RESUME BAB 8

Kelas: Sistem Informasi Akuntansi (C)

Prodi: S1 Akuntansi
Anggota Kelompok H:
 Nova Fadia Annaja (220810301156)
 Muthia Amanda Khansa (220810301072)
 Calvin Nathaniel Cristanto (220810301210)

PENGENDALIAN UNTUK KEAMANAN INFORMASI

Berdasarkan Cabit 5 yang terkait langsung dengan keandalan sebuah sistem informasi
dan kepatuhan terhadap standar peraturan. Trust Services Framework yang dikembangkan
secara bersamaan oleh AICPA dan CICA dapat menyediakan panduan penilaian keandalan
sistem informasi.
Trust Service Framework untuk mengatur pengendalian TI ke dalam lima prinsip yang
berkomtribusi secara bersamaan terhadap keandalan sistem:
1. Keamanan (security) yaitu akses (baik secara fisik maupun logis) terhadap sistem dan
data di dalamnya dikendalikan secara terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality) yaitu informasi keorganisasian yang sensitif (seperti
rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy) yaitu informasi pribadi tentang pelanggan, pegawai, pemasok, atau
rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) yaitu suatu data yang diproses secara
akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability) yaitu sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
Dua Konsep Keamanan Informasi Fundamental
1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi
Keamanan informasi yang efektif mensyaratkan penggunaan alat-alat berteknologi
seperti farewall, antivirus, dan enkripsi namun keterlibatan serta dukungan
manajemen senior juga menjadi dasar untuk keberhasilan. Para professional
keamanan informasi harus memiliki keahlian dalam mengidentifikasi ancaman
potensial dan mengestimasikan kemungkinan serta dampaknya, dimana manajemen
senior harus mampu memilih mana dari 4 respon resioko (menurunkan, menerima,
membagi atau menghindari) yang sesuai untuk diadopsi sehingga sumber daya yang
diinvestasikan pada keamanan informasi menunjukan kebutuhan risiko organisasi.
2. Defense-In-Depth dan model keamanan informasi berbasis waktu
Adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin
kegagalan. Contohnya penggunaan Firewall yang didukung pula dengan penggunaan
metode autentifikasi untuk membatasi akses terhadap sistem informasi.
 Penggunaan pengendalian yang tumpeng tindih, saling melengkapi dan berulang dapat
meningkatkan keseluruhan aktivitas karena jika satu pengendalian gagal atau terlewat maka
yang lainnya dapat berfungsi seperti yang direncanakan. Konsep ini juga merupakan
kombinasi dari pengendalian preventif, detektif, dan korektif.
Model keamanan berbasis waktu adalah menggunakan kombinasi perlindungan
preventif, detektif, korektif yang melindungi asset informasi cukup lama agar memungkinkan
organisasi untuk mengenali bahwa sebuah serangan sedang terjadi dan mengambil langkah-
langkah untuk menggalkannya sebelum informasi hilang atau dirusak.
Model ini ditunjukan dengan formula dengan menggunakan 3 variabel sebagai berikut :
P = Waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif
organisasi
D = Waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan dalam proses
C = Waktu yang diperlukan untuk merespons serangan dengan mengambil Tindakan korektif
Jika P > D + C, Maka prosedur keamanan organisasi efektif dan jika sebaliknya maka
pengendalian tidaklah efektif.

Memahami serangan yang ditargetkan

Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi
suatu perusahaan:
 Melakukan Pengintaian (conduct reconnaissance). Para perampok mempelajari tata
ruang fisik target mereka untuk memahami pengendalian yang dimiliki oleh tempat
tersebut. Tujuannya untuk mempelajari sebanyak mungkin tentang target mereka serta
mengidentifikasikan kerentanan potensial.
 Mengupayakan Rekayasa Sosial (attempt social engineering). Penyerang biasanya
mencoba menggunakan informasi yang didapatkan selama pengintaian awal untuk
mengelabui seorang pegawai yang tidak merasa curiga untuk memberi akses kepada
mereka. Rekayasa sosial dapat terjadi melalui banyak cara, hanya dibatasi oleh
kreativitas dan imajinasi penyerang. Biasanya melalui telepon, email, dan
menyebarkan USB Drives di area parker suatu organisasi yang menjadi target.
 Memindai dan Memetakan target (scan and map the target). Dengan melakukan
terperinci untuk mengidentifikasi titik-titik potensial entri jarak jauh. Penyerang
menggunakan berbagai alat otomatis untuk mengidentifikasi komputer yang dapat
dikendalikan dari jarak jauh serta berbagai jenis perangkat lunak yang mereka
jalankan.
 Penelitian (research). Melakukan penelitian untuk menemukan kerentanan untuk
mendapatkan akses tanpa izin terhadap sistem informasi target.
 Menutupi Jejak (cover tracks). Setelah memasuki sistem informasi pengguna,
Sebagian besar penyerang berupaya untuk menutupi jejak mereka dan menciptakan
“pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan
awal mereka diketahui dan pengendalian di implementasikan untuk mengeblok
metode entri tersebut.
Pengendalian Preventif
1. Orang-Orang : Penciptaan Sebuah Budaya “Sadar Keamanan”
Untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi
kebijakan keorganisasian, manajemen puncak tidak harus memandu dengan
mengomunikasikan kebijakan keamanan organisasi, tetapi harus memandu dengan
mencontohkannya. Para pegawai cenderung patuh dengan kebijakan keamanan
informasi ketika mereka melihat manjer mereka juga melakukannya. Sebaliknya, jika
para pegawai mengamati manajernya melanggar sebuah kebijakan keamanan
informasi, contohnya menuliskan kata sandi dan menempelkannya di sebuah monitor,
maka mereka cenderung meniru perilaku tersebut.

2. Orang-Orang : Pelatihan
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebauh
fasilitator kritis lainnya untuk keamanan informasi yang efektif. Para pegawai harus
memahami cara untuk mengikuti kebijakan keamanan organisasi. Oleh karena itu,
pelatihan adalah sebuah pengendalian preventif yang kritis. Bahkan, pentingnya hal
tersebut tercermin dalam factor bahwa pelatihan kesadaran keamanan dibahas sebagai
sebuah praktik utama guna mendukung beberapa dari 32 proses manajemen COBIT 5.
3. Proses : Pengendalian Akses Pengguna
Organisasi perlu untuk menerapkan satu set pengendalian yang dirancang untuk
melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang
dilakukan oleh pegawai. Untuk mencapai tujuan tersebut maka praktik manajemen
COBIT 5 menekankan perlunya pengendalian untuk mengelola identitas penggunaan
dan akses logis, sehingga memeungkinkan identifikasi secara khusus siapa saja yang
mengakses sistem informasi organisasi serta melacak Tindakan yang mereka lakukan.
Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu :
a) Pengendalian Autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Tujuannya adalah untuk memastikan bahwa
hanya pengguna sah yang dapat mengakses sistem. Tiga jenis bukti yang dapat
digunakan untuk mengidentifikasi identitas sesorang:
 Dengan menggunakan kata sandi atau personal identification number (PIN)
 Dengan menggunakan kartu pintar atau badge ID
 Dengan menggunakan pengidentifikasi biometri, seperti sidik jari atau pola
tulisan
b) Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan
untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap
pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.
Pengendalian Otorisasi biasanya diimplementasikan dengan menciptakan matriks
pengendalian akses. Kemudian ketika seorang pegawaiberusaha mengakses
sumber daya sistem informasi tertentu, sistem akan melakukan uji kompatibilitas
 yang mencocokkan tanda bukti autentikasi pengguna dengan matriks
pengendalian akses untuk menentuka sebaiknya pegawai diizinkan atau tidak
untuk mengakses sumber daya dan melakukan Tindakan yang diminta.
4. Solusi TI : Pengendalian Antimalware
Malware (seperti virus, worm, perangkat lunak keystroke logging,dsb) adalah
sebuah ancaman besar. Malware dapat membahayakan atau menghancurkan informasi
atau menghasilkan sebuah cara untuk memperoleh akses tanpa izin. Berikut cara yang
direkomendasikan sebagai salah satu dari kunci keamanan untuk perlindungan dari
malware:
 Edukasi kesadaran perangkat lunak jahat
 Pemasangan alat perlindungan anti malware pada seluruh perangkat
 Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak anti
malware
 Tinjauan teratur atas ancaman malware baru
 Menyaring lalu lintas masuk untuk mengblok sumber malware potensial
 Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau
tidak disetujui
5. Solusi TI : Pengendalian Akses Jaringan
Sebuah pengendalian dimana beberapa organisasi masih mempertahankan
pengelolaan jaringan hak milik mereka sendiri dengan menyediakan dial up langsung
melalui modem dan tidak menggunakan jaringan internet. Berbagai metode yang
dapat digunakan untuk memenuhi salah satu dari praktik manajemen COBIT 5
DSS05.02 yang menunjukkan keamanan jaringan organisasi dan seluruh upaya untuk
tersambung kedalamnya antara lain:
a) Pertahanan Perimeter: Router, Firewall, Dan Sistem Pencegahan Gangguan
 Boder router adalah sebuah perangkat yang menghubungkan sistem informasi
organisasi ke internet. Dibalik border router terdapat firewall utama yang
menjadi perangkat keras yang bertujuan khusus.
 Firewall adalah perangkat luank yang bekerja pada sebuah komputer yang
bertujuan umum untuk mengendalikan baik komunikasi yang masuk ataupun
keluar anatara sistem dibalik firewall dan jaringan lainnya.
 Demilitarized Zone (DMZ) adalah sebuah jaringan terpisah yang berada diluar
sistem informasi internal organisasi serta mengizinkan akses yang
dikendalikan dari internet untuk memilih sumber daya, seperti server jejaring
e-commerce organisasi
 Secara bersamaan border router dan firewall bertindak sebagai pwnyaring
untuk mengendalikan informaasi apa yang diizinkan untuk masuk dan keluar
dari sistem informasi organisasi
b) Bagaimana Arus Informasi Pada Jaringan: Tinjauan Menyeluruh TCP/IP Dan
Ethernet
Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer,
seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan kasaus file di
pecah kedalam seri-seri potongan kecil yang dikirim secara individu dan disusun
ulang selama pengiriman. Informasi yang dikerjakan adalah informasi yang
dimuat pada header Transmission Control Protocol (TCP), internet Protocol (IP)
dan Ethernet. Header TCP berisis bidang-bidang yang merinci posisi secara
 berurutan dari palet yang berkaitan dengan keseluruha file dan port number padaa
perangkat-perangkat pengiriman dan penerimaan dari asal file hingga ke mana file
tersebut disusun Kembali. Header IP berisi bidang-bidang yang merinci aalamagt
jarinagn dari perangkat pengiriman dan penerimaan.
c) Mengendalikan Akses dengan Paket Penyaringan
Organisai memiliki satu border router atau lebih yang menghubungkan jaringan
internet mereka ke penyedia layanan internet. Boreder router dan firewall utama
organisasi menggunakan seperangkat aturan IF-THEN yang disebut Access
Control List (ACL). ACL digunakan untuk menentukan Tindakan yang dilakukan
pada paket yang tiba. Penyaringan paket adalah sebuah proses yyang
menggunakan berbagai bagian pada header IP dan TCP Pakett untuk memutuskan
Tindakan yang dilakukan.
d) Menggunakan Defense-in-Depth untuk Membatasi akses Jaringan
Salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall internal
untuk membuat segmentasi departemen yang berbeda dalam organisasi. Firewall
internet membantu untuk mempersempit jenis data dan porsi sistem informasi
sebuah organisasi yang dapat diakses seorang pegawai tertentu. Hal ini tidak
hanya meningkatkan keamanan namaun juga memperkuat pengendalian internal
dengan menyediakan sebuah sarana untuk melaksanakan pemisahan tugas.
e) Mengamankan Koneksi Diap-Up
Penting untuk memverifikasi identitas pengguna yang berupaya untuk
mendapatkan akses dial-in dengan cara Remote Authentication Dial-In User
Service (RADIUS). RADIUS adalah sebuah metode standar untuk memverifikasi
identitas pengguna yang berupaya untuk terhubung melalui akses dial-in,
sehungga hanya pengguna yang telah terverifikasi saja yang dapat mengakses
jaringan internet perusahaan.
f) Mengamankan Akses Nirkabel
Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara
memadai yaitu dengan :
 Menyalakan fitur keamanan yang tersedia
 Membuktikan keabsahan seluruh perangkat yang digunakan untuk
menetapkan akses nirkabel ke jaringan sebelum menentukan sebuah
alamat IP untuk mereka
 Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasu
pada modus infrastruktur yang memaksa perangkat lunak untuk hanya
terhubung ke titik akses nirkabel
 Menggunakan nama yang non-informatif sebagai alamat titik aksses yang
biasa disebut dengan service set identifier (SSID)
 Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya
pada interior gedung, dan menggunakan antenna pengarahan untuk
membuat penerimaan local tanpa izin menjadi lebih sulit
 Mengenkripsi seluruh lalu lintas nirkabel
6. Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak
Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server,
printer, dan perangkat lain yang meliputi jaringan organisasi). Yang berhak
mendapatkan perhatian lebih menurut COBIT 5 DSS05.03:
 a) Konfigurasi Endpoint, dapat dibuat lebih aman dengan memodifikasi
konfigurasinya
b) Manajemen Akun Pengguna, akun pengguna harus dikelola secara hati-hati,
terutama akun-akun yang memiliki hak yang tidak terbatas (aadministratif) pada
komputer. Oleh karena itu, para pegawai yang memerlukan kewenangan
administrative untuk sebuah komputer khusus harus diberikan dua akun, 1 dengan
hak admistratif dan akun lainnya hanya memiliki keistimewaan terbatas.
c) Desain Perangkat Lunak, limpahan buffer, injeksi SQL, dan cross-site scripting
adalah contoh umum dari serangan-serangan terhadap perangkat lunak, sehingga
perlu menspesifikasikan kebutuhan untuk mendesain keamanan secara cermat ke
dalam seluruh aplikasi baru.
7. Solusi TI : Enkripsi
Enkripsi yaitu memberikan sebuah lapisan pertahanan terakhir untuk mencegah
akses tanpa izin terhadap informasi sensitif.
8. Keamanan Fisik : Pengendalian Akses
Praktik manajemen COBIT 5 DSS05.5 menjelaskan praktik-praktik terbaik
mengenai pengendalian akses fisik, seperti pengendalian akses fisik dimulai dari pintu
masuk ke dalam Gedung itu sendiri. Idealnya sebaiknya hanya terdapat satu pintu
keluar darurat, tetapi pintu darurat tersebut sebaiknya tidak memperkenalkan siapapun
menggunakannya dari luar dan pintu tersebut sebaiknya terhubung dengan sistem
alarm sehingga secara otomatis terpicu kapanpun pintu darurat terbuka. Selain itu,
juga harus ada resepsionis maupun staff keamanan yang harus bertugas di pintu
masuk utama untuk memverifikasi identitas para pegawai. Akses fisik pada ruangan-
ruangan yang menyimpan komputer juga harus dibatasi. Ruangan-ruangan tersebut
harus dikunci secara aman dan seluruh pintu masuk ataupun keluar diawasi dengan
sistem CCTV. Ruangan-ruangan yang menyimpan server, terutama yang memuat data
sensitif harus ditambahi kunci regular dengan teknologi yang lebih kuat (seperti
pembaca kartu, keypad numerik, atau berbagai perangkat biometri seperti retina,
pembaca sidik jari, atau pengenal suara).
Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu dibatasi
untuk mencegah wiretapping. Itu berarti bahwa pengabelan dan wiring seharusnya
tidak dipasang di area yang dapat diakses penyewa lain didalam gedung kantor,
organisasi tersebut harus meletakkan perlengkapan telekomunikasinya didalam
kurungan besi terkunci untuk mencegah akses fisik tanpa izin yang terorotisasi.
9. Pengendalian Perubahan dan Manajemen Perubahan
Penegndalian perubahan dan manajemen perubahan (change control and change
management) mengarah pada proses formal yang digunakan untuk memastikan bahwa
modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi
keandalan suatu sistem.
Pengendalian Detektif
1. Analisis Log adalah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan serangan. Tujuannya adalah untuk mengetahui alasan dari kegagalan
untuk masuk kedalam sistem dan untuk mencatat siapa yang mengakses sistem dan
Tindakan-tindakan tertentu apa saja yang dilakukan setiap pengguna.
 2. Sistem Deteksi Gangguan adalah sistem yang menghasilkan sejumlah log dari seluruh
lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis
log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil
dilakukan. IDS dapat dipasang pada sebuah perangkat tertentu untuk mengawasi
upaya tanpa izin untuk mengubah konfigurasi perangkat tersebut.
3. Pengujian Penetrasi adalah sebuah upaya terotoritasi oleh baik tim audit internal
maupun kantor konsultasi keamanan eksternal untuk menerobos ke dalam sisstem
informasi organisasi.
4. Pengawasan Berkelanjutan merupakan pengendalian detektif penting yang dapat
mengidentifikkasi masalah potensial secara tepat waktu.
Pengendalian Korektif
1. Computer Incident Respons Team (CIRT)
Tim perespons insiden komputer adalah sebuah komponen utama agar mampu
merespons insiden keamanan engan tepat dan efektif. CIRT harus mengarahkan
proses respons insiden organisasi melalui 4 tahapan yaitu:
a) Pemberitahuan (recognition) adanya sebuah masalah
b) Penahanan (containment) masalah
c) Pemulihan (recovery)
d) Tindak lanjut (follow up)
2. Chief Information Security Officer
Posisi CISO harus independent dari fungsi-fungsi sistem informasi lainnya. CISO
harus memahami lingkungan teknologi perusahaan dan bekerja dengan chief
information officer (CIO) untuk mendesain, mengimplementasi, serta membangun
kebijakan dan prosedur keamanan yang baik. CISO harus menjadi penilai dan
pengevaluasi yang adil di lingkunga TI. Oleh karena itu, CISO harus memiliki
tanggung jawab untuk memastikan bahwa penilai kerentanan dan risiko dilakukan
secara teratur serta audit keamanan dilkakukan secara periodic. CISO juga perlu
bekerja sama dengan pihak yang berwenang atas keamanan fisik, karena akses fisik
tanpa izin dapat memungkinkan penyusup untuk menerobos pengendalian akses logis
yang paling rumit.
3. Manajemen Patch
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara
teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang digunakan
oleh organisasi. Sejumlah patch mempresentasikan modifikasi perangkat lunak yang
sungguh rumit. Akibatnya patch terkadang menciptakan masalah baru karena dampak
lain yang tidak diantisipasi. Oleh karena itu organisasi perlu menguji dengan cermat
efek dari patch sebelum menyebarkannya.
Implikasi Keamanan Virtualisasi dan Cloud
Virtualisasi memanfaaatkan kekuatan dan kecepatan komputer modern untuk menjalankan
berbagai sistem secara bersamaan pada satu komputer fisik. Komputasi Cloud memanfaatkan
high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para
pegawai menggunakan sebuah browser untuk mengakses perangkat luank dari jarak jauh
(perangkat lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan
sebagai sebuah layanan), perangkat keras (infrastruktur sebagai sebuah layanan), dan seluruh
lingkungan aplikasi (platform sebagai sebuah layanan).