Jumat, 05 Oktober 2018

BAB 8

PENGENDALIAN UNTUK KEAMANAN INFORMASI
Hasil gambar untuk pengendalian untuk keamanan informasi


Trust Service Framework yang dikembangkan oleh AICPA dan CICA membagi pengendalian terkait IT ke dalam 5 prinsip yang berkontribusi dalam keandalan suatu sistem yaitu:
  1. Security. Akses (baik fisik maupun logical) terhadap sistem dan data dikendalikan dan dibatasi hanya kepada pengguna yang sah.
  2. Confidentiality. Iinformasi organisasi yang sensitif dilindungi dari pengungkapan yang tidak berhak.
  3. Privacy. Informasi personal terkait pelanggan, karyawan, supplier atau partner bisnis hanya digunakan dalam hal kepatuhan terhadap kebijakan internal dan persyaratan aturan eksternal dan dilindungi dari pengungkapan yang tidak sah.
  4. Processing integrity. Data diproses secara akurat, lengkapm dan hanya dengan otorisasi yang sah.
  5. Avaliability. Sistem dan informasinya tersedia bagi kebutuhan operasional dan kewajiban kontraktual.








Dua Konsep Keamanan Informasi Fundamental
  1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi. Keamanan infromasi yang efektif mensyaratkan penggunaan alat-alat berteknologi seperti farewall, antivirus dan enkripsi namun keterlibatan serta dukungan manajemen senior juga menjadi dasar untuk keberhasilan. Para professional keamanan infromasi harus memilki keahilan dalam mengidentifikasi ancaman potensial dan mengestimasikan kemungkinan serta dampaknya, dimana manajemen senior harus mampu memilih mana dari 4 respon risiko (menurunkan, menerima, membagi atau menghindari) yang sesuai untuk diadopsi sehingga sumber daya yang diinvestasikan pada keamanan informasi menunjukan kebutuhan risiko organisasi. 
  2. Defense-In-Depth dan model keamanan informasi berbasis waktu Defense-In-Depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. Contohnya penggunaan firewall yang didukung pula dengan penggunaan metode autentikasi untuk membatasi akses terhadap sistem informasi.


Model keamanan berbasis waktu adalah menggunakan kombinasi perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak. 
Model ini ditunjukan dengan formula dengan menggunakan 3 variable sebagai berikut :
P = Waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi 
D = Waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses
C = Waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif 
jika P > D + C , Maka prosedur keamanan organisassi efektif dan jika sebaliknya maka pengendalian tidaklah efektif.


Memahami Serangan yang Ditargetkan
Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu perusahaan: 
  1. Melakukan Pengintaian (conduct reconnaissance), Para perampok mempelajari tata ruang fsik target mereka untuk memahami pengendalian yang dimiliki oleh tempat tersebut. Tujuan pengintaian awal adalah untuk mempeljari sebanyak mungkin tentang target serta mengidentifikasikan kerentanan potensial.
  2. Mengupayakan rekayasa sosial (attempt social engineering). Penyerang biasanya mencoba meggunakan informasi yang didapatkan selama pengintaian awal untuk mengelabui seorang pegawai yang tidak merasa curiga untuk emberi akses kepada mereka. Rekayasa sosial dapat terjadi melalui banyak cara, hanya di batasi oleh kreatifitas dan imajinasi penyerang. Biasanya melalui telepon, email, dan menyebarkan USB Drives diarea parker suatu organisasi yang menjadi target.
  3. Memindai dan Memetakan target (scan and map the target). Serangan dengan melakukan pengintaian terperinci untuk mengidentifikasi titik-titik potensial entri jarak jauh. Penyerang menggunakan berbagai alat otomatis untuk mengidentifikasi computer yang dapat dikendaliakan dari jarak jauh serta berbagai jenis perangkat lunak yang mereka jalankan.
  4. Penelitian (Research). Melakukan penelitian untuk menemukan kerentanan yang terdeteksi pada program-program tersebut serta mempelajari bagaimana memanfaatkan kerentanan tersebut.
  5. Mengeksekusi Serangan (excute the attack). Penyerang memanfaatkan kerentanan untuk mendapatkan akses tanpa izin terhadap sistem informasi target.
  6. Menutupi jejak (cover tracks). Setelah memasuki sistem informasi pengguna, sebagain besar penyerang berupaya untuk menutupi jejak mereka dan menciptakan “pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal mereka diketahui dan pengendalian diimplementasikan untuk mengeblok metode entri tersebut.


PENGENDALIAN PREVENTIF
Orang-orang : penciptaan sebuah budaya “sadar keamanan” 
Sesuai dengan COBIT 5 : Mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator kritis untuk keamanan informasi yang efektif. Pengendalian ini untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak hanya harus mengkomunikasikan kebijakan keamanan organisasi, tetapi juga harus memandu dengan mencontohkannya.


Orang –orang : Pelatihan 
Para pegawai harus memahami cara untuk mengikuti kebijakan keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran –ukuran keamanan bagi kebertahanan jangka panjang organisasi serta dilatih untuk mengikuti praktik-praktik komputasi yang aman.


Proses : Pengendalian Akses Pengguna 
Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai. Untuk mencapai tujuan tersebut maka praktik manajemen COBIT 5 menekankan perlunya pengendalian untuk mengelola identitas penggunaan dan akses logis, sehingga memungkinkan identifikasi secara khusus siapa saja yang mengakses sistem informasi organisasi serta melacak tindakan yang merek lakukan. Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu pengendalian autentikasi dan pengendalian otorisasi.

Pengendalian Autentikasi Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem. Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang : 
  1. Sesuatu yang mereka ketahui, seperti kata sandi atau PIN
  2. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID
  3. Beberapa karakteristik atau prilaku (pengidentifikasi biometri seperti sidik jari atau pola tulisan.
Pengendalian Otorisasi. Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagain spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.


Solusi TI : Pengendalian Antimalware Malware (seperti virus, worm, perangkat lunak keystroke logging) adalah sebuah ancaman besar. Malware dapat membahayakan atau menghancurkan informasi atau menghasilkan sebuah cara untuk memperoleh akses tanpa izin


Solusi TI : Pengendalian Akses Jaringan Sebuah pengendalian dimana beberapa organisasi masih mempertahankan pengelolaan jaringan hak milik mereka sendiri dengan menyediakan dial up lanhsung melalui modem, dan tidak menggunakan jaringan internet.


Pertahanan Perimeter : router, firewall, dan sistem pencegahan gangguan Border router adalah sebuah perangkat yang menghubungakan sistem informais organisasi ke internet. Dibalik border router terdapat firewall utama yang menjadi perangkat keras yang bertujuan khusus. Firewall adalah perangkat lunak yang berkerja pada sebuah omputer yang bertujuan umum yang mengendalikan baik komunikasi masuk ataupun keluar antara sistem dibalik firewall dan jaringan lainnya. Demilitarized zone (DMZ) adalah sebuah jaringan terpisah yang berada diluar sistem informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet. Secara bersamaan border router dan firewall bertindak sebagai penyaring untuk mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari sistem informasi organisasi.


Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer, seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan kasus file di pecah ke dalam seri – seri potongan kecil yang dikirim secara individu dan disusun ulang selama pengiriman. Innformasi yang dikerjakan dalah informasi yang dimuat pada header Transmission Control Protocol (TCP), Internet Protocol (IP) dan Ethernet. Header TCP berisi bidang-bidang yang merinci posisi berurutan dari paket yang berkaitan dengan ksesluruhan file dan port number pada perangkat-perangkat pengiriman dan penerimaan dari asal file hingga ke mana file disusun kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan dari perangkat pengiriman dan penerimaan.





Mengendalikan Akses dengan Paket Penyaringan Organisasi memiliki satu border router atau lebih yang menghubungkan jaringan internal mereka ke penyedia layanan internet. Borde router dan firewall utama organisasi menggunakan seperangkat aturan IF-THEN yang disebut Access control list (ACL). ACL digunakan untuk menentukan tindakan yang dilakukan pada paket yang tiba. Penyaringan paket adalah sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP Paket untuk memutuskan tindakan yang dilakukan.




Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall internal untuk membuat segmentasi department berbeda didalm organisasi. Firewall internal membantu untuk mempersempit jenis data dan porsi sistem informasi sebuah organisasi yang dapat diakses seorang pegawai tertentu. Hal ini tidak hanya meningkatkan keammanan namun juga memperkuat pengendalian internal dengan menyediakan sebuah sarana untuk melaksanakan pemisahan tugas.




Mengamankan Koneksi Dial-Up Penting untuk memverifikasi identitas pengguna yang berupaya untuk mendapatkan akses dial-in yaitu dengan cara Remote Authentication Dial-In User Service (RADIUS). RADIUS adalah sebuah metode standar untuk memverifikasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in, sehingga hanya pengguna yang telah terverifikasi sajalah yang dapat mengakses jaringan internal perusahaan.




Mengamankan Akses Nirkabel Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara memadai yaitu:

  1. Menyalakan fitur keamanan yang tersedia
  2. Membuktikan keabsahan seluruh perangkat yang digunakan untuk menetapkan akses nirkabel ke jaringan sebelum menentukan sebuah alamat IP untuk mereka,
  3. Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel,
  4. Menggunakan nama yang noninformatif sebagai alamat titik akses yang disebut dengan service set identifier (SSID),
  5. Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior gedung, dan menggunakan antena pengarahan untuk membuat penerimaan lokal tanpa izin menjadi lebih sulit,
  6. Mengenkripsi seluruh lalu lintas nirkabel.


Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organisasi.) yang berhak mendapatkan perhatian lebih menurut COBIT 5 DSS05.03:

Analisis log 

Analisa log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Tujuan dari analisis log adalah untuk mengetahui alasan dari kegagalan untuk masuk kedalam sistem dan untuk mencatat siapa yang mengakses sistem dan tindakan-tindakan tertentu apa saja yang dilakukan setiap penggunan.


Sistem deteksi gangguan 

Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah sistem yang menghasilka sejumlah log dari seluruh log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudiang menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan. IDS dapat dipasang pada sebuah perangkat tertentu untuk mengawasi upaya tanpa izin untuk mengubah konfigurasi perangkat tersebut.


Pengujian penetrasi

Dua dari bagian proses pengendalian COBIT 5 menyatakan kebutuhan untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal. Pengujian penetrasi memberikan sebuah cara yang lebih cermat untuk menguji efektivitas keamanan informasi sebuah organisasi. Uji penetrasi adalah sebuah upaya terotorisasi oleh baik tim audit internal maupun kantor konsultasi keamanan eksternal untuk menerobos ke dalam sistem informasi organisasi.


Pengawasan berkelanjutan 
Pengawasan berkelanjutan merupakan pengendalian detektif penting yang dapat menidentifikasi masalah potensial secra tepat waktu.



PENGENDALIAN KOREKTIF

Pembentukan sebuah tim perespons insiden komputer (computer incident response team -CIRT) 

Sebuah komponen utama agar mampu merespons insiden keamanan dengan tepat dan efektif. CIRT harus mengarahkan proses respons insiden organisasi melalui 4 tahapan: 
  1. Pemberitahuan (recognition) adanya sebuah masalah,
  2. Penahanan (containment) masalah,
  3. Pemulihan (recovery),
  4. Tindak lanjut (follow up)


Pendesainan individu khusus, biasanya disebut dengan Chief Information Security Officer (CISO) dengan tanggung jawab luas atas keamanan informasi Posisi CISO harus independen dari fungsi-fungsi sistem informasi lainnya. CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan Chief Information Officer (CIO) untuk mendesain, mengimplementasi, serta membangun kebijakan dan prosedur keamanan yang baik. CISO harus menjadi penilai dan pengevaluasi yang adil di lingkungan TI. CISO harus memiliki tanggung jawab untuk emmastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik.




Manajemen patch 

Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbaharui seluruh perangkat lunak yang digunakan oleh organisasi. Sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh rumit. Akibatnya patch terkadang menciptakan masalah baru karena dampak lain yang tidak diantisipasi. Oleh karena itu organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya.



IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD 

Virtualisasi memanfaatkan kekuatan dan kecepatan komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik. Komputasi cloud memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat lunak dari jarak jauh (perangkat lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan sebagai sebuah layanan), perangkat keras (infrastruktur sebagai sebuah layanan), dan seluruh lingkungan aplikasi (platform sebagai sebuah layanan).
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)