BAB I

PENDAHULUAN

A. Latar Belakang

Saat ini, setiap organisasi bergantung pada teknologi informasi (TI-information technology).
Banyak juga organisasi yang setidaknya memindahkan sebagian dari system informasinya ke
cloud. Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh system
akuntansi milik perusahaan adalah reliabel serta keandalan penyedia layanan cloud dengan rekan
kontraknya. Selain itu, manajemen juga menginginkan jaminan bahwa organisasi patuh terhadap
susunan peraturan dan ketentuan industry yang terus berkembang termasuk Sarbanes-Oxley
(SOX), Health Insurance Portability and Accountability Act (HIPAA), dan Payment Card
Industry Data Security Standards (PCI-DSS).

Trust Service Framework mengatur pengendalian IT ke dalam lima prinsip :

1. Keamanan (Security)- akses (baik fisik maupun logis) terhadap system dan data di
dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality)- informasi keorganisasian yang sensitive (seperti rencana
pemasaran, rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy)- informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan
kerja hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan ekternal serta
terlindungi dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity)- data diproses secara akurat, lengkap, tepat
waktu, dan hanya dengan otoritas yang sesuai.
5. Ketersediaan (availability)- system dan informasinya tersedia untuk mmenuhi kewajiban
operasional dan kontraktual.

Prosedur-prosedur keamanan informasi membatasi akses system hanya untuk pengguna yang
terotorisasi saja, sehingga melindungi kerahasiaan data keorganisasian yang sensitive dan privasi
atas informasi pribadi yang dikumpulkan dari pelanggan. Sejumlah prosedur keamanan
informasi melindungi integritas informasi dengan mencegah terjadinya transaksi tanpa izin atau
fiktif serta mencegah perubahan tanpa izin terhadap data atau program yang tersimpan. Terakhir,

1
prosedur-prosedur keamanan informasi memberikan perlindungan terhadap berbagai serangan,
termasuk virus dan worm, sehingga memastikan bahwa system tersedia ketika diperlukan.

B. Rumusan Masalah
1. Apa saja konsep keamanan informasi fundamental ?
2. Bagaimana cara memahami serangan yang ditargetkan ?
3. Apa itu pengendalian preventif, detektif, dan korektif ?
4. Apa yang dimaksud dengan implikasi keamanan virtualisasi dan cloud?

C. Tujuan
1. Untuk mengetahui konsep keamanan informasi fundamental
2. Untuk mengetahui cara serangan yang ditargetkan
3. Untuk mengetahui apa saja pengendalian preventif,detektif, dan korektif
4. Untuk mengetahui implikasi keamanan virtualisasi dan cloud

2
 BAB II

PEMBAHASAN

A. Dua Konsep Keamanan Informasi Fundamental

1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi

Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat berteknologi

seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan manajemen senior juga jelas
menjadi dasar untuk keberhasilan. Para professional keamanan informasi memiliki keahlian
untuk mengidentifikasi ancaman potensial dan mengistemasikan kemungkinan serta
dampaknya.meski demikian, manajemen senior harus memilih mana dari empat respons resiko
(menurunkan, menerima, membagi, atau menghindari) yang sesuai untuk diadopsi sehingga
sumber daya yang diinvestasikan pada keamanan informasi menunjukkan kebutuhan resiko
organisasi.

Manajemen senior harus berpatisipasi dalam pengembangan kebijakan karena mereka harus
memutuskan sanksi yang akan diberikan terhadap tindakan ketidakpatuhan. Sebagai tambahan,
dukungan dan keterlibatan aktif dari manajemen puncak diperlukan untuk memastikan bahwa
pelatihan dan komunikasi keamanan informasi dilakukan dengan serius.

Manajemen senior juga harus mengotorisasi investasi sumber daya yang diperlukan untuk
mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang dikehendaki. Oleh
karena itu, manajemen harus secara periodic menilai ulang respons risiko organisasi dan ketika
diperlukan, membuat perubahan terhadap kebijakan keamanan informasi serta berinvestasi pada
solusi baru untuk memastikan bahwa upaya keamanan informasi organisasi mendukung strategi
bisnisnya secara konsisten dengan kebutuhan risiko manjemen.

2. Defense-in-depth dan Model keamanan informasi berbasis waktu

Defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu

poin kegagalan. Sebagai contoh, banyak organisasi yang tidak hanya menggunakan firewall,
tetapi juga berbagai metode autentikasi (kata sandi, token, dan biometrika) untuk membatasi
akses terhadap system informasi mereka.

3
 Defense-in-depth secara khusus melibatkan penggunaan sebuah kombinasi dari pengendalian
preventif,detektif, dan korektif. Peran pengendalian preventif adalah untuk membatasi tindakan
individu tertentu agar sesuai dengan kebijakan keamanan organisasi. Oleh karenanya, perlu
untuk melengkapi pengendalian preventif dengan metode-metode untuk mendeteksi insiden dan
prosedur untuk melakukan tindakan perbaikan korektif.

Tujuan dari model keamanan berbasis waktu (time-based model of security) adalah
menggunakan kombinasi perlindungan preventif, detektif, korektif yang melindungi asset
informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan
tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi
hilang atau dirusak. Tujuan ini dapat ditunjukkan dengan sebuah formula yang menggunakan
tiga variable berikut :

P= waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif

organisasi

D= waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses.

C= waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif

Ketiga variable tersebut kemudian dievaluasi seperti berikut : jika P>D+C, maka prosedur
keamanan organisasi efektif. Jika kebalikannya, keamanan tidaklah efektif.

B. Memahami Serangan yang Ditargetkan

  Langkah-langkah yang dilakukan para penjahat untuk menyerang sistem informasi suatu
perusahaan :

1. Melakukan pengintaian (conduct reconnaissance). Para perampok bank biasanya tidak

sekadar bergerak ke bank dan berusaha merampoknya. Sebaliknya, mereka mempelajari
dulu tata ruang fisik target mereka untuk memahami pengendalian yang dimiliki oleh
tempat tersebut.
2. Mengupayakan rekayasa social (attempt social engineering). Mengapa harus menerjang
seluruh masalah untuk percobaan pembobolan sebuah system jika ada seseorang yang
membiarkan anda masuk ? para penyerang sering kali mencoba menggunakan informasi
yang di dapatkan selama pengintaian awal untuk “mengelabui” seorang pegawai yang

4
 tidak merasa curiga untuk memberi akses kepada mereka. Penggunaan tipuan semacam
itu untuk mendapatkan akses tanpa izin terhadap sumber daya informasi disebut dengan
rekayasa social (social engineering).
3. Memindai dan memetakan target (scan and map the target). Jika seorang penyerang tidak
berhasil memasuki system target melalui rekayasa social, langkah selanjutnya adalah
melakukan lebih banyak pengintaian terperinci untuk mengidentifikasi titik-titik potensial
entri jarak jauh.
4. Penelitian (research). Segera setelah penyerang mengidentifikasi target-target spesifik
dan mengetahui jenis versi perangkat lunak yang dijalankan, langkah selanjutnya adalah
melakukan penelitian untuk menemukan kerentanan yang terdeteksi pada program –
program tersebut serta mempelajari bagaimana memanfaatkan kerentanan tersebut.
5. Mengeksekusi serangan ( excute the attack). Penyerang memanfaatkan kerentanan untuk
mendapatkan akses tanpa izin terhadap system informasi target.
6. Menutupi jejak (cover tracks). Setelah memasuki system informasi pengguna, sebagian
besar penyerang berupaya untuk menutupi jejak mereka dan menciptkan “pintu
belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal
mereka diketahui dan pengendalian diimplementasikan untuk mengeblok metode entri
tersebut.

C. Pengendalian Preventif

Pengendalian ini digunakan untuk membatasi akses terhadap sumber daya informasi.

 ORANG-ORANG: PENCIPTAAN SEBUAH BUDAYA "SADAR-KEAMANAN"

COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu
dari fasilitator kritis untuk keamanan informasi yang efektif. dalam hal ini manajemen
puncak harus memandu para pegawainya dengan cara mencontohkannya.
 ORANG-ORANG:PELATIHAN
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah
fasilitator kritis lainnya untuk keamanan informasi yang efektif.
 PROSES : PENGENDALIAN AKSES PENGGUNA

5
 COBIT 5 DSS05.04 menekankan perlunya pengendalian untuk mengelola identitas
pengguna dan akses logis, sehingga memungkinkan identifikasi secara khusus siapa saja
yang mengakses system informasi organisasi serta melacak tindakan yang mereka
lakukan.

 Pengendalian autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba
untuk mengakses sistem. tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat
mengakses system. Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas
seseorang :
1. Sesuatu yang mereka ketahui,seperti kata sandi atau personel identification number
(PIN).
2. Seuatu yang mereka miliki, seperti kartu pintar atau badge ID.
3. Beberapa karakteristik fisik atau perilaku, seperti sidik jari atau pola tulisan.
Autentikasi multifaktor adalah penggunaan dua atau lebih jenis tanda bukti autentikasi secara
bersamaan untuk mencapai tingkat keamanan yang lebih ketat.Autentikasi multimodal adalah
penggunaan berbagai tanda bukti autentikasi dari jenis yang sama untuk mencapai tingkat
keamanan yang ketat.

 Pengendalian Otorisasi

Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Tujuannya adalah menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan
dan mengelola pemisahan tugas yang tepat.

 SOLUSI TI : PENGENDALIAN ANTIMALWAE

COBIT 5 DSS05.01 mendaftar perlindungan malware sebagai salah satu dari kunci
keamanan yang efektif, merekomendasikan secara spesifik :
1. Edukasi kesadaran perangkat lunak jahat.
2. Pemasanga alat perlindungan anti-malware pada seluruh perangkat.

6
 3. Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak
anti malware.
4. Tinjauan teratur atas ancaman malware baru.
5. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial.
6. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau tidak
disetujui.

 SOLUSI TI : PENGENDALIAN AKSES JARINGAN

Biasanya, akses ini dilakukan melalui internet, tetapi beberapa organisasi masih mengelola
jaringan hak milik mereka sendiri atau menyediakan akses dial-up langsung melalui modem.

PERTAHANAN PERIMETER: ROUTER, FIREWALL, DAN SISTEM PENCEGAHAN

GANGGUAN

 Border router:  sebuah perangkat yang menghubungkan sistem informasi organisasi ke

internet.
 Firewall: sebuah perangkat keras yang bertujuan khusus atau perangkat lunak yang
bekerja pada sebuah komputer bertujuan umum yang mengendalikan baik komunikasi
masuk maupun keluar antara sistem di balik firewall dan jaringan lainnya.
 Demilitarized zone (DMZ): sebuah jaringan terpisah yang berada di luar sistem
informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet.
 Router: Perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber
dan tujuan pada header paket IP untuk memutuskan selanjutnya akan
mengirim (rute)  paket ke mana.
 Access Control List (ACL): seperangkat aturan IF-THEN yang digunakan untuk
menentukan tindakan untuk paket yang tiba.
 Penyaringan paket (packet filtering):  sebuah proses yang menggunakan berbagai bagian
pada header IP dan TCP paket untuk memutuskan tindakan yang dilakukan pada paket.
 Deep packer inspection: sebuah proses yang memeriksa data fisik sebuah paket TCP
untuk mengendalikan lalu lintas, bukan hanya melihat informasi pada header IP dan TCP.

7
 Sistem pencegah gangguan  (instrusion prevention-  IPS): perangkat lunak atau
perangkat keras yang mengawasi pola-pola dalam arus lalu-lintas untuk mengidentifikasi
dan mengeblok serangan secara otomatis.

 MENGGUNAKAN DEFENSE-IN-DEPTH UNTUK MEMBATASI AKSES

JARINGAN. 
Menggunakan berbagai perangkat penyaringa perimeter lebih efisien dan efektif
dibandingkan hanya bergantung pada satu perangkat.
 MENGAMANKAN  KONEKSI DIAL-U
Remote Authentication Dial-in User Servise (RADIUS): sebuah metode standar untuk
memverifikasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in.
War dialing: mencari sebuah modem menganggur dengan memprogram sebuah kompuer
untuk memanggil ribuan lini telepon.
 MENGAMANKAN AKSES NIRKABEL
prosedur-prosedur untuk mengamankan akses nirkabel secara memadai, sebagai berikut :
o Menyalakan fitur keamanan yang tersedia.
o Membuktikan keabsahan seluruh perangkat yang digunakan untuk menetapkan akses
nirkabel ke jaringan sebelum menentukan sebuah alamat IP untuk mereka.
o Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus
infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel.
o Menggunakan nama yang noninformatif sebagai alamat titik akases yang disebut
dengan service set identifier (SSID).
o Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior
gedung, dan menggunakan antena pengarahan untuk membuat penerimaan lokal tana izin
menjadi lebih sulit.
o Mengenkripsi seluruh lalu lintas nirkabel.

 SOLUSI IT: PENGENDALIAN PENGUKUHAN PERALATAN DAN PERANGKAT

LUNAK
Endpoint: istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang
meliputi jaringan organisasi.

8
 KONFIGURASI ENDPOINT
Kerentanan (vulnerabilities): cacat pada program yang dapat dimanfaatkan baik untuk
merusak sistem maupun mengambil kendalinya.
Pemindai kerentanan (vulnerabilities scanners): alat otomatis yang didesain untuk
mengidentifikasi apakah sebuah sistem bawaan memiliki program yang tidak digunakan
dan tidak perlu serta menunjukkan ancaman keamanan potensial.
Pengukuhan (hardening): proses memodifikasi konfigurasi dasar endpoint untuk
mengeliminasi pengaturan dan layanan yang tidak perlu.
 MANAJEMEN AKUN PENGGUNA
Praktik manajemen COBIT 5 DDS05.04 menekankan kebutu han untuk secara hati-hati
mengelola seluruh akun pengguna, terutama akun-akun yang memiliki hak terbatas
(administratif) pada komputer.
 DESAIN PERANGKAT LUNAK
Sebagaimana organisasi yang telah meningkatkan keefektifan pengendalian keamanan
perimeternya, para penyerang juga meningkatkan kerentanan yang ditargetkan dalam
program aplikasi.

 SOLUSI IT: ENKRIPSI

Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa
izin terhadap informasi sensitif.
 KEAMANAN FISIK: PENGENDALIAN AKSES
Seseorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses fisik
langsung tanpa pengawasan untuk menembus pengendalian keamanan informasi yang
ada.
 PENGENDALIAN PERUBAHAN DAN MANAJEMEN PERUBAHAN
Pengendalian perubahan dan manajemen perubahan: proses formal yang digunakan untuk
memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses
tidak mengurangi keandalan sistem.

D. PENGENDALIAN DETEKTIF

9
COBIT 5 DSS05.07 menjelaskan aktivitas-aktivitas yang juga dibutuhkan organisasi untuk
memungkinkan deteksi gangguan dan masalah secara tepat waktu. Bagian ini mendiskusikan
empat jenis pengendalian detektif : analisis log, system deteksi gangguan, pengujian penetrasi,
dan pengawasan berkelanjutan.

 ANALISIS LOG

Analisis Log: proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.

 SISTEM DETEKSI GANGGUAN

Intrusion detection system (IDS): sebuah sistem yang menghasilkan sejumlah log dari seluruh
lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log
tersebut sebgai tanda atas gangguan yang diupayakan atau berhasil dilakukan.

 PENGUJIAN PENETRASI

Uji penetrasi (penetration test): upaya terotorisasi untuk menerobos ke dalam sistem informasi

organisasi.

 PENGAWASAN BERKELANJUTAN

Praktik COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai

terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis.

E. PENGENDALIAN KOREKTIF

Sebagaimana praktik manajemen COBIT, organisasi juga memerlukan prosedur untuk

melakukan tindakan korektif secara tepat waktu. Meski demikian, banyak pengendalian korektif
yang bergantung pada pertimbangan manusia. Akibatnya, efektivitas mereka bergantung pada
sebuah batasan luas pada perencanaan dan persiapan yang sesuai. Itulah alasan COBIT 5
menyediakan dua bagian dari keseluruhan proses untuk mengelola dan merespons insiden serta
masalah. Adapun tiga pengendalian korektif yang penting :

 COMPUTER INCIDENT RESPONSE TEAM (CIRT)

Tim perespons insiden komputer (CIRT): sebuah tim yang bertanggung jawab untuk

mengatasi insiden keamanan utama.

10
Sebuah CIRT harus mengarahkan proses respons insiden oganisasi melalui 4 tahap :

1. Pemberitahuan (recognition) adanya sebuah masalah.

2. Penahanan (containment) masalah
3. Pemulihan (recovery).
4. Tindak lanjut (follow up).

 CHIEF INFORMATION SECURITY OFFICER (CISO)

COBIT 5 mengidentifikasi struktur keorganisasian sebagai sebuah fasilitator kritis untuk
mencapai pengendalian dan keamanan yang efektif.
 MANAJEMEN PATCH
Exploit: sebuah program yang didesain untuk memanfaatkan dari kerentanan yang
diketahui.
Patch:  kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu.
Manajemen patch: proses untuk secara teratur menerapkan patch dan memperbarui
perangkat lunak.

F. IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD

Virtualisasi (virtualization) memanfaatkan kekuatan dan kecepatan komputer modern untuk

menjalankan berbagai sistem secara bersamaan pada satu komputer fisik. Hal ini memotong
biaya perangkat keras karena semakin sedikit server yang perlu dibeli. Mesin yang lebih sedikit
berarti biaya pemeliharaan juga lebih rendah. Biaya pusat data juga turun karena lebih sedikit
ruang yang perlu disewa, yang juga menurunkan biaya peralatan.

Komputasi Cloud (cloud computing) memanfaatkan high bandwidth dari jaringan

telekomunikasi global modern agar memungkinkan para pegawai  menggunakan sebuah browser
untuk mengakses perangkat lunak, penyimpanan data, perangkat keras, dan aplikasi dari jarak
jauh.

11
 BAB III

PENUTUP

A. Kesimpulan
Saat ini, setiap organisasi bergantung pada teknologi informasi (TI-information
technology). Banyak juga organisasi yang setidaknya memindahkan sebagian dari system
informasinya ke cloud. Walaupun keamanan informasi yang efektif mensyaratkan
penggunaan alat-alat berteknologi seperti firewall, antivirus, dan enkripsi, keterlibatan
serta dukungan manajemen senior juga jelas menjadi dasar untuk keberhasilan. Sebagai
contoh, banyak organisasi yang tidak hanya menggunakan firewall, tetapi juga berbagai
metode autentikasi (kata sandi, token, dan biometrika) untuk membatasi akses terhadap
system informasi mereka.
B. Saran
Demikian makalah yang kami buat, semoga dapat bermanfaat bagi pembaca.
Apabila ada saran dan kritik yang ingin di sampaikan, silahkan sampaikan kepada
kami.Apabila ada terdapat kesalahan mohon dapat dimaafkan dan dimaklumi, karena
kami adalah hamba Allah yang tak luput dari salah. Penulis berharap penulis kedepan
lebih baik.

12
 DAFTAR PUSTAKA

Saputro, JA.2006. Sistem Informasi Akuntansi. Yogyakarta: Andi 9.

13