Pengendalian untuk Keamanan Informasi
A. 5 Prinsip Pengendalian TI
Trust Service Framework mengatur pengendalian TI ke dalam 5 prinsip:
1. Keamanan
Akses ke sistem dan data dikendalikan dan dibatasi untuk pengguna yang sah
2. Kerahasiaan
Data organisasi yang sensitif dilindungi
3. Privasi
Informasi pribadi tentang mitra dagang, investor, dan karyawan dilindungi
4. Integritas Pemrosesan
Data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang tepat
5. Ketersediaan
Sistem dan informasi tersedia
B. Dua Konsep Keamanan Informasi Fundamental
1. Konsep Pertama
Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi Manajer harus memilih respon yang tepat untuk menangani ancaman keamanan (menerima, menurunkan, membagi, atau menghindari)
2. Konsep Kedua
Defense-in-depth dan model keamanan informasi berbasis waktu
Defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk rnenghindari sebuah poin kegagalan.
Model keamanan berbasis waktu adalah penggunaan kombinasi perlindungan preventif, detektif, dan korektif. Model keamanan berbasis waktu efektif bila
P>D+C
P = waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi
D = waktu yang diperlukan untuk mendeteksi bahwa serangan sedang dalam proses
C = waktu yang diperlukan untuk merespon serangan dan mengambil tindakan korektif
C. Memahami Serangan yang Ditargetkan
Langkah-langkah dasar yang dilakukan penjahat untuk menyerang sistem informasi:
1. Melakukan pengintaian
2. Mengupayakan rekayasa sosial
3. Memindai dan memetakan target
4. Penelitian
5. Mengeksekusi serangan
6. Menutupi jejak
D. Pengendalian Preventif
1. People: Penciptaan Sebuah Budaya “Sadar Keamanan”
Budaya diciptakan tidak hanya dengan mengkomunikasikannya. tetapi juga dengan mencontohkannya.
2. People: Pelatihan
Pelatihan diadakan supaya pegawai dapat memahami cara untuk mengikuti kebijakan keamanan organisasi.
3. Proses: Pengendalian Akses Pengguna
Ancaman tidak hanya orang luar, tetapi bisa juga dari pegawai sehingga perlu menerapkan sistem pengendalian yang dirancang untuk melindungi aset informasi dari pengguna dan akses tanpa izin. Pengendalian ini bisa dilakukan dengan pengendalian autentikasi dan pengendalian otorisasi.
a. Pengendalian Autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem.
Tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang:
- Sesuatu yang mereka ketahui. seperti kata sandi atau PIN
- Sesuatu yang mereka miliki. seperti kartu pintar
- Karakteristik fisik atau perilaku (biometric identifier). seperti sidik jari atau pola tulisan
a. Autentikasi multifaktor
Autentikasi multifaktor yaitu penggunaan dua atau lebih jenis tanda bukti secara bersamaan.
b. Autentikasi multimodal
Autentikasi multimodal yaitu penggunaan berbagai tanda bukti autentikasi dari jenis yang sama untuk mencapai tingkat keamanan yang ketat.
b. Pengendalian Oltorisasi
Otorlsas! adalah. proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Cara kerjanya yaitu dengan menciptakan matriks pengendalian akses di mana sistem tersebut akan melakukan uji “kompatibilitas yang mencocokkan tanda bukti autentikasi pengguna dengan matriks pengendalian akses.
4. Solusi TI : Pengendalian Antimalware
Hal yang dapat dilakukan guna perlindungan malware:
- Edukasi kesadaran perangkat lunak jahat
- Pemasangan alat perlindungan antimalware pada seluruh perangkat
- Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak antimalware
- Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial
- Melatih pegawai untuk tidak memasang perengkat lunak yang dibagikan atau tidak disetujui
5. Solusi TI : Pengendalian Akses Jaringan
Metode yang digunakan untuk menunjukkan keamanan jaringan organisasi dan seluruh upaya untuk tersambung ke dalamnya:
- Pertahanan perimeter : router, firewall, dan sistem pencegahan gangguan
- Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet
– Mengendalikan akses dengan paket penyaringan
– Menggunakan defence-in-depth untuk membatasi akses jaringan - Mengamankan koneksi dial-up
- Mengamankan akses nirkabel
6. Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak
Tiga area yang berhak mendapatkan perhatian lebih:
a. Konfigurasi endpoint
Endpoint merupakan istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organisasi. Endpoint dapat dibuat lebih aman dengan memodifikasi konfigurasinya.
b. Manajemen akun pengguna
Para pegawai yang memerlukan kewenangan administratif untuk sebuah komputer khusus harus diberi dua akun yaitu akun dengan hak adininistratif dan akun dengan kewenangan terbatas.
C. Desain perangkat lunak
Para pemogram harus dilatih untuk memperlakukan seluruh input dari pengguna eksternal sebagai hal yang tidak dapat dipercaya dan mengeceknya dengan cermat sebelum melakukan tindakan lebih lanjut
7. Solusi TI : Enkripsi
8. Keamanan Fisik : Pengendalian Akses
9. Pengendalian Perubahan dan Manajemen Perubahan
Pengendalian perubahan dan manajemen perubahan adalah proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.
Karakteristik proses pengendalian perubahan dan manajemen perubahan yang didesain dengan baik melibatkan:
- Dokumentasi seluruh permintaan perubahan, pengidentifikasian sifat perubahan, rasionalitasnya, tanggal permintaan, dan hasil permintaan.
- Persetujuan terdokumentasi atas seluruh permintaan perubahan dilakukan oleh tingkat manajemen yang sesuai
- Pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah
- Pengendalian konversi memastikan bahwa data ditransfer secara akurat dan lengkap dari sistem lama ke sistem baru
- Pembaruan seluruh dokumentasi untuk menunjukkan implementasi perubahan terbaru
- Sebuah proses khusus untuk peninjauan persetujuan, dan dokumentasi secara tepat waktu atas “perubahan darurat” segera setelah krisis terjadi
- Pengembangan dan dokumentasi rencana “mundur” untuk mempermudah pengembalian ke konfigurasi sebelumnya jika perubahan baru menciptakan masalah yang tidak diharapkan
- Pengawasan dan peninjauan dengan cermat atas hak dan keistimewaan pengguna selama proses perubahan untuk memastikan bahwa pemisahan tugas yang sesuai telah ditetapkan
E. Pengendalian Detektif
1. Analisis Log
Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan
2. Sistem Deteksi Gangguan
Sistem deteksi gangguan adalah sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan. ‘
3. Pengujian Penetrasi
Uji penetrasi adalah upaya terotorisasi untuk menerobos ke dalam sistem informal Organisasi.
4. Pengawasan Berkelanjutan
F. Pengendalian Korektif
1. Computer Incident Response Team (CIRT)
CIRT merupakan sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan utama.
Tahapan yang dilakukan CIRT :
- Pemberitahuan adanya masalah
- Penahanan masalah
- Pemulihan
- Tindak lanjut
2. Chief Information Security Officer (CISO)
CISO bertanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik
3. Manajemen Patch
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu.
G. Implikasi Keamanan Virtualisasi dan Cloud
1. Virtualisasi
Virtualisasi yaitu menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
2. Komputasi Cloud
Komputasi Cloud yaitu menggunakan sebuah browser untuk mengakses perangkat lunak. menyimpan data, perangkat keras, dan aplikasi dari jarak jauh.
