DISUSUN OLEH :

ENDAH KUSUMAWARDANI 02300170409

ERSA YULINDITA 023164112
PUTRI ANGGRIANI 023001704081
VISIANI ELAN P. SIREGAR 023001704101
SAFIRA RISKIANA 023001704035
SRI YULIANTI 023164103
AYU WULAN DHARI 023164105
Chapter 8
Pengendalian bagi
Keamanan Informasi
Tujuan Pembelajaran:

Setelah mempelajari bab ini, mahasiswa seharusnya

mampu untuk:
1.Menjelaskan bagaimana keamanan informasi
mempengaruhi keandalan sistem informasi
2.Mendiskusikan bagaimana sebuah kombinasi dari
pengendalian pencegahan, deteksi, dan koreksi dapat
diterapkan dalam menyediakan jaminan yang
memadai tentang keamanan sistem informasi
organisasi.
PENGENALAN
Trust Service Framework yang dikembangkan oleh AICPA dan CICA membagi
pengendalian terkait IT ke dalam 5 prinsip yang berkontribusi dalam keandalan
suatu sistem yaitu:
1. Security – akses (baik fisik maupun logical) terhadap sistem dan data dikendalikan
dan dibatasi hanya kepada pengguna yang sah
2. Confidentiality – informasi organisasi yang sensitif dilindungi dari pengungkapan
yang tidak berhak
3. Privacy – informasi personal terkait pelanggan, karyawan, suplier atau partner bisnis
hanya digunakan dalam hal kepatuhan terhadap kebijakan internal dan
persayaratan aturan eksternal dan dilindungi dari pengungkapan yang ilegal
4. Processing integrity – data diproses secara akurat, lengkap dan hanya dengan
otorisasi yang sah
5. Availability – sistem dan informasinya tersedia bagi kebutuhan operasional dan
kewajiban kontraktual
Figure 8.1
 Lima Prinsip Sistem yang Dapat
Diandalkan
1. Ketersediaan > Sistem tersedia untuk memenuhi kewajiban operasional
dan kontrak.
2. Keamanan > Sistem terhadap akses fisik dan logis yang tidak sah.
3. Informasi organisasi sensitif > Rahasia dilindungi dari pengungkapan
yang tidak sah
4. Informasi privasi > Pribadi tentang pelanggan, karyawan, pemasok, atau
mitra bisnis dikumpulkan, digunakan, diungkapkan dan dipelihara hanya
sesuai dengan kebijakan internal dan persyaratan peraturan eksternal
dan dilindungi dari pengungkapan yang tidak sah.
5. Memproses Integritas dari sistem untuk memastikan bahwa proses
selesai, akurat, tepat waktu, dan diotorisasi.
DUA KONSEP DASAR MENGENAI
KEAMANAN INFORMASI

Kemanan adalah isu manajemen, bukan hanya isu teknologi.

Meskipun efektivitas keamanan informasi memerlukan instrumen teknologi seperti
firewalls, antivirus, dan enkripsi, keterlibatan dan dukungan manajemen senior
untuk melewati siklus keamanan adalah mutlak diperlukan untuk kesuksesan.

Ada 4 tahap siklus hidup dari keamanan yaitu:

1. Menilai ancaman-ancaman keamanan informasi yang dijumpai oleh perusahaan
dan menentukan respon yang tepat.
2. Mengembangkan kebijakan keamanan informasi dan mengkomunikasikan ke
seluruh karyawan
3. Memperoleh dan menerapkan solusi-solusi atau instrumen-instrumen teknologi
khusus.
4. Memantau kinerja secara reguler untuk mengevaluasi efektivitas program
kemanan informasi organisasi.
 Figure 8-2
 DUA KONSEP DASAR MENGENAI
KEAMANAN INFORMASI
Keamanan Informasi dengan Pertahanan Bertingkat dan Model Berbasis Waktu
 Konsep dari Pertahanan Bertingkat (defense-in-depth) adalah menempatkan
pengendalian berlapis untuk menghindari kegagalan pada area tertentu. Misalnya
organisasi tidak hanya menggunakan firewalls tapi juga metode otorisasi berganda
(password, tokens dan biometrik) untuk membatasi akses terhadap sistem informasi.
 Kemanan Model Berbasis Waktu (time-based model of security) adalah bertujuan
untuk menempatkan suatu kombinasi dari pengendalian pencegahan, deteksi, dan
koreksi yang akan melindungi aset informasi cukup lamasehingga memungkinkan
organisasi untuk mengenali bahwa sebuah serangan sedang terjadi dan mengambil
langkah untuk menghalanginya sebelim terjadi kerugian atau kerusakan. Tujuan
pengendalian ini dapat dirumuskan sebagai berikut:
P= waktu yang dibutuhkan penyerang untuk menembus pengendalian pencegahan suatu
organisasi
D= waktu yang dibutuhkan untuk mendeteksi serangan yang sedang berlangsung
C= waktu yang dibutuhkan untuk merespon serangan dan melakukan tindakan koreksi
Apabila P>D+C maka prosedur keamanan suatu organisasi tersebut efektif.
MEMAHAMI SERANGAN YANG
DITARGETKAN
Beberapa tahapan dasar kriminal untuk menyerang sistem informasi organisasi :
1. Melakukan pengintaian
2. Mengusahakan teknik sosial/psikologi yaitu dengan melakukan penipuan
terhadap korban
3. Mengamati dan memetakan target dengan menggunakan alat-alat elektronik
4. Melakukan penelitian, setelah memahami sistem dan sofware si target,
selanjutnya penyerang akan meneliti lebih lanjut mengenai kelemahan dan
kerentanan sistem
5. Melakukan penyerangan dengan mengambil keuntungan dari kelemahan
sistem yang ada
6. Melindungi jejak dan mencari cara belakang untuk menembus sistem guna
berjaga-jaga (waspada) terhadap serangan sistem awal yang telah dilakukan
PENGENDALIAN PENCEGAHAN

Terdapat beberapa macam jenis pencegahan yang bergabung seperti sebuah

puzzle yang akan membangun sistem pertahanan berlapis. Meskipun semua
itu diperlukan, komponen “manusia” adalah yang paling penting. Manajemen
harus menciptakan suatu budaya sadar akan keamanan dan karyawan harus
dilatih untuk mengikuti kebijakan keamanan dan mempraktikkan perilaku
penggunaan komputer yang aman.

Manusia: Menciptakan budaya sadar akan keamanan

COSO dan COSO-ERM menekankan pada bagaimana perilaku manajemen
risiko puncak menciptakan lingkungan internal yang mendukung dan
memperkuat sistem pengendalian internal atau seseorang yang secara efektif
meniadakan kebijakan pengendalian yang tertulis. Untuk menciptakan budaya
sadar akan keamanan, manajemen seharusnya tidak hanya
mengkomunikasikan kebijakan-kebijakan tetapi harus memberikan contoh
kepada para karyawan.
PENGENDALIAN PENCEGAHAN

Manusia: Pelatihan
COBIT 5 mengidentifikasi skil dan kompetensi pegawai
sebagai suatu hal yang penting untuk efektifitas keamanan
informasi. Karyawan harus memahami bagaimana
mematuhi kebijakan keamanan perusahaan. Oleh karena
itu pelatihan adalah pengendalian pencegahan yang
baik bahkan begitu pentingnya, fakta bahwa pelatihan
kesadaran keamanan didiskusikan sebagai sebuah kegiatan
kunci yang mendukung beberapa proses manajemen
dalam COBIT 5. Pelatihan ini juga penting bagi manajemen
senior, karena beberapa tahun terakhir ini beberapa
serangan social engineering seperti phising juga ditargetkan
ke mereka.
PENGENDALIAN PENCEGAHAN
Proses: Pengendalian Akses Pengguna
Organisasi perlu untuk menerapkan sistem pengendalian untuk melindungi aset berupa
informasi dari akses dan penggunaan yang tidak sah oleh karyawan. COBIT 5
mempraktekkan DSS05.04 yang terdiri dari dua tipe pengendalian akses pengguna yang
saling berhubungan namun berbeda yaitu:
1. Pengendalian pembuktian keaslian yaitu suatu proses memverifikasi identitas dari
seseorang atau perangkat yang mengakses suatu sistem. Ada 3 tipe surat/cara untuk
memverifikasi seseoarang yaitu:
 Sesuatu yang diketahui yaitu password atau PIN
 Sesuatu yang dimiliki yaitu id card atau smart card
 Suatu karakteristik fisik atau perilaku (disebut juga biometric identifier) seperti fingerprint
atau typing patterns.
2. Pengendalian kewenangan (otorisasi) yaitu proses membatasi akses bagi pengguna yang
berhak pada bagian tertentu saja dari sebuah sistem dan membatasi tindakan apa yang
diizinkan untuk bisa dilakukan. COBIT 5 praktek manajemen DSS06.03 menjelaskan
tujuannya adalah untuk mengatur hak dan kewenangan pegawai dalam konteks
menyelenggarakan dan mengelola fungsi pemisahan tanggung jawab.
 PENGENDALIAN PENCEGAHAN
Solusi IT: Pengendalian menggunakan Antimalware
Malware (seperti virus, worms, trojan, software keystroke logging) adalah ancaman utama. Malware dapat
merusak dan menghancurkan informasi atau menyediakan akses ilegal. Oleh karena itu COBIT 5 bagian
yang mendaftar perlindungan malware sebagai salah satu kunci bagi efektivitas keamanan, secara khusus
merekomendasikan:
1. Pendidikan kesadaran akan software yang mengganggu
2. Pemasangan alat perlindungan anti malware pada semua perangkat
3. Manajemen yang terpusat untuk patches dan updatenya bagi software antimalware
4. Review secara reguler terhadap ancaman malware baru
5. Memfilter lalu lintas data untuk membentengi dari sumber-sumber yang berpotensi membawa malware
6. Pelatihan karyawan supaya tidak menginstall software gratisan atau ilegal.
Solusi IT: Pengendalian terhadap Akses Jaringan
Kebanyakan organisasi menyediakan akses jarak jauh untuk mengakses sistem informasi bagi karyawan,
pelanggan, dan suplier. Biasanya akses ini menggunakan fasilitas internet, tetapi beberapa organisasi masih
mengelola jaringan pribadi mereka atau menyediakan akses dial-up melaluui modem. Selain itu juga ada yang
menyediakan akses wireless bagi sistem mereka. Terdapat beberapa metode yang digunakan untuk mendukung
COBIT 5 praktik manajemen DSS05.02 yang menjelaskan keamanan dari jaringan organisasi dan hal-hal yang
terkait.
PENGENDALIAN PENCEGAHAN
Solusi IT: Enkripsi
Enkripsi menyediakan lapisan/tingkatan akhir yang menyediakan pertahanan
untuk mencegah akses ilegal terhadap informasi penting dan sensitif. Kekuatan
Enkripsi di antaranya meliputi panjang keyword (yaitu jumlah bit/karakter yang
digunakan untuk mengubah teks menjadi blok-blok), alogaritma (proses
mengkombinasikan teks dan kunci untuk membuat tulisan tidak terbaca), dan
kebijakan kunci enkripsi (disimpan dengan aman dengan kode akses yang kuat)

Keamanan Fisik: Pengendalian terkait Akses

COBIT 5 management practices DSS05.05 menggambarkan best practices dalam
hal pengendalian terkait akses fisik. Pengendalian akses fisik dimulai dengan entry
point dari bangunan itu sendiri. Idelanya seharusnya hanya ada satu entry point
reguler yang tidak terkunci selama jam kerja kantor. Ketika memasuki sebuah
gedung, akses fisik ke ruangan-ruangan peralatan komputer harus dibatasi dan
harus dimonitor sistem CCTV.
PENGENDALIAN PENCEGAHAN
Pengendalian dan Manajemen dalam Perubahan
Change controls and change management adalah proses formal yang digunakan untuk memastikan bahwa
modifikasi terhadap hardware, software atau proses tidak akan mengurangi keandalan sebuah sistem.
Karakteristik dari proses perubahan kontrol dan perubahan manajemen yang baik adalah:
1. Mendokumentasikan seluruh permintaan perubahan
2. Mendokumentasikan seluruh permintaan perubahan yang disetujui oleh manajemen yang berwenang
3. Menguji seluruh perubahan dalam sistem yang terpisah
4. Pengendalian terhadap konversi perubahan yang telah dilakukan untuk memastikan keakuratan dan
kelengkapan data yang ditransfer dari sistem lama ke sistem baru
5. Memutakhirkan seluruh proses dokumentasi untuk merefleksikan perubahan baru yang diterapkan.
6. Proses khusus seperti reviu, persetujuan dan dokumentasi dari perubahan darurat harus segera
dilaksanakan
7. Pengembangan dan pendokumentasian rencana “backout” untuk memfasilitasi mengembalikan ke
konfigurasi semula jika perubahan baru tidak sesuai harapan
8. Memantau dan mereview hak-hak user selama proses perubahan untuk memastikan pemisahan
tanggung jawab dikelola dengan baik.
Lingkaran pertahanan: Routers,
Firewalls, and Intrusion Prevention
Systems
 Menggunakan pertahanan bertingkat untuk
membatasi akses jaringan
 Mengamankan koneksi dial-up
 Mengamankan akses wireless
 PENGENDALIAN PENCEGAHAN
Solusi IT: Pengendalian mengenai Penguatan Perangkat dan Software
COBIT 5 management practice DSS05.03 menjelaskan aktivitas yang terlibat dalam mengelola
keamanan endpoint. (Endpoint adalah istilah untuk sekumpulan workstations, servers, printer dan
perangkat lain yang terhubung pada jaringan organisasi). Terdapat 3 area yang perlu mendapat perhatian
khusus yaitu:
1. Konfigurasi Endpoints
Endpoints dapat dibuat lebih aman dengan cara memodifikasi konfigurasinya. Instalasi bawaan biasanya
terdiri dari beberapa program yang sebenarnya kurang substantial. Dengan menghidupkan semua
fitur/program yang tidak terlalu dibtuhkan akan meningkatkan biaya dan kelemahan sistem itu sendiri. Setiap
program yang berjalan mempunyai potensi untuk menerima serangan disebut dengan vulnerabilities. Oleh
karena itu program atau fitur yang tidak berguna dapat dinonaktifkan terutama yang rentan terhadap
serangan.
2. Manajemen akun pengguna
COBIT 5 management practices DSS05.04 menekankan pada kebutuhan akan mengelola semua user account
secara hati-hati, khususnya akun-akun yang mempunyai hak tak terbatas (administrative account)
dalam komputer.
3. Desain Software
Section BAI03 dari COBIT 5 memfokuskan kebutuhan akan mendesain keamanan secara hati-hati terhadap
seluruh aplikasi dan seksi APO10 melakukan praktik-praktik andalan untuk mengelola risiko terkait
software yang dibeli.
PENGENDALIAN DETEKSI
Pengendalian pencegahan tidak akan pernah dapat 100% efektif dalam menangkal
seluruh serangan. Oleh karena itu COBIT 5 management practice DSS05.07 menjelaskan
aktivitas yang suatu organisasi juga perlukan untuk memungkinkan deteksi terhadap
masalah dan gangguan.
Empat tipe dari pengendalian deteksi adalah sebagai berikut:
1. Log analysis > Yaitu proses menguji logs untuk mengidentifikasi bukti-bukti dari
kemungkinan serangan
2. Intrusion detection systems (IDS) > Yaitu sistem yang membuat logs dari semua lalu
lintas jaringan yang diizinkan untuk melalui firewall kemudian menganalisa logs
tersebut terhadap jejak atau gangguan yang berhasil.
3. Penetration testing > Yaitu percobaan untuk menembus sistem informasi organisasi.
COBIT 5 control processes MEA01 dan MEA02 menyatakan perlunya melakukan
pengujian secara periodik tentang efektifitas dari proses bisnis dan pengendalian
internal (termasuk prosedur keamanan)
4. Monitoring berelanjutan > COBIT 5 management practice APO01.08 menekankan
pentingnya memantau secara berkelanjutan terkait kepatuhan karyawan terhadap
kebijakan keamanan informasi organisasi dan kinerja proses bisnis secara
keseluruhan
 PENGENDALIAN KOREKSI
Mendeteksi secara tepat waktu masalah-masalah yang sangatlah penting, namun hal ini belum
cukup. COBIT5 management practice MEA01.05 menjelaskan, organisasi juga memerlukan
prosedur untuk mengusahakan tindakan koreksi secara tepat waktu. Pengendalian korektif yang
penting utamanya adalah sebagai berikut:
1. Mengembangkan sebuah tim yang menangani insiden komputer atau computer incident response
team (CIRT)
CIRT adalah tim yang bertanggung jawab menyelesaikan masalah keamanan utama komputer. CIRT
tidak hanya terdiri dari ahli teknis tetapi juga manajemen operasi senior, karena penanganan
masalah keamanan mempunyai dampak yang signifikan terhadap ekonomi. CIRT memimpin
organisasi dalam hal penanganan masalah keamanan dengan empat tahap yaitu:
 Pengakuan bahwa sedang terjadi masalah. Biasanya hal ini terjadi ketika sinyal IPS atau IDS
berbunyi, selain itu juga hasil dari analisis log oleh administrator sistem.
 Meminimalisir masalah. Ketika kerusakan terdeteksi, yang selanjutnya diperlukan adalah
menghentikannya dan menahan dari kerusakan
 Recovery. Kerusakan akibat serangan harus diperbaiki. Tindakan yang dilakukan termasuk
mengambil data dari backup dan menginstall ulang program yang terhapus
 Tindak lanjut. Ketika dalam proses recovery, CIRT memberikan analisis bagaimana insiden terjadi.
Hal ini dilakukan untuk menyesuaikan kebijakan keamanan dan prosedur yang telah ada untuk
meminimalisir kemungkinan kejadian serupa dimasa depan.
PENGENDALIAN KOREKSI

2. Mempekerjakan kepala keamanan informasi atau chief

information security (CISO). COBIT 5 mengidentifikasi
struktur organisasi sebagai suatu hal yang
memungkinkan tercapainya pengendalian dan keamanan
yang efektif. Hal ini penting bagi perusahaan untuk
memberikan tanggung jawab terhadap keamanan informasi
kepada sesorang pada tingkat manajemen yang sesuai.
3. Mengembangkan dan menerapkan sistem manajemen
pemutakhiran komputer. Patch management adalah proses
yang secara reguler memutakhirkan software. Hal ini
dilakukan untuk mengatasi exploit. Exploit adalah program
yang didesain untuk mengambil keuntungan dari
kelemahan sistem.
VIRTUALIZATION DAN CLOUD

Virtualization adalah menjalankan berbagai sistem secara

bersamaan pada satu komputer. Hal ini akan menerkan
biaya hardware karena semakin sedikit server yang perlu
untuk dibeli.
Cloud computing adalah memanfaatkan bandwith yang
besar dari jaringan telekomunikasi global yang
memungkinkan karyawan menggunakan browser untuk
mengakses dari jarak jauh sebagai software untuk
mengakses, perangkat untuk penyimpanan data,
hardware dan lingkungan keseluruhan aplikasi. Cloud
computing dapat menghemat biaya secara signifikan.
DAMPAK KEAMANAN DARI
VIRTUALIZATION DAN CLOUD
Virtualization dan cloud computing dapat meningkatkan
risiko ancaman bagi keamanan informasi. Dengan
demikian virtualization dan cloud computing sebenarnya
mempunyai dampak positif dan negatif terhadap
keamanan informasi dari keseluruhan level, tergantung
bagaimana organisasi atau cloud provider menerapkan
pengendalian pencegahan, deteksi dan koreksi secara
bertingkat.