rmk bab 8 pengendalian bagi keamanan informasi
TRANSCRIPT
-
8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi
1/8
SYSTEMS
RELIABILITY
Bab 7 Control for Information Security
Pengendalian bagi Keamanan Informasi
Tujuan Pembelajaran:
Setelah mempelajari bab ini, mahasiswa seharusnya mampu untuk:
1. Menjelaskan bagaimana keamanan informasi mempengaruhi keandalan sistem informasi2. Mendiskusikan bagaimana sebuah kombinasi dari pengendalian penegahan, deteksi, dan koreksi dapat
diterapkan dalam menyediakan jaminan yang memadai tentang keamanan sistem informasi organisasi.
PENGENALAN
Trust Ser!ie "ramework yang dikembangkan oleh #$%P# dan %$%# membagi pengendalian terkait $T ke
dalam & prinsip yang berkontribusi dalam keandalan suatu sistem yaitu:
1. Seurity ' akses (baik fisik maupun logial) terhadap sistem dan data dikendalikan dan dibatasi hanya
kepada pengguna yang sah2. %onfidentiality ' informasi organisasi yang sensitif dilindungi dari pengungkapan yang tidak berhak*. Pri!ay ' informasi personal terkait pelanggan, karyawan, suplier atau partner bisnis hanya digunakan
dalam hal kepatuhan terhadap kebijakan internal dan persayaratan aturan eksternal dan dilindungi dari
pengungkapan yang tidak sah+. Proessing integrity ' data diproses seara akurat, lengkap dan hanya dengan otorisasi yang sah&. #!ailability ' sistem dan informasinya tersedia bagi kebutuhan operasional dan kewajiban kontraktual
DUA KONSEP DASAR MENGENAI KEAMANAN INFORMASI
Kemanan adalah isu manaemen! bu"an han#a isu $e"nologi%
Meskipun efekti!itas keamanan informasi memerlukan instrumen teknologi seperti firewalls, anti!irus, dan
enkripsi, keterlibatan dan dukungan manajemen senior untuk melewati siklus keamanan adalah mutlak
diperlukan untuk kesuksesan. #da + tahap siklus hidup dari keamanan yaitu:
1. Menilai anamananaman keamanan informasi yang dijumpai oleh perusahaan dan menentukan
respon yang tepat.
2. Mengembangkan kebijakan keamanan informasi dan mengkomunikasikan ke seluruh karyawan*. Memperoleh dan menerapkan solusisolusi atau instrumeninstrumen teknologi khusus.
Endy Mulyo Prastyo NIM A31115720 Page 1
-
8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi
2/8
Bab 7 Control for Information Security
+. Memantau kinerja seara reguler untuk menge!aluasi efekti!itas program kemanan informasi
organisasi.
Keamanan Informasi dengan Per$ahanan &er$ing"a$ dan Model &erbasis 'a"$u
Konse( dari Per$ahanan &er$ing"a$ )defense*in*de($h+ adalah menempatkan pengendalian berlapis
untuk menghindari kegagalan pada area tertentu. Misalnya organisasi tidak hanya menggunakan firewalls tapi
juga metode otorisasi berganda (password, tokens dan biometrik) untuk membatasi akses terhadap sistem
informasi.
Mendeteksi pembobolan sistem keamanan dan melakukan tindakan koreksi harus dilakukan epat atau
tepat waktu karena sekali pengendalian penegahan telah ditembus, si pengaau dapat seara epat
menghanurkan, berkompromi, atau menuri sumber informasi dan ekonomi perusahaan. -leh karena itu, tujuan
dari Kemanan Model &erbasis 'a"$u )$ime*based model of se,uri$#+ adalah untuk menempatkan suatu
kombinasi dari pengendalian penegahan, deteksi, dan koreksi yang akan melindungi aset informasi ukup lama
sehingga memungkinkan organisasi untuk mengenali bahwa sebuah serangan sedang terjadi dan mengambil
langkah untuk menghalanginya sebelim terjadi kerugian atau kerusakan. Tujuan pengendalian ini dapat
dirumuskan sebagai berikut:
P waktu yang dibutuhkan penyerang untuk menembus pengendalian penegahan suatu organisasi
/ waktu yang dibutuhkan untuk mendeteksi serangan yang sedang berlangsung
% waktu yang dibutuhkan untuk merespon serangan dan melakukan tindakan koreksi
#pabila P0/% maka prosedur keamanan suatu organisasi tersebut efektif.
MEMA-AMI SERANGAN .ANG DI/ARGE/KAN
eberapa tahapan dasar kriminal untuk menyerang sistem informasi organisasi
1. Melakukan pengintaian2. Mengusahakan teknik sosial3psikologi yaitu dengan melakukan penipuan terhadap korban*. Mengamati dan memetakan target menggunakan alatalat elektronik+. Penelitian, setelah memahami sistem dan sofware si target, selanjutnya penyerang akan meneliti lebih
lanjut mengenai kelemahan dan kerentanan sistem&. Melakukan penyerangan dengan mengambil keuntungan dari kelemahan sistem yang ada4. Melindungi jejaknya dan menari ara belakang untuk menembus sistem supaya kalau ara yang
pertama ketahuan.
PENGENDALIAN PEN0EGA-AN
Endy Mulyo Prastyo NIM A31115720 Page 2
-
8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi
3/8
Bab 7 Control for Information Security
Terdapat beberapa maam jenis penegahan yang bergabung seperti sebuah pu55le yang akan membangun
sistem pertahanan berlapis. Meskipun semua itu diperlukan, komponen 6manusia7 adalah yang paling penting.
Manajemen harus meniptakan suatu budaya sadar akan keamanan dan karyawan harus dilatih untuk mengikuti
kebijakan keamanan dan mempraktikkan perilaku penggunaan komputer yang aman.
Manusia1 Men,i($a"an buda#a sadar a"an "eamanan
%-S- dan %-S-89M menekankan pada bagaimana perilaku manajemen risiko punak meniptakan
lingkungan internal yang mendukung dan memperkuat sistem pengendalian internal atau seseorang yang seara
efektif meniadakan kebijakan pengendalian yang tertulis. ntuk meniptakan budaya sadar akan keamanan,
manajemen seharusnya tidak hanya mengkomunikasikan kebijakankebijakan tetapi harus memberikan ontoh
kepada para karyawan.
Manusia1 Pela$ihan
%-$T & mengidentifikasi skil dan kompetensi pegawai sebagai suatu hal yang penting untuk efektifitas
keamanan informasi. ;aryawan harus memahami bagaimana mematuhi kebijakan keamanan perusahaan. -leh
karena itu pelatihan adalah pengendalian penegahan yang baik bahkan begitu pentingnya, fakta bahwa
pelatihan kesadaran keamanan didiskusikan sebagai sebuah kegiatan kuni yang mendukung beberapa proses
manajemen dalam %-$T &. Pelatihan ini juga penting bagi manajemen senior, karena beberapa tahun terakhir
ini beberapa serangan social engineering seperti phising juga ditargetkan ke mereka.
Proses1 Pengendalian A"ses Pengguna
Penting untuk dipahami bahwa anaman tidak hanya berasal dari luar. Pegawai mungkin saja merasa
tidak puas terhadap beberapa alasan seperti tidak dapat promosi, balas dendam atau rentan untuk melakukan
korupsi karena kesulitan keuangan atau diperas untuk menyediakan informasi yang sensitif. -leh karenanya
organisasi perlu untuk menerapkan sistem pengendalian untuk melindungi aset berupa informasi dari akses dan
penggunaan yang tidak sah oleh karyawan. %-$T & mempraktekkan /SS
-
8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi
4/8
Bab 7 Control for Information Security
/SS
-
8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi
5/8
Bab 7 Control for Information Security
eberapa perusahaan masih mengi5inkan karyawan untuk mengakses dari jauh jaringan organisasi
melalui modem. Sangat penting untuk mem!erifikasi identitas dari pengguna yang memperoleh akses dial up.
9emote #uthentiation /ial$n ser Ser!ie (9#/$S) adalah metode standar untuk melakukan hal itu.
Mengamankan akses wireless
eberapa perusahaan juga menyediakan akses nirkabel untuk sistem informasinya. #kses nirkabel
memamng nyaman dan mudah, namun juga menyediakan peluang terhadap serangan dan memperluas lingkup
pertahanan yang harus dilindungi. erikut ini prosedur yang perlu diikuti untuk memperoleh akses wireless yang
memiliki keamanan seara memadai yaitu:
1. Menghidupkan fiturfitur keamanan yang tersedia2. Memastikan keaslian semua peragkat yang digunakan untuk mengakses jaringan wireless sebelum
memberi mereka $P address*. Mengatur semua perangkat wireless yang sah untuk mengoperasikan hanya dalam mode infrastruktur,
dimana memaksa perangkat untuk tersambung hanya pada wireless aess point.+. Menggunakan namanama yang tidak informatif bagi alamat aess point, biasa kita sebut SS$/
(ser!ie set identifier). %ontohnya adalah #1 atau >1 bukan ?aji, ;eungan atau 9@/.&. Mengurangi kekuatan broadast dari aess point, meletakkannya didalam gedung dan menggunakan
diretional antena untuk membatasi pengguna yang ilegal.4. Mengenkripsi semua lalu lintas jaringan nirkabel.
Solusi I/1 Pengendalian mengenai Pengua$an Perang"a$ dan Sof$2are
%-$T & management pratie /SS
-
8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi
6/8
Bab 7 Control for Information Security
Solusi I/1 En"ri(si
8nkripsi menyediakan lapisan3tingkatan akhir yang menyediakan pertahanan untuk menegah akses
ilegal terhadap informasi penting dan sensitif.
Keamanan Fisi"1 Pengendalian $er"ai$ A"ses
%-$T & management praties /SS
-
8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi
7/8
Bab 7 Control for Information Security
+. Monitoring berelanjutan%-$T & management pratie #P-
-
8/18/2019 RMK Bab 8 Pengendalian bagi Keamanan Informasi
8/8
Bab 7 Control for Information Security
Airtuali5ation dan loud omputing dapat meningkatkan risiko anaman bagi keamanan informasi. /engan
demikian !irtuali5ation dan loud omputing sebenarnya mempunyai dampak positif dan negatif terhadap
keamanan informasi dari keseluruhan le!el, tergantung bagaimana organisasi atau loud pro!ider menerapkan
pengendalian penegaha, deteksi dan koreksi seara bertingkat.
Endy Mulyo Prastyo NIM A31115720 Page 8