rmk bab 8 pengendalian bagi keamanan informasi

8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi

1/8

SYSTEMS

RELIABILITY

Bab 7 Control for Information Security

Pengendalian bagi Keamanan Informasi

Tujuan Pembelajaran:

Setelah mempelajari bab ini, mahasiswa seharusnya mampu untuk:

1. Menjelaskan bagaimana keamanan informasi mempengaruhi keandalan sistem informasi2. Mendiskusikan bagaimana sebuah kombinasi dari pengendalian penegahan, deteksi, dan koreksi dapat

diterapkan dalam menyediakan jaminan yang memadai tentang keamanan sistem informasi organisasi.

PENGENALAN

Trust Ser!ie "ramework yang dikembangkan oleh #$%P# dan %$%# membagi pengendalian terkait $T ke

dalam & prinsip yang berkontribusi dalam keandalan suatu sistem yaitu:

1. Seurity ' akses (baik fisik maupun logial) terhadap sistem dan data dikendalikan dan dibatasi hanya

kepada pengguna yang sah2. %onfidentiality ' informasi organisasi yang sensitif dilindungi dari pengungkapan yang tidak berhak*. Pri!ay ' informasi personal terkait pelanggan, karyawan, suplier atau partner bisnis hanya digunakan

dalam hal kepatuhan terhadap kebijakan internal dan persayaratan aturan eksternal dan dilindungi dari

pengungkapan yang tidak sah+. Proessing integrity ' data diproses seara akurat, lengkap dan hanya dengan otorisasi yang sah&. #!ailability ' sistem dan informasinya tersedia bagi kebutuhan operasional dan kewajiban kontraktual

DUA KONSEP DASAR MENGENAI KEAMANAN INFORMASI

Kemanan adalah isu manaemen! bu"an han#a isu $e"nologi%

Meskipun efekti!itas keamanan informasi memerlukan instrumen teknologi seperti firewalls, anti!irus, dan

enkripsi, keterlibatan dan dukungan manajemen senior untuk melewati siklus keamanan adalah mutlak

diperlukan untuk kesuksesan. #da + tahap siklus hidup dari keamanan yaitu:

1. Menilai anamananaman keamanan informasi yang dijumpai oleh perusahaan dan menentukan

respon yang tepat.

2. Mengembangkan kebijakan keamanan informasi dan mengkomunikasikan ke seluruh karyawan*. Memperoleh dan menerapkan solusisolusi atau instrumeninstrumen teknologi khusus.

Endy Mulyo Prastyo NIM A31115720 Page 1


2/8


+. Memantau kinerja seara reguler untuk menge!aluasi efekti!itas program kemanan informasi

organisasi.

Keamanan Informasi dengan Per$ahanan &er$ing"a$ dan Model &erbasis 'a"$u

Konse( dari Per$ahanan &er$ing"a$ )defense*in*de($h+ adalah menempatkan pengendalian berlapis

untuk menghindari kegagalan pada area tertentu. Misalnya organisasi tidak hanya menggunakan firewalls tapi

juga metode otorisasi berganda (password, tokens dan biometrik) untuk membatasi akses terhadap sistem

informasi.

Mendeteksi pembobolan sistem keamanan dan melakukan tindakan koreksi harus dilakukan epat atau

tepat waktu karena sekali pengendalian penegahan telah ditembus, si pengaau dapat seara epat

menghanurkan, berkompromi, atau menuri sumber informasi dan ekonomi perusahaan. -leh karena itu, tujuan

dari Kemanan Model &erbasis 'a"$u )$ime*based model of se,uri$#+ adalah untuk menempatkan suatu

kombinasi dari pengendalian penegahan, deteksi, dan koreksi yang akan melindungi aset informasi ukup lama

sehingga memungkinkan organisasi untuk mengenali bahwa sebuah serangan sedang terjadi dan mengambil

langkah untuk menghalanginya sebelim terjadi kerugian atau kerusakan. Tujuan pengendalian ini dapat

dirumuskan sebagai berikut:

P waktu yang dibutuhkan penyerang untuk menembus pengendalian penegahan suatu organisasi

/ waktu yang dibutuhkan untuk mendeteksi serangan yang sedang berlangsung

% waktu yang dibutuhkan untuk merespon serangan dan melakukan tindakan koreksi

#pabila P0/% maka prosedur keamanan suatu organisasi tersebut efektif.

MEMA-AMI SERANGAN .ANG DI/ARGE/KAN

eberapa tahapan dasar kriminal untuk menyerang sistem informasi organisasi

1. Melakukan pengintaian2. Mengusahakan teknik sosial3psikologi yaitu dengan melakukan penipuan terhadap korban*. Mengamati dan memetakan target menggunakan alatalat elektronik+. Penelitian, setelah memahami sistem dan sofware si target, selanjutnya penyerang akan meneliti lebih

lanjut mengenai kelemahan dan kerentanan sistem&. Melakukan penyerangan dengan mengambil keuntungan dari kelemahan sistem yang ada4. Melindungi jejaknya dan menari ara belakang untuk menembus sistem supaya kalau ara yang

pertama ketahuan.

PENGENDALIAN PEN0EGA-AN



3/8


Terdapat beberapa maam jenis penegahan yang bergabung seperti sebuah pu55le yang akan membangun

sistem pertahanan berlapis. Meskipun semua itu diperlukan, komponen 6manusia7 adalah yang paling penting.

Manajemen harus meniptakan suatu budaya sadar akan keamanan dan karyawan harus dilatih untuk mengikuti

kebijakan keamanan dan mempraktikkan perilaku penggunaan komputer yang aman.

Manusia1 Men,i($a"an buda#a sadar a"an "eamanan

%-S- dan %-S-89M menekankan pada bagaimana perilaku manajemen risiko punak meniptakan

lingkungan internal yang mendukung dan memperkuat sistem pengendalian internal atau seseorang yang seara

efektif meniadakan kebijakan pengendalian yang tertulis. ntuk meniptakan budaya sadar akan keamanan,

manajemen seharusnya tidak hanya mengkomunikasikan kebijakankebijakan tetapi harus memberikan ontoh

kepada para karyawan.

Manusia1 Pela$ihan

%-$T & mengidentifikasi skil dan kompetensi pegawai sebagai suatu hal yang penting untuk efektifitas

keamanan informasi. ;aryawan harus memahami bagaimana mematuhi kebijakan keamanan perusahaan. -leh

karena itu pelatihan adalah pengendalian penegahan yang baik bahkan begitu pentingnya, fakta bahwa

pelatihan kesadaran keamanan didiskusikan sebagai sebuah kegiatan kuni yang mendukung beberapa proses

manajemen dalam %-$T &. Pelatihan ini juga penting bagi manajemen senior, karena beberapa tahun terakhir

ini beberapa serangan social engineering seperti phising juga ditargetkan ke mereka.

Proses1 Pengendalian A"ses Pengguna

Penting untuk dipahami bahwa anaman tidak hanya berasal dari luar. Pegawai mungkin saja merasa

tidak puas terhadap beberapa alasan seperti tidak dapat promosi, balas dendam atau rentan untuk melakukan

korupsi karena kesulitan keuangan atau diperas untuk menyediakan informasi yang sensitif. -leh karenanya

organisasi perlu untuk menerapkan sistem pengendalian untuk melindungi aset berupa informasi dari akses dan

penggunaan yang tidak sah oleh karyawan. %-$T & mempraktekkan /SS


4/8


/SS


5/8


eberapa perusahaan masih mengi5inkan karyawan untuk mengakses dari jauh jaringan organisasi

melalui modem. Sangat penting untuk mem!erifikasi identitas dari pengguna yang memperoleh akses dial up.

9emote #uthentiation /ial$n ser Ser!ie (9#/$S) adalah metode standar untuk melakukan hal itu.

Mengamankan akses wireless

eberapa perusahaan juga menyediakan akses nirkabel untuk sistem informasinya. #kses nirkabel

memamng nyaman dan mudah, namun juga menyediakan peluang terhadap serangan dan memperluas lingkup

pertahanan yang harus dilindungi. erikut ini prosedur yang perlu diikuti untuk memperoleh akses wireless yang

memiliki keamanan seara memadai yaitu:

1. Menghidupkan fiturfitur keamanan yang tersedia2. Memastikan keaslian semua peragkat yang digunakan untuk mengakses jaringan wireless sebelum

memberi mereka $P address*. Mengatur semua perangkat wireless yang sah untuk mengoperasikan hanya dalam mode infrastruktur,

dimana memaksa perangkat untuk tersambung hanya pada wireless aess point.+. Menggunakan namanama yang tidak informatif bagi alamat aess point, biasa kita sebut SS$/

(ser!ie set identifier). %ontohnya adalah #1 atau >1 bukan ?aji, ;eungan atau 9@/.&. Mengurangi kekuatan broadast dari aess point, meletakkannya didalam gedung dan menggunakan

diretional antena untuk membatasi pengguna yang ilegal.4. Mengenkripsi semua lalu lintas jaringan nirkabel.

Solusi I/1 Pengendalian mengenai Pengua$an Perang"a$ dan Sof$2are

%-$T & management pratie /SS


6/8


Solusi I/1 En"ri(si

8nkripsi menyediakan lapisan3tingkatan akhir yang menyediakan pertahanan untuk menegah akses

ilegal terhadap informasi penting dan sensitif.

Keamanan Fisi"1 Pengendalian $er"ai$ A"ses

%-$T & management praties /SS


7/8


+. Monitoring berelanjutan%-$T & management pratie #P-


8/8


Airtuali5ation dan loud omputing dapat meningkatkan risiko anaman bagi keamanan informasi. /engan

demikian !irtuali5ation dan loud omputing sebenarnya mempunyai dampak positif dan negatif terhadap

keamanan informasi dari keseluruhan le!el, tergantung bagaimana organisasi atau loud pro!ider menerapkan

pengendalian penegaha, deteksi dan koreksi seara bertingkat.


rmk bab 8 pengendalian bagi keamanan informasi

Documents