2. Orang-Orang : Pelatihan
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebauh
fasilitator kritis lainnya untuk keamanan informasi yang efektif. Para pegawai harus
memahami cara untuk mengikuti kebijakan keamanan organisasi. Oleh karena itu,
pelatihan adalah sebuah pengendalian preventif yang kritis. Bahkan, pentingnya hal
tersebut tercermin dalam factor bahwa pelatihan kesadaran keamanan dibahas sebagai
sebuah praktik utama guna mendukung beberapa dari 32 proses manajemen COBIT 5.
3. Proses : Pengendalian Akses Pengguna
Organisasi perlu untuk menerapkan satu set pengendalian yang dirancang untuk
melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang
dilakukan oleh pegawai. Untuk mencapai tujuan tersebut maka praktik manajemen
COBIT 5 menekankan perlunya pengendalian untuk mengelola identitas penggunaan
dan akses logis, sehingga memeungkinkan identifikasi secara khusus siapa saja yang
mengakses sistem informasi organisasi serta melacak Tindakan yang mereka lakukan.
Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu :
a) Pengendalian Autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Tujuannya adalah untuk memastikan bahwa
hanya pengguna sah yang dapat mengakses sistem. Tiga jenis bukti yang dapat
digunakan untuk mengidentifikasi identitas sesorang:
Dengan menggunakan kata sandi atau personal identification number (PIN)
Dengan menggunakan kartu pintar atau badge ID
Dengan menggunakan pengidentifikasi biometri, seperti sidik jari atau pola
tulisan
b) Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan
untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap
pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.
Pengendalian Otorisasi biasanya diimplementasikan dengan menciptakan matriks
pengendalian akses. Kemudian ketika seorang pegawaiberusaha mengakses
sumber daya sistem informasi tertentu, sistem akan melakukan uji kompatibilitas
yang mencocokkan tanda bukti autentikasi pengguna dengan matriks
pengendalian akses untuk menentuka sebaiknya pegawai diizinkan atau tidak
untuk mengakses sumber daya dan melakukan Tindakan yang diminta.
4. Solusi TI : Pengendalian Antimalware
Malware (seperti virus, worm, perangkat lunak keystroke logging,dsb) adalah
sebuah ancaman besar. Malware dapat membahayakan atau menghancurkan informasi
atau menghasilkan sebuah cara untuk memperoleh akses tanpa izin. Berikut cara yang
direkomendasikan sebagai salah satu dari kunci keamanan untuk perlindungan dari
malware:
Edukasi kesadaran perangkat lunak jahat
Pemasangan alat perlindungan anti malware pada seluruh perangkat
Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak anti
malware
Tinjauan teratur atas ancaman malware baru
Menyaring lalu lintas masuk untuk mengblok sumber malware potensial
Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau
tidak disetujui
5. Solusi TI : Pengendalian Akses Jaringan
Sebuah pengendalian dimana beberapa organisasi masih mempertahankan
pengelolaan jaringan hak milik mereka sendiri dengan menyediakan dial up langsung
melalui modem dan tidak menggunakan jaringan internet. Berbagai metode yang
dapat digunakan untuk memenuhi salah satu dari praktik manajemen COBIT 5
DSS05.02 yang menunjukkan keamanan jaringan organisasi dan seluruh upaya untuk
tersambung kedalamnya antara lain:
a) Pertahanan Perimeter: Router, Firewall, Dan Sistem Pencegahan Gangguan
Boder router adalah sebuah perangkat yang menghubungkan sistem informasi
organisasi ke internet. Dibalik border router terdapat firewall utama yang
menjadi perangkat keras yang bertujuan khusus.
Firewall adalah perangkat luank yang bekerja pada sebuah komputer yang
bertujuan umum untuk mengendalikan baik komunikasi yang masuk ataupun
keluar anatara sistem dibalik firewall dan jaringan lainnya.
Demilitarized Zone (DMZ) adalah sebuah jaringan terpisah yang berada diluar
sistem informasi internal organisasi serta mengizinkan akses yang
dikendalikan dari internet untuk memilih sumber daya, seperti server jejaring
e-commerce organisasi
Secara bersamaan border router dan firewall bertindak sebagai pwnyaring
untuk mengendalikan informaasi apa yang diizinkan untuk masuk dan keluar
dari sistem informasi organisasi
b) Bagaimana Arus Informasi Pada Jaringan: Tinjauan Menyeluruh TCP/IP Dan
Ethernet
Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer,
seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan kasaus file di
pecah kedalam seri-seri potongan kecil yang dikirim secara individu dan disusun
ulang selama pengiriman. Informasi yang dikerjakan adalah informasi yang
dimuat pada header Transmission Control Protocol (TCP), internet Protocol (IP)
dan Ethernet. Header TCP berisis bidang-bidang yang merinci posisi secara
berurutan dari palet yang berkaitan dengan keseluruha file dan port number padaa
perangkat-perangkat pengiriman dan penerimaan dari asal file hingga ke mana file
tersebut disusun Kembali. Header IP berisi bidang-bidang yang merinci aalamagt
jarinagn dari perangkat pengiriman dan penerimaan.
c) Mengendalikan Akses dengan Paket Penyaringan
Organisai memiliki satu border router atau lebih yang menghubungkan jaringan
internet mereka ke penyedia layanan internet. Boreder router dan firewall utama
organisasi menggunakan seperangkat aturan IF-THEN yang disebut Access
Control List (ACL). ACL digunakan untuk menentukan Tindakan yang dilakukan
pada paket yang tiba. Penyaringan paket adalah sebuah proses yyang
menggunakan berbagai bagian pada header IP dan TCP Pakett untuk memutuskan
Tindakan yang dilakukan.
d) Menggunakan Defense-in-Depth untuk Membatasi akses Jaringan
Salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall internal
untuk membuat segmentasi departemen yang berbeda dalam organisasi. Firewall
internet membantu untuk mempersempit jenis data dan porsi sistem informasi
sebuah organisasi yang dapat diakses seorang pegawai tertentu. Hal ini tidak
hanya meningkatkan keamanan namaun juga memperkuat pengendalian internal
dengan menyediakan sebuah sarana untuk melaksanakan pemisahan tugas.
e) Mengamankan Koneksi Diap-Up
Penting untuk memverifikasi identitas pengguna yang berupaya untuk
mendapatkan akses dial-in dengan cara Remote Authentication Dial-In User
Service (RADIUS). RADIUS adalah sebuah metode standar untuk memverifikasi
identitas pengguna yang berupaya untuk terhubung melalui akses dial-in,
sehungga hanya pengguna yang telah terverifikasi saja yang dapat mengakses
jaringan internet perusahaan.
f) Mengamankan Akses Nirkabel
Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara
memadai yaitu dengan :
Menyalakan fitur keamanan yang tersedia
Membuktikan keabsahan seluruh perangkat yang digunakan untuk
menetapkan akses nirkabel ke jaringan sebelum menentukan sebuah
alamat IP untuk mereka
Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasu
pada modus infrastruktur yang memaksa perangkat lunak untuk hanya
terhubung ke titik akses nirkabel
Menggunakan nama yang non-informatif sebagai alamat titik aksses yang
biasa disebut dengan service set identifier (SSID)
Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya
pada interior gedung, dan menggunakan antenna pengarahan untuk
membuat penerimaan local tanpa izin menjadi lebih sulit
Mengenkripsi seluruh lalu lintas nirkabel
6. Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak
Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server,
printer, dan perangkat lain yang meliputi jaringan organisasi). Yang berhak
mendapatkan perhatian lebih menurut COBIT 5 DSS05.03:
a) Konfigurasi Endpoint, dapat dibuat lebih aman dengan memodifikasi
konfigurasinya
b) Manajemen Akun Pengguna, akun pengguna harus dikelola secara hati-hati,
terutama akun-akun yang memiliki hak yang tidak terbatas (aadministratif) pada
komputer. Oleh karena itu, para pegawai yang memerlukan kewenangan
administrative untuk sebuah komputer khusus harus diberikan dua akun, 1 dengan
hak admistratif dan akun lainnya hanya memiliki keistimewaan terbatas.
c) Desain Perangkat Lunak, limpahan buffer, injeksi SQL, dan cross-site scripting
adalah contoh umum dari serangan-serangan terhadap perangkat lunak, sehingga
perlu menspesifikasikan kebutuhan untuk mendesain keamanan secara cermat ke
dalam seluruh aplikasi baru.
7. Solusi TI : Enkripsi
Enkripsi yaitu memberikan sebuah lapisan pertahanan terakhir untuk mencegah
akses tanpa izin terhadap informasi sensitif.
8. Keamanan Fisik : Pengendalian Akses
Praktik manajemen COBIT 5 DSS05.5 menjelaskan praktik-praktik terbaik
mengenai pengendalian akses fisik, seperti pengendalian akses fisik dimulai dari pintu
masuk ke dalam Gedung itu sendiri. Idealnya sebaiknya hanya terdapat satu pintu
keluar darurat, tetapi pintu darurat tersebut sebaiknya tidak memperkenalkan siapapun
menggunakannya dari luar dan pintu tersebut sebaiknya terhubung dengan sistem
alarm sehingga secara otomatis terpicu kapanpun pintu darurat terbuka. Selain itu,
juga harus ada resepsionis maupun staff keamanan yang harus bertugas di pintu
masuk utama untuk memverifikasi identitas para pegawai. Akses fisik pada ruangan-
ruangan yang menyimpan komputer juga harus dibatasi. Ruangan-ruangan tersebut
harus dikunci secara aman dan seluruh pintu masuk ataupun keluar diawasi dengan
sistem CCTV. Ruangan-ruangan yang menyimpan server, terutama yang memuat data
sensitif harus ditambahi kunci regular dengan teknologi yang lebih kuat (seperti
pembaca kartu, keypad numerik, atau berbagai perangkat biometri seperti retina,
pembaca sidik jari, atau pengenal suara).
Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu dibatasi
untuk mencegah wiretapping. Itu berarti bahwa pengabelan dan wiring seharusnya
tidak dipasang di area yang dapat diakses penyewa lain didalam gedung kantor,
organisasi tersebut harus meletakkan perlengkapan telekomunikasinya didalam
kurungan besi terkunci untuk mencegah akses fisik tanpa izin yang terorotisasi.
9. Pengendalian Perubahan dan Manajemen Perubahan
Penegndalian perubahan dan manajemen perubahan (change control and change
management) mengarah pada proses formal yang digunakan untuk memastikan bahwa
modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi
keandalan suatu sistem.
Pengendalian Detektif
1. Analisis Log adalah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan serangan. Tujuannya adalah untuk mengetahui alasan dari kegagalan
untuk masuk kedalam sistem dan untuk mencatat siapa yang mengakses sistem dan
Tindakan-tindakan tertentu apa saja yang dilakukan setiap pengguna.
2. Sistem Deteksi Gangguan adalah sistem yang menghasilkan sejumlah log dari seluruh
lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis
log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil
dilakukan. IDS dapat dipasang pada sebuah perangkat tertentu untuk mengawasi
upaya tanpa izin untuk mengubah konfigurasi perangkat tersebut.
3. Pengujian Penetrasi adalah sebuah upaya terotoritasi oleh baik tim audit internal
maupun kantor konsultasi keamanan eksternal untuk menerobos ke dalam sisstem
informasi organisasi.
4. Pengawasan Berkelanjutan merupakan pengendalian detektif penting yang dapat
mengidentifikkasi masalah potensial secara tepat waktu.
Pengendalian Korektif
1. Computer Incident Respons Team (CIRT)
Tim perespons insiden komputer adalah sebuah komponen utama agar mampu
merespons insiden keamanan engan tepat dan efektif. CIRT harus mengarahkan
proses respons insiden organisasi melalui 4 tahapan yaitu:
a) Pemberitahuan (recognition) adanya sebuah masalah
b) Penahanan (containment) masalah
c) Pemulihan (recovery)
d) Tindak lanjut (follow up)
2. Chief Information Security Officer
Posisi CISO harus independent dari fungsi-fungsi sistem informasi lainnya. CISO
harus memahami lingkungan teknologi perusahaan dan bekerja dengan chief
information officer (CIO) untuk mendesain, mengimplementasi, serta membangun
kebijakan dan prosedur keamanan yang baik. CISO harus menjadi penilai dan
pengevaluasi yang adil di lingkunga TI. Oleh karena itu, CISO harus memiliki
tanggung jawab untuk memastikan bahwa penilai kerentanan dan risiko dilakukan
secara teratur serta audit keamanan dilkakukan secara periodic. CISO juga perlu
bekerja sama dengan pihak yang berwenang atas keamanan fisik, karena akses fisik
tanpa izin dapat memungkinkan penyusup untuk menerobos pengendalian akses logis
yang paling rumit.
3. Manajemen Patch
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara
teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang digunakan
oleh organisasi. Sejumlah patch mempresentasikan modifikasi perangkat lunak yang
sungguh rumit. Akibatnya patch terkadang menciptakan masalah baru karena dampak
lain yang tidak diantisipasi. Oleh karena itu organisasi perlu menguji dengan cermat
efek dari patch sebelum menyebarkannya.
Implikasi Keamanan Virtualisasi dan Cloud
Virtualisasi memanfaaatkan kekuatan dan kecepatan komputer modern untuk menjalankan
berbagai sistem secara bersamaan pada satu komputer fisik. Komputasi Cloud memanfaatkan
high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para
pegawai menggunakan sebuah browser untuk mengakses perangkat luank dari jarak jauh
(perangkat lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan
sebagai sebuah layanan), perangkat keras (infrastruktur sebagai sebuah layanan), dan seluruh
lingkungan aplikasi (platform sebagai sebuah layanan).