Chapter 11: Controls for Information Security

(Dibuat Untuk Memenuhi Tugas Mata Kuliah Sistem Informasi Akuntansi)

Disusun oleh :

Kelompok 4

1. Hellyana Dewi - 2021122001

2. Jumiati - 2021122004

3. Pamelia Stefany Wang - 2021122005

4. Mentari Triana – 2021122008

PROGRAM STUDI SISTEM INFORMASI AKUNTANSI

JURUSAN AKUNTANSI

FAKULTAS BISNIS

UNIVERSITAS UNIVERSAL

2022
Introduction
Manajemen menginginkan jaminan informasi yang dihasilkan oleh sistem akuntansi
organisasi itu sendiri dapat diandalkan serta jaminan tentang keandalan penyedia layanan
cloud dengan siapa ia berkontrak. Selain itu, manajemen menginginkan jaminan bahwa
organisasi tersebut mematuhi serangkaian peraturan dan kebutuhan industri yang terus
meningkat.
Kerangka Kerja Layanan Kepercayaan mengatur kontrol terkait IT menjadi lima prinsip yang
bersama-sama berkontribusi pada keandalan sistem:
1. Keamanan (Security)- Akses ke sistem dan datanya dikontrol dan dibatasi untuk
pengguna yang sah.
2. Kerahasiaan (Confidentiality) - Informasi organisasi yang sensitif terhadap kerahasiaan
(misalnya, rencana pemasaran, rahasia dagang) dilindungi dari pengungkapan yang tidak
sah.
3. Privasi (Privacy) – Informasi pribadi tentang pelanggan, karyawan, pemasok, atau
bagian bisnis dikumpulkan, digunakan, diungkapkan, dan dikelola hanya sesuai dengan
kebijakan internal dan persyaratan peraturan eksternal dan dilindungi dari pengungkapan
yang tidak sah.
4. Proses Integritas (Processing Integrity) - Data diproses secara akurat, lengkap, tepat
waktu, dan hanya dengan otorisasi yang tepat.
5. Ketersediaan (Availabity) - Sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kewajiban kontraktual.

Three Fundamental Information Security Concepts

1. Security Is A Management Issue, Not Just A Technology Issue
Langkah 1 siklus hidup keamanan adalah menilai
ancaman terkait keamanan informasi dan memilih
respons yang sesuai.
Langkah 2 melibatkan pengembangan kebijakan
keamanan informasi dan mengkomunikasikannya
kepada semua karyawan.
Langkah 3 dari siklus keamanan melibatkan akuisisi
atau pembangunan alat teknologi tertentu.
langkah 4 dalam siklus keamanan memerlukan
pemantauan kinerja secara teratur untuk
mengevaluasi efektivitas program keamanan
informasi organisasi.
Fungsi teknologi informasi bertanggung jawab untuk menginstal dan memelihara berbagai
solusi teknologi. Kelompok risiko dan kepatuhan bekerja dengan management untuk
merancang kebijakan untuk memastikan kepatuhan terhadap berbagai peraturan tentang
keamanan dan privasi. Profesional keamanan informasi memiliki keahlian dalam keamanan
informasi dan secara teratur memantau solusi tersebut untuk memastikan mereka berfungsi
secara efektif serta memantau kepatuhan terhadap kebijakan. Fungsi audit internal secara
berkala melakukan tinjauan independent terhadap efisiensi dan efektivitas program
keamanan informasi organisasi.
2. People: The Critical Factor
Keterampilan dan kompetensi karyawan adalah pendorong penting lainnya untuk keamanan
informasi yang efektif. Karyawan harus memahami cara mengikuti kebijakan keamanan
organisasi. Pentingnya pelatihan tercermin dalam fakta bahwa pelatihan kesadaran keamanan
dibahas sebagai praktik utama untuk mendukung beberapa dari 35 proses manajemen COBIT
2019.
Pelatihan kesadaran keamanan juga penting bagi manajemen senior karena dalam beberapa
tahun terakhir banyak serangan rekayasa sosial, seperti spear phishing, telah ditargetkan pada
mereka.
3. The Time-Based Model Of Information Security
Tujuan dari model keamanan informasi berbasis waktu adalah untuk menggunakan
kombinasi kontrol preventif, detektif, dan korektif untuk melindungi aset informasi yang
cukup lama bagi organisasi untuk mendeteksi bahwa serangan sedang terjadi dan untuk
mengambil langkah tepat waktu untuk menggagalkan serangan sebelum informasi apa pun
hilang atau dikompromikan. Model keamanan informasi berbasis waktu dapat dinyatakan
dalam rumus berikut:
P>D+R,where
P = waktu yang dibutuhkan penyerang untuk menerobos berbagai kontrol yang melindungi
aset informasi organisasi.

D = waktu yang diperlukan organisasi untuk mendeteksi bahwa serangan sedang

berlangsung.

R = waktu yang diperlukan untuk merespons dan menghentikan serangan.

Jika persamaan terpenuhi (yaitu, jika P > D + R benar), maka prosedur keamanan informasi
organisasi efektif. Jika tidak, keamanan tidak efektif.

Protecting Information Resources

Physical security : access controls
Penyerangan dengan akses fisik langsung tanpa pengawasan dapat menginstal perangkat
pencatatan keystroke yang menangkap kredensial otentikasi pengguna, sehingga
memungkinkan penyerang untuk selanjutnya mendapatkan akses tidak sah ke sistem dengan
menyamar sebagai pengguna yang sah. Oleh karna itu membutuhkan cara dengan
mengintegrasikan sistem kontrol akses fisik dan jarak jauh.
Process: user access controls
Kontrol otentikasi adalah proses verifikasi identitas dari orang atau perangkat yang mencoba
mengakses sistem. Tujuannya adalah untuk memastikan bahwa hanya legit sobat pengguna
dapat mengakses sistem.
Tiga jenis kredensial dapat digunakan untuk memverifikasi identitas seseorang:
1. Sesuatu yang diketahui orang tersebut, seperti kata sandi atau nomor identifikasi pribadi
(PIN).
2. Sesuatu yang dimiliki orang tersebut, seperti smart card atau ID badge.
3. Beberapa karakteristik fisik atau perilaku orang tersebut, seperti sidik jari atau pola
pengetikan.
kontrol otorisasi adalah proses membatasi akses pengguna yang diautentikasi ke bagian
tertentu dari sistem dan membatasi tindakan apa yang diizinkan untuk mereka lakukan.
tujuannya adalah untuk menyusun hak dan hak istimewa karyawan individu dengan cara
yang menetapkan dan mempertahankan pemisahan tugas yang memadai, menggunakan
sistem manajemen proses bisnis.
IT solutions: antimalware controls
1. Pendidikan kesadaran perangkat lunak berbahaya.
2. Pemasangan alat perlindungan antimalware di semua perangkat.
3. Manajemen tambalan dan pembaruan terpusat untuk perangkat lunak antimalware.
4. Tinjauan berkala terhadap ancaman malware baru
5. Penyaringan lalu lintas masuk untuk memblokir sumber potensial malware
6. Melatih karyawan untuk tidak menginstal perangkat lunak yang tidak disetujui.
IT solutions : network access controls
Perimeter defense : routers, firewalls, and intrusion prevention systems
Router adalah perangkat tujuan khusus yang dirancang untuk membaca bidang alamat
sumber dan tujuan dalam header paket IP untuk memutuskan ke mana harus mengirim
(merutekan) paket berikutnya.
firewall adalah perangkat lunak yang berjalan pada komputer, yang mengontrol komunikasi
masuk dan keluar antara sistem di belakang firewall dan jaringan lain
Zona demiliterisasi (DMZ) adalah jaringan terpisah yang terletak di luar sistem informasi
internal organisasi yang memungkinkan akses terkontrol dari Internet ke sumber daya yang
dipilih, seperti server web e-niaga organisasi.
Controling access by filtering packets
Router perbatasan memeriksa bidang alamat IP tujuan di header paket IP untuk menentukan
apakah paket ditujukan untuk organisasi atau harus diteruskan kembali keluar ke Internet.
Jika tujuannya adalah organisasi, akan diteruskan ke firewall utama untuk penyaringan lebih
lanjut.
Using defense-in-depth to restrict network access
Firewall utama melakukan pemeriksaan lebih rinci, dan kemudian firewall lain melakukan
pemeriksaan paket mendalam untuk lebih melindungi perangkat tertentu seperti server web
dan server email organisasi. Firewall internal membantu membatasi data dan bagian apa dari
sistem informasi organisasi yang khusus dibatalkan
Securing wireless access
Cara mengamankan akses nirkabel:
1. Aktifkan fitur keamanan yang tersedia
2.Otentikasi semua perangkat yang mencoba membangun akses nirkabel ke jaringan sebelum
menetapkan alamat IP kepada mereka.
3. onfigurasikan semua perangkat nirkabel resmi untuk beroperasi hanya dalam mode
infrastruktur, yang memaksa perangkat untuk terhubung hanya ke titik akses nirkabel.
4. Gunakan nama yang tidak informatif untuk alamat titik akses, yang disebut service set
identifier (SSID). SSID seperti "penggajian", "keuangan", atau "R&D" lebih jelas mendapat
serangan daripada perangkat dengan SSID generik seperti "A1" atau "X2"
5. Kurangi kekuatan siaran titik akses nirkabel, letakkan di bagian dalam gedung, dan
gunakan antena terarah untuk membuat penerimaan tidak sah di luar lokasi menjadi lebih
sulit.
6. Enkripsi semua arus nirkabel untuk melindungi kerahasiaan dan privasi komunikasi
nirkabel karena ditransmisikan "melalui udara" dan karena itu secara inheren rentan terhadap
intersepsi yang tidak sah.
IT solutions : device and software hardenig controls
Tiga area yang perlu mendapat perhatian khusus:
(1) konfigurasi titik akhir, menghilangkan pengaturan dan layanan yang tidak perlu disebut
pengerasan dan menjalankan perangkat lunak antivirus dan firewall yang diperbarui secara
berkala.
(2) manajemen akun pengguna, diperlukan untuk menginstal perangkat lunak dan mengubah
sebagian besar pengaturan konfigurasi.
(3) desain perangkat lunak. bagian BAI03 dari COBIT Kerangka kerja 2019 menetapkan
kebutuhan untuk merancang keamanan dengan hati-hati ke dalam semua aplikasi baru dan
bagian APO10 mengatur praktik terbaik untuk mengelola risiko yang terkait dengan
pembelian perangkat lunak.
IT solutions : encryption
Enkripsi menyediakan lapisan pertahanan terakhir untuk mencegah akses tidak sah ke
informasi sensitif. Kami membahas enkripsi secara lebih rinci di Bab 12 karena pentingnya
untuk mencapai prinsip keamanan melindungi kerahasiaan informasi organisasi dan privasi
informasi pribadi yang dikumpulkan dari pelanggan, karyawan, dan mitra bisnis

Detecting Attacks
Log Analysis
Log analysis adalah proses memeriksa suatu log untuk mengidentifikasi bukti adanya
penyerangan.
Intrusion Detection System
Network intrusion detection system (IDSs) terdiri dari satu set sensor dan unit pemantau
pusat yang membuat jaringan log yang diizinkan untuk melewati firewall dan menganalisis
log tersebut untuk melihat tanda intrusi yang dicoba berhasil.
Honeypots
Alat pertahanan yang penting yang di gunakan oleh banyak organisasi disebut honeypot.
Honeypots adalah sistem yang terlihat seperti bagian yang sah dari jaringan internal
organisasi tetapi itu hanya sistem umpan.
Continuous Monitoring
Praktik manajemen COBIT 2019 yaitu, MEA01, MEA02 dan MEA03 menekankan
pentingnya terus memantau kepatuhan karyawan terhadap kebijakan keamanan informasi
organisasi dan kinerja keseluruhan proses bisnis.
Responding to Attacks
Computer Incident Response Team (CIRT)
komponen kunci yang dapat menanggapi insiden keamanan dengan segera dan efektif adalah
pembentukan dari computer incident response team (CIRT).
CIRT harus memimpin proses respon organisasi melalui 4 langkah :
1. Recognition (pengakuan) bahwa masalah itu ada, biasanya, ini terjadi ketika IPS atau IDS
memberi sinyal peringatan, tetapi juga bisa menjadi hasil analisis log oleh administrator
sistem.
2. Containment (penahanan) masalah, setelah intrusi terdeteksi, tindakan cepat diperlukan
untuk menghentikannya dan menahan kerusakan.
3. Recovery, kerusakan yang disebabkan oleh serangan harus di perbaiki.
4. Follow - up, ketik masuk dalam proses pemulihan, CIRT harus memimpin analisis
bagaimana insiden itu terjadi.
Chief Information Security Officer (CISO)
CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan chief
information officer (CIO) untuk merancang, menerapkan, dan mempromosikan kebijakan
dan prosedur keamanan yang baik

Monitor and Revise Security Solutions

Penetration Testing
uji penetrasi adalah upaya resmi oleh tim audit internal atau perusahaan konsultan keamanan
eksternal untuk membobol sistem informasi organisasi.
Change Controls And Change Management
kontrol perubahan dan manajemen perubahan mengacu pada proses formal yang digunakan
untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau proses
tidak mengurangi keandalan sistem.

Security Implications of Virtualization, Cloud Computing, and the Internet

of Things
Virtualisasi dan computing cloud mengubah risiko beberapa ancaman keamanan informasi.
Manajemen dapat memperoleh informasi tentang keamanan layanan yang dialihdayakan ke
penyedia cloud pihak ketiga dengan mendapatkan salinan laporan Type 2 System and
Organization Controls (SOC)2 penyedia cloud. Laporan SOC 2 Tipe 2 menjelaskan kontrol
yang digunakan oleh penyedia layanan (misalnya, penyedia cloud, layanan penggajian, dll.)
dan pendapat CPA tentang efektivitas operasi kontrol tersebut.
Meskipun virtualisasi dan cloud computing dapat meningkatkan risiko beberapa ancaman,
kedua perkembangan tersebut juga menawarkan peluang untuk meningkatkan keamanan
secara keseluruhan secara signifikan.
Internet of Things (IoT) juga memiliki implikasi signifikan terhadap keamanan informasi.
IoT memberikan peluang untuk meningkatkan kontrol akses fisik.