Manusia: Pelatihan
COBIT 5 mengidentifikasi skil dan kompetensi pegawai
sebagai suatu hal yang penting untuk efektifitas keamanan
informasi. Karyawan harus memahami bagaimana
mematuhi kebijakan keamanan perusahaan. Oleh karena
itu pelatihan adalah pengendalian pencegahan yang
baik bahkan begitu pentingnya, fakta bahwa pelatihan
kesadaran keamanan didiskusikan sebagai sebuah kegiatan
kunci yang mendukung beberapa proses manajemen
dalam COBIT 5. Pelatihan ini juga penting bagi manajemen
senior, karena beberapa tahun terakhir ini beberapa
serangan social engineering seperti phising juga ditargetkan
ke mereka.
PENGENDALIAN PENCEGAHAN
Proses: Pengendalian Akses Pengguna
Organisasi perlu untuk menerapkan sistem pengendalian untuk melindungi aset berupa
informasi dari akses dan penggunaan yang tidak sah oleh karyawan. COBIT 5
mempraktekkan DSS05.04 yang terdiri dari dua tipe pengendalian akses pengguna yang
saling berhubungan namun berbeda yaitu:
1. Pengendalian pembuktian keaslian yaitu suatu proses memverifikasi identitas dari
seseorang atau perangkat yang mengakses suatu sistem. Ada 3 tipe surat/cara untuk
memverifikasi seseoarang yaitu:
Sesuatu yang diketahui yaitu password atau PIN
Sesuatu yang dimiliki yaitu id card atau smart card
Suatu karakteristik fisik atau perilaku (disebut juga biometric identifier) seperti fingerprint
atau typing patterns.
2. Pengendalian kewenangan (otorisasi) yaitu proses membatasi akses bagi pengguna yang
berhak pada bagian tertentu saja dari sebuah sistem dan membatasi tindakan apa yang
diizinkan untuk bisa dilakukan. COBIT 5 praktek manajemen DSS06.03 menjelaskan
tujuannya adalah untuk mengatur hak dan kewenangan pegawai dalam konteks
menyelenggarakan dan mengelola fungsi pemisahan tanggung jawab.
PENGENDALIAN PENCEGAHAN
Solusi IT: Pengendalian menggunakan Antimalware
Malware (seperti virus, worms, trojan, software keystroke logging) adalah ancaman utama. Malware dapat
merusak dan menghancurkan informasi atau menyediakan akses ilegal. Oleh karena itu COBIT 5 bagian
yang mendaftar perlindungan malware sebagai salah satu kunci bagi efektivitas keamanan, secara khusus
merekomendasikan:
1. Pendidikan kesadaran akan software yang mengganggu
2. Pemasangan alat perlindungan anti malware pada semua perangkat
3. Manajemen yang terpusat untuk patches dan updatenya bagi software antimalware
4. Review secara reguler terhadap ancaman malware baru
5. Memfilter lalu lintas data untuk membentengi dari sumber-sumber yang berpotensi membawa malware
6. Pelatihan karyawan supaya tidak menginstall software gratisan atau ilegal.
Solusi IT: Pengendalian terhadap Akses Jaringan
Kebanyakan organisasi menyediakan akses jarak jauh untuk mengakses sistem informasi bagi karyawan,
pelanggan, dan suplier. Biasanya akses ini menggunakan fasilitas internet, tetapi beberapa organisasi masih
mengelola jaringan pribadi mereka atau menyediakan akses dial-up melaluui modem. Selain itu juga ada yang
menyediakan akses wireless bagi sistem mereka. Terdapat beberapa metode yang digunakan untuk mendukung
COBIT 5 praktik manajemen DSS05.02 yang menjelaskan keamanan dari jaringan organisasi dan hal-hal yang
terkait.
PENGENDALIAN PENCEGAHAN
Solusi IT: Enkripsi
Enkripsi menyediakan lapisan/tingkatan akhir yang menyediakan pertahanan
untuk mencegah akses ilegal terhadap informasi penting dan sensitif. Kekuatan
Enkripsi di antaranya meliputi panjang keyword (yaitu jumlah bit/karakter yang
digunakan untuk mengubah teks menjadi blok-blok), alogaritma (proses
mengkombinasikan teks dan kunci untuk membuat tulisan tidak terbaca), dan
kebijakan kunci enkripsi (disimpan dengan aman dengan kode akses yang kuat)