmentasi. Setiap sistem cenderung dirancang sebagai solusi untuk masalah operasional
tertentu daripada sebagai bagian dari strategi keseluruhan
3. Berbeda dengan Traditional Information System, EERP sendiri lebih terintegrasi di dalam
sistem informasinya seperti yang ditunjukkan dengan figure 11.2. sistem ERP sendiri
memiliki tiga fungsi penting, yaitu Online Analytical Processing (OLAP), Bolt-On Application
(Fungsi Khusus Industri), dan juga fungsi inti (Online Transaction Processing). Kemudian
semua ini akan disimpan di dalam dua database, yaitu database gudang dan juga
operasional.  Di dalam ERP, Fungsi penjualan dan distribusi menangani entri pesanan dan
penjadwalan pengiriman. Ini termasuk memeriksa ketersediaan produk untuk memastikan
pengiriman tepat waktu dan memverifikasi batas kredit pelanggan. Berbeda dengan
sebelumnya misalnya, pesanan pelanggan dimasukkan ke dalam ERP hanya sekali. Karena
semua pengguna mengakses basis data umum, status pesanan dapat ditentukan kapan saja.
Bahkan, pelanggan akan dapat memeriksa, memesan langsung melalui koneksi internet.
Integrasi tersebut mengurangi aktivitas manual, menghemat waktu, dan mengurangi
kesalahan manusia.
4. Online Analytical Processing) adalah teknologi yang digunakan untuk menata database
bisnis besar dan mendukung kecerdasan bisnis. Database OLAP dibagi menjadi satu atau
beberapa kubus, dan setiap kubus diatur dan dirancang oleh administrator kubus agar sesuai
dengan cara Anda mengambil dan menganalisis data sehingga lebih mudah membuat dan
menggunakan laporan PivotTable dan laporan PivotChart yang diperlukan.Pemrosesan
analitik online (OLAP) termasuk keputusan dukungan, pemodelan, pencarian informasi,
pelaporan/analisis ad hoc, dan analisis bagaimana-jika. Beberapa ERP mendukung fungsi-
fungsi ini dengan modul khusus industri mereka sendiri yang dapat ditambahkan ke sistem
ini. Bagaimanapun aplikasi analisis bisnis diperoleh atau diturunkan, mereka sangat penting
bagi keberhasilannya berfungsi sebagai gudang data. Sebuah gudang data adalah database
yang dibangun untuk pencarian cepat, pengambilan, kueri ad hoc, dan kemudahan
penggunaan.
5. Data warehouse atau gudang data adalah sebuah sistem yang bertugas mengarsipkan
sekaligus melakukan analisis data historis untuk menunjang keperluan informasi pada
sebuah bisnis ataupun organisasi.Yang dimaksud dengan data di sini dapat berupa data
penjualan, data untung rugi, data gaji karyawan, data konsumen, dan lain sebagainya.Data
warehouse adalah h database yang dibangun untuk pencarian cepat, pengambilan kueri ad
hoc, dan kemudahan penggunaan. Data biasanya diekstraksi secara berkala dari database
operasional atau dari layanan informasi publik. Sistem ERP bisa ada tanpa memiliki gudang
data; Demikian pula, organisasi yang belum menerapkan ERP dapat menyebarkan gudang
data. Tren, bagaimanapun, adalah bahwa organisasi yang serius tentang keunggulan
kompetitif menerapkan keduanya. Data yang direkomendasikan arsitektur untuk
implementasi ERP mencakup database operasional dan gudang data yang terpisah.

1. Jelaskan figure 11.3 Two-tier Client Server

Dalam model two-tier yang khas, server menangani tugas aplikasi dan database. Komputer
klien bertanggung jawab untuk menyajikan data kepada pengguna dan meneruskan input
pengguna kembali ke server. Beberapa vendor ERP menggunakan pendekatan ini untuk
aplikasi jaringan area lokal (LAN) yang permintaan di server dibatasi untuk populasi
pengguna yang relatif kecil. Konfigurasi ini diilustrasikan pada Gambar 11-3.

2. Jelaskan figure 11.4 Three-tier Client Server

 Fungsi database dan aplikasi dipisahkan dalam model tiga tingkat. Arsitektur ini khas
sistem ERP besar yang menggunakan jaringan area luas (WAN) untuk konektivitas di
antara pengguna. Memuaskan permintaan klien membutuhkan dua atau lebih koneksi
jaringan. Awalnya, klien membangun komunikasi dengan server aplikasi. Server aplikasi
kemudian memulai koneksi kedua ke server database. Gambar 11-4 menyajikan model tiga
tingkat.

3. Sebutkan dan jelaskan karakteristik dari OLAP

Karakteristik yang dimiliki suatu sistem Online Analitycal Procesing OLAP dapat
digambarkan sebagai berikut:

1. Memberikan kemudahan bagi user untuk dapat memandang suatu data secara
multidimensional dan logis di dalam suatu data warehouse.

2. Memudahkan interaktif query dan analisis yang kompleks bagi user.

3. Memungkinkan user untuk melakukan operasi terhadap data multidimensional.

4. Menyediakan kemampuan untuk melakukan perhitungan dan perbandingan yang rumit.

5. Menyajikan hasil analisis dalam berbagai cara visualisasi, termasuk grafik.

OLAP dapat dicirikan sebagai transaksi online yang:

 Mengakses data dalam jumlah yang sangat besar (misalnya, beberapa tahun data
penjualan).
 Menganalisis hubungan di antara banyak jenis elemen bisnis seperti penjualan, produk,
wilayah geografis, dan saluran pemasaran.
 Melibatkan data agregat seperti volume penjualan, dolar yang dianggarkan, dan dolar yang
dibelanjakan.
 Bandingkan data agregat selama periode waktu hierarkis (misalnya, bulanan, triwulanan,
tahunan).
 Menyajikan data dalam perspektif yang berbeda seperti penjualan berdasarkan wilayah,
saluran distribusi, atau produk.
 Melibatkan perhitungan kompleks di antara elemen data seperti laba yang diharapkan
sebagai fungsi dari pendapatan penjualan untuk setiap jenis saluran penjualan di wilayah
tertentu.
 Tanggapi permintaan pengguna dengan cepat sehingga mereka dapat mengejar proses
pemikiran analitis tanpa terhalang oleh penundaan sistem.

4. Jelaskan Database Configuration di ERP

Sistem ERP terdiri dari ribuan tabel database. Setiap tabel dikaitkan dengan proses bisnis
yang dikodekan ke dalam ERP. Tim implementasi ERP, yang mencakup pengguna utama dan
profesional teknologi informasi (TI), memilih tabel dan proses database tertentu dengan
mengatur sakelar dalam sistem. Menentukan bagaimana semua sakelar perlu diatur untuk
konfigurasi tertentu memerlukan pemahaman mendalam tentang proses yang ada yang
digunakan dalam mengoperasikan bisnis. Namun, seringkali, memilih pengaturan tabel
melibatkan keputusan untuk merekayasa ulang proses perusahaan agar sesuai dengan
praktik bisnis terbaik yang digunakan. Dengan kata lain, perusahaan biasanya mengubah
 prosesnya untuk mengakomodasi ERP daripada memodifikasi ERP untuk mengakomodasi
perusahaan.

1. Jelaskan Bolt-on Software

Banyak organisasi telah menemukan bahwa perangkat lunak ERP saja tidak dapat
mendorong semua proses perusahaan. Perusahaan-perusahaan ini menggunakan
berbagai perangkat lunak bolt-on yang disediakan oleh vendor pihak ketiga.
Keputusan untuk menggunakan software bolton membutuhkan pertimbangan yang
matang. Perangkat lunak Bolt-on adalah perangkat lunak yang dapat dengan mudah
dilampirkan ke proyek klien, misalnya, situs web. Istilah "bolt-on" mirip dengan istilah
"plug-and-play" yang digunakan untuk menggambarkan perangkat lunak yang mudah
diintegrasikan ke dalam sistem lain yang lebih besar. Beberapa orang mungkin juga
menyebut ini "pengaya." Sebagian besar vendor ERP terkemuka telah menandatangani
perjanjian kemitraan dengan vendor pihak ketiga yang menyediakan fungsionalitas
khusus. Pendekatan yang paling tidak berisiko adalah memilih bolt-on yang didukung
oleh vendor ERP. Beberapa organisasi, bagaimanapun, mengambil pendekatan yang lebih
independen. Domino's Pizza adalah contohnya.

2. Jelaskan Supply Chain Management software

Perkembangan lain mengenai masalah software bolt-on adalah konvergensi yang cepat
antara ERP dan fungsionalitas software bolton. Perangkat lunak manajemen rantai
pasokan (SCM) adalah contohnya. Rantai pasokan adalah serangkaian kegiatan yang terkait
dengan pemindahan barang dari tahap bahan mentah ke konsumen. Ini termasuk
pengadaan, penjadwalan produksi, pemrosesan pesanan, manajemen persediaan,
transportasi, pergudangan, layanan pelanggan, dan peramalan permintaan barang. Sistem
SCM adalah kelas perangkat lunak aplikasi yang mendukung tugas ini. SCM yang berhasil
mengoordinasikan dan mengintegrasikan aktivitas ini ke dalam proses yang mulus. Selain
area fungsional utama dalam organisasi, SCM menghubungkan semua mitra dalam rantai,
termasuk vendor, operator, perusahaan logistik pihak ketiga, dan penyedia sistem informasi.
Organisasi dapat mencapai keunggulan kompetitif dengan menghubungkan aktivitas dalam
rantai pasokannya secara lebih efisien dan efektif daripada para pesaingnya.

3. Jelaskan Data warehousing. Berikan contoh

Data warehouse adalah database relasional atau multidimensi yang dapat mengkonsumsi
ratusan gigabyte atau bahkan terabyte penyimpanan disk. Ketika gudang data diatur untuk
satu departemen atau fungsi, itu sering disebut data mart. Daripada berisi ratusan gigabyte
data untuk seluruh perusahaan, data mart mungkin hanya memiliki puluhan gigabyte data.
Selain ukuran, kami tidak membedakan antara data mart dan gudang data. Proses
pergudangan data melibatkan penggalian, konversi, dan standarisasi data operasional
organisasi dari ERP dan sistem lama dan memuatnya ke arsip pusat—gudang data. Proses
data warehousing memiliki tahapan penting sebagai berikut:

• Pemodelan data untuk gudang data

• Mengekstrak data dari database operasional

• Membersihkan data yang diekstraksi

 • Mengubah data menjadi model gudang

• Memuat data ke dalam database gudang data

contoh data warehouse adalah data yang terkumpul dari website, marketplace,
media sosial, dan software akuntansi.

4. Jelaskan Data mart. Berikan contoh.

Data Mart adalah bagian dari data warehouse yang mendukung pembuatan laporan dan
analisa data pada suatu unit, bagian atau operasional pada suatu perusahaan. Dengan data
mart, permintaan kelompok tertentu dapat dipenuhi. Data mart merupakan subset data
yang digunakan untuk analisis dan memberikan para pengguna data yang tepat dalam waktu
singkat. Data mart juga dapat digunakan untuk gudang data segmen data untuk
mencerminkan bisnis secara geografis terletak di mana masing-masing daerah relatif
otonom.

Contoh umum data mart adalah untuk departemen penjualan, departemen persediaan
dan pengiriman, departemen keuangan, manajemen tingkat atas.

1. Jelaskan Extracting Data.

Ekstraksi data adalah proses pengumpulan data dari database operasional, file datar, arsip,
dan sumber data eksternal. Basis data operasional biasanya harus tidak berfungsi saat
ekstraksi data terjadi untuk menghindari ketidakkonsistenan data. Karena ukurannya yang
besar dan kebutuhan akan transfer yang cepat untuk meminimalkan waktu henti, sedikit
atau tidak ada konversi data yang terjadi pada saat ini. Teknik yang disebut pengambilan
data yang diubah dapat secara dramatis mengurangi waktu ekstraksi dengan hanya
menangkap data yang baru dimodifikasi. Perangkat lunak ekstraksi membandingkan
database operasional saat ini dengan gambar data yang diambil pada transfer data terakhir
ke gudang. Hanya data yang telah berubah untuk sementara yang ditangkap.

2. Sebutkan dan jelaskan Loading the Data into the Datawarehouse Database.

Sebagian besar organisasi telah menemukan bahwa keberhasilan pergudangan data

mengharuskan gudang data dibuat dan dipelihara secara terpisah dari database operasional
(pemrosesan transaksi).

A. Internal Efficiency. Salah satu alasan untuk gudang data yang terpisah adalah bahwa
persyaratan struktural dan operasional pemrosesan transaksi dan sistem penambangan data
pada dasarnya berbeda, sehingga tidak praktis untuk menyimpan data operasional (saat ini)
dan arsip dalam database yang sama. Sistem pemrosesan transaksi memerlukan struktur
data yang mendukung kinerja, sedangkan sistem penambangan data membutuhkan data
yang diatur sedemikian rupa sehingga memungkinkan pemeriksaan yang luas dan deteksi
tren yang mendasarinya.
B. Integration of Legacy Systems. Pengaruh lanjutan dari sistem warisan adalah alasan lain
bahwa gudang data harus independen dari operasi. Sejumlah besar aplikasi bisnis terus
berjalan di lingkungan mainframe tahun 1970-an. Dengan beberapa perkiraan, lebih dari 70
persen data bisnis untuk perusahaan besar masih berada di lingkungan mainframe. Struktur
 data yang digunakan sistem ini seringkali tidak sesuai dengan arsitektur alat penambangan
data modern. Oleh karena itu, data transaksi yang disimpan dalam database navigasi dan
sistem Metode Akses Penyimpanan Virtual sering berakhir di perpustakaan pita besar yang
terisolasi dari proses keputusan. Gudang data terpisah menyediakan tempat untuk
mengintegrasikan data dari sistem lama dan kontemporer ke dalam struktur umum yang
mendukung analisis seluruh entitas.
C. Consolidation of Global Data. Akhirnya, munculnya ekonomi global telah membawa
perubahan mendasar dalam struktur organisasi bisnis dan telah sangat mengubah
kebutuhan informasi entitas bisnis. Kompleksitas bisnis yang unik menantang para
pengambil keputusan di perusahaan global. Misalnya, mereka perlu menilai profitabilitas
produk yang dibuat dan dijual di banyak negara dengan mata uang yang fluktuatif.
Tantangan seperti itu menambah kompleksitas pada penambangan data. Gudang data
terpusat yang terpisah adalah cara yang efektif untuk mengumpulkan, menstandarisasi, dan
mengasimilasi data dari berbagai sumber.

Kesimpulannya, pembuatan data warehouse terpisah dari sistem operasional adalah

konsep dasar data warehousing. Banyak organisasi sekarang menganggap sistem gudang
data sebagai komponen kunci dari strategi sistem informasi mereka. Dengan demikian,
mereka mengalokasikan sumber daya yang cukup besar untuk membangun gudang data
secara bersamaan dengan sistem operasional yang diterapkan.

3. Sebutkan dan jelaskan table 11.1 Applications of Data Mining. Dari contoh aplikasi, pilih 2
(dua), jelaskan pilihan saudara.

Jelas, analisis semacam itu tidak dapat diantisipasi seperti laporan standar. Kemampuan
drill-down adalah fitur OLAP dari alat data mining yang tersedia untuk pengguna. Alat untuk
penambangan data berkembang pesat untuk memenuhi kebutuhan pengambil keputusan
untuk memahami perilaku unit bisnis dalam kaitannya dengan entitas utama termasuk
pelanggan, pemasok, karyawan, dan produk. Laporan dan kueri standar yang dihasilkan dari
tampilan ringkasan dapat menjawab banyak pertanyaan apa, tetapi kemampuan menelusuri
menjawab pertanyaan mengapa dan bagaimana. Tabel 11-1 merangkum beberapa aplikasi
penambangan data dalam pendukung keputusan.

Dari contoh aplikasi tersebut yang saya pilih adalah

a. Identifikasi pola perilaku yang terkait dengan pelanggan berisiko tinggi. Dengan
mengidentifikasi pola perilaku pelanggan dapat mencegah segala risiko yang akan terjadi
b. Mengidentifikasi hubungan antara data demografis pelanggan. Biasanya digunakan oleh
bisnis untuk mengidentifikasi target pasar.

4. Jelaskan Datawarehouse untuk mendukung Supply Chain Management.

Alasan utama untuk data warehousing adalah untuk mengoptimalkan kinerja bisnis. Banyak
organisasi percaya bahwa lebih banyak manfaat strategis dapat diperoleh dengan berbagi
data secara eksternal. Dengan menyediakan pelanggan dan pemasok informasi yang mereka
butuhkan saat mereka membutuhkannya, perusahaan dapat meningkatkan hubungan dan
memberikan layanan yang lebih baik. Potensi keuntungan bagi organisasi pemberi terlihat
dalam rantai pasokan yang lebih responsif dan efisien. Dengan menggunakan teknologi
Internet dan aplikasi OLAP, organisasi dapat berbagi gudang datanya dengan mitra
dagangnya dan, pada dasarnya, memperlakukan mereka seperti divisi perusahaan.