Pengendalian

untuk
Keamanan Informasi
By
Dinda Fatmala Rosa
170810301309
Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip
yang berkontribusi secara bersamaan terhadap keandalan sistem :

Keamanan – akses terhadap sistem dan data didalamnya dikendalikan serta terbatas
untuk pengguna yang sah

Kerahasiaan – informasi keorganisasian yang sensitif terlindungi dari pengungkapan

tanpa izin

Privasi – informasi pribadi tentang pelanggan, pegawai, pemasok hanya diungkapkan

dan dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan
peraturan eksternal terlindungi dari pengungkapan tanpa izin

Integritas pemrosesan – data diproses secara akurat, lengkap, tepat waktu dan
hanya dengan otorisasi yang sesuai

Ketersediaan – sistem dan informasinya tersedia untuk memenuhi kewajiban oper

asional dan kontraktual.
Hubungan antara
lima prinsip trust
service untuk
keandalan sistem
Dua Konsep Keamanan Informasi Fundamental :

• Keamanan merupakan masalah manajemen, bukan hanya

masalah teknologi.

• Deffense-in-depth dan model keamanan informasi berbasis

waktu.
Deffense-in-depth adalah penggunaan brbagai lapisan pengendalian untuk
menghindari sebuah poin kegagalan.
Model keamanan berbasis waktu merupakan penggunaan kombinasi
perlindungan preventif, detektif, korektif, yang melindungi aset informasi
cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah
serangan tengah terjadi dan mengambil langkah-langkah untuk menggagal
kanya sebelum informasi hilang atau dirusak
Memahami serangan yang ditargetkan

Langkah-langkah dasar yang dilakukan penjahat untuk menyerang

sistem informasi suatu perusahaan:
• Melakukan pengintaian
• Mengupayakan rekayasa sosial
• Memindai dan memetakan target
• Penelitian
• Mengeksekusi serangan
• Menutupi jejak
Pengendalian Preventif
Pengendalian preventif digunakan untuk membatasi akses terhadap
sumber daya informasi.
Komponen paling penting dalam pengendalian preventif:
• Orang-orang : penciptaan sebuah budaya “sadar keamanan”
• Orang-orang : pelatihan
• Proses : Pengendalian akses pengguna.
- Pengendalian autentikasi
- Pengendalian Otorisasi
Pengendalian Autentikasi
Pengendalian autentikasi adalah proses verifikasi identitas seorang atau
perangkat yang mencoba untuk mengakses sistem.

Tiga jenis bukti yang dapat digunakan untuk memverifikasi identitas seseorang:
• Sesuatu yang mereka ketahui seperti kata sandi/password/pin
• Sesuatu yang mereka miliki seperti kartu pintar
• Beberapa karakteristik fisik atau perilaku, seperti sidik jari atau pola tulisan.

Pengendalian Otorisasi
Pengendalian Otorisasi adalah proses dari memperketat akses pengguna
terotorisasi atas bagian spesifik sistem dan membatasi tindakan-tindakan apa
saja yang diperbolehkan untuk dilakukan.
- Solusi TI : pengendalian anti malware

Malware adalah sebuah ancaman besar yang dapat membahayakan

informasi atau menghasilkan sebuah cara untuk memperoleh akses tanpa
izin.
Perlindungan malware sebagai salah satu dari kunci keamanan yang
efektif, merecomendasikan secara spesifik:
• Edukasi kesadaran perangkat lunak jahat.
• Pemasangan alat pelindungan anti malware pada seluruh perangkat.
• Tinjauan teratur atas ancaman malware baru
• Menyaring lalu lintas masuk untuk mengeblok sumber malware
potensial.
• Melatih pegawai untuk tidak memasang perangkat lunak yang
dibagikan atau tidak disetujui.
- Solusi TI : pengendalian akses jaringan

Metode yang dapat digunakan untuk keamanan jaringan organisasi

dan seluruh upaya untuk tersambung kedalamnya:
• Pertahanan perimeter : Router, Firewall, dan sistem pencegahan
gangguan
• Bagaimana arus informasi pada jaringan : tinjauan menyeluruh
TCP/IP
• Mengendalikan akses dengan paket penyaringan
• Menggunakan defens-in-depth untuk membatasi akses jaringan
• Mengamankan koneksi dial-up
• Mengamankan akses nirkabel
- Solusi TI : pengendalian pengukuhan peralatan dan
perangkat lunak

Tiga area berhak mendapatkan perhatian lebih :

• Konfigurasi endpoint,
Endpoint adalah istilah kolektif untuk stsiun kerja, server, printer, dan perangkat
lain yang meliputi jaringan organisasi.

• Manajemen akun pengguna,

manajemen menekankan kebutuhan untuk secara hati-hati mengelola seluruh
akun pengguna, terutama akun-akun yang memilki hak tak terbatas pada
komputer.
• Desain perangkat lunak.
Serangan-serangan memanfaatkan perangkat lunak yang diuat dengan buruk
serta tidak ada pengecekan secara keseluruhan input sebelum pemrosesan
lebih lanjut.
- Solusi TI : Enkripsi
Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses
tanpa izin terhadap informasi sensitif.

- Keamanan fisik : Pengendalian Akses

- Pengendalian perubahan dan manajemen perubahan

Pengendalian perubahan dan manajemen perubahan adalah proses formal
yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras,
perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.
Pengendalian Detektif
Terdapat empat jenis pengendalian detektif :

• Analisis Log adalah proses pemeriksaan log untuk mengidentifikasi bukti

kemungkinan serangan.

• Sistem deteksi gangguan yaitu sebuah sistem yang menghasilkan sejumlah

log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall
kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang
diupayakan atau berhasil dilakukan.

• Pengujian penetrasi merupakan upaya terotorisasi untuk menerobos kedalam

sistem informasi organisasi.

• Pengawasan berkelanjutan. Pengawasan tersebut merupakan pengendalian

detektif yang dapat mengidentifikasi masalah potensial secara tepat waktu.
Pengendalian korektif
Terdapat tiga pengendalian korektif :
• Computer incident response team (CIRT)
CIRT merupakan sebuah tim yang bertanggungjawab untuk mengatasi
insiden keamanan utama

• Chief Information security officer (CISO)

CISO adalah seseorang yang bisa menjaga keamanan informasi organisa
si yang harus memiliki tanggungjawab untuk memastikan bahwa penilaian
dan kerentanan dan risiko dilakukan secara teratur serta audit keamanan
dilakukan secara periodik.

• Manajemen Patch
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu.
Manajemen patch adalah proses untuk secara teratur menerapkan patch
dan memperbarui perangkat lunak.
Implikasi Keamanan Virtualisasi dan
Cloud

Virtualisasi merupakan kegiatan dalam menjalankan berbagai sistem s

ecara bersamaan pada satu komputer fisik.

Komputer cloud menggunakan sebuah browser untuk mengakses

perangkat lunak, penyimpanan data, perangkat keras, dan aplikasi jarak
jauh.
Thankyou