Bab 7 Control for Information Security

Pengendalian bagi Keamanan Informasi

Tujuan Pembelajaran:
Setelah mempelajari bab ini, mahasiswa seharusnya mampu untuk:
1. Menjelaskan bagaimana keamanan informasi mempengaruhi keandalan sistem informasi
2. Mendiskusikan bagaimana sebuah kombinasi dari pengendalian pencegahan, deteksi, dan koreksi dapat
diterapkan dalam menyediakan jaminan yang memadai tentang keamanan sistem informasi organisasi.
PENGENALAN
Trust Service Framework yang dikembangkan oleh AICPA dan CICA membagi pengendalian terkait IT ke
dalam 5 prinsip yang berkontribusi dalam keandalan suatu sistem yaitu:
1. Security akses (baik fisik maupun logical) terhadap sistem dan data dikendalikan dan dibatasi hanya
kepada pengguna yang sah
2. Confidentiality informasi organisasi yang sensitif dilindungi dari pengungkapan yang tidak berhak
3. Privacy informasi personal terkait pelanggan, karyawan, suplier atau partner bisnis hanya digunakan
dalam hal kepatuhan terhadap kebijakan internal dan persayaratan aturan eksternal dan dilindungi dari
pengungkapan yang tidak sah
4. Processing integrity data diproses secara akurat, lengkap dan hanya dengan otorisasi yang sah
5. Availability sistem dan informasinya tersedia bagi kebutuhan operasional dan kewajiban kontraktual

SYSTEMS
RELIABILITY
DUA KONSEP DASAR MENGENAI KEAMANAN INFORMASI
Kemanan adalah isu manajemen, bukan hanya isu teknologi.
Meskipun efektivitas keamanan informasi memerlukan instrumen teknologi seperti firewalls, antivirus, dan
enkripsi, keterlibatan dan dukungan manajemen senior untuk melewati siklus keamanan adalah mutlak
diperlukan untuk kesuksesan. Ada 4 tahap siklus hidup dari keamanan yaitu:
1. Menilai ancaman-ancaman keamanan informasi yang dijumpai oleh perusahaan dan menentukan
respon yang tepat.
2. Mengembangkan kebijakan keamanan informasi dan mengkomunikasikan ke seluruh karyawan
3. Memperoleh dan menerapkan solusi-solusi atau instrumen-instrumen teknologi khusus.
Endy Mulyo Prastyo NIM A31115720 Page 1

Bab 7 Control for Information Security

4. Memantau kinerja secara reguler untuk mengevaluasi efektivitas program kemanan informasi
organisasi.

Keamanan Informasi dengan Pertahanan Bertingkat dan Model Berbasis Waktu

Konsep dari Pertahanan Bertingkat (defense-in-depth) adalah menempatkan pengendalian berlapis
untuk menghindari kegagalan pada area tertentu. Misalnya organisasi tidak hanya menggunakan firewalls tapi
juga metode otorisasi berganda (password, tokens dan biometrik) untuk membatasi akses terhadap sistem
informasi.
Mendeteksi pembobolan sistem keamanan dan melakukan tindakan koreksi harus dilakukan cepat atau
tepat waktu karena sekali pengendalian pencegahan telah ditembus, si pengacau dapat secara cepat
menghancurkan, berkompromi, atau mencuri sumber informasi dan ekonomi perusahaan. Oleh karena itu, tujuan
dari Kemanan Model Berbasis Waktu (time-based model of security) adalah untuk menempatkan suatu
kombinasi dari pengendalian pencegahan, deteksi, dan koreksi yang akan melindungi aset informasi cukup lama
sehingga memungkinkan organisasi untuk mengenali bahwa sebuah serangan sedang terjadi dan mengambil
langkah untuk menghalanginya sebelim terjadi kerugian atau kerusakan. Tujuan pengendalian ini dapat
dirumuskan sebagai berikut:
P= waktu yang dibutuhkan penyerang untuk menembus pengendalian pencegahan suatu organisasi
D= waktu yang dibutuhkan untuk mendeteksi serangan yang sedang berlangsung
C= waktu yang dibutuhkan untuk merespon serangan dan melakukan tindakan koreksi
Apabila P>D+C maka prosedur keamanan suatu organisasi tersebut efektif.
MEMAHAMI SERANGAN YANG DITARGETKAN
Beberapa tahapan dasar kriminal untuk menyerang sistem informasi organisasi
1.
2.
3.
4.

Melakukan pengintaian
Mengusahakan teknik sosial/psikologi yaitu dengan melakukan penipuan terhadap korban
Mengamati dan memetakan target menggunakan alat-alat elektronik
Penelitian, setelah memahami sistem dan sofware si target, selanjutnya penyerang akan meneliti lebih

lanjut mengenai kelemahan dan kerentanan sistem

5. Melakukan penyerangan dengan mengambil keuntungan dari kelemahan sistem yang ada
6. Melindungi jejaknya dan mencari cara belakang untuk menembus sistem supaya kalau cara yang
pertama ketahuan.
PENGENDALIAN PENCEGAHAN

Endy Mulyo Prastyo NIM A31115720 Page 2

Bab 7 Control for Information Security

Terdapat beberapa macam jenis pencegahan yang bergabung seperti sebuah puzzle yang akan membangun
sistem pertahanan berlapis. Meskipun semua itu diperlukan, komponen manusia adalah yang paling penting.
Manajemen harus menciptakan suatu budaya sadar akan keamanan dan karyawan harus dilatih untuk mengikuti
kebijakan keamanan dan mempraktikkan perilaku penggunaan komputer yang aman.
Manusia: Menciptakan budaya sadar akan keamanan
COSO dan COSO-ERM menekankan pada bagaimana perilaku manajemen risiko puncak menciptakan
lingkungan internal yang mendukung dan memperkuat sistem pengendalian internal atau seseorang yang secara
efektif meniadakan kebijakan pengendalian yang tertulis. Untuk menciptakan budaya sadar akan keamanan,
manajemen seharusnya tidak hanya mengkomunikasikan kebijakan-kebijakan tetapi harus memberikan contoh
kepada para karyawan.
Manusia: Pelatihan
COBIT 5 mengidentifikasi skil dan kompetensi pegawai sebagai suatu hal yang penting untuk efektifitas
keamanan informasi. Karyawan harus memahami bagaimana mematuhi kebijakan keamanan perusahaan. Oleh
karena itu pelatihan adalah pengendalian pencegahan yang baik bahkan begitu pentingnya, fakta bahwa
pelatihan kesadaran keamanan didiskusikan sebagai sebuah kegiatan kunci yang mendukung beberapa proses
manajemen dalam COBIT 5. Pelatihan ini juga penting bagi manajemen senior, karena beberapa tahun terakhir
ini beberapa serangan social engineering seperti phising juga ditargetkan ke mereka.
Proses: Pengendalian Akses Pengguna
Penting untuk dipahami bahwa ancaman tidak hanya berasal dari luar. Pegawai mungkin saja merasa
tidak puas terhadap beberapa alasan seperti tidak dapat promosi, balas dendam atau rentan untuk melakukan
korupsi karena kesulitan keuangan atau diperas untuk menyediakan informasi yang sensitif. Oleh karenanya
organisasi perlu untuk menerapkan sistem pengendalian untuk melindungi aset berupa informasi dari akses dan
penggunaan yang tidak sah oleh karyawan. COBIT 5 mempraktekkan DSS05.04 yang terdiri dari dua tipe
pengendalian akses pengguna yang saling berhubungan namun berbeda yaitu:
1. Pengendalian pembuktian keaslian yaitu suatu proses memverifikasi identitas dari seseorang atau
perangkat yang mengakses suatu sistem. Ada 3 tipe surat/cara untuk memverifikasi seseoarang yaitu:
a. Sesuatu yang diketahui yaitu password atau PIN
b. Sesuatu yang dimiliki yaitu id card atau smart card
c. Suatu karakteristik fisik atau perilaku (disebut juga biometric identifier) seperti fingerprint atau
typing patterns.
2. Pengendalian kewenangan (otorisasi) yaitu proses membatasi akses bagi pengguna yang berhak pada
bagian tertentu saja dari sebuah sistem dan membatasi tindakan apa yang diizinkan untuk bisa
dilakukan. COBIT 5 praktek manajemen DSS06.03 menjelaskan tujuannya adalah untuk mengatur hak
dan kewenangan pegawai dalam konteks menyelenggarakan dan mengelola fungsi pemisahan
tanggung jawab.
Solusi IT: Pengendalian menggunakan Antimalware
Malware (seperti virus, worms, trojan, software keystroke logging) adalah ancaman utama. Malware dapat
merusak dan menghancurkan informasi atau menyediakan akses ilegal. Oleh karena itu COBIT 5 bagian
Endy Mulyo Prastyo NIM A31115720 Page 3

Bab 7 Control for Information Security

DSS05.01 yang mendaftar perlindungan malware sebagai salah satu kunci bagi efektivitas keamanan, secara
khusus merekomendasikan:
1.
2.
3.
4.
5.
6.

Pendidikan kesadaran akan software yang mengganggu

Pemasangan alat perlindungan anti malware pada semua perangkat
Manajemen yang terpusat untuk patches dan updatenya bagi software antimalware
Reviu secara reguler terhadap ancaman malware baru
Memfilter lalu lintas data untuk membentengi dari sumber-sumber yang berpotensi membawa malware
Pelatihan karyawan supaya tidak menginstall software gratisan atau ilegal.

Solusi IT: Pengendalian terhadap Akses Jaringan

Kebanyakan organisasi menyediakan akses jarak jauh untuk mengakses sistem informasi bagi karyawan,
pelanggan, dan suplier. Biasanya akses ini menggunakan fasilitas internet, tetapi beberapa organisasi masih
mengelola jaringan pribadi mereka atau menyediakan akses dial-up melaluui modem. Selain itu juga ada yang
menyediakan akses wireless bagi sistem mereka. Terdapat beberapa metode yang digunakan untuk mendukung
COBIT 5 praktik manajemen DSS05.02 yang menjelaskan keamanan dari jaringan organisasi dan hal-hal yang
terkait.
Lingkaran pertahanan: Routers, Firewalls, and Intrusion Prevention Systems

Menggunakan pertahanan bertingkat untuk membatasi akses jaringan.

Penggunaan beberapa perangkat perimeter berlapis akan lebih efisien dan efektif dari pada
menggantungkan pada satu perangkat. Oleh karena itu, kebanyakan perusahaan menggunakan border routers
untuk dengan cepat menyaring dengan jelas paket-paket data yang buruk dan melewati firewall utama. Firewall
utama tidak secara detail memeriksa yang kemudian firewalls yang lain melakukan inspeksi paket secara
mendalam untuk lebih melindungi perangkat khusus seperti web server atau email server perusahaan.
Mengamankan koneksi dial-up

Endy Mulyo Prastyo NIM A31115720 Page 4

Bab 7 Control for Information Security

Beberapa perusahaan masih mengizinkan karyawan untuk mengakses dari jauh jaringan organisasi
melalui modem. Sangat penting untuk memverifikasi identitas dari pengguna yang memperoleh akses dial up.
Remote Authentication Dial-In User Service (RADIUS) adalah metode standar untuk melakukan hal itu.
Mengamankan akses wireless
Beberapa perusahaan juga menyediakan akses nirkabel untuk sistem informasinya. Akses nirkabel
memamng nyaman dan mudah, namun juga menyediakan peluang terhadap serangan dan memperluas lingkup
pertahanan yang harus dilindungi. Berikut ini prosedur yang perlu diikuti untuk memperoleh akses wireless yang
memiliki keamanan secara memadai yaitu:
1. Menghidupkan fitur-fitur keamanan yang tersedia
2. Memastikan keaslian semua peragkat yang digunakan untuk mengakses jaringan wireless sebelum
memberi mereka IP address
3. Mengatur semua perangkat wireless yang sah untuk mengoperasikan hanya dalam mode infrastruktur,
dimana memaksa perangkat untuk tersambung hanya pada wireless access point.
4. Menggunakan nama-nama yang tidak informatif bagi alamat access point, biasa kita sebut SSID
(service set identifier). Contohnya adalah A1 atau X1 bukan Gaji, Keungan atau R&D.
5. Mengurangi kekuatan broadcast dari access point, meletakkannya didalam gedung dan menggunakan
directional antena untuk membatasi pengguna yang ilegal.
6. Mengenkripsi semua lalu lintas jaringan nirkabel.
Solusi IT: Pengendalian mengenai Penguatan Perangkat dan Software
COBIT 5 management practice DSS05.03 menjelaskan aktivitas yang terlibat dalam mengelola keamanan
endpoint. (Endpoint adalah istilah untuk sekumpulan workstations, servers, printer dan perangkat lain yang
terhubung pada jaringan organisasi).
Terdapat 3 area yang perlu mendapat perhatian khusus yaitu:
1. Konfigurasi endpoint
Endpoints dapat dibuat lebih aman dengan cara memodifikasi konfigurasinya. Instalasi bawaan
biasanya terdiri dari beberapa program yang sebenarnya kurang substantial. Dengan menghidupkan
semua fitur/program yang tidak terlalu dibtuhkan akan meningkatkan biaya dan kelemahan sistem itu
sendiri. Setiap program yang berjalan mempunyai potensi untuk menerima serangan disebut dengan
vulnerabilities. Oleh karena itu program atau fitur yang tidak berguna dapat dinonaktifkan terutama yang
rentan terhadap serangan. Alatnya disebut dengan vulnerability scanner. Sedangkan proses
memodifikasi default configuration dari endpoints untuk mengeliminasi setting dan layanan yang tidak
berguna disebut hardening.
2. Manajemen akun pengguna
COBIT 5 management practices DSS05.04 menekankan pada kebutuhan akan mengelola semua user
acoount secara hati-hati, khususnya akun-akun yang mempunyai hak tak terbatas (administrative
account) dalam komputer.
3. Desain software
Section BAI03 dari COBIT 5 memfokuskan kebutuhan akan mendesain keamanan secara hati-hati
terhadap seluruh aplikasi dan seksi APO10 melakukan best practices untuk mengelola risiko terkait
software yang dibeli.
Endy Mulyo Prastyo NIM A31115720 Page 5

Bab 7 Control for Information Security

Solusi IT: Enkripsi
Enkripsi menyediakan lapisan/tingkatan akhir yang menyediakan pertahanan untuk mencegah akses
ilegal terhadap informasi penting dan sensitif.
Keamanan Fisik: Pengendalian terkait Akses
COBIT 5 management practices DSS05.05 menggambarkan best practices dalam hal pengendalian
terkait akses fisik. Pengendalian akses fisik dimulai dengan entry point dari bangunan itu sendiri. Idelanya
seharusnya hanya ada satu entry point reguler yang tidak terkunci selama jam kerja kantor. Ketika memasuki
sebuah gedung, akses fisik ke ruangan-ruangan peralatan komputer harus dibatasi dan harus dimonitor sistem
CCTV.
Pengendalian dan Manajemen dalam Perubahan
Change controls and change management adalah proses formal yang digunakan untuk memastikan
bahwa modifikasi terhadap hardware, software atau proses tidak akan mengurangi keandalan sebuah sistem.
Karakteristik dari proses change control dan change management yang baik adalah:
1.
2.
3.
4.

Mendokumentasikan seluruh permintaan perubahan

Mendokumentasikan seluruh permintaan perubahan yang disetujui oleh manajemen yang berwenang
Menguji seluruh perubahan dalam sistem yang terpisah
Pengendalian terhadap konversi perubahan yang telah dilakukan untuk memastikan keakuratan dan

dan kelengkapan data yang ditransfer dari sistem lama ke sistem baru
5. Memutakhirkan seluruh proses dokumentasi untuk merefleksikan perubahan baru yang diterapkan.
6. Proses khusus seperti reviu, persetujuan dan dokumentasi dari perubahan darurat harus segara
dilaksanakan
7. Pengembangan dan pendokumentasian rencana backout untuk memfasilitasi mengembalikan ke
konfigurasi semula jika perubahan baru tidak sesuai harapan
8. Memantau dan mereviu hak-hak user selama proses perubahan untuk memastikan pemisahan
tanggung jawab dikelola dengan baik.

PENGENDALIAN DETEKSI
Pengendalian pencegahan tidak akan pernah dapat 100% efektif dalam menangkal seluruh serangan. Oleh
karena itu COBIT 5 management practice DSS05.07 menjelaskan aktivitas yang suatu organisasi juga perlukan
untuk memungkinkan deteksi terhadap masalah dan gangguan.
Empat tipe dari pengendalian deteksi adalah sebagai berikut:
1. Log analysis
Yaitu proses menguji logs untuk mengidentifikasi bukti-bukti dari kemungkinan serangan
2. Intrusion detection systems (IDS)
Yaitu sistem yang membuat logs dari semua lalu lintas jaringan yang diizinkan untuk melalui firewall
kemudian menganalisa logs tersebut terhadap jejak atau gangguan yang berhasil.
3. Penetration testing
Yaitu percobaan untuk menembus sistem informasi organisasi. COBIT 5 control processes MEA01 dan
MEA02 menyatakan perlunya melakukan pengujian secara periodik tentang efektifitas dari proses
bisnis dan pengendalian internal (termasuk prosedur keamanan)
Endy Mulyo Prastyo NIM A31115720 Page 6

Bab 7 Control for Information Security

4. Monitoring berelanjutan
COBIT 5 management practice APO01.08 menekankan pentingnya memantau secara berkelanjutan
terkait kepatuhan karyawan terhadap kebijakan keamanan informasi organisasi dan kinerja proses
bisnis secara keseluruhan.
PENGENDALIAN KOREKSI
Mendeteksi secara tepat waktu masalah-masalah yang sangatlah penting, namun hal ini belum cukup. COBIT 5
management practice MEA01.05 menjelaskan, organisasi juga memerlukan prosedur untuk mengusahakan
tindakan koreksi secara tepat waktu. Pengendalian korektif yang penting utamanya adalah sebagai berikut:
1. Mengembangkan sebuah tim yang menangani insiden komputer atau computer incident response team
(CIRT)
CIRT adalah tim yang bertanggung jawab menyelesaikan masalah keamanan utama komputer. CIRT
tidak hanya terdiri dari ahli teknis tetapi juga manajemen operasi senior, karena penanganan masalah
keamanan mempunyai dampak yang signifikan terhadap ekonomi.
CIRT memimpin organisasi dalam hal penanganan masalah keamanan dengan empat tahap yaitu:
a. Pengakuan bahwa masalah sedang terjadi. Biasanya hal ini terjadi ketika sinyal IPS atau IDS
berbunyi, selain itu juga hasil dari analisis log oleh administrator sistem.
b. Meminimalisir masalah. Ketika kerusakan terdeteksi, yang selanjutnya diperlukan adalah
menghentikannya dan menahan dari kerusakan
c. Recovery. Kerusakan akibat serangan harus diperbaiki. Tindakan yang dilakukan termasuk
mengambil data dari backup dan menginstall ulang program yang terhapus
d. Tindak lanjut. Ketika dalam proses recovery, CIRT memberikan analisis bagaimana insiden
terjadi. Hal ini dilakukan untuk menyesuaikan kebijakan keamanan dan prosedur yang telah
ada untuk meminimalisir kemungkinan kejadian serupa dimasa depan.
2. Mempekerjakan kepala keamanan informasi atau chief information security (CISO).
COBIT 5 mengidentifikasi struktur organisasi sebagai suatu hal yang memungkinkan tercapainya
pengendalian dan keamanan yang efektif. Hal ini penting bagi perusahaan untuk memberikan tanggung
jawab terhadap keamanan informasi kepada sesorang pada tingkat manajemen yang sesuai.
3. Mengembangkan dan menerapkan sistem manajemen pemutakhiran komputer.
Patch management adalah proses yang secara reguler memutakhirkan software. Hal ini dilakukan
untuk mengatasi exploit. Exploit adalah program yang didesain untuk mengambil keuntungan dari
kelemahan sistem.
DAMPAK KEAMANAN DARI VIRTUALIZATION DAN CLOUD
Virtualization adalah menjalankan berbagai sistem secara bersamaan pada satu komputer. Hal ini akan
menerkan biaya hardware karena semakin sedikit server yang perlu untuk dibeli.
Cloud computing adalah memanfaatkan bandwith yang besar dari jaringan telekomunikasi global yang
memungkinkan karyawan menggunakan browser untuk mengakses dari jarak jauh sebagai software untuk
mengakses, perangkat untuk penyimpanan data, hardware dan lingkungan keseluruhan aplikasi. Cloud
computing dapat menghemat biaya secara signifikann.
Endy Mulyo Prastyo NIM A31115720 Page 7

Bab 7 Control for Information Security

Virtualization dan cloud computing dapat meningkatkan risiko ancaman bagi keamanan informasi. Dengan
demikian virtualization dan cloud computing sebenarnya mempunyai dampak positif dan negatif terhadap
keamanan informasi dari keseluruhan level, tergantung bagaimana organisasi atau cloud provider menerapkan
pengendalian pencegaha, deteksi dan koreksi secara bertingkat.

Endy Mulyo Prastyo NIM A31115720 Page 8