Pengendalian untuk Keamanan Informasi - Materi SIA terbaru 1

Pengendalian untuk Keamanan Informasi

A. 5 Prinsip Pengendalian TI

Trust Service Framework mengatur pengendalian TI ke dalam 5 prinsip:

1. Keamanan

Akses ke sistem dan data dikendalikan dan dibatasi untuk pengguna yang sah

2. Kerahasiaan

Data organisasi yang sensitif dilindungi

3. Privasi

Informasi pribadi tentang mitra dagang, investor, dan karyawan dilindungi

4. Integritas Pemrosesan

Data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang tepat

5. Ketersediaan

Sistem dan informasi tersedia

B. Dua Konsep Keamanan Informasi Fundamental

1. Konsep Pertama

Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi Manajer harus memilih respon yang tepat untuk menangani ancaman keamanan (menerima, menurunkan, membagi, atau menghindari)

2. Konsep Kedua

Defense-in-depth dan model keamanan informasi berbasis waktu
Defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk rnenghindari sebuah poin kegagalan.
Model keamanan berbasis waktu adalah penggunaan kombinasi perlindungan preventif, detektif, dan korektif. Model keamanan berbasis waktu efektif bila

P>D+C
P = waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi
D = waktu yang diperlukan untuk mendeteksi bahwa serangan sedang dalam proses
C = waktu yang diperlukan untuk merespon serangan dan mengambil tindakan korektif

C. Memahami Serangan yang Ditargetkan

Langkah-langkah dasar yang dilakukan penjahat untuk menyerang sistem informasi:
1. Melakukan pengintaian
2. Mengupayakan rekayasa sosial
3. Memindai dan memetakan target 
4. Penelitian
5. Mengeksekusi serangan
6. Menutupi jejak

D. Pengendalian Preventif

1. People: Penciptaan Sebuah Budaya “Sadar Keamanan”

Budaya diciptakan tidak hanya dengan mengkomunikasikannya. tetapi juga dengan mencontohkannya.

2. People: Pelatihan

Pelatihan diadakan supaya pegawai dapat memahami cara untuk mengikuti kebijakan keamanan organisasi.

3. Proses: Pengendalian Akses Pengguna

Ancaman tidak hanya orang luar, tetapi bisa juga dari pegawai sehingga perlu menerapkan sistem pengendalian yang dirancang untuk melindungi aset informasi dari pengguna dan akses tanpa izin. Pengendalian ini bisa dilakukan dengan pengendalian autentikasi dan pengendalian otorisasi.

a. Pengendalian Autentikasi

Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. 

Tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang: 

  • Sesuatu yang mereka ketahui. seperti kata sandi atau PIN
  • Sesuatu yang mereka miliki. seperti kartu pintar
  • Karakteristik fisik atau perilaku (biometric identifier). seperti sidik jari atau pola tulisan
a. Autentikasi multifaktor

Autentikasi multifaktor yaitu penggunaan dua atau lebih jenis tanda bukti secara bersamaan.

b. Autentikasi multimodal

Autentikasi multimodal yaitu penggunaan berbagai tanda bukti autentikasi dari jenis yang sama untuk mencapai tingkat keamanan yang ketat.

b. Pengendalian Oltorisasi

Otorlsas! adalah. proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Cara kerjanya yaitu dengan menciptakan matriks pengendalian akses di mana sistem tersebut akan melakukan uji “kompatibilitas yang mencocokkan tanda bukti autentikasi pengguna dengan matriks pengendalian akses.

4. Solusi TI : Pengendalian Antimalware

Hal yang dapat dilakukan guna perlindungan malware:

  • Edukasi kesadaran perangkat lunak jahat
  • Pemasangan alat perlindungan antimalware pada seluruh perangkat
  • Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak antimalware
  • Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial
  • Melatih pegawai untuk tidak memasang perengkat lunak yang dibagikan atau tidak disetujui

5. Solusi TI : Pengendalian Akses Jaringan

Metode yang digunakan untuk menunjukkan keamanan jaringan organisasi dan seluruh upaya untuk tersambung ke dalamnya:

  • Pertahanan perimeter : router, firewall, dan sistem pencegahan gangguan
  • Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet
     – Mengendalikan akses dengan paket penyaringan
    – Menggunakan defence-in-depth untuk membatasi akses jaringan
  • Mengamankan koneksi dial-up
  • Mengamankan akses nirkabel

6. Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak

Tiga area yang berhak mendapatkan perhatian lebih:

a. Konfigurasi endpoint

Endpoint merupakan istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organisasi. Endpoint dapat dibuat lebih aman dengan memodifikasi konfigurasinya.

b. Manajemen akun pengguna

Para pegawai yang memerlukan kewenangan administratif untuk sebuah komputer khusus harus diberi dua akun yaitu akun dengan hak adininistratif dan akun dengan kewenangan terbatas.

C. Desain perangkat lunak

Para pemogram harus dilatih untuk memperlakukan seluruh input dari pengguna eksternal sebagai hal yang tidak dapat dipercaya dan mengeceknya dengan cermat sebelum melakukan tindakan lebih lanjut

7. Solusi TI : Enkripsi

8. Keamanan Fisik : Pengendalian Akses

9. Pengendalian Perubahan dan Manajemen Perubahan

Pengendalian perubahan dan manajemen perubahan adalah proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.

Karakteristik proses pengendalian perubahan dan manajemen perubahan yang didesain dengan baik melibatkan:

  • Dokumentasi seluruh permintaan perubahan, pengidentifikasian sifat perubahan, rasionalitasnya, tanggal permintaan, dan hasil permintaan.
  • Persetujuan terdokumentasi atas seluruh permintaan perubahan dilakukan oleh tingkat manajemen yang sesuai
  • Pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah
  • Pengendalian konversi memastikan bahwa data ditransfer secara akurat dan lengkap dari sistem lama ke sistem baru
  • Pembaruan seluruh dokumentasi untuk menunjukkan implementasi perubahan terbaru
  • Sebuah proses khusus untuk peninjauan persetujuan, dan dokumentasi secara tepat waktu atas “perubahan darurat” segera setelah krisis terjadi
  • Pengembangan dan dokumentasi rencana “mundur” untuk mempermudah pengembalian ke konfigurasi sebelumnya jika perubahan baru menciptakan masalah yang tidak diharapkan
  • Pengawasan dan peninjauan dengan cermat atas hak dan keistimewaan pengguna selama proses perubahan untuk memastikan bahwa pemisahan tugas yang sesuai telah ditetapkan

E. Pengendalian Detektif

1. Analisis Log

Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan

2. Sistem Deteksi Gangguan

Sistem deteksi gangguan adalah sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan. ‘

3. Pengujian Penetrasi

Uji penetrasi adalah upaya terotorisasi untuk menerobos ke dalam sistem informal Organisasi.

4. Pengawasan Berkelanjutan

F. Pengendalian Korektif

1. Computer Incident Response Team (CIRT)

CIRT merupakan sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan utama.

Tahapan yang dilakukan CIRT :

  • Pemberitahuan adanya masalah
  • Penahanan masalah
  • Pemulihan
  • Tindak lanjut

2. Chief Information Security Officer (CISO)

CISO bertanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik

3. Manajemen Patch

Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu.

G. Implikasi Keamanan Virtualisasi dan Cloud

1. Virtualisasi

 Virtualisasi yaitu menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.

2. Komputasi Cloud

Komputasi Cloud yaitu menggunakan sebuah browser untuk mengakses perangkat lunak. menyimpan data, perangkat keras, dan aplikasi dari jarak jauh.