BAB 8 "PENGENDALIAN UNTUK KEAMANAN INFORMASI"

-

TUGAS SIA BAB 8

DISUSUN OLEH :

KINASIH

1117 29647/ C2

PENDAHULUAN

Trust Service Framework mengatur pengendalian IT ke dalam lima prinsip :
  1. Keamanan (Security)
  2. Kerahasiaan (confidentiality)
  3. Privasi (privacy)
  4. Integritas Pemrosesan (processing integrity)
  5. Ketersediaan (availability)

DUA KONSEP KEAMANAN INFORMASI FUNDAMENTAL

KEAMANAN MERUPAKAN MASALAH MANAJEMEN, BUKAN HANYA MASALAH TEKNOLOGI.
Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat berteknologi seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan manajemen senior juga jelas menjadi dasar untuk keberhasilan.
DEFENSE-IN DAN MODEL KEAMANAN INFORMASI BERBASIS WAKTU.
defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. Tujuan dari model keamanan berbasis waktu adalah menggunakan kombinasi perlindungan preventif, detektif, korektif, yang melindungi aset informasi yang cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak.

Memahami Serangan yang Ditargetkan

 langkah-langkah yang dilakukan para penjahat untuk menyerang sistem informasi suatu perusahaan :
  1. Melakukan pengintaian
  2. Mengupayakan rekayasa sosial
  3. Memindai dan memetakan target
  4. Penelitian
  5. Mengeksekusi serangan
  6. Menutupi jejak

Pengendalian Preventif

Pengendalian ini digunakan untuk membatasi akses terhadap sumber daya informasi.
ORANG-ORANG: PENCIPTAAN SEBUAH BUDAYA "SADAR-KEAMANAN"
COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator kritis untuk keamanan informasi yang efektif. dalam hal ini manajemen puncak harus memandu para pegawainya dengan cara mencontohkannya.
ORANG-ORANG : PELATIHAN
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk kemanan informasi yang efektif.
PROSES: PENGENDALIAN AKSES PENGGUNA
memahami bahwa "orang luar" bukan satu-satunya sumber ancaman.
PENGENDALIAN AUTENTIKASI
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem.
  • Autentikasi multifaktor adalah penggunaan dua atau lebih jenis tanda bukti autentikasi secara bersamaan untuk mencapai tingkat keamanan yang lebih ketat.
  • Autentikasi multimodal adalah penggunaan berbagai tanda bukti autentikasi dari jenis yang sama untuk mencapai tingkat keamanan yang ketat.
PENGENDALIAN OTORISASI
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. tujuannya adalah menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisiahan tugas yang tepat.
Matriks pengendalian akses : tabel yang digunakan untuk mengimplemetasikan pengendalian otorisasi.
Uji Kompatibilitas : mencocokan tanda bukti autentikasi penggunaan terhadap matriks pengendalian akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber daya dan melakukan tindakan yang diminta.
SOLUSI IT: PENGENDALIAN ANTIMALWARE
COBIT 5 DSS05.01 mendaftar perlindungan malware sebagai salah satu dari kunci keamanan yang efektif, merekomendasikan secara spesifik :
  1. Edukasi kesadaran perangkat lunak jahat.
  2. Pemasanga alat perlindungan anti-malware pada seluruh perangkat.
  3. Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak anti malware.
  4. Tinjauan teratur atas ancaman malware baru.
  5. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial.
  6. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau tidak disetujui.
SOLUSI IT: PENGENDALIAN AKSES JARINGAN
Biasanya, akses ini dilakukan melalui internet, tetapi beberapa organisasi masih mengelola jaringan hak milik mereka sendiri atau menyediakan akses dial-up langsung melalui modem.
PERTAHANAN PERIMETER: ROUTER, FIREWALL, DAN SISTEM PENCEGAHAN GANGGUAN
Border router: sebuah perangkat yang menghubungkan sistem informasi organisasi ke internet.
Firewall: sebuah perangkat keras yang bertujuan khusus atau perangkat lunak yang bekerja pada sebuah komputer bertujuan umum yang mengendalikan baik komunikasi masuk maupun keluar antara sistem di balik firewall dan jaringan lainnya.
Demilitarized zone (DMZ): sebuah jaringan terpisah yang berada di luar sistem informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet.
BAGAIMANA ARUS INFORMASI PADA JARINGAN: TINJAUAN MENYELURUH TCP/IP DAN ETHERNET.

Router: Perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber dan tujuan pada header paket IP untuk memutuskan selanjutnya akan mengirim (rute) paket ke mana.
Mengendalikan Akses dengan Paket Penyaringan:
  • Access Control List (ACL): seperangkat aturan IF-THEN yang digunakan untuk menentukan tindakan untuk paket yang tiba.
  • Penyaringan paket (packet filtering): sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP paket untuk memutuskan tindakan yang dilakukan pada paket.
  • Deep packer inspection: sebuah proses yang memeriksa data fisik sebuah paket TCP untuk mengendalikan lalu lintas, bukan hanya melihat informasi pada header IP dan TCP.
  • Sistem pencegah gangguan (instrusion prevention- IPS): perangkat lunak atau perangkat keras yang mengawasi pola-pola dalam arus lalu-lintas untuk mengidentifikasi dan mengeblok serangan secara otomatis.
menggunakan Defense-in-Depth untuk membatasi akses jaringan. 
menggunakan berbagai perangkat penyaringa perimeter lebih efisien dan efektif dibandingkan hanya bergantung pada satu perangkat.
MENGAMANKAN  KONEKSI DIAL-UP
Remote Authentication Dial-in User Servise (RADIUS): sebuah metode standar untuk memverifikasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in.
War dialing: mencari sebuah modem menganggur dengan memprogram sebuah kompuer untuk memanggil ribuan lini telepon.
MENGAMANKAN AKSES NIRKABEL
prosedur-prosedur untuk mengamankan akses nirkabel secara memadai, sebagai berikut :
  • Menyalakan fitur keamanan yang tersedia.
  • Membuktikan keabsahan seluruh perangkat yang digunakan untuk menetapkan akses nirkabel ke jaringan sebelum menentukan sebuah alamat IP untuk mereka.
  • Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel.
  • Menggunakan nama yang noninformatif sebagai alamat titik akases yang disebut dengan service set identifier (SSID).
  • Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior gedung, dan menggunakan antena pengarahan untuk membuat penerimaan lokal tana izin menjadi lebih sulit.
  • Mengenkripsi seluruh lalu lintas nirkabel.
SOLUSI IT: PENGENDALIAN PENGUKUHAN PERALATAN DAN PERANGKAT LUNAK
Endpoint: istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organisasi.
KONFIGURASI ENDPOINT
Kerentanan (vulnerabilities): cacat pada program yang dapat dimanfaatkan baik untuk merusak sistem maupun mengambil kendalinya.
Pemindai kerentanan (vulnerabilities scanners): alat otomatis yang didesain untuk mengidentifikasi apakah sebuah sistem bawaan memiliki program yang tidak digunakan dan tidak perlu serta menunjukkan ancaman keamanan potensial.
Pengukuhan (hardening): proses memodifikasi konfigurasi dasar endpoint untuk mengeliminasi pengaturan dan layanan yang tidak perlu.
MANAJEMEN AKUN PENGGUNA
Praktik manajemen COBIT 5 DDS05.04 menekankan kebutuhan untuk secara hati-hati mengelola seluruh akun pengguna, terutama akun-akun yang memiliki hak terbatas (administratif) pada komputer.
DESAIN PERANGKAT LUNAK
Sebagaimana organisasi yang telah meningkatkan keefektifan pengendalian keamanan perimeternya, para penyerang juga meningkatkan kerentanan yang ditargetkan dalam program aplikasi.
SOLUSI IT: ENKRIPSI
Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin terhadap informasi sensitif.
KEAMANAN FISIK: PENGENDALIAN AKSES
Seseorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses fisik langsung tanpa pengawasan untuk menembus pengendalian keamanan informasi yang ada.
PENGENDALIAN PERUBAHAN DAN MANAJEMEN PERUBAHAN
Pengendalian perubahan dan manajemen perubahan: proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.
Beberapa karakteristik proses pengendalian perubahan dan manajemen perubahan:
  • Dokumentasi seluruh permintaan perubahan, pengidentifikasian sifat perubahan, rasionalitasnya, tanggal permintaan, dan hasil permintaan.
  • Persetujuan terdokumentasi atas seluruh permintaan perubahan dilakukan oleh tingkat manajemen yang sesuai.
  • Pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah, bukan hanya yang digunakan untuk proses bisnis harian.
  • Pengendalian konversi memastikan bahwa data ditransfer secara akurat dan lengkap dari sistem lama ke sistem baru.
  • Pembaruan seluruh dokumentasi untuk menunjukkan implementasi perubahan terbaru.

PENGENDALIAN DETEKTIF

ANALISIS LOG
Analisis Log: proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.
SISTEM DETEKSI GANGGUAN
Intrusion detection system (IDS): sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebgai tanda atas gangguan yang diupayakan atau berhasil dilakukan.
PENGUJIAN PENETRASI
Uji penetrasi (penetration test): upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi.
PENGAWASAN BERKELANJUTAN
Praktik COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis.

PENGENDALIAN KOREKTIF

COMPUTER INCIDENT RESPONSE TEAM (CIRT)
Tim perespons insiden komputer (CIRT): sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan utama.
4 tahap CIRT:
  1. Pemberitahuan (recognition) adanya sebuah masalah.
  2. Penahanan (containment) masalah.
  3. Pemulihan (recovery).
  4. Tindak lanjut (follow up).
CHIEF INFORMATION SECURITY OFFICER (CISO)
COBIT 5 mengidentifikasi struktur keorganisasian sebagai sebuah fasilitator kritis untuk mencapai pengendalian dan keamanan yang efektif.
MANAJEMEN PATCH
Exploit: sebuah program yang didesain untuk memanfaatkan dari kerentanan yang diketahui.
Patch: kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu.
Manajemen patch: proses untuk secara teratur menerapkan patch dan memperbarui perangkat lunak.

IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD

Virtualisasi: menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi Cloud: menggunakan sebuah browser untuk mengakses perangkat lunak, penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.

Komentar

Posting Komentar

Postingan populer dari blog ini

BAB 20 "PENGANTAR PENGEMBANGAN SISTEM DAN ANALISIS SISTEM"

-
Gambar
TUGAS SIA BAB 20 Disusun Oleh : KINASIH 1117 29647/ C2 PENDAHULUAN Perusahaan-perusahaan mengubah sistem mereka untuk alasan sebagai berikut: Perubahan pada kebutuhan pengguna atau bisnis. Perubahan teknologi. Peningkatan proses bisnis. Keunggulan kompetitif.  Peningkatan produktivitas. Integrasi sistem. Umur sistem dan kebutuhan penggantian.  PENGEMBANGAN SISTEM SIKLUS HIDUP PENGEMBANGAN SISTEM Siklus hidup pengembangan sistem (systems development life cycle- SDLC ): sebuah proses lima langkah yang digunakan untuk mendesain dan mengimplementasikan sebuah sistem baru. ANALISIS SISTEM Analisis sistem (systems analysis): langkah pertama SDLC di mana informasi yang diperlukan untuk membeli, mengembangkan, atau memodifikasi sebuah sistem dikumpulkan. DESAIN KONSEPTUAL Desain konseptual (conceptual design): langkah SDLC kedua dimana para analisis memutuskan bagaimana mencapai kebutuhan pengguna, m
Baca selengkapnya

BAB 10 "PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN"

-
Gambar
TUGAS SIA BAB 10 Disusun Oleh : KINASIH 1117 29647/ C2 PENDAHULUAN Bab ini menjelaskan dua prinsip  Trust Service Framework  lainnya yaitu Integritas Pemrosesan dan Ketersediaan. INTEGRITAS PEMROSESAN Prinsip Integritas Pemrosesan dari  Trust Service Framework  menyatakan bahwa sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap, tepat waktu, dan valid. Pengendalian Input Frasa "sampah masuk", "sampah keluar" menunjukkan pentingnya pengendalian  input. Jika data yang dimasukkan ke dalam sebuah sistem tidak akurat, tidak lengkap, atau tidak valid, maka output -nya juga akan demikian. Bentuk Desain Seluruh dokumen sumber harus dinomori sebelumnya secara berurutan.  Sebuah dokumen  turnaround (turnaround document) adalah catatan atas data perusahaan yang dikirimkan ke pihak eksternal dan kemudian dikembalikan oleh pihak eksternal tersebut untuk selanjutnya di  input  ke sistem. Pembatalan dan Peny
Baca selengkapnya

BAB 13 " SIKLUS PENGELUARAN : PEMBELIAN DAN PENGELUARAN"

-
Gambar
TUGAS SIA BAB 13 Disusun Oleh : KINASIH 1117 29647/ C2 PENDAHULUAN Siklus pengeluaran (expenditure cycle): serangkaian aktivitas bisnis dan operasi pemrosesan informasi terkait yang terus-menerus berhubungan dengan pembelian serta pembayaran barang dan jasa. Tujuan utama dalam siklus pengeluaran adalah untuk meminimalkan total biaya perolehan dan pemeliharaan persediaan, perlengkapan, dan berbagai layanan yang diperluakan perusahaan untuk berfungsi. Empat aktivitas siklus pengeluaran dasar adalah sebagai berikut: Memesan bahan baku, perlengkapan, dan jasa. Menerima bahan baku, perlengkapan, dan jasa. Menyetujui faktur pemasok. Pengeluaran kas. SISTEM INFORMASI SIKLUS PENGELUARAN Aktivitas-aktivitas dalam siklus pengeluaran adalah cerminan dari aktivitas-aktivitas dasar yang dijalankan dalam siklus pendapatan. Berikut tabel perbandingan aktivitas siklus pendapatan dan siklus pengeluaran: PROSES AOE (Alpha Omega Electronics) menggunakan sistem ERP
Baca selengkapnya