Nama : Abdillah Adib Had Farhan

Kelas : A
NIM : F0322002
Pengendalian dan Keamanan Informasi
Trust service framework semacam kerangka yang berisikan 5 prinsip ke keandalan
sistem (sistem reliability) yaitu :
1. Keamanan (security)
2. Kerahasiaan (confidentiality)
3. Privasi
4. Integritas Pemrosesan Data di
5. Ketersediaan (availability)
Dua konsep keamanan informasi fundamental
1. Security Life Cycle
Meskipun keamanan informasi yang efektif membutuhkan alat-alat teknologi seperti
firewall, antivirus, dan enkripsi, keterlibatan dan dukungan dari manajemen senior di
seluruh fase security life cycle sangat penting untuk keberhasilan sistem keamanan
informasi.
2. Security Approach
Tujuan dari model keamanan informasi berbasis waktu adalah untuk menerapkan
kombinasi kontrol preventif, detektif, dan korektif untuk melindungi aset informasi
yang cukup lama bagi organisasi untuk mendeteksi bahwa serangan/ancaman sedang
terjadi dan untuk mengambil langkah tepat waktu dalam menggagalkan
serangan/ancaman tersebut sebelum semua informasi terhapus
Pengendalian Preventif
- Pengendalian preventif : Orang
1. ORANG - ORANG : Penciptaan sebuah budaya “sadar keamanan” , Dalam kerangka
COSO dan COSO-ERM(Enterprise Risk Management) menekankan sikap dan perilaku risiko
manajemen puncak yang telah menciptakan lingkungan yang baik untuk mendorong
pengendalian internal ataupun lingkungan yang meniadakan kebijakan pengendalian secara
efektif.
2. ORANG - ORANG : Pelatihan, Seluruh pegawai harus diajarkan tentang pentingnya
ukuran-ukuran keamanan bagi kebertahanan jangka-panjang sebuah organisasi. Maka,
mereka juga perlu dilatih untuk mengikutin praktik-praktik komputasi yang aman, seperti
jangan membuka lampiran email yang tidak diinginkan, hanya menggunakan perangkat lunak
yang disetujui, tidak membagikan kata sandi, dan mengambil Langkah untuk melindungi
laptop secara fisik.
- Pengendalian preventif : Proses
1. PROSES : Pengendalian akses pengguna, Pentingnya untuk memahami bahwa “orang
luar” bukan satu-satunya sumber ancaman. Maka dari itum sebuah perusahaan perlu
menerapkan satu set pengendalian yang telah dirancang untuk melindungi asset informasi
mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai.
2. PENGENDALIAN AUTENTIKASI , Autentikasi(authentication)adalah proses verifikasi
identitas seseorang atau perangkat yang mencoba untuk mengakes sistem. Tujuannya untuk
memastikan bahwa hanya pengguna sah yang dapat mengakses sistem.
- Preventif : Solusi Teknologi Informasi
1. Solusi TI : Pengendalian Antimalware
2. Solusi TI : Pengendalian Akses Jaringan
3. Solusi TI : Pengendalian pengukuhan peralatan dan perangkat lunak
4. Solusi TI : Enkripsi
Pengendalian Dedektif
1. Log Analysis memeriksa log untuk mengidentifikasi bukti kemungkinan serangan
2. Sistem Deteksi Gangguan (IDSs) sistem yang menciptakan log lalu lintas jaringan yang
diizinkan untuk melewati firewall dan kemudian menganalisis log tersebut untuk mencari
tanda-tanda intrusi yang dicoba atau berhasil
3. Pengawasan berkelanjutan, kepatuhan karyawan terhadap kebijakan keamanan informasi
organisasi dan kinerja keseluruhan proses bisnis
4. Pengujian penetrasi, Dua dari bagian proses pengendalian COBIT 5 menyatakan
kebutuhan untuk secara periodic menguji efektivitas proses bisnis dan pengendalian internal
(termasuk prosedur keamanan). Dalam hal ini membahas penggunaan pemindai kerentanan
untuk mengidentifikasi kelemahan potensial dalam konfigurasi sistem.
Response
1. Response - Computer Incident Response Teams (CIRT) Komponen utama untuk dapat
menanggapi insiden keamanan dengan cepat dan efektif adalah pembentukan CIRT.
2. Chief Information Security Officer (CISO) COBIT 5 mengidentifikasi struktur organisasi
sebagai enabler penting untuk mencapai kontrol dan keamanan yang efektif. Sangat penting
bahwa organisasi memberikan tanggung jawab untuk keamanan informasi kepada seseorang
di tingkat manajemen senior.
 Pertanyaan :
Misal sebuah perusahaan yang mempekerjakan seorang karyawan baru untuk
mengelola sistem informasi akuntansi mereka, tetapi tidak melakukan pemeriksaan latar
belakang yang memadai. Karyawan tersebut akhirnya mengakses dan mencuri data keuangan
perusahaan. Apa yang dapat dilakukan perusahaan untuk mencegah terjadinya kasus serupa
di masa depan dan meningkatkan keamanan informasi mereka?