PENDAHULUAN
A. Latar Belakang
Saat ini, setiap organisasi bergantung pada teknologi informasi (TI-information technology).
Banyak juga organisasi yang setidaknya memindahkan sebagian dari system informasinya ke
cloud. Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh system
akuntansi milik perusahaan adalah reliabel serta keandalan penyedia layanan cloud dengan rekan
kontraknya. Selain itu, manajemen juga menginginkan jaminan bahwa organisasi patuh terhadap
susunan peraturan dan ketentuan industry yang terus berkembang termasuk Sarbanes-Oxley
(SOX), Health Insurance Portability and Accountability Act (HIPAA), dan Payment Card
Industry Data Security Standards (PCI-DSS).
1. Keamanan (Security)- akses (baik fisik maupun logis) terhadap system dan data di
dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality)- informasi keorganisasian yang sensitive (seperti rencana
pemasaran, rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy)- informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan
kerja hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan ekternal serta
terlindungi dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity)- data diproses secara akurat, lengkap, tepat
waktu, dan hanya dengan otoritas yang sesuai.
5. Ketersediaan (availability)- system dan informasinya tersedia untuk mmenuhi kewajiban
operasional dan kontraktual.
Prosedur-prosedur keamanan informasi membatasi akses system hanya untuk pengguna yang
terotorisasi saja, sehingga melindungi kerahasiaan data keorganisasian yang sensitive dan privasi
atas informasi pribadi yang dikumpulkan dari pelanggan. Sejumlah prosedur keamanan
informasi melindungi integritas informasi dengan mencegah terjadinya transaksi tanpa izin atau
fiktif serta mencegah perubahan tanpa izin terhadap data atau program yang tersimpan. Terakhir,
1
prosedur-prosedur keamanan informasi memberikan perlindungan terhadap berbagai serangan,
termasuk virus dan worm, sehingga memastikan bahwa system tersedia ketika diperlukan.
B. Rumusan Masalah
1. Apa saja konsep keamanan informasi fundamental ?
2. Bagaimana cara memahami serangan yang ditargetkan ?
3. Apa itu pengendalian preventif, detektif, dan korektif ?
4. Apa yang dimaksud dengan implikasi keamanan virtualisasi dan cloud?
C. Tujuan
1. Untuk mengetahui konsep keamanan informasi fundamental
2. Untuk mengetahui cara serangan yang ditargetkan
3. Untuk mengetahui apa saja pengendalian preventif,detektif, dan korektif
4. Untuk mengetahui implikasi keamanan virtualisasi dan cloud
2
BAB II
PEMBAHASAN
Manajemen senior harus berpatisipasi dalam pengembangan kebijakan karena mereka harus
memutuskan sanksi yang akan diberikan terhadap tindakan ketidakpatuhan. Sebagai tambahan,
dukungan dan keterlibatan aktif dari manajemen puncak diperlukan untuk memastikan bahwa
pelatihan dan komunikasi keamanan informasi dilakukan dengan serius.
Manajemen senior juga harus mengotorisasi investasi sumber daya yang diperlukan untuk
mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang dikehendaki. Oleh
karena itu, manajemen harus secara periodic menilai ulang respons risiko organisasi dan ketika
diperlukan, membuat perubahan terhadap kebijakan keamanan informasi serta berinvestasi pada
solusi baru untuk memastikan bahwa upaya keamanan informasi organisasi mendukung strategi
bisnisnya secara konsisten dengan kebutuhan risiko manjemen.
3
Defense-in-depth secara khusus melibatkan penggunaan sebuah kombinasi dari pengendalian
preventif,detektif, dan korektif. Peran pengendalian preventif adalah untuk membatasi tindakan
individu tertentu agar sesuai dengan kebijakan keamanan organisasi. Oleh karenanya, perlu
untuk melengkapi pengendalian preventif dengan metode-metode untuk mendeteksi insiden dan
prosedur untuk melakukan tindakan perbaikan korektif.
Tujuan dari model keamanan berbasis waktu (time-based model of security) adalah
menggunakan kombinasi perlindungan preventif, detektif, korektif yang melindungi asset
informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan
tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi
hilang atau dirusak. Tujuan ini dapat ditunjukkan dengan sebuah formula yang menggunakan
tiga variable berikut :
D= waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses.
C= waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif
Ketiga variable tersebut kemudian dievaluasi seperti berikut : jika P>D+C, maka prosedur
keamanan organisasi efektif. Jika kebalikannya, keamanan tidaklah efektif.
Langkah-langkah yang dilakukan para penjahat untuk menyerang sistem informasi suatu
perusahaan :
4
tidak merasa curiga untuk memberi akses kepada mereka. Penggunaan tipuan semacam
itu untuk mendapatkan akses tanpa izin terhadap sumber daya informasi disebut dengan
rekayasa social (social engineering).
3. Memindai dan memetakan target (scan and map the target). Jika seorang penyerang tidak
berhasil memasuki system target melalui rekayasa social, langkah selanjutnya adalah
melakukan lebih banyak pengintaian terperinci untuk mengidentifikasi titik-titik potensial
entri jarak jauh.
4. Penelitian (research). Segera setelah penyerang mengidentifikasi target-target spesifik
dan mengetahui jenis versi perangkat lunak yang dijalankan, langkah selanjutnya adalah
melakukan penelitian untuk menemukan kerentanan yang terdeteksi pada program –
program tersebut serta mempelajari bagaimana memanfaatkan kerentanan tersebut.
5. Mengeksekusi serangan ( excute the attack). Penyerang memanfaatkan kerentanan untuk
mendapatkan akses tanpa izin terhadap system informasi target.
6. Menutupi jejak (cover tracks). Setelah memasuki system informasi pengguna, sebagian
besar penyerang berupaya untuk menutupi jejak mereka dan menciptkan “pintu
belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal
mereka diketahui dan pengendalian diimplementasikan untuk mengeblok metode entri
tersebut.
C. Pengendalian Preventif
Pengendalian ini digunakan untuk membatasi akses terhadap sumber daya informasi.
5
COBIT 5 DSS05.04 menekankan perlunya pengendalian untuk mengelola identitas
pengguna dan akses logis, sehingga memungkinkan identifikasi secara khusus siapa saja
yang mengakses system informasi organisasi serta melacak tindakan yang mereka
lakukan.
Pengendalian autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba
untuk mengakses sistem. tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat
mengakses system. Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas
seseorang :
1. Sesuatu yang mereka ketahui,seperti kata sandi atau personel identification number
(PIN).
2. Seuatu yang mereka miliki, seperti kartu pintar atau badge ID.
3. Beberapa karakteristik fisik atau perilaku, seperti sidik jari atau pola tulisan.
Autentikasi multifaktor adalah penggunaan dua atau lebih jenis tanda bukti autentikasi secara
bersamaan untuk mencapai tingkat keamanan yang lebih ketat.Autentikasi multimodal adalah
penggunaan berbagai tanda bukti autentikasi dari jenis yang sama untuk mencapai tingkat
keamanan yang ketat.
Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Tujuannya adalah menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan
dan mengelola pemisahan tugas yang tepat.
COBIT 5 DSS05.01 mendaftar perlindungan malware sebagai salah satu dari kunci
keamanan yang efektif, merekomendasikan secara spesifik :
1. Edukasi kesadaran perangkat lunak jahat.
2. Pemasanga alat perlindungan anti-malware pada seluruh perangkat.
6
3. Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak
anti malware.
4. Tinjauan teratur atas ancaman malware baru.
5. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial.
6. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau tidak
disetujui.
Biasanya, akses ini dilakukan melalui internet, tetapi beberapa organisasi masih mengelola
jaringan hak milik mereka sendiri atau menyediakan akses dial-up langsung melalui modem.
7
Sistem pencegah gangguan (instrusion prevention- IPS): perangkat lunak atau
perangkat keras yang mengawasi pola-pola dalam arus lalu-lintas untuk mengidentifikasi
dan mengeblok serangan secara otomatis.
8
KONFIGURASI ENDPOINT
Kerentanan (vulnerabilities): cacat pada program yang dapat dimanfaatkan baik untuk
merusak sistem maupun mengambil kendalinya.
Pemindai kerentanan (vulnerabilities scanners): alat otomatis yang didesain untuk
mengidentifikasi apakah sebuah sistem bawaan memiliki program yang tidak digunakan
dan tidak perlu serta menunjukkan ancaman keamanan potensial.
Pengukuhan (hardening): proses memodifikasi konfigurasi dasar endpoint untuk
mengeliminasi pengaturan dan layanan yang tidak perlu.
MANAJEMEN AKUN PENGGUNA
Praktik manajemen COBIT 5 DDS05.04 menekankan kebutu han untuk secara hati-hati
mengelola seluruh akun pengguna, terutama akun-akun yang memiliki hak terbatas
(administratif) pada komputer.
DESAIN PERANGKAT LUNAK
Sebagaimana organisasi yang telah meningkatkan keefektifan pengendalian keamanan
perimeternya, para penyerang juga meningkatkan kerentanan yang ditargetkan dalam
program aplikasi.
D. PENGENDALIAN DETEKTIF
9
COBIT 5 DSS05.07 menjelaskan aktivitas-aktivitas yang juga dibutuhkan organisasi untuk
memungkinkan deteksi gangguan dan masalah secara tepat waktu. Bagian ini mendiskusikan
empat jenis pengendalian detektif : analisis log, system deteksi gangguan, pengujian penetrasi,
dan pengawasan berkelanjutan.
ANALISIS LOG
Intrusion detection system (IDS): sebuah sistem yang menghasilkan sejumlah log dari seluruh
lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log
tersebut sebgai tanda atas gangguan yang diupayakan atau berhasil dilakukan.
PENGUJIAN PENETRASI
PENGAWASAN BERKELANJUTAN
E. PENGENDALIAN KOREKTIF
10
Sebuah CIRT harus mengarahkan proses respons insiden oganisasi melalui 4 tahap :
11
BAB III
PENUTUP
A. Kesimpulan
Saat ini, setiap organisasi bergantung pada teknologi informasi (TI-information
technology). Banyak juga organisasi yang setidaknya memindahkan sebagian dari system
informasinya ke cloud. Walaupun keamanan informasi yang efektif mensyaratkan
penggunaan alat-alat berteknologi seperti firewall, antivirus, dan enkripsi, keterlibatan
serta dukungan manajemen senior juga jelas menjadi dasar untuk keberhasilan. Sebagai
contoh, banyak organisasi yang tidak hanya menggunakan firewall, tetapi juga berbagai
metode autentikasi (kata sandi, token, dan biometrika) untuk membatasi akses terhadap
system informasi mereka.
B. Saran
Demikian makalah yang kami buat, semoga dapat bermanfaat bagi pembaca.
Apabila ada saran dan kritik yang ingin di sampaikan, silahkan sampaikan kepada
kami.Apabila ada terdapat kesalahan mohon dapat dimaafkan dan dimaklumi, karena
kami adalah hamba Allah yang tak luput dari salah. Penulis berharap penulis kedepan
lebih baik.
12
DAFTAR PUSTAKA
13