Pengendalian Sistem Informasi Akuntansi
September 30, 2017 | Author: Fathia Rofifah | Category: N/A
Short Description
Pengendalian Sistem Informasi Akuntansi...
Description
KATA PENGANTAR Puji syukur penulis panjatkan kepada Allah SWT karena atas berkah dan
rahmat-Nya
penulis
dapat
menyelesaikan
makalah
berjudul
“Pengendalian untuk Keamanan Informasi”. Shalawat dan salam semoga selalu tercurah kepada Rasulullah, keluarga, para sahabat dan pengikut mereka yang setia sampai hari kiamat. Tak lupa penulis ucapkan terima kasih kepada pihak – pihak terkait yang senantiasa membantu dalam pengerjaan makalah ini, serta Bapak Petrolis Nusa Perdana selaku dosen mata kuliah sistem informasi akuntansi yang dengan sabar telah membimbing penulis sehingga penulis dapat mengetahui lebih dalam tentang berbagai bentuk pengendalian untuk keamanan informasi. Harapan penulis adalah semoga makalah ini dapat bermanfaat dan menambah wawasan para pembaca. Penulis menyadari masih adanya kekurangan dan kesalahan, baik dari segi bahan penulisan maupun kemampuan ilmiah. Oleh karena itu penulis sangat mengharapkan saran dan kritik dari pembaca demi penyempurnaan makalah ini.
Jakarta, April 2015
Penulis
1
Pengendalian untuk Keamanan Informasi
DAFTAR ISI KATA PENGANTAR............................................................................................................. 1 DAFTAR ISI....................................................................................... ....................................2 BAB 1: PENDAHULUAN 1.1
Latar Belakang.............................................................................................. ....3 1.2 Rumusan Masalah............................................................................................4 1.3 Tujuan Penulisan............................................................................................. .4 1.4 Metode Penulisan............................................................................................. 4 1.5 Manfaat Penulisan............................................................................................ 4 . BAB 2: PEMBAHASAN 2.1 Dua Konsep Keamanan Informasi Fundamental.................................................5 2.2 Memahami Serangan yang Ditargetkan...............................................................6 2.3 Pengendalian Preventif........ ……………...............................................................7 2.3.1 Orang-orang: Penciptaan Sebuah Budaya “SadarKeamanan”...................7 2.3.2 Orang-orang: Pelatihan.............................................................................8 2.3.3 Proses: Pengendalian Akses Pengguna (User Access Controls).......................8 2.3.3.1 Pengendalian Autentikasi...........................................................9 2.3.3.2 Pengendalian Otorisasi...............................................................9 2.3.4 Solusi TI : Pengendalian Antimalware.....................................................10 2.3.5 Pengendalian Akses Jaringan (Network Access Controls)..............................11 Pengendalian untuk Keamanan Informasi
2
2.3.6 Pengendalian Pengukuhan Peralatan dan Perangkat Lunak (Device and Software Hardening Controls).....................................................................14 2.3.7 Solusi TI: Enkripsi..................................................................................15 2.3.8 Keamanan Fisik: Pengendalian Akses.....................................................16 2.3.9 Pengendalian Perubahan dan Manajemen Perubahan..............................17 2.4 Pengendalian Detektif...........................................................................................18 2.4.1 Analisis Log...........................................................................................18 2.4.2 Sistem Deteksi Gangguan.......................................................................18 2.4.3 Pengujian Penetrasi................................................................................18 2.4.4 Pengawasan Berkelanjutan.....................................................................19 2.5 Pengendalian Korektif...........................................................................................19 2.5.1 Computer Incident Response Team (CIRT).............................................19 2.5.2 Chief Information Security Officer (CISO)...............................................20 2.5.3 Manajemen Patch...................................................................................20 2.6 Implikasi Keamanan Virtualisasi dan Cloud....…..................... ………….................20 2.7 Kasus Integratif: Northwest Indutries.....................................................................21 BAB 3: KESIMPULAN 3.1 Kesimpulan.........................................................................................................23 DAFTAR PUSTAKA............................................................................................................24
BAB 1 PENDAHULUAN 3
Pengendalian untuk Keamanan Informasi
1.1 Latar Belakang Saat
ini,
setiap
organisasi
bergantung
pada
teknologi
informasi (IT-information technology). Banyak juga organisasi yang setidaknya memindahkan sebagian dari sistem informasinya ke cloud. Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh sistem akuntansi milik perusahaan adalah reliabel serta keandalan penyedia layanan cloud dengan rekan kontraknya. Selain itu, manajemen juga menginginkan jaminan bahwa organisasi patuh terhadap susunan peraturan dan ketentuan industri yang terus berkembang termasuk Sarbanes-Oxley (SOX), Health Insurance Portability and Accountability Act (HIPAA), dan Payment Card Industry Data Security Standards (PCI-DSS). Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap kendala sistem: 1. Keamanan (security) - akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah. 2. Kerahasiaan (confidentiality)
–
informasi
keorganisasian
yang
sensitif terlindungi dari pengungkapan yang tanpa izin. 3. Privasi (privacy) – informasi pribadi tentang pelanggan, pegawai, pemasok,
atau
rekan
kerja
hanya
dikumpulkan,
digunakan,
diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan yang tanpa izin. 4. Integritas Pemrosesan (processing integrity) – data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang sesuai. 5. Ketersediaan (availability) – sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontraktual. Keamanan
informasi
merupakan
landasan
sistem
dan
diperlukan untuk mencapai masing-masing dari empat prinsip
4
Pengendalian untuk Keamanan Informasi
lainnya. Prosedur-prosedur keamanan informasi membatasi akses sistem hanya untuk pengguna yang terotorisasi saja, sehingga melindungi kerahasiaan data keorganisasian yang sensitif dan privasi atas informasi yang dikumpulkan pelanggan. Sejumlah prosedur
keamanan
informasi
melindungi
integritas
informasi
dengan mencegah terjadinya transaksi tanpa izin atau fiktif serta mencegah perubahan tanpa izin terhadap data atau program tersimpan.
Terakhir,
prosedur-prosedur
keamanan
informasi
memberikan perlindungan terhadap berbagai serangan, termasuk virus dan worm, sehingga memastikan bahwa sistem tersedia ketika diperlukan.
1.2 Rumusan Masalah Bagaimana
cara
organisasi
melakukan
pengendalian
untuk
keamanan informasi ?
1.3 Tujuan Penulisan Tujuan dari penulisan makalah ini yaitu untuk memenuhi tugas mata kuliah SIA dan menjelaskan berbagai bentuk pengendalian yang dapat dilakukan organisasi untuk keamanan informasi.
1.4 Metode Penulisan Dari beberapa metode penulisan yang ada, penulis mengunakan metode kepustakaan dengan sumber informasi yang berasal dari buku.
1.5 Manfaat Penulisan Harapan penulis adalah semoga makalah ini dapat bermanfaat dalam
memberikan
pemahaman
yang
jelas
tentang
konsep
pengendalian untuk keamanan informasi.
5
Pengendalian untuk Keamanan Informasi
BAB 2 PEMBAHASAN 2.1
Dua
Konsep
Keamanan
Informasi
Fundamental a. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat berteknologi seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan manajemen senior juga menjadi
dasar
untuk
keberhasilan.
Manajemen
senior
harus
berpartisipasi dalam pengembangan kebijakan karena mereka harus memutuskan
sanksi
yang
akan
diberikan
terhadap
tindakan
ketidakpatuhan. Sebagai tambahan, dukungan dan keterlibatan aktif dari manajemen puncak diperlukan untuk memastikan bahwa pelatihan dan komunikasi keamanan informasi dilakukan dengan serius. Manajemen senior juga harus mengotorisasi investasi sumber daya yang diperlukan untuk mengatasi ancaman yang terindentifikasi serta mencapai level keamanan yang dikehendaki. Kemajuan dari TI menciptakan ancaman baru dan mengubah risiko yang tercampur dengan ancaman lama. b. Defense-in-depth dan model keamanan informasi berbasis waktu Defense-in-depth
adalah
penggunaan
berbagai
lapisan
pengendalian untuk menghindari satu poin kegagalan. Defense-indepth secara khusus melibatkan penggunaan sebuah kombinasi dari
6
pengendalian
preventif,
detektif,
dan
korektif.
Peran
Pengendalian untuk Keamanan Informasi
pengendalian preventif adalah untuk membatasi tindakan individu tertentu agar sesuai dengan kebijakan keamanan organisasi. Mendeteksi penorobosan keamanan dan penetapan tindakan perbaikan korektif harus tepat waktu karena segera setelah pengendalian preventif diterobos, seorang penyusup dapat dengan cepat menghancurkan, membahayakan, atau mencuri sumber daya ekonomi dan informasi organisasi. Oleh karena itu, tujuan dari model keamanan berbasis waktu (time-based model of security) adalah menggunakan kombinasi perlindungan preventif, detektif, dan korektif yang melindungi aset informasi
cukup
lama
agar
memungkinkan
organisasi
untuk
mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau rusak. Tujuan ini dapat ditunjukkan dengan sebuah formula yang menggunakan tiga variabel berikut: P = waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi. D = waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses. C = waktu yang diperlukan untuk merespon serangan dan mengambil tindakan korektif. Ketiga variabel tersebut kemudian dievaluasi sebagai berikut: jika P > D + C, maka prosedur keamanan organisasi efektif. Jika sebaliknya, keamanan tidaklah efektif. Model keamanan berbasis waktu
memberikan
sebuah
sarana
bagi
manajemen
untuk
mengidentifikasi pendekatan yang paling hemat biaya untuk meningkatkan keamanan dengan membandingkan efek investasi tambahan dalam pengendalian preventif, detektif dan korektif.
2.2 Memahami Serangan Yang Ditargetkan 7
Pengendalian untuk Keamanan Informasi
Meskipun banyak keamanan informasi, seperti virus, worm, bencana alam, kegagalan perangkat keras, dan kesalahan manusia yang seringnya merupakan kejadian acak (tidak ditargetkan), organisasi juga sering kali menjadi sasaran dari serangan yang disengaja. Langkah-langkah
dasar
yang
dilakukan
para
penjahat
untuk
menyerang sistem informasi suatu perusahaan antara lain: 1. Melakukan pengintaian (conduct reconnaissance) Penyerang mempelajari sebanyak mungkin tentang target serta meng-identifikasikan kerentanan potensial. 2. Mengupayakan rekayasa sosial (attemp social engineering) Penyerang menggunakan tipuan untuk mendapatkan akses tanpa izin terhadap sumber daya informasi. 3. Memindai dan memetakan target (scan and map the target) Penyerang melakukan lebih banyak pengintaian terperinci untuk mengidentifikasi titik-titik potensial entri jarak jauh. Penyerang menggunakan
berbagai
alat
otomatis
untuk
mengidentifikasi
computer yang dapat dikendalikan dari jarak jauh serta berbagai jenis perangkat lunak yang mereka jalankan. 4. Penelitian (research) Penyerang melakukan penelitian untuk menemukan kerentanan yang
terdeteksi
pada
program-program
serta
mempelajari
bagaimana memanfaatkan kerentanan tersebut. 5. Mengeksekusi serangan (execute the attack) Penyerang memanfaatkan kerentanan untuk mendapatkan akses tanpa izin terhadap sistem informasi target. 6. Menutupi jejak (cover tracks) Penyerang berupaya untuk menutupi jejak mereka dan menciptakan “pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal mereka telah diketahui.
2.3 Pengendalian Preventif Pengendalian preventif yang digunakan organisasi secara umum digunakan untuk membatasi akses terhadap sumber daya informasi.
8
Pengendalian untuk Keamanan Informasi
Berbagai pengendalian preventif tersebut selaras bersamaan seperti kepingan-kepingan
puzzle
yang
menyediakan
defense-in-depth
secara kolektif. Meskipun seluruh kepingan penting, komponen “orang-orang” adalah yang paling penting.
2.3.1
Orang-orang: Penciptaan Sebuah Budaya
“Sadar-Keamanan” COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator kritis untuk keamanan informasi yang efektif. Untuk menciptakan sebuah budaya sadar keamanan agar para
pegawai mematuhi
kebijakan keorganisasian, manajemen puncak tidak hanya harus mengomunikasikan kebijakan keamanan organisasi, tetapi juga harus memandu dengan mencontohkannya. Para pegawai
cenderung
informasi
ketika
patuh
mereka
dengan
kebijakan
melihat manajer
keamanan
mereka
yang
melakukannya.
2.3.2
Orang-orang: Pelatihan COBIT 5 mengidentifikasi kemampuan dan kompetensi
pegawai
sebagai
keamanan
sebuah
informasi
fasilitator
yang
memahami
cara
untuk
organisasi.
Oleh
karena
efektif.
mengikuti itu,
kritis Para
lainnya
untuk
pegawai
harus
kebijakan
pelatihan
keamanan
adalah
sebuah
pengendalian preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan bagi kebertahanan jangka panjang organisasi. Mereka juga perlu dilatih untuk mengikuti praktik-praktik komputasi yang aman. Pelatihan penting dilakukan untuk melatih para pegawai tentang serangan rekayasa sosial. Pelatihan kesadaran keamanan penting pula bagi manajemen
9
Pengendalian untuk Keamanan Informasi
senior karena pada tahun-tahun belakangan ini, banyak serangan rekayasa sosial. Pelatihan
professional
merupakan hal yang tak
keamanan
informasi
juga
kalah penting. Perkembangan
teknologi saat ini, secara berkelanjutan menciptakan ancaman keamanan baru dan membuat solusi lama menjadi usang. Dengan demikian, penting bagi organisasi untuk mendukung kelanjutan edukasi profesional untuk spesialis keamanan mereka.
2.3.3
Proses:
Pengendalian
Akses
Pengguna
(User Access Controls) Penerapan praktik manajemen COBIT 5 DSS05.04 melibatkan penggunaan atas dua jenis pengendalian akses pengguna yang saling berhubungan satu sama lain, yaitu :
2.3.3.1
Pengendalian Autentikasi
Autentikasi (authentication) adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem. Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang : 1. Sesuatu yang mereka ketahui, seperti kata sandi atau personal identification number (PIN). 2. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID. 3. Beberapa karakteristik fisik atau perilaku, seperti sidik jari atau pola tulisan. Meskipun tidak satupun dari ketiga tanda bukti autentikasi, yang dengan sendirinya sangat mudah digunakan, penggunaan dua atau semua tiga jenis secara bersamaan yang disebut autentikasi
10
Pengendalian untuk Keamanan Informasi
multifaktor cukup efektif. Dalam beberapa situasi, dapat dilakukan autentikasi multimodal yang menggunakan berbagai tanda bukti dari jenis yang sama untuk meningkatkan keamanan.
2.3.3.2
Pengendalian Otorisasi Otorisasi (authorization) adalah proses memperketat akses
dari
pengguna
sah
terhadap
bagian
spesifik
sistem
dan
membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Tujuannya
adalah
untuk
menyusun
hak
serta
keistimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat. Pengendalian otorisasi biasanya diimplementasikan dengan menciptakan matriks pengendalian akses (access control matrix). Kemudian, ketika seorang pegawai berusaha mengakses sumber daya sistem informasi tertentu, sistem akan melakukan sebuah uji kompatibilitas (compatibility test) yang mencocokkan tanda bukti autentikasi pengguna dengan matriks pengendalian akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber daya dan melakukan tindakan yang diminta. Penting untuk memperbarui secara teratur matriks pengendalian akses agar merefleksikan perubahan pada tugas pekerjaan karena promosi atau pemindahan. Informasi yang terdapat di dalam sebuah matriks pengendalian akses digunakan unntuk mengimplementasikan pengendalian otorisasi pada sistem ERP. Contoh Matriks Pengendalian Akses Pengguna ID Pengguna NHale JPJones BArnold
11
A 0 0 1 …
File B C 0 1 2 0 1 0 … …
1 0 0 1 …
Program 2 3 0 0 0 0 1 0 … …
4 0 1 0 …
Pengendalian untuk Keamanan Informasi
Kode untuk akses File : Kode untuk akses program 0 = Tidak Ada Akses 0 = Tidak Ada Akses 1 = Hanya baca/tampilkan 1 = Eksekusi 2 = Hanya baca/tampilkan dan perbarui 3 = Baca/tampilkan, perbarui, buat, dan hapus
Dalam setiap peran pegawai, sistem memberikan nomor kombinasi yang
sudah
ditentukan
sebelumnya
atas
izin
untuk
melakukan
pembatasan akses umum. Sangat mungkin untuk mencapai pengendalian dan pemisahan tugas yang lebih besar dengan menggunakan sistem manajemen proses bisnis guna melekatkan otorisasi ke dalam proses bisnis yang otomatis daripada tergantung pada matriks pengendalian akses yang statis. Pengendalian otorisasi juga dapat diterapkan tidak hanya untuk orang, tetapi juga pada perangkat yang merupakan cara lain ketika defense-in-depth meningkatkan keamanan.
2.3.4
Solusi TI : Pengendalian Antimalware
Malware (virus, worm, perangkat lunak keystroke logging, dsb.) adalah ancaman besar yang dapat menghancurkan informasi atau akses tanpa izin. COBIT 5 DSS05.01 yang mendaftar perlindungan malware
sebagai
salah
satu
kunci
keamanan
yang
efektif
merekomendasikan: 1. Edukasi kesadaran perangkat lunak jahat. 2. Pemasangan alat anti-malware pada seluruh perangkat. 3. Manajemen terpusat atas sejumlah patch dan memperbaharui perangkat lunak anti-malware 4. Tinjauan teratur atas ancaman malware baru 5. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial 6. Melatih pegawai
untuk
tidak
memasang
perangkat
yang
dibagikan atau tidak disetujui.
2.3.5
Pengendalian Akses Jaringan (Network
Access Controls)
12
Pengendalian untuk Keamanan Informasi
Pertahanan
Perimeter
:
Router,
Firewall
dan
Sistem Pencegahan Gangguan Sebuah
perangkat
yang
disebut
dengan
border
router
menghubungkan sistem informasi sebuah organisasi ke internet. Dibalik border router terdapat firewall utama, yang dapat menjadi perangkat keras bertujuan khusus atau perangkat lunak yang bekerja pada sebuah komputer bertujuan umum yang mengendalikan baik komunikasi masuk maupun keluar antara sistem di balik firewall dan jaringan lainnya. Demilitarized zone (DMZ) adalah sebuah jaringan terpisah yang
berada
mengizinkan
di akses
luar
sistem
yang
informasi
dikendalikan
dari
organisasi
serta
internet
untuk
memilih sumber daya. Secara bersamaan, border router dan firewall bertindak sebagai penyaring untuk mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari sistem informasi organisasi.
Tinjauan menyeluruh TCP/IP dan Ethernet Saat kita mengirimkan sebuah file, file dipecah ke dalam seri-seri potongan kecil yang dikirim secara individu dan disusun ulang selama pengiriman. Setiap jaringan area lokal menggunakan Ethernet untuk mentransmisikan informasi dalam paket-paket dengan ukuran maksimum 1.440 bit. Meski demikian, kebanyakan file berukuran lebih besar dari 1 MB, sehingga sejumlah file dibagi ke dalam ribuan paket. Masing-masing paket harus dilabeli dengan tepat agar seluruh file dapat disusun ulang dengan benar sesuai tujuan. Informasi yang dikerjakan adalah informasi yang dimuat pada header Transmission Control Protocol (TCP), Internet Protocol (IP), dan Ethernet. Header TCP berisi bidang-bidang yang merinci posisi berurutan dari paket yang berkaitan dengan keseluruhan file dan port
13
Pengendalian untuk Keamanan Informasi
number
(alamat)
pada
perangkat-perangkat
pengiriman
dan
penerimaan dari asal file hingga ke mana file disusun kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan (alamat IP) dari perangkat pengiriman dan penerimaan. Router adalah perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber dan tujuan pada header paket IP untuk memutuskan kemana akan mengirim (rute) paket selanjutnya. Header Ethernet berisi alamat MAC perangkat pengiriman dan penerimaan yang digunakan untuk mengendalikan aliran lalu lintas pada local area network (LAN). Contoh Arsitektur Jaringan Keorganisasian
Mengendalikan Akses dengan Paket Penyaringan Border router dan firewall utama organisasi menggunakan seperangkat aturan IF-THEN, disebut access control list (ACL) yang
14
Pengendalian untuk Keamanan Informasi
digunakan untuk menentukan tindakan yang dilakukan pada paket yang tiba. Penyaringan paket (packet filtering) yaitu sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP paket untuk memutuskan tindakan yang dilakukan pada paket. Kemudian, dilakukan pemeriksaan data fisik sebuah paket TCP untuk mengendalikan lalu lintas yang disebut deep packet inspection. Pada saat router dan firewall memeriksa paket individu, sistem pencegah
gangguan
(intrusion
prevention
system-IPS)
jaringan
mengawasi pola-pola pada arus lalu lintas untuk mengidentifikasi dan mengeblok serangan secara otomatis.
Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan
Salah satu dimensi dari konsep defense-in-depth adalah penggunakan multi-firewall
internal
untuk
membuat
segmentasi
departemen
berbeda di dalam organisasi. Firewall internal membantu untuk mempersempit jenis data dan porsi sistem informasi sebuah organisasi yang dapat diakses seorang pegawai tertentu. Hal ini tidak hanya meningkatkan keamanan, tetapi juga memperkuat pengendalian internal dengan menyediakan sebuah sarana untuk melaksanakan pemisahan tugas.
Mengamankan Koneksi Dial-Up Remote Aunthetication Dial-in User Service (RADIUS) adalah sebuah metode
standar
untuk
memverifikasi
identitas
pengguna
yang
berupaya untuk terhubung melalui akses dial-in. Selain itu, sebuah modem yang tidak diotorisasi (“rogue”) terhubung pada stasiun kerja desktop seorang pegawai dapat menciptakan “pintu belakang” yang sering kali dapat diserang karena sebuah sistem yang tidak terlindungi dengan
baik.
Cara
untuk
mengatasinya
adalah
menggunakan
perangkat lunak war dialing untuk menghubungi setiap nomor telepon yang ditentukan oleh organisasi guna mengidentifikasi nomor yang terhubung dengan modem.
15
Pengendalian untuk Keamanan Informasi
Mengamankan Akses Nirkabel Prosedur yang yang perlu diikuti untuk mengamankan akses nirkabel secara memadai adalah sebagai berikut : a. Menyalakan fitur keamanan yang tersedia. b. Membuktikan keabsahan seluruh perangkat yang digunakan sebelum menentukan sebuah alamat IP untuk mereka. c. Mengatur seluruh perangkat nirkabel agar hanya agar hanya beroperasi pada modus infrastuktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel. d. Menggunakan nama yang noninformatif sebagai alamat titik akses yang disebut dengan service set identifier (SSID). e. Mengurangi kekuatan publikasi dari titik akses nirkabel. f. Mengenkripsi seluruh lalu lintas nirkabel. Terakhir, seperti halnya kasus modem, lebih mudah dan murah bagi para pegawai untuk membangun titik akses nirkabel tanpa izin di kantor mereka. Oleh karena itu, staf keamanan informasi atau audit internal secara periodik harus menguji keberadaan titik akses nirkabel rogue, mematikan yang ditemukan, dan secara tepat mendisiplinkan para pegawai yang bertanggung jawab atas pe-masangannya.
2.3.6 Pengendalian Pengukuhan Peralatan dan Perangkat Lunak (Device and Software Hardening Controls) Konfigurasi Endpoint Endpoint merupakan istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organsasi.
Endpoint
dapat
dibuat
lebih
aman
dengan
memodifikasi konfigurasinya. Setiap program yang berjalan menunjukkan titik serangan potensial karena ia kemungkinan memiliki kerusakan, disebut kerentanan (vulnerability) yang dapat dimanfaatkan baik untuk merusak sistem maupun mengambil kendalinya.
16
Pengendalian untuk Keamanan Informasi
Oleh karena itu, setiap program dan fitur opsional yang tidak digunakan seharusnya dimatikan. Alat-alat yang disebut pemindai kerentanan (vulnerabilities scanners) dapat digunakan untuk mengidentifikasi program yang tidak digunakan, sehingga tidak memerlukan program yang menunjukkan ancaman keamanan potensial. Proses
memodifikasi
konfigurasi
dasar
endpoint
untuk
mengeliminasi pengaturan dan layanan yang tidak diperlukan disebut
pengukuhan
(hardening).
Sebagai
tambahan
untuk
pengukuhan, setiap endpoint perlu menjalankan perangkat lunak antivirus dan firewall yang diperbarui secara teratur. Pengukuhan tersebut juga diperlukan untuk memasang perangkat lunak pencegahan gangguan langsung pada endpoint untuk mencegah upaya
tanpa
izin
guna
mengubah
konfigurasi
pengukuhan
perangkat.
Manajemen Akun Pengguna Praktik manajemen COBIT 5 DSS05.04 menekankan kebutuhan untuk
secara
terutama
hati-hati
akun-akun
mengelola yang
seluruh
memiliki
hak
akun tak
pengguna, terbatas
(administratif) pada komputer. Hak administratif dibutuhkan untuk memasang perangkat lunak dan mengubah sebagian besar pengaturan konfigurasi.
Desain Perangkat Lunak Teknik-teknik pemrograman yang buruk memngaruhi tidak hanya kode ciptaan secara internal, tetapi juga perangkat lunak yang dibeli dari pihak ketiga. Oleh karena itu, salah satu bagian dari kerangka COBIT 5 menspesifikasikan kebutuhan untuk mendesain keamanan secara cermat.
2.3.7 17
Solusi TI: Enkripsi Pengendalian untuk Keamanan Informasi
Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin terhadap informasi sensitif.
2.3.8 Keamanan Fisik: Pengendalian Akses Sudah menjadi hal yang mendasar untuk mengendalikan akses fisik terhadap sumber daya informasi. Seorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses fisik langsung tanpa pengawasan untuk menembus
pengendalian
keamanan informasi yang ada. Seseorang dengan akses fisik yang tak terawasi juga dapat menyusupkan disk “boot” khusus yang memberikan akses langsung terhadap setiap file di komputer dan kemudian menyalin sejumlah file sensitif ke sebuah perangkat portabel seperti USB port atau iPod. Cara lainnya, seorang penyerang dengan akses fisik tak terawasi dapat dengan mudah memindahkan hard drive atau bahkan mencuri seluruh komputer. COBIT 5 DSS05.05 menjelaskan praktik-praktik terbaik mengenai pengendalian akses fisik. Pengendalian akses fisik dimulai dari pintu masuk ke dalam gedung itu sendiri. Segera setelah masuk ke dalam gedung, akses fisik pada ruangan-ruangan yang menyimpan komputer juga harus dibatasi. Ruangan-ruangan tersebut harus dikunci secara aman dan seluruh pintu masuk/keluar diawasi dengan sistem CCTV. Setelan rumit khusus dari pengendalian akses fisik disebut sebagai jebakan –manusia penggunaan
(man-trap), yaitu teknik yang melibatkan
ruangan-ruangan
yang
didesain
secara
khusus.
Ruangan-ruangan ini biasanya memiliki dua pintu, masing-masing pintu
menggunakan
berbagai
metode
autentikasi
untuk
mengendalikan akses. Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu dibatasi untuk mencegah wiretapping. Lemari wiring yang berisi perlengkapan telekomunikasi perlu dikunci dengan aman. Stop kontak tembok yang sedang tidak digunakan harus
18
Pengendalian untuk Keamanan Informasi
diputus koneksinya secara fisik dari jaringan, untuk mencegah seseorang menancapkannya ke laptop dan berupaya mengakses jaringan. Idealnya, para pegawai sebaiknya tidak menyimpan segala informasi sensitif didalam laptop atau perangkat pribadi lainnya. Jika informasi keorganisasian sensitif harus disimpan di dalam laptop
atau
perangkat
portabel,
informasi
tersebut
harus
dienkripsi, sehingga jika perangkat hilang atau dicuri informasi tidak akan bisa diakses. Selain itu, praktik-praktik manajemen COBIT 5 DSS05.06 menekankan pentingnya pembatasan aksesakses fisik ke jaringan printer karena printer sering kali menyimpan gambar-gambar dokumen dalam hard drive-nya. Terakhir, cara yang sangat memungkinkan untuk mencapai defense-in-depth adalah mengintegrasikan sistem pengendalian akses fisik dan akses jarak jauh. Hal tersebut akan mengidentifikasi kondisi yang menunjukkan adanya penerobosan keamanan, seperti ketika seorang pengguna yang semestinya di dalam kantor secara terus-menerus mencoba untuk masuk ke dalam sistem secara jarak jauh dari lokasi lain yang jaraknya jauh secara geografis.
2.3.9 Pengendalian
Perubahan
dan
Manajemen
Perubahan Pengendalian perubahan dan manajemen perubahan adalah proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat
keras,
perangkat
lunak,
atau
pada
proses
tidak
mengurangi keandalan sistem. Beberapa karakteristik proses pengendalian
perubahan
dan
manajemen
perubahan
yang
didesain dengan baik melibatkan: Dokumentasi pengidentifikasian
seluruh sifat
permintaan perubahan,
perubahan, rasionalitasnya,
tanggal permintaan, dan hasil permintaan.
19
Pengendalian untuk Keamanan Informasi
Persutujan
terdokumentasi
atas
seluruh
permintaan
perubahan dilakukan oleh tingkat manajemen yang sesuai. Pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah, bukan hanyayang digunakan untuk proses bisnis harian. Pengendalian konversi memastikan memastikan bahwa data ditransfer secara akurat dan lengkap daei sistem lama ke sistem baru. Para auditor internal harus meninjau proses konversi. Pembaruan seluruh deskripsi
sistem,
dokumentasi manual
(instruksi
prosedur,
program,
dsb.)
untuk
menunjukkan implementasi perubahan terbaru. Sebuah proses khusus untuk peninjauan, persetujuan, dan dokumentasi secara tepat waktu atas “perubahan darurat” segera setelah krisis terjadi. Pengembangan dan dokumentasi rencana “mundur untuk mempermudah pengembalian ke konfigurasi sebelumnya jika perubahan baru dapat menciptakan masalah yang tidak diharapkan. Pengawasan dan peninjauan dengan cermat atas hak dan keistimewaan pengguna selama proses perubahan untuk memastikan bahwa pemisahan tugas yang sesuai telah ditetapkan.
2.4 Pengendalian Detektif 2.4.1 Analisis Log Analisis log (log analysis) adalah proses pemeriksaan log untuk
mengidentifikasi
bukti
kemungkinan
serangan.
Catatan log dibuat secara rutin kapan saja sesuai terjadinya peristiwa. Log-log tersebut juga perlu dianalisis secara teratur untuk mendeteksi masalah secara tepat waktu. Hal ini tentunya memerlukan pertimbangan manusia untuk mengartikan laporan dan mengidentifikasi situasi yang tidak “normal”.
20
Pengendalian untuk Keamanan Informasi
2.4.2
Sistem Deteksi Gangguan
Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah sistem jaringan terdiri atas satu set sensor dan unit pengawasan pusat (central monitoring unit) yang menghasilkan log dari seluruh lalu lintas yang diizinkan untuk melewati firewall dan kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau yang berhasil dilakukan.
2.4.3
Pengujian Penetrasi
Uji penetrasi (penetration test) adalah upaya terotorisasi oleh baik tim audit internal maupun kantor konsultasi keamanan eksternal untuk menerobos kedalam sistem informasi organisasi.
2.4.4
Pengawasan Berkelanjutan
Praktik
manajemen
pengawasan
COBIT
berkelanjutan
5
menekankan
dan
pentingnya
kepatuhan
pegawai
terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis. Pengawasan tersebut merupakan
pengendalian
detektif
penting
untuk
mengidentifikasi masalah potensial secara tepat waktu.
2.5 Pengendalian Korektif 2.5.1 Computer Incident Response Team (CIRT) Sebuah komponen utama agar mampu merespons insiden keamanan dengan tepat dan efektif adalah tim perespons insiden komputer (computer incident response team – CIRT). Sebuah CIRT harus mengarahkan proses respons insiden organisasi melalui empat tahapan berikut: 1. Pemberitahuan
(recognition)
adanya
sebuah
masalah.
Biasanya, ini terjadi ketika sebuah IPS dan IDS memberi sinyal, tetapi juga dapat berasal dari hasil analisis log yang dilakukan oleh administrator sistem.
21
Pengendalian untuk Keamanan Informasi
2. Penahanan
(containment)
masalah.
Segera
setelah
gangguan terdeteksi, tindakan yang tepat diperlukan untuk menghentikan gangguan dan menahan bahaya. 3. Pemulihan
(recovery).
serangan
harus
Bahaya
yang
diperbaiki
disebabkan
dengan
oleh
melibatkan
penyimpanan ulang data dari backup serta pemasangan ulang program-program yang rusak. 4. Tindak lanjut (follow up). CIRT harus memimpin analisis bagaimana insiden terjadi. Keputusan penting yang perlu dibuat
adalah
menangkap
apakah
dan
akan
menghukum
mengupayakan pelaku
untuk
perusakan.
Jika
organisasi memutuskan bahwa ia ingin menuntut pelaku, perusahaan
perlu
melibatkan
pakar
forensik
untuk
memastikan bahwa seluruh bukti dapat dikumpulkan dan dikelola dengan cara yang membuatnya dapat diterima secara administratif di pengadilan.
2.5.2 Posisi
Chief Information Security Officer (CISO) CISO
harus
independen
dari
fungsi-fungsi
sistem
informasi lainnya serta harus melapor baik ke chief executive officer (CEO) maupun chief information officer (CIO) untuk mendesain, mengimplementasi, serta membangun kebijakan dan prosedur keamanan yang baik. Oleh karena itu, CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik. CISO juga perlu bekerja sama dengan pihak yang berwenang atas keamanan fisik, karena akses fisik tanpa izin dapat memungkinkan penyusup untuk menerobos pengendalian akses logis yang paling rumit.
2.5.3
Manajemen Patch
Peningkatan terus-menerus atas ukuran dan kompleksitas program perangkat lunak memuat sejumlah kerentanan.Oleh
22
Pengendalian untuk Keamanan Informasi
karena itu, setelah sebuah kerentanan teridentifikasi, penting untuk mengambil langkah secara tepat waktu sebelum sebuah exploit muncul, yaitu sebuah program yang didesain untuk memanfaatkan adanya kerentanan yang terdeteksi. Patch adalah kode yang dirilis pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses
untuk
memperbarui
secara
teratur
perangkat
lunak
menerapkan yang
patch
digunakan
dan oleh
organisasi.
2.6 Implikasi Keamanan Virtualisasi dan Cloud Virtualisasi memanfaatkan kekuatan dan kecepatan komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik. Hal ini memotong biaya perangkat keras karena semakin
sedikit
server
yang
perlu
dibeli.
Komputasi
cloud
memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan sebuah browser
untuk
mengakses
perangkat
lunak
dari
jarak
jauh,
perangkat penyimpan data, dan seluruh lingkungan aplikasi. Virtualisasi dan komputasi cloud dapat memiliki baik efek positif maupun negatif pada keseluruhan tingkatan keamanan informasi, tergantung pada sebaik apa organisasi atau penyedia cloud mengimplementasikan berbagai lapisan dari pengendalian preventif, detektif, dan korektif.
2.7 Kasus Integratif : Northwest Industries Penugasan
Jason
Scott
selanjutnya
adalah
untuk
meninjau
pengendalian internal pada sistem informasi Northwest Industries. Jason mendapatkan sebuah salinan dari Control Objectives for Information and Related Technology 5 (COBIT 5) dan terkesan dengan
23
Pengendalian untuk Keamanan Informasi
ketelitiannya. Meski demikian, ia memberi tahu temannya bahwa ia merasa kewalahan untuk mencoba menggunakan COBIT 5 dalam merencanakan
auditnya
di
Northwest
Industries.
Temannya
menyarankan agar ia memeriksa Trust Service Framework yang dikembangkan secara bersamaan oleh American Institute of Certified Public Acccountant (AICPA) dan Canadian Institute of Chartered Accountants (CICA) untuk memandu para auditor dalam menilai keandalan sistem informasi sebuah perusahaan. Setelah meninjau kerangka
tersebut,
Jason
menyimpulkan
bahwa
ia
dapat
menggunakannya sebagai panduan upaya auditnya. Ia memutuskan bahwa ia akan memulainya dengan berfokus pada pengendalian yang
didesain
untuk
memberikan
jaminan
memadai
tentang
keamanan informasi. 1. Pengendalian apa yang Northwest Industries gunakan untuk mencegah akses tanpa izin ke sistem akuntansinya ? Northwest
Industries
menggunakan
berbagai
bentuk
pengendalian preventif. Salah satunya adalah menciptakan buaya sadar
keamanan
yang
mengharuskan
para
pegawai
untuk
mengikuti seminar isu keamanan terkini setiap bulannya. 2. Bagaimana keberhasilan dan kegagalan upaya perusakan sistem akuntansi perusahaan dapat terdeteksi secara tepat waktu ? Northwest Industries menggunakan kombinasi pengendalian detektif dan korektif yang akan memungkinkan perusahaan untuk mendeteksi serta merespon serangan dalam waktu yang lebih singkat
dari
yang
dibutuhkan
penyusup
untuk
membobol
pengendalian preventif dan berhasil menyerang sistem. 3. Prosedur apa saja yang dijalankan untuk merespons peristiwaperistiwa tentang keamanan ? Akses fisik ke kantor perusahaan dibatasi oleh satu pintu masuk utama yang dijaga sepanjang waktu oleh penjaga keamanan.
24
Pengendalian untuk Keamanan Informasi
Seluruh pengunjung harus mendaftar ke meja keamanan dan dikawal sepanjang waktu oleh seorang pegawai. Akses terhadap ruangan-ruangan yang dilengkapi peralatan komputasi memerlukan penyisipan badge pegawai di dalam pembaca kartu dan memasukkan PIN ke dalam kunci keypad di pintu. Pengendalian akses jarak jauh meliputi firewall utama yang melakukan penyaringan paket dan sebuah firewall aplikasi situs yang menggunakan deep packet inspection untuk menyaring seluruh lalu lintas yang menuju server web. Terdapat firewall internal tambahan yang memisahkan fungsi bisnis yang berbeda satu sama lain. Staf keamanan informasi secara teratur memindai seluruh perlengkapan terkait masalah kerentanan serta memastikan bahwa setiap stasiun kerja pegawai menjalankan versi terbaru dari perangkat lunak antivirus dan firewall perusahaan. Perusahaan menggunakan sistem pendeteksi gangguan (intrusion detection system) Manajemen puncak menerima
laporan
bulanan
atas
efektivitas keamanan sistem.
BAB 3 KESIMPULAN 3.1 Kesimpulan
25
Pengendalian untuk Keamanan Informasi
Ada tiga bentuk pengendalian untuk keamanan informasi yaitu pengendalian preventif, pengendalian detektif, dan pengendalian korektif. Pengendalian preventif terdiri dari penciptaan budaya sadar-keamanan, pelatihan, pengendalian akses pengguna yang terbagi
menjadi
pengendalian
autentikasi
dan
pengendalian
otorisasi, pengendalian antimalware, pengendalian akses jaringan, pengendalian pengukuhan peralatan dan perangkat lunak, enkripsi, pengendalian akses serta pengendalian perubahan dan manajemen perubahan. Pengendalian detektif terbagi menjadi empat jenis yaitu analisis log, sistem deteksi gangguan, pengujian penetrasi, dan pengawasan berkelanjutan. Pengendalian korektif terdiri dari tiga komponen yaitu Computer Incident Response Team (CIRT), Chief Information
Security
Officer
(CISO),
dan
penerapan
sistem
manajemen patch.
DAFTAR PUSTAKA
Romney, Marshall B dan Paul John Steinbart. 2014. Sistem Informasi Akuntansi Edisi 13. Jakarta: Salemba Empat.
26
Pengendalian untuk Keamanan Informasi
View more...
Comments
