Sabtu, 27 Oktober 2018

BAB 11




PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTER


Pengauditan adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan. Pengauditan internal adalah sebuah aktivitas independen, menjamin objektivitas serta konsultasi yang didesain untuk menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu dalam desain dan implementasi dari sebuah SIA. Jenis-jenis audit internal :
  1. audit keuangan memeriksa keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntasi, dan laporan keuangan.
  2. sistem informasi atau audit pengendalian internal  memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas pengamanan aset.
  3. audit operasional berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
  4. audit kepatuhan menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan prosedur yang berlaku.
  5. audit investigatif menguji kejadian-kejadian dari penipuan yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.

SIFAT PENGAUDITAN

TINJAUAN MENYELURUH PROSES AUDIT
Audit dibagi ke dalam empat tahap : 

.


PENDEKATAN BERBASIS RISIKO
  1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
  2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman.
  3. Mengevaluasi prosedur pengendalian terdapat dua cara yaitu, tinjauan sistem dan uji pengendalian.
  4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan.

AUDIT SISTEM INFORMASI
Ketika melakukan sebuah audit sistem informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah dicapai:
  1. ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
  2. pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan spesifikasi manajemen.
  3. modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
  4. pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap.
  5. data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan ditangani berdasarkan kebijakan manajerial yang telah ditentukan.
  6. file-file data komputer tepat, lengkap, dan rahasia.



TEKNIK-TEKNIK AUDIT BERSAMAAN
Para auditor biasanya menggunakan lima teknik audit bersama sebagai berikut:
  1. Integrated test facility (ITF) menyisipkan catatan-catatan fiktif yang mempresentasikan divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan.
  2. Teknik snapshot, transaksi-transaksi yang terpilih ditandai dengan sebuah kode khusus..
  3. System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk terus menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi log audit.
  4. audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang dipertanyakan.
  5. Continuous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah sistem manajemen database yang menguji seluruh transaksi yang memperbarui database menggunakan kriteria yang serupa dengan SCARF.

ANALISIS ATAS LOGIKA PROGRAM
Auditor menggunakan paket-paket perangkat lunak sebagai berikut:
  • program bagan alir otomatis mengartikan kode sumber dan menghasilkan sebuah bagan alir program.
  • program tabel keputusan otomatis mengartikan sumber dan menghasilkan sebuah tabel keputusan.
  • rutinitas pemindaian mencari sebuah program untuk seluruh kejadian atas komponen-komponen tertentu.
  • program pemetaan mengidentifikasi kode program yang tidak dilaksanakan.
  • penelusuran program secara berurutan mencetak seluruh langkah-langkah program yang dilakukan ketika sebuah program berjalan, bercampur dengan output reguler.

AUDIT OPERASIONAL SIA
Langkah pertama dalam audit operasional adalah perencanaan audit, langkah selanjutnya, pengumpulan bukti, termasuk aktivitas-aktivitas sebagai berikut:
  • memeriksa kebijakan dan dokumentasi pengoperasian
  • mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian
  • mengobservasi fungsi-fungsi dan aktivitas-aktivitas pengoperasian
  • memeriksa rencana serta laporan finansial dan pengoperasian
  • menguji ketepatan atas informasi pengoperasian
  • menguji pengendalian





Diposting oleh di Tidak ada komentar:

Sabtu, 20 Oktober 2018

BAB 10

PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN

Hasil gambar untuk pengendalian integritas pemrosesan dan ketersediaan bab 10


INTEGRITAS PEMROSESAN
Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap, tepat waktu, dan valid.
Ada tiga tahap proses pengolahan data dan COBIT:
  1. Input. Ancaman/risiko: data yang tidak valid, tidak otorisasi, tidak lengkap, tidak akurat. Pengendalian: Bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi dan pemisahan tugas pengendalian, pemindaian visual, pengendalian entri data.
  2. Pemrosesan. Ancaman/risiko: kesalahan dalam output dan data yang tersimpan. Pengendalian:Pencocokan data, label file, total batch, pengujian saldo cross-footing dan saldo nol, mekanisme menulis perlindungan (write-protection), pemrosesan database, pengendalian integritas.
  3. Output. Ancaman/risiko: pengguna laporan yang tidak akurat atau tidak lengkap; pengungkapanyang tidak diotorisasi informasi sensitif; kehilangan, perubahan, tau pengungkapan informasi dalam transit. Pengendalian: pemeriksaan dan rekonsiliasi, enkripsi dan pengendalian akses, pengecekan berimbang, teknik pengakuan pesan.


BENTUK DESAIN
Dua bentuk utama desain pengendalian yang penting melibatkan dokumen sumber yaitu:
  1. Sebelum penomoran (prenumbering). Prenumbering tersebut meningkatkan pengendalian dengan memperbolehkannya untuk memverifikasi bahwa tidak dokumen yang hilang. Ketika dokumen data sumber yang telah dinomori digunakan, sistem harus diprogram untuk mengidentifikasi dan melaporkan dokumen sumber yang hilang atau duplikatnya.
  2. Dokumen turnaround (turnaround document) adalah catatan atas data perusahaan yang dikirimkan ke pihak eksternal dan kemudian dikembalikan oleh pihak eksternal tersebut untuk selanjutnya di input ke sistem. Dokumen tersebut disiapkan dalam bentuk yang dapat terbaca oleh mesin untuk memudahkan pemrosesan selanjutnya sebagai catatan input. Dokumen tersebut juga meningkatkan ketepatan dengan mengeliminasi potensi kesalahan input ketika memasukkan data secara manual.

PEMBATALAN DAN PENYIMPANAN DOKUMEN SUMBER
Dokumen-dokumen sumber yang telah dimasukkan ke dalam sistem harus dibatalkan sehingga mereka tidak dapat dengan sengaja atau secara tidak jujur dimasukkan ulang ke dalam sistem. Dokumen kertas harus ditandai, contohnya dengan memberi stempel "dibayar". Dokumen elektronik dengan cara yang sama dapat "dibatalkan" dengan mengatur sebuah field tanda untuk mengindikasikan bahwa dokumen tersebut telah diproses.


PENGENDALIAN ENTRI DATA
Dokumen-dokumen sumber harus dipindai untuk kewajaran dan kebenaran sebelum dimasukkan ke dalam sistem. Pengendalian manual ini harus dilengkapi dengan pengendalian entri data otomatis, seperti berikut ini:
  • Pengecekan field (Field Check) . Menentukan apakah karakter pada sebuah field adalah dari jenis yang tepat.
  • Pengecekan tanda (Sign Check). Menentukan apakah data pada sebuah field memiliki tanda aritmetika yang sesuai.
  • Pengecekan batas (limit Check). Menguji sejumlah numerik terhadap nilai tetap.
  • Pengecekan jangkauan (Range Check). Menguji apakah sejumlah numerik berada pada batas terendah dan tertinggi yang telah ditentukan sebelumnya.
  • Pengecekan ukuran (Size Check). Memastikan bahwa data input akan sesuai pada field yang ditentukan.
  • Pengecekan atau pengujian kelengkapan (Completenes Check/test). Memverifikasi bahwa seluruh item-item data yang diperlukan telah dimasukkan. 
  • Pengecekan validitas (Validity Check). Membandingka kode ID atau nomor rekening dalam data transaksi dengan data serupa di dalam file induk untuk memverifikasi bahwa rekening tersebut ada.
  • Tes kewajaran (Reasonable Test). Menentukan kebenaran dari hubungan logis antara dua item-item data.
  • Nomor ID (seperti nomor pegawai) dapat berisi cek digit (check digit)yang dihitung daei digit lain. Perangkat entri data kemudian dapat diprogram untuk menjalankan verifikasi cek digit, yang melibatkan penghitungan ulang cek digit untuk mengidentifikasi kesalahan entri data.

PENGENDALIAN TAMBAHAN ENTRI DATA PEMROSESAN BATCH
  • Pemrosesan batch bekerja lebih efisien jika transaksi-transaksi disortir, sehingga rekening-rekening yang terkena dampak berada dalam urutan yang sama dengan catatan di dalam file induk. Sebuah pengecekan berurutan menguji apakah batch atau input data berada di dalam urutan numerik atau alfabetis yang tepat.
  • Sebuah log kesalahan yang mengidentifikasikan kesalahan input data (tanggal, penyebab, masalah) memudahkan pemeriksaan tepat waktu dan pengumpulan ulang atas transaksi yang tidak dapat diproses.
  • Batch total merangkum nilai-nilai numerik bagi sebuah batch atas catatan input. Berikut ini ada 3 total batch yang sering digunakan:
  1. Total finansial (Financial total). Menjumlahkan sebuah field yang berisi nilai-nilai moneter; seperti total jumlah dolar dari seluruh penjualan untuk sebuah batch transaksi penjualan. 
  2. Total hash (Hash total). Menjumlahkan sebuah field numerik non-finansial, seperti field total kuantitas yang dipesan di dalam sebuah batchtransaksi penjualan.
  3. Jumlah catatan (Record count) adalah banyaknya catatan dalam sebuah batch.

PENGENDALIAN TAMBAHAN ENTRI DATA ONLINE
  • Prompting adalah sebuah pengecekan kelengkapan secara online, dimana sistem meminta tiap-tiap item data input dan menunggu respons yang dapat diterima, memastikan bahwa seluruh data yang diperlukan telah dimasukkan.
  • Closed-loop verification mengecek ketepatan dari data input dengan menggunakannya untuk mengambil dan menampilkan informasi terkait lainnya.
  • Transaction log, menyertakan sebuah catatan mendetail dari seluruh transaksi termasuk pengidentifikasian transaksi khusus, tanggal dan waktu entri, serta siapa yang memasukkan transaksi. Jika sebuah file onlinedirusak, loh transaksi dapat digunakan untuk memulihkan file.

PENGENDALIAN PEMROSESAN
Pengendalian juga diperlukan untuk memastikan bahwa data diproses dengan benar. Pengendalian pemrosesan yang penting mencakup kegitan sebagai berikut :
  • Pencocokan data. Dalam kasus-kasus tertentu, dua atau lebih item dari data harus dicocokkan sebelum sebuah tindakan dilakukan.
  • Label file. Label file perlu dicek untuk memastikan bahwa file yang benar dan terkini sedang diperbarui. Dua jenis label internal yang penting adalah catatan kepala dan trailer. Catatan kepala (header record) ditempatkan di awal setiap file dan memuat nama file, tanggal kadaluarsa, serta data identifikasi lainnya. Catatan trailer (trailer record) diletakkan pada akhir file; dala file transaksi, catatan trailer memuat total batch yang dihitung selama input.
  • Perhitungan ulang total batch. Total batch harus dihitung ulang setiap masing-masing catatan transaksi diproses, dan dari total batch tersebut harus dibandingkan dengan nilai-nilai dalam catatan trailer.
  • Pengujian saldo cross-footing dan saldo nol. Sebuah pengujian saldo cross-footing (cross-footing balance test) membandingkan hasil yang diperlihatkan masing-masing untuk memverifikasi ketepatan, Pengujan saldo nol (zero-balance test) menerapkan lpgika yang sama untuk memverifikasi ketepatan pemrosesan yang melibatkan rekening kontrol.
  • Mekanisme write-protection. Mekanisme ini melindungi terhadap menimpa (overwriting) atau menghapus (erasing) file data yang disimpan dalam media magnetik.
  • Pengendalian pembaruan secara bersamaan. Kesalahan dapat terjadi ketika dua pengguna atau lebih berupaya untuk memperbarui catatan yang sama secara bersamaan. Pengendalian pembaruaan secara bersamaan (concurrent update controls) mencegah kesalahan tersebut dengan mengunci satu pengguna sampai sistem telah selesai memproses transaksi yang dimasukkan oleh yang lainnya.

PENGENDALIAN OUTPUT
Pengecekan yang hati-hati terhadap output sistem memberikan pengendalian tambahan atas integritas pemrosesan. Pengendalian output meliputi berikut ini:
  • Pemeriksaan pengguna terhadap output. Para pengguna harus dengan cermat memeriksa output sistem untuk memverifikasi bahwa output-nya masuk akal, lengkap, dan pengguna adalah penerima yang dutuju.
  • Prosedur rekonsiliasi. Secara periodik, seluruh transaksi dan pembaruan sisem lainnya harus di rekonsiliasi untuk laporan pengendalain, laporan status/pembaruan file, tau mekanisme pengendalian lainnya.
  • Rekonsiliasi data eksternal. Total database harus direkonsiliasi secra [eriodik dengan data yang dikelola di luar sistem.
  • Pengendalian transmisi data. Organisasi juga perlu mengimplementasikan pengendalian yang didesain untuk meminimalkan risiko kesalahan transmisi data. Setiap kali perangkat penerima mendeteksi sebuah kesalahan transmisi data, ia meminta perngkat pengirim untuk menstransmisi ulang data tersebut. Secara umum, ini terjadi secara otomatis, dan pengguna tidak sadar bahwa pengendalian transmisi telah terjadi. Dua pengendalian transmisi yang umum adalah checksum dan bit paritas.
  1. Checksum. Ketika data ditransmisikan, perangkat pengirim dapat menghitung sebuah hash dari file tersebut, yang disebut checksum. Perangkat penerima melakukan perhitungan yang sama dan mengirimkan hasilnya ke perangkat pengirim. Jika kedua hash sesuai, transmisi dianggap akurat. Kebalikannya, file tersebut dikirim ulang.
  2. Bit paritas. Sebuah bit paritas adalah digit ekstra yang ditambahkan awal pada tiap-tiap karakter yang dapat digunakan untuk mengecek ketepatan transmisi. Dua skema dasar disebut sebagai paritas genap dan paritas ganjil. Dalam paritas genap, bit paritas diatur sehingga setiap karakter memiliki bit berjumlah genap dengan nilai 1. Dalam paritas ganjil, bit paritas diatur, sehingga bit berjumlah ganjil dalam karakter memiliki nilai 1.

Contoh Ilustratif : Pemrosesan Penjualan Kredit
Setiap catatan transaksi meliputi data berikut : nomor faktur penjualan, nomor rekening pelanggan, nomor barang persediaan, kuantitas terjual, harga penjualan, dan tanggal pengiriman. Pemrosesan transaksi-transaksi ini mencakup tahapan-tahapan berikut ini:
  1. memasukkan dan mengedit data transaksi.
  2. memperbarui catatan pelanggan dan persediaan (jumlah dari pembelian kredit ditambahkan ke saldo pelanggan. untuk setiap barang persediaan, kuantitas terjual dikurangkan dari kuantitas di tangan)
  3. menyiapkan dan mendistribusikan dokumen pengiriman dan atau penagihan.

PENGENDALIAN INPUT
Setelah transaksi penjualan dimasukkan, sistem menjalankan beberapa pengujian validitas pendahuluan. Pengecekan validitas mengidentifikasi transaksi dengan jumlah rekening yang tidak valid atau nomor barang persediaan yang tidak valid. Pengecekan tanda memverifikasi bahwa filed kuantitas yang terjual dan harga penjualan memuat angka positif.


PENGENDALIAN PEMROSESAN
Sistem membaca catatan kepala dari file induk pelanggan dan persediaan serta memverifikasi bahwa versi terbaru sedang digunakan. Pengecekan batas digunakan untuk memverifikasi bahwa penjualan yang baru tidak meningkatkan saldo rekening pelanggan melebihi batas kredit yang telah ditetapkan sebelumnya. Jika melebihi, transaksi sementara dikesampingkan dan sebuah pemberitahuan dikirim ke manajer kredit. Jika penjualan diproses, pengecekan tanda memverifikasi bahwa kuantitas di tangan yang baru untuk setiap barang persediaan lebih besar atau sama dengan nol.


PENGENDALIAN OUTPUT
Dokumen penagihan dan pengiriman hanya diarahkan kepada pegawai yang diotorisasi di departemen akuntansi dan pengiriman, yang secara visual menginspeksi dokumen-dokumen tersebut untuk kesalahan yang jelas. Sebuah laporan pengendalian yang merangkum transaksi yang diproses dikirim ke manajer pengendalian penjualan, akuntansi, dan persediaan untuk ditinjau.


PENGENDALIAN INTEGRITAS PEMROSESAN DALAM SPREADSHEET
Pentingnya spreadsheet bagi pelaporan keuangan direfleksikan dalam fakta bahwa ISACA mendokumentasikan IT Control Objectives for Sarbanes-Oxley yang berisi lampiran terpisah yang secara spesifik menjelaskan pengendalian integritas pemrosesan yang harus diterapkan dalam spreadsheet.


Ketersediaan
Gangguan dalam proses bisnis yang dikarenakan tidak tersedianya sistem atau informasi dapat menyebabkan kerugian keuangan yang signifikan. Organisasi juga perlu memiliki pengendalian yang didesain untuk memungkinkan pelanjutan cepat dari operasi normal setelah ada kejadian yang mengganggu ketersediaan sistem.


MEMINIMALKAN RISIKO PENGHENTIAN SISTEM
Organisasi dapat melakukan berbagai tindakan untuk meminimalkan risiko penghentian sistem seperti membersihkan disk drive dan menyimpan media magnetik dan optik dengan tepat, untuk mengurangi risiko kegagalan perangkat keras dan lunak. Fitur-fitur desain umumnya meliputi sebagai berikut:
  • lantai yang ditinggikan memberikan perlindungan dari kerusakan yang disebabkan oleh banjir.
  • pendeteksi api dan perangat penekanan mengurangi kemungkinan kerusakan akibat kebakaran.
  • sistem pendingin udara yang memadai untuk mengurangi kemungkinan kerusakan bagi peralatan komputer karena terlalu panas atau lembab.
  • kabel dengan tancapan khusus yang tidak dapat diganti dengan mudah.
  • perangkat antipetir memberikan perlindungan terhadap fluktuasi daya temporer.
  • suplai daya bebas gangguan memberikan perlindungan dari kejadian sebuah listrik berkepanjangan.
  • pengendalian akses fisik mengurangi risiko pencurian atau kerusakan.

PEMULIHAN DAN PENERUSAN OPERASI NORMAL
Pengendalian preventif yang didisusikan pada bagian sebelumnya dapat meminimalkan,tetapi tidak secara keseluruhan mengeliminasi, risiko penghentian sistem. Sebuah backup adalah sebuah salinan yang sama persis atas versi terbaru dari database, file, atau program perangkat lunak yang dapat digunakan jika data aslinya tidak lagi tersedia. Prosedur backup sebuah organisasi,DRP dan BCP merefleksikan jawaban manajemen terhadap dua pertanyaan fundamental yaitu :
  • Seberapa banyak data yang akan diciptakan ulang dari dokumen sumber (jika ada) atau berpotensi kehilangan (jika  belum ada dokumen sumber yang ada)
  • Seberapa lama organisasi dapat berfungsi tanpa system informasinya

PROSEDUR BACK UP DATA
Prosedur back up data didesain untuk menghadapi situasi di mana informasi tidak dapat diakses karena file atau database yang relevan telah menjadi korup/rusak akibat kegagalan perangkat keras, masalah perangkat lunak, atau kesalahan manusia, namun sistem informasinya masih berfungsi. Backup penuh adalah sebuah salinan tepat dari keseluruhan sebuah database.
  1. Backup inkremental hanya melibatkan penyalinan item-item data yang telah berubah sejak backup parsial terakhir.Salinan ini menghasilkan sebuah set file backup inkremental, masing-masing memuat hasil dari transaksi-transaksi yang terjadi dalam satu hari.
  2. Backup diferensial menyalin seluruh perubahan yang dibuat sejak backup penuh terakhir. Jadi, setiap file backup diferensial yang baru memuat efek kumulatif dari seluruh aktivitas sejak backup penuh terakhir.

PERENCANAAN PEMULIHAN BENCANA DAN KELANGSUNGAN BISNIS
Rencana pemulihan bencana menguraikan prosedur-prosedur untuk mengembalikan fungsi TI sebuah organisasi akibat kejadian hancurnya pusat data karena bencana alam atau tindakan terorisme. Pilihan pertama adalah kontrak untuk menggunakan sebuah situs dingin yang merupakan sebuah bangunan kosong yang diberi kabel sebelumnya untuk akses telepon dan internet yang memadai. Pilihan kedua adalah kontrak untuk menggunakan sebuah situs panas yang merupakan sebuah fasilitas yang tidak hanya diberi kabel sebelumnya untuk akses telepon dan internet. Rencana kelangsungan bisnis menspesifikasikan bagaimana untuk merangkum tidak hanya fungsi TI, tetapi seluruh proses bisnis, termasuk relokasi ke kantor baru dan menggunakan pengganti sementara.


EFEK DARI VIRTUALISASI DAN KOMPUTASI CLOUD
Virtualisasi dapat secara signifikan meningkatkan efektivitas dan efisiensi dari pemulihan bencana dan penerusan operasi normal. Jadi, virtualisasi secara signifikan mengurangi waktu yang diperlukan untuk memulihkan dari masalah-masalah perangkat keras. Sedangkan komputasi cloud memiliki efek positif dan negatif dalam ketersediaan. Komputasi cloud biasanya memanfaatkan bank atas server berlebih dalam berbagai lokasi, sehingga menurunkan risiko bahwa sebuah kerusakan tunggal dapat mengakibatkan penghentian sistem dan hilangnya semua data.
Diposting oleh di Tidak ada komentar:

Minggu, 14 Oktober 2018

BAB 9

PENGENDALIAN KERAHASIAAN DAN PRIVASI 
Hasil gambar untuk PENGENDALIAN KERAHASIAAN DAN PRIVASI

Menjaga Kerahasiaan
Organisasi memiliki informasi sensitif yang tak terhitung, termasuk rencana strategis, rahasia dagang, informasi biaya, dokumen legal, dan peningkatan proses. Berikut ini merupakan empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif:

  1. mengidentifikasi dan mengklasifiasi informasi untuk dilindungi.
  2. mengenkripsi informasi.
  3. mengendalikan akses atas informasi.
  4. melatih para pegawai untuk menangani informasi secara tepat

IDENTIFIKASI DAN KLASIFIKASI INFORMASI UNTUK DILINDUNGI
Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitive laninnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya. Hal tersebut terdengar mudah, tetapi mengusahakan persediaan yang lengkap dari setiap simpanan digital dan kertas informasi sama-sama memakan waktu serta biaya karena melibatkan pemeriksaan yang lebih cermat daripada isi sitem keuangan organisasi. Setelah informasi yang perlu dilindungi telah diidentifikasi, langkah selanjutnya adalah mengklasifikasi informasi untuk organisasi berdasarkan nilainya. Sebagai contoh, perusahaan manufaktur biasanya menggunakan otomatisasi pabrik berkala besar. Sistem-sistem tersebut memuat instruksi yang mungkin memberikan keunggulan biaya signifikan atau peningkatan kualitas produk dibanding pesaing, sehingga baru di lindungi dari pengungkapan yang tidak diotorisasi-penggelapan


MELINDUNGI KERAHASIAAN DENGAN ENKRIPSI
Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasian. Ia adalah satu-satunya cara melindungi informasi dalam lalu lintasnya melalui internet. Enkripsi juga merupakan bagian yang diperlukan dari defense-in-depth untuk melindungi informasi yang disimpan dalam situs atau di dalam sebuah cloud publik. Sebagi contoh, enkripsi disk yang menyeluruh akan melindungi informasi yang tersimpan di laptop saat laptop tersebut hilang atau dicuri. Orang yang mencuri atau menemukan laptop tersebut tidak dapat membaca informasi yang dienkripsi, kecuali ia dapat masuk sebagai pemilik sah. Itulah mengapa auntetikasi diperlukan.


MENGENDALIKAN AKSES TERHADAP INFORMASI SENSITIF
Information Right Management (IRM) Perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin, cetak, unduh, dsb) Individu yang diberi akses terhadap sumber daya tersebut agar dapat melakukannya. Beberapa perangkat lunak IRM bahkan memiliki kemampuan untuk membatasi bahkan memiliki kemampuan akses untuk periode waktu tertentu, dan menghapus file yang dilindungi dari jarak jauh.
  • Data Loss Preventation (DLP) adalah perangkat lunak yang bekerja seperti program antivirus secara terbalik, mengeblok pesan-pesan keluar (baik email, IM, dll). yang mengandung kata kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi.
  • Watermark Digital adalah kode yang terlekat dalam dokumen yang memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan

PELATIHAN
Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang luar dan jenis informasi yang perlu dilindungi. Oleh karena itu, penting bagi manajemen untuk menginformasikan kepada para pegawai yang akan menghadiri kursus-kursus pelaihan ekternal, acara dagang, atau konferensi, apakah mereka dapat mendiskusikan informasi tersebut atau apakah informasi tersebut harus dilindungi karena ia menyediakan keunggulan penghematan biaya atau peningkatan kualitas perusahaan terhadap pesaingnya.


PRIVASI
Prinsip privasi erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu ia lebih fokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis daripada data keorganisasian.


PENGENDALIAN PRIVASI
Dua permasalahan utama terkait privasi adalah sebagai berikut:
  • Spam. Spam adalah email yang tak diinginkan yang mengandung baik periklanan maupun konten serangan. Spam merupakan permasalahan yang terkait privasi, karena penerimaan sering kali menjadi menjadi target tujuan tak terotorisasi terhadap daftar dan database email yang berisi informasi pribadi. Volume spammelebihi banyaknya sistem e-mail. Spam tidak hanya mengurangi manfaat efisiensi e-mail, tetapi juga merupakan sebuah sumber dari banyaknya virus, worm, program spyware dan jenis-jenis malware lainnya
  • Pencurian Identitas. Pencurian Identitas yaitu penggunaan tidak sah atas informasi pribadi seseorang dami keuntungan pelaku. Pencurian identitas menggunakan identitas seseorang, biasanya untuk keuntungan ekonomi.

REGULASI PRIVASI DAN PRINSIP-PRINSIP PRIVASI YANG DITERIMA SECARA UMUM (GENERALLY ACCEPTED PRIVACY PRINCIPLES-GAAP)
Sepuluh praktik terbaik yang diakui internasional untuk melindungi privasi informasi pribadi para pelanggan.
  1. Manajemen. Organisasi harus membuat satu set prosedur dan kebijakan untuk melindungi privasi informasi pribadi
  2. Pemberitahuan. Organisasi harus memberikan pemberitahuan tentang kebijakan dan prktik privasinya pada saat/ sebelum mengumpulkan informasi
  3. Pilihan dan persetujuan. Organisasi harus menjelaskan pilihan-pilihan yang tersedia kepada para individu,, dan juga harus mendapat persetujuan sebelum mengumpulkan atau menggunakan informasi pribadi mereka.
  4. Pengumpulan. Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi tujuan yang dinyatakan dalam kebijakan privasinya. Cookie adalah sebuah file teks yang diciptakan oleh sebuah situs web dan disimpan dalam hard drive pengunjung. Cookie menyimpan informasi mengenai siapa pengguna tersebut dan tindakan yang telah dilakukan pengguna di situs tersebut
  5. Penggunaan dan retensi. Organisasi harus menggunakan informasi pribadidengan cara dideskripsikan pada kebijakan privasi yang dinyatan dan menyimpan informasi tersebut selam informasi tersebut diperlukan 
  6. Akses. Organisasi harus memberikan akses para penggunaanya , meninjau, memperbaiki, menghapus informasi pribadi yang tersimpan mengenai mereka.
  7. Pengungkapan kepada Pihak Ketiga. Organisasi Organisai harus mengungkapkan informasi pribadi pelanggannya hanya untu situasi tertentu dan cara yang sesuai dengan kebijakan privasi organisasi dan pihak ketiga harus menjamin tingkat perlindungan privasi yang sama.
  8. Keamanan. Organisai haus melindungi informasi pribadi pelanggan dari kehilangan yang tak terotorisasi
  9. Kualitas. Organisasi harus mejaga integritas informasi pribadi pelanggannya menggunakan prosedur yang memastikan informasi terseut akurat secara wajar
  10. Pengawasan dan Penegakan. Organisasi harus menugaskna suatu pegawai atau lebih guna bertanggungjawab untuk memastikan kepatuhan terhadap kebijakan privasi yang dinayatakan

ENKRIPSI
Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi hak kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang berjalan melalui internet dan juga menyediakan sebuah tembok batas terakhir yang harus dilalui oleh seorang penyusup yang telah mendapatkan akeses tak terotorisasi atas informasi yang disimpan.


FAKTOR-FAKTOR YANG MEMENGARUHI KEKUATAN ENKRIPSI


  • Panjang Kunci. Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi jumlah blok-blok berulang pada chipettext,
  • Alogartime Enkripsi. Jenis Alogaritime yang digunakan untuk mengombinasikan kunci dan plaintext adalah sangat penting. Sebuah Alogaritime kuat yang rumit, bukannya tidak mungkin untuk dirusak dengan menggunakan teknik penebakan paksaan brutal.
  • Kebijakan untuk Mengelola Kunci Kriptografi. Kunci Kriptografi harus disimpan secara aman dan dilindungi dengan pengendalian akses yang kuat. Praktik-praktik terbaik meliputi: (1) tidak menyimpan kriptografi didalam sebuah browser atau file lain yang dapat diaksesoelh pengguna lain dari sistem tersebut. (2) menggunkan frasa sandi yang kuat dan panjanh untuk melindungi kunci.

JENIS-JENIS ENKRIPSI
  1. Sistem Enkripsi Simetris adalah Sistem Enkripsi yang menggunakan kunci yang sama untuk mengenkripsi dan mendeskripsi
  2. Sistem Enkripsi Asimetris adalah Sistem Enkripsi yang menggunakan dua kunci (satu publik, lainnya privat), keduanya dapat mengenkripsi, tetapi hnaya kunci pencocokan lainnya yang dapat mendekripsi

HASHING
Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat yang disebut hash. Contohnya, algoritme SHA-256 menciptakan hash 256 bit, terlepas dari ukuran plaintext asli. Hashing berbeda dari enkripsi dalam dua aspek penting. Pertama, enksripsi selalu menghasilkan chipertext dengan ukuran yang sama dengan plaintext asli, tetapi hashing selalu menghasilkan hash yang panjangnya tetap, tanpa melihat ukuran plaintext asli.


TANDA TANGAN DIGITAL
Pokok penting untuk transaksi bisnis selai nonrepudiation, atau bagaimana agar menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak unilateral oleh kedua pihak. Secara tradisional, hal tersebut telah dilakukan melalui penandatanganan kontrak dan dokumen lain secara fisik. Dalam kasus perselisihan, para pakar dapat memeriksa tanda tangan dengan menggunakan internet. Bagaimana bisnis dapat memperoleh tingkat penjaminan yang sama atas keabsahan transaksi digital dengan sebuah dokumen yang tertandatangani seperti halnya transaksi yang berbasis kertas? Jawabannya adalah dengan menggunakan baik hashing atau enkripsi asimetris untuk menciptakan tanda tangan yang terikat secara legal atau hukum. 


Perbandingan dari Hashing dan Enkripsi

Hasil gambar untuk perbedaan hashing dan enkripsi



SERTIFIKAT DIGITAL DAN INFRASTRUKTUR KUNCI PUBLIK 
Sertifikat digital adalah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut. Oleh karena itu, fungsi sertifikat digital seperti ekuivalen digital dari SIM atau paspor. Seperti paspor dan SIM yang diterbitkan oleh pihak independen yang terercaya (pemerintah) dan menggunakan mekanisme hologram serta watermark untuk membuktikan keasliannya, sertifikat digital juga diterbitkan oleh sebuah organisasi yang disebut dengan otorisasi sertifikat dan mengandung tanda tangan digital otoritas sertifikat di dalamnya untuk membuktikan keasliannya.


VIRTUAL PRIVATE NETWORK (VPN)
Guna melindungi kerahasiaan dan privasi, informasi harus dienkripsi tidak hanya di dalam sebuah siste, tetapi juga ketika ia sedang dalam perjalanan melalui internet. Mengenkripsi informasi saat informasi melintasi internet akan menciptakan sebuah virtual private network (VPN), dinamakan demikian karena ia menyediakan fungsionalitas sebuah jaringan aman yang dimiliki secara privat, tanpa biaya lini telepon yang dibebankan, dan perlengkapan komunikasi lainnya.


Hasil gambar untuk virtual private network


Diposting oleh di Tidak ada komentar:

Jumat, 05 Oktober 2018

BAB 8

PENGENDALIAN UNTUK KEAMANAN INFORMASI
Hasil gambar untuk pengendalian untuk keamanan informasi


Trust Service Framework yang dikembangkan oleh AICPA dan CICA membagi pengendalian terkait IT ke dalam 5 prinsip yang berkontribusi dalam keandalan suatu sistem yaitu:
  1. Security. Akses (baik fisik maupun logical) terhadap sistem dan data dikendalikan dan dibatasi hanya kepada pengguna yang sah.
  2. Confidentiality. Iinformasi organisasi yang sensitif dilindungi dari pengungkapan yang tidak berhak.
  3. Privacy. Informasi personal terkait pelanggan, karyawan, supplier atau partner bisnis hanya digunakan dalam hal kepatuhan terhadap kebijakan internal dan persyaratan aturan eksternal dan dilindungi dari pengungkapan yang tidak sah.
  4. Processing integrity. Data diproses secara akurat, lengkapm dan hanya dengan otorisasi yang sah.
  5. Avaliability. Sistem dan informasinya tersedia bagi kebutuhan operasional dan kewajiban kontraktual.








Dua Konsep Keamanan Informasi Fundamental
  1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi. Keamanan infromasi yang efektif mensyaratkan penggunaan alat-alat berteknologi seperti farewall, antivirus dan enkripsi namun keterlibatan serta dukungan manajemen senior juga menjadi dasar untuk keberhasilan. Para professional keamanan infromasi harus memilki keahilan dalam mengidentifikasi ancaman potensial dan mengestimasikan kemungkinan serta dampaknya, dimana manajemen senior harus mampu memilih mana dari 4 respon risiko (menurunkan, menerima, membagi atau menghindari) yang sesuai untuk diadopsi sehingga sumber daya yang diinvestasikan pada keamanan informasi menunjukan kebutuhan risiko organisasi. 
  2. Defense-In-Depth dan model keamanan informasi berbasis waktu Defense-In-Depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. Contohnya penggunaan firewall yang didukung pula dengan penggunaan metode autentikasi untuk membatasi akses terhadap sistem informasi.


Model keamanan berbasis waktu adalah menggunakan kombinasi perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak. 
Model ini ditunjukan dengan formula dengan menggunakan 3 variable sebagai berikut :
P = Waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi 
D = Waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses
C = Waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif 
jika P > D + C , Maka prosedur keamanan organisassi efektif dan jika sebaliknya maka pengendalian tidaklah efektif.


Memahami Serangan yang Ditargetkan
Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu perusahaan: 
  1. Melakukan Pengintaian (conduct reconnaissance), Para perampok mempelajari tata ruang fsik target mereka untuk memahami pengendalian yang dimiliki oleh tempat tersebut. Tujuan pengintaian awal adalah untuk mempeljari sebanyak mungkin tentang target serta mengidentifikasikan kerentanan potensial.
  2. Mengupayakan rekayasa sosial (attempt social engineering). Penyerang biasanya mencoba meggunakan informasi yang didapatkan selama pengintaian awal untuk mengelabui seorang pegawai yang tidak merasa curiga untuk emberi akses kepada mereka. Rekayasa sosial dapat terjadi melalui banyak cara, hanya di batasi oleh kreatifitas dan imajinasi penyerang. Biasanya melalui telepon, email, dan menyebarkan USB Drives diarea parker suatu organisasi yang menjadi target.
  3. Memindai dan Memetakan target (scan and map the target). Serangan dengan melakukan pengintaian terperinci untuk mengidentifikasi titik-titik potensial entri jarak jauh. Penyerang menggunakan berbagai alat otomatis untuk mengidentifikasi computer yang dapat dikendaliakan dari jarak jauh serta berbagai jenis perangkat lunak yang mereka jalankan.
  4. Penelitian (Research). Melakukan penelitian untuk menemukan kerentanan yang terdeteksi pada program-program tersebut serta mempelajari bagaimana memanfaatkan kerentanan tersebut.
  5. Mengeksekusi Serangan (excute the attack). Penyerang memanfaatkan kerentanan untuk mendapatkan akses tanpa izin terhadap sistem informasi target.
  6. Menutupi jejak (cover tracks). Setelah memasuki sistem informasi pengguna, sebagain besar penyerang berupaya untuk menutupi jejak mereka dan menciptakan “pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal mereka diketahui dan pengendalian diimplementasikan untuk mengeblok metode entri tersebut.


PENGENDALIAN PREVENTIF
Orang-orang : penciptaan sebuah budaya “sadar keamanan” 
Sesuai dengan COBIT 5 : Mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator kritis untuk keamanan informasi yang efektif. Pengendalian ini untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak hanya harus mengkomunikasikan kebijakan keamanan organisasi, tetapi juga harus memandu dengan mencontohkannya.


Orang –orang : Pelatihan 
Para pegawai harus memahami cara untuk mengikuti kebijakan keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran –ukuran keamanan bagi kebertahanan jangka panjang organisasi serta dilatih untuk mengikuti praktik-praktik komputasi yang aman.


Proses : Pengendalian Akses Pengguna 
Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai. Untuk mencapai tujuan tersebut maka praktik manajemen COBIT 5 menekankan perlunya pengendalian untuk mengelola identitas penggunaan dan akses logis, sehingga memungkinkan identifikasi secara khusus siapa saja yang mengakses sistem informasi organisasi serta melacak tindakan yang merek lakukan. Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu pengendalian autentikasi dan pengendalian otorisasi.

Pengendalian Autentikasi Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem. Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang : 
  1. Sesuatu yang mereka ketahui, seperti kata sandi atau PIN
  2. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID
  3. Beberapa karakteristik atau prilaku (pengidentifikasi biometri seperti sidik jari atau pola tulisan.
Pengendalian Otorisasi. Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagain spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.


Solusi TI : Pengendalian Antimalware Malware (seperti virus, worm, perangkat lunak keystroke logging) adalah sebuah ancaman besar. Malware dapat membahayakan atau menghancurkan informasi atau menghasilkan sebuah cara untuk memperoleh akses tanpa izin


Solusi TI : Pengendalian Akses Jaringan Sebuah pengendalian dimana beberapa organisasi masih mempertahankan pengelolaan jaringan hak milik mereka sendiri dengan menyediakan dial up lanhsung melalui modem, dan tidak menggunakan jaringan internet.


Pertahanan Perimeter : router, firewall, dan sistem pencegahan gangguan Border router adalah sebuah perangkat yang menghubungakan sistem informais organisasi ke internet. Dibalik border router terdapat firewall utama yang menjadi perangkat keras yang bertujuan khusus. Firewall adalah perangkat lunak yang berkerja pada sebuah omputer yang bertujuan umum yang mengendalikan baik komunikasi masuk ataupun keluar antara sistem dibalik firewall dan jaringan lainnya. Demilitarized zone (DMZ) adalah sebuah jaringan terpisah yang berada diluar sistem informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet. Secara bersamaan border router dan firewall bertindak sebagai penyaring untuk mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari sistem informasi organisasi.


Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer, seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan kasus file di pecah ke dalam seri – seri potongan kecil yang dikirim secara individu dan disusun ulang selama pengiriman. Innformasi yang dikerjakan dalah informasi yang dimuat pada header Transmission Control Protocol (TCP), Internet Protocol (IP) dan Ethernet. Header TCP berisi bidang-bidang yang merinci posisi berurutan dari paket yang berkaitan dengan ksesluruhan file dan port number pada perangkat-perangkat pengiriman dan penerimaan dari asal file hingga ke mana file disusun kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan dari perangkat pengiriman dan penerimaan.





Mengendalikan Akses dengan Paket Penyaringan Organisasi memiliki satu border router atau lebih yang menghubungkan jaringan internal mereka ke penyedia layanan internet. Borde router dan firewall utama organisasi menggunakan seperangkat aturan IF-THEN yang disebut Access control list (ACL). ACL digunakan untuk menentukan tindakan yang dilakukan pada paket yang tiba. Penyaringan paket adalah sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP Paket untuk memutuskan tindakan yang dilakukan.




Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall internal untuk membuat segmentasi department berbeda didalm organisasi. Firewall internal membantu untuk mempersempit jenis data dan porsi sistem informasi sebuah organisasi yang dapat diakses seorang pegawai tertentu. Hal ini tidak hanya meningkatkan keammanan namun juga memperkuat pengendalian internal dengan menyediakan sebuah sarana untuk melaksanakan pemisahan tugas.




Mengamankan Koneksi Dial-Up Penting untuk memverifikasi identitas pengguna yang berupaya untuk mendapatkan akses dial-in yaitu dengan cara Remote Authentication Dial-In User Service (RADIUS). RADIUS adalah sebuah metode standar untuk memverifikasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in, sehingga hanya pengguna yang telah terverifikasi sajalah yang dapat mengakses jaringan internal perusahaan.




Mengamankan Akses Nirkabel Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara memadai yaitu:

  1. Menyalakan fitur keamanan yang tersedia
  2. Membuktikan keabsahan seluruh perangkat yang digunakan untuk menetapkan akses nirkabel ke jaringan sebelum menentukan sebuah alamat IP untuk mereka,
  3. Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel,
  4. Menggunakan nama yang noninformatif sebagai alamat titik akses yang disebut dengan service set identifier (SSID),
  5. Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior gedung, dan menggunakan antena pengarahan untuk membuat penerimaan lokal tanpa izin menjadi lebih sulit,
  6. Mengenkripsi seluruh lalu lintas nirkabel.


Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organisasi.) yang berhak mendapatkan perhatian lebih menurut COBIT 5 DSS05.03:

Analisis log 

Analisa log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Tujuan dari analisis log adalah untuk mengetahui alasan dari kegagalan untuk masuk kedalam sistem dan untuk mencatat siapa yang mengakses sistem dan tindakan-tindakan tertentu apa saja yang dilakukan setiap penggunan.


Sistem deteksi gangguan 

Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah sistem yang menghasilka sejumlah log dari seluruh log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudiang menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan. IDS dapat dipasang pada sebuah perangkat tertentu untuk mengawasi upaya tanpa izin untuk mengubah konfigurasi perangkat tersebut.


Pengujian penetrasi

Dua dari bagian proses pengendalian COBIT 5 menyatakan kebutuhan untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal. Pengujian penetrasi memberikan sebuah cara yang lebih cermat untuk menguji efektivitas keamanan informasi sebuah organisasi. Uji penetrasi adalah sebuah upaya terotorisasi oleh baik tim audit internal maupun kantor konsultasi keamanan eksternal untuk menerobos ke dalam sistem informasi organisasi.


Pengawasan berkelanjutan 
Pengawasan berkelanjutan merupakan pengendalian detektif penting yang dapat menidentifikasi masalah potensial secra tepat waktu.



PENGENDALIAN KOREKTIF

Pembentukan sebuah tim perespons insiden komputer (computer incident response team -CIRT) 

Sebuah komponen utama agar mampu merespons insiden keamanan dengan tepat dan efektif. CIRT harus mengarahkan proses respons insiden organisasi melalui 4 tahapan: 
  1. Pemberitahuan (recognition) adanya sebuah masalah,
  2. Penahanan (containment) masalah,
  3. Pemulihan (recovery),
  4. Tindak lanjut (follow up)


Pendesainan individu khusus, biasanya disebut dengan Chief Information Security Officer (CISO) dengan tanggung jawab luas atas keamanan informasi Posisi CISO harus independen dari fungsi-fungsi sistem informasi lainnya. CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan Chief Information Officer (CIO) untuk mendesain, mengimplementasi, serta membangun kebijakan dan prosedur keamanan yang baik. CISO harus menjadi penilai dan pengevaluasi yang adil di lingkungan TI. CISO harus memiliki tanggung jawab untuk emmastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik.




Manajemen patch 

Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbaharui seluruh perangkat lunak yang digunakan oleh organisasi. Sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh rumit. Akibatnya patch terkadang menciptakan masalah baru karena dampak lain yang tidak diantisipasi. Oleh karena itu organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya.



IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD 

Virtualisasi memanfaatkan kekuatan dan kecepatan komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik. Komputasi cloud memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat lunak dari jarak jauh (perangkat lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan sebagai sebuah layanan), perangkat keras (infrastruktur sebagai sebuah layanan), dan seluruh lingkungan aplikasi (platform sebagai sebuah layanan).
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)