• COBIT lahir tahun 1996 dari hasil riset yang dilakukan ISACF (Information
Systems Audit and Control Foundation), yaitu sebuah badan riset bentukan
ISACA.
• COBIT mengemukakan bahwa fokus pengendalian adalah terletak pada
proses kegiatan (business processes)nya, dimana setiap proses kegiatan
dibuatkan daftar ‘control objectives’-nya, yaitu control atau pengendalian
yang diciptakan dan digunakan untuk mencapai tujuan kegiatan dimaksud
Data
Applica
People tion
systems
COBIT
Facilitie Technol
s ogy
Kerahasiaan
(confidentiality)
03 04 Integritas (integrity)
Ketersediaan (availability)
06 05 Ketaatan (compliance)
Andal/dapat dipercaya 07
(reliability)
© Copyright Yayasan Pendidikan Internal Audit
3. ISO 27000 Series
• ISO 27000 Series (mengacu kepada beberapa seri dalam range 27000) merupakan
standard dalam information security manajemen system yang dikembangan oleh
International Organization for standardization (ISO).
• Dalam sejarahnya ISO 27000 Series tidak lepas dari standard sebelumnya yang terkait juga
dengan keamanan informasi yakni BS (British Standard) 7799 dan ISO 17799.
• Pemindahan seri ini bertujuan untuk mengelompokkan seri-seri terkait standard keamanan
informasi dalam satu seri.
• 114 information
security standard
controls organized in 14
areas.
• Pertama kali diterbitkan pada tahun 1990, Institut Nasional Standar dan
Teknologi Publikasi Khusus 800-53 (NIST SP 800-53) menyediakan panduan
untuk membantu lembaga pemerintah federal AS mematuhi Standar
Pemrosesan Informasi Federal (FIPS).
• Meskipun kerangka kerja menetapkan standar keamanan dan pedoman
untuk lembaga pemerintah dan sistem informasi federal, kerangka ini juga
diikuti secara luas di sektor swasta. Secara umum dianggap mewakili praktik
terbaik industri
Implementation
Framework Framework
Framework Core Level Profile
menyediakan membantu organisasi digunakan untuk
serangkaian kegiatan memandang manajemen mengidentifikasi dan
cybersecurity risiko keamanan siber memprioritaskan
peluang
01 02 03
• Physical Security atau keamanan fisik membahas ancaman, kerawanan dan tindakan
yang dapat diambil untuk memberi perlindungan fisik tehadap sumber daya
organisasi dan informasi yang sensitif.
• Sistem keamanan fisik sering mengacu pada tindakan yang diambil untuk
melindungi sistem, gedung dan infrastruktur pendukung yang terkait terhadap
ancaman yang berhubungan dengan lingkungan fisik.
• Secara singkat Physical Security dapat diartikan sebagai keamanan infrastruktur
teknologi informasi secara fisik.
Level 4
Level 3 Keamanan
Keseluruhan
Level 2 Keamanan informasi
02 Mengurangi kerugian
• Integritas data mengacu pada akurasi dan konsistensi (validitas) data selama
siklus hidupnya.
• Menjaga integritas data adalah fokus inti dari banyak solusi keamanan
perusahaan. Setiap kali data direplikasi atau ditransfer, itu harus tetap utuh
dan tidak berubah di antara pembaruan.
• Metode pengecekan kesalahan dan prosedur validasi biasanya diandalkan
untuk memastikan integritas data yang ditransfer atau direproduksi tanpa
maksud perubahan.
• Integritas data sebagai keadaan mendefinisikan kumpulan data yang valid dan
akurat.
• Di sisi lain, integritas data sebagai suatu proses, menggambarkan langkah-
langkah yang digunakan untuk memastikan validitas dan akurasi sebagian
data atau semua data yang terkandung dalam database atau konstruk
lainnya.
• Misalnya, metode pengecekan kesalahan dan validasi dapat disebut sebagai
proses integritas data.
Kesalahan manusia
Bug, virus/malware,
peretasan, & ancaman
cyber
Perangkat keras yang
dikompromikan
Integritas
Entity Integritas Integritas
Buatan
Integrity Referensial Domain
(Primary Key) (Foreign Key) (Range Values) Pengguna
(Flag)
Sebelum sebuah keamanan fisik yang efisien dipenuhi, langkah-langkah berikut harus telah dilakukan:
Mengembangkan kriteria
dari hasil analisis, dan Mengidentifikasi dan Terus menerus
Membuat pengukuran
tindakan
memikirkan level mengimplementasika mengawasi setiap
keamanan dan kekuatan n tindakan tindakan
yang dibutuhkan
Company Surroundings
Reception
Server
Workstation Area
Access Control
Wiretapping
Remote Access
Lindungi printer
Anda
Rounding Salami
Data Diddling Trojan Horses Virus
Down Techniques
Asynchronous
Worms Logic Bombs Trap Doors Data Leakage
Attack
File
File-
program Bagian boot
directory File Data
yang dapat dan sistem
system
dieksekusi
Integrity
Checkers
Active
Monitors
Scanners
Former
Hackers Employees IS Personnel End Users
Employees
Interested or
Kejahatan
Educated Pesaing Pihak asing Crackers
terorganisasi
Outsiders
Part-time and
Vendors and Accidental
Phreackers Temporary
Consultants Ignorant
Personnel
Pemantauan
Adanya
aktivitas tidak
keraguan pada
dilakukan secara
security
teratur
Firewall yang
konfigurasinya
salah
1. Kurangnya enkripsi - organisasi perlu menginstal perangkat lunak terpisah atau alat enkripsi untuk memastikan
bahwa data mereka dienkripsi.
2. Penyimpanan cloud - Semakin banyak perusahaan yang memilih untuk menyimpan data mereka di cloud karena
lebih aman daripada penyimpanan internal. Cloud mengharuskan personel penyimpanan untuk mempelajari alat
baru dan menerapkan prosedur baru untuk memastikan bahwa data diamankan dengan memadai.
3. Penghancuran data yang tidak lengkap - Ketika data dihapus dari hard drive atau media penyimpanan lain, data
tersebut dapat meninggalkan jejak yang memungkinkan individu yang tidak berwenang untuk memulihkan
informasi itu.
4. Kurangnya keamanan fisik - Beberapa organisasi tidak cukup memperhatikan keamanan fisik yang dilakukan oleh
orang dalam, seperti karyawan atau anggota kru pembersih, mereka mungkin dapat mengakses perangkat
penyimpanan fisik dan mengekstraksi data, melewati semua sistem keamanan yang diterapkan
Kebijakan
Keamanan
keamanan
Enkripsi jaringan yang Redundansi
penyimpanan
kuat
data
Pencegahan Keamanan
Kontrol akses kehilangan titik akhir
data yang kuat
Produk, layanan,
Kelangsungan dan model bisnis
hidup baru
Keintiman
Keunggulan
pelanggan dan
kompetitif
pemasok
Pengambilan
keputusan yang
lebih baik
© Copyright Yayasan Pendidikan Internal Audit
3. Malicious Software
IDS network-based
• ditempatkan diantara Internet dan firewall, hal itu akan mendeteksi
semua usaha serangan, memasuki atau tidak memasuki firewall
IDS host-based
• dikonfigurasikan untuk suatu lingkungan spesifik dan akan memantau
berbagai sumberdaya internal dari sistem operasi untuk memberi
peringatan adanya kemungkinan serangan.
Jadi, bagaimana Anda tahu kapan data Anda memiliki integritas? Anda harus melihat fitur-fitur
berikut:
Input Validasi
Validasi Data
Mencadangkan Data
Kontrol Akses
Privasi informasi dianggap sebagai aspek penting dari berbagi informasi. Privasi informasi
berkaitan dengan berbagai tipe data, termasuk:
Privasi Privasi
medis internet
Privasi
keuangan
© Copyright Yayasan Pendidikan Internal Audit
D. Authentication and Encryption
Enkripsi merupakan proses pengkonversian suatu pesan plaintext ke dalam bentuk teks
yang dikodekan untuk pengamanannya yang disebut Ciphertext. Ciphertext tidak dapat
dibaca dan dimengerti tanpa mengkonversinya kembali melalui proses
pembalikan/dekripsi ke format plaintext
Encryption Decryption
Enkripsi
Mengurangi dan mendeteksi
perubahan data
• Sistem enkripsi asimetris, sering disebut sistem kriptografi kunci public (public
key cryptographic system), menjawab kesulitan yang dihadapi dalam
mendistribusikan kunci simetris kepada pihak yang melakukan transaksi
namun tidak saling kenal sebelumnya.
• Sistem enkripsi asimetris menggunakan 2 (dua) kunci yang bekerja sebagai
suatu pasangan. Satu kunci digunakan untuk mengenkripsi data, dan kunci
lainnya digunakan untuk mendekripsi data.
Integritas Data
Otentikasi
Digital
Signature
Non–repudiation
Replay protection