Upload
suci-ana
View
27
Download
0
Embed Size (px)
DESCRIPTION
Sistem Informasi Akuntansi
Citation preview
RESUME HASIL BELAJAR Minggu iniKejahatan Komputer
Kejahatan Komputer dan teknik penyalahgunaan
PENGENDALIAN UNTUK KEAMANAN INFORMASISetiap organisasi bergantung pada teknologi informasi, banyak juga organisasi yang
setidaknya memindahkan sebagian dari system informasinya ke cloud. Manajemen
menginginkan jaminan bahwa informasi yang dihasilkan oleh system akuntansi milik perusahaan
adalah reliabel serta keandalan penyedia layanan cloud dengan rekan kontraknya. Selain itu,
manajemen juga menginginkan jaminan bahwa organisasi patu terhadap susunan peraturan dan
ketentuan industry yang terus berkembang termasuk Sarbanes-Oxley (SOX), Health Insurance
Portability and Accountability Act (HIPAA), dan Payment Card Industry Data Security
Standards (PCI-DSS).
Trust Services Framework mengatur pengendalian TI ke dalam 5 prinsip yang berkontribui
secara bersamaan terhadap keandalan system :
1. Keamanan
2. Kerahasiaan
3. Privasi
4. Integritas pemrosesan
5. Ketersediaan
Keamanan informasi merupakan landasan keadalan system dan diperlukan untuk mencapai
masing-masing dari 4 prinsip lainnya. Prosedur-prosedur keamanan informasi membatasi akses
system hanya untuk pengguna yang tertorisasi saja, sehingga melindungi kerahasiaan dan
keorganisasian yang sensitif dan privasi atas informasi pribadi yang dikumpulkan dari
pelanggan. Sejumlah prosedur keamanan informasi melindungi integritas informasi dengan
mencegah terjadinya transaksi tanpa izin atau fiktif serta mencegah perubahan tanpa izizn
terhadap data atau program tersimpan. Terakhir, prosedur-prosedur keamanan informasi
memberikan perlindungan terhadap berbagai serangan, termasuk virus dan worm, sehingga
memastikan bahwa system tersedia ketika diperlukan.
Dua Konsep Keamanan Informasi Fundamental
Keamanan Merupakan Masalah Manajemen, Bukan Hanya Masalah Teknologi
Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat berteknologi
seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan manajemen senior juga jelas
menjadi dasar untuk keberhasilan. Manajemen senior harus berpartisipasi dalam pengembangan
SUCIANA MARDINA31115742KELAS B STAR BPKP 1
RESUME HASIL BELAJAR Minggu iniKejahatan Komputer
Kejahatan Komputer dan teknik penyalahgunaan
kebijakan karena mereka harus memutuskan sanksi yang akan diberikan terhadap tindakan
ketidakpatuhan. Sebagai tambahan, dukungan dan keterlibatan aktif dari manajemen puncak
diperlukan untuk memastikan bahwa pelatihan dan komunikasi keamanan informasidilakukan
dengan serius. Manajemen senior juga harus mengotorisasi investasi sumber daya yang
diperlukan untuk mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang
dikehendaki. Kemajuan dalam TI menciptakan ancaman baru dan mengubah risiko yang
tercampur dengan ancaman lama. Oleh karena itu, manajemen harus secara periodik menilai
ulang respon risiko oganisasi dan, ketika diperlukan, membuat perubahan terhadap kebijakan
keamanan informasi serta berinvestasi pada solusi baru untuk memastikan bahwa upaya
keamanan informasi organisasi mendukung strategi bisnisnya secara konsisten dengan kebutuhan
risiko manajemen.
Defense In Depth dan Model Keamanan Informasi Berbasis Waktu
Gagasan dari defense in-depth adalah penggunaan berbagai lapisan pengendalian untuk
menghindari sebuah kegagalan. Sebagai contoh, banyak organisasi yang tidak hanya
menggunakan firewall, tetapi juga berbagai metode autentikasi (kata sandi, token, dan
biometrika) untuk membatasi akses terhadap sistem informasi. Defense in-depth secara khusus
melibatkan penggunaan sebuah kombinasi dari pengendalian preventif, detektif, dan korektif.
Mendeteksi penerobosan keamanan dan penetapan tindakan perbaikan korektif harus tepat
waktu karena setelah pengendalian preventif diterobos, seorang penyusup dapat dengan cepat
menghancurkan, membahayakan, atau mencuri sumber daya ekonomi dan informasi organisasi.
Oleh karena itu, tujuan dari model keamanan berbasis waktu adalah menggunakan kombinasi
perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar
memungkinkan organisasi untuk mengenali bahwa suatu serangan terjadi dan mengambil
langkah-langkah untuk menggagalkannya sebelum informasi hilang atau rusak.
Memahami Serangan yang Ditargetkan
Meskipun banya ancman keamanan informasi, seperti virus, worm, bencana alam, kegagalan
perangkat keras, dan kesalahan manusia yang tidak ditargetkan, organisasi juga sering menjadi
sasaran dari serangan yang disengaja. Sebelum mendiskusikan pengendalian preventif, detektif,
dan korektif yang dapat digunakan untuk mengurangi risiko gangguan system, akan sangat
SUCIANA MARDINA31115742KELAS B STAR BPKP 2
RESUME HASIL BELAJAR Minggu iniKejahatan Komputer
Kejahatan Komputer dan teknik penyalahgunaan
berguna untuk memahami langkah-langkah yang dilakukan penjahat untuk menyerang system
informasi suatu perusahaan:
1. Melakukan pengintaian
2. Mengupayakan rekayasa social
3. Mimindai dan memetakan target
4. Penelitian
5. Mengeksekusi serangan
6. Menutupi jejak
Pengendalian Preventif
Pengendalian preventif yang digunakan organisasi secara umum digunakan untuk
membatasi akses terhadap sumber daya informasi. Berbagai pengendalian preventif tersebut
selaras bersamaan seperti kepingan-kepngan puzzle yang menyediakan defense in depth secara
kolektif. Meskipun seluruh kepingan penting, komponen “orang-orang” adalah yang paling
penting. Manajemen harus menciptakan sebuah budaya “sadar keamanan” dan para karyawan
harus dilatih untuk mengakui kebijakan-kebijakan keamanan serta mempraktikkan perilaku
komputasi yang aman.
1. Preventif Orang
a. Penciptaan Sebuah Budaya “Sadar Keamanan”
COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai
salah satu dari fasilitator kritis untuk keamanan informasi yang efektif.
b. Pelatihan
Pelatihan adalah sebuah pengendalian preventif yang kritis. Pentingnya hal
tersebut tercermin dalam fakta bahwa pelatihan kesadaran keamanan dibahas sebagai suatu
praktik utama guna mendukung beberapa dari 32 proses manajemen COBIT 5.
2. Preventif Proses
Orang luar bukan satu-satunya sumber ancaman, seorang pegawai mungkin tidak puas
karena beberapa alasan dan mencoba balas dendam, atau mungkin melakukan korupsi
karena kesulitan keuangan. Pegendalian autentikasi membatasi siapa saja yang dapat
mengakses system informasi milik organisasi sedengkan pengendalian otorisasi membatasi
apa saja yang dapat dilakukan para individu ketika mereka mendapatkan akses.
SUCIANA MARDINA31115742KELAS B STAR BPKP 3
RESUME HASIL BELAJAR Minggu iniKejahatan Komputer
Kejahatan Komputer dan teknik penyalahgunaan
a. Pengendalian autentikasi, autentikasi adalah proses verifikasi identitas seseorang atau
perangkat yang mencoba untuk mengakses system. Tiga jenis tanda bukti yang dapat
digunakan untuk memverifikasi identitas seseorang:
1. Sesuatu yang mereka ketahui, seperti kata sandi atau personal identification
number (PIN)
2. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID
3. Beberapa karakteristik fisik atau perilaku (pengidentifikasi bioetri) seperti sidik
jari atau pola tulisan.
b. Pengendalian otorisasi, otorisasi adalah proses dari memperketat akses dari pengguna
sah terhadap bagian spesifik system dan membatasi tindakan-tindakan apa saja yang
diperbolehkan untuk dilakukan. Tujuannya untuk menyusun hak serta keistimewaan
setiap karyawan dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.
Pengendalian otorisasi biasanya diimplementasikan dengan menciptakan matriks
pengendalian akses. Ketika seorang karyawan berusaha mengakses sumber daya
system informasi tertentu, system akan melakukan sebuah uji kompatibilitas yang
mencocokkan tanda bukti autentikasi pengguna dengan matriks pengendalian akses
untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber
daya dan melakukan tindakan yang diminta.
3. Solusi TI
a. Pengandalian antimalware, malware dapat membahayakan atau menghancurkan
informasi atau menghasilkan sebuah cara untuk memperoleh akses tanpa izin. Oleh
karena itu, salah satu dari bagian COBIT 5 mendaftar perlindungan malware sebagai
salah satu dari kunci keamanan yang efektif merekomendasikan secara spesifik :
1. Edukasi kesadaran perangkat lunak jahat
2. Pemasangan alat perlindungan antimalware pada seluruh perangkat
3. Manajemen terpusat atas sejumlah patch dan memperbarui perangkat lunak
antimalware
4. Tinjauan teratur atas ancaman malware baru
5. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial
SUCIANA MARDINA31115742KELAS B STAR BPKP 4
RESUME HASIL BELAJAR Minggu iniKejahatan Komputer
Kejahatan Komputer dan teknik penyalahgunaan
6. Melatih karyawan untuk tidak memasang perangkat lunak yang dibagikan atau
tidak disetujui.
b. Pengendalian akses jaringan, sebagian besar organisasi menyediakan para karyawan,
pelanggan, dan pemasok dengan akses jarak jauh terhadapa system informasi mereka.
Biasanya akses dilakukan melalui internet, biasanya organisasi juga menyediakan
akses nirkabel pada system mereka. Berbagai metode yang dapat digunakan untuk
memenuhi salah satu dari praktik manajemen COBIT 5 yang menunjukkan keamanan
jaringan organisasi dan seluruh upaya tersampung ke dalamnya.
1. Pertahanan parimeter: Router, Firewall, dan system pencegahan gangguan.
Border router menghubungkan system informasi suatu organisasi ke Internet. Di
balik border router terdapat firewall utama, yang dapat menjadi perangkat keras
yang bertujuan khusus atau perangkat lunak yang bekerja pada suatu computer
bertujuan mengendalikan baik komunikasi masuk maupun keluar antara system
dibalik firewall dan jaringan lainnya.
2. Bagaimana arus informasi pada jaringan: Tinjauan menyeluruh TCP/IP dan
Ethernet. Jika mengirim sebuah file kepada orang lain atau ke sebuah printer,
seluruh file jarang ditransmisikan secara utuh. File dipecah ke dalam seri-seri
potongan kecilyang dikirim secara individu dan disusun ulang selama pengiriman.
Informasi yang dikerjakan adalah informasi yang dimuat pada header
transmission control protocol (TCP), Internet protocol (IP), dan Ethernet.
a. Mengendalikan akses dengan paket penyaringan
b. Menggunakan Defense-in-Depth untuk membatasi akses jaringan
3. Mengamankan Dial-Up. Pentng untuk memverifikasi identitas pengguna yang
berupaya untuk mendapatkan akses dial-in. Remote Authentication Dial-In User
Service (RADIUS) adalah suatu metode standar untuk melakukannya. Para
pengguna dial-in terhubung ke suatu server akses jarak jauh dan memasukkan
tanda bukti log-in mereka. Staf keamanan informasi maupun audit internal harus
secara periodik mengecek keberadaan modem yang tidak diotorisasi (rogue).
4. Mengamankan akses nirkabel. Akses nirkabel adalah akses yang nyaman dan
mudah, tetapi juga memberi area lain untuk serangan dan memperpanjang
SUCIANA MARDINA31115742KELAS B STAR BPKP 5
RESUME HASIL BELAJAR Minggu iniKejahatan Komputer
Kejahatan Komputer dan teknik penyalahgunaan
perimeter yang harus dilindungi. Prosedur yang perlu diikuti untuk mengamankan
akses nirkabel secara memadai yaitu: Menyalakan fitur keamanan tersedia,
membuktikan keabsahan seluruh perangkat yang digunakan untuk menetapkan
akses nirkabel ke jaringan sebelum menentukan sebuah alamat IP untuk mereka,
mengatur seluruh perangkat nirkabel terotorisasi agar hany beroperasi pada
modus infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik
akses nirkabel dan lain-lain.
c. Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall dan IPS didesain
untuk melindungi perimeter jaringan. Suatu organisasi dapat meningkatkan
keamanan system informasinya dengan menambahkan pengendalian preventif pada
perimeter jaringan serta pengendalian preventif tambahan pada stasiun kerja, server,
printer, dan perangkat lain (disebut endpoint) yang meliputi jaringan organisasi. Tiga
area yang berhak mendapatkan perhatian lebih:
1. Konfigurasi endpoint
2. Manajemen akun pengguna
3. Desain perangkat lunak
d. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses
tanpa izin terhadap informasi sensitif. Enkripsi terdiri dari dua yaitu
1. Keamanan fisik: pengendalian akses
2. Pengendalian perubahan dan manajemen perubahan mengarah pada proses
formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat
keras, perangkat lunak, atau pada proses tidak mengurangi keandalan system.
Pengendalian Detektif
Salah satu praktik manajemen COBIT 5 menjelaskan aktivitas-aktivitas yang jug dibutuhkan
organisasi untuk memungkinkan deteksi gangguan dan masalah secara tepat waktu. Ada 4 jenis
pengendalian detektif yaitu:
1. Analisis Log
Sebagian besar system muncul dengan kemampuan ekstensif untuk mencatan (logging)
siapa yang mengakses system dan tindakan tertentu apa saja yang dilakukan setiap
pengguna. Sejumlah log yang dibuat menciptakan suatu jejak audit pada akses system.
SUCIANA MARDINA31115742KELAS B STAR BPKP 6
RESUME HASIL BELAJAR Minggu iniKejahatan Komputer
Kejahatan Komputer dan teknik penyalahgunaan
Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan
serangan. Log-log perlu dianalisis secara teratur untuk mendeteksi masalah secara tepat
waktu. Hal ini tidak mudah karena ukuran log dapat bertambah dengan cepat.
2. Sistem Deteksi Gangguan
Sistem deteksi gangguan jaringan terdiri atas satu set sensor dan unit pengawasan pusat
yang menghasilkan log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati
firewall dan kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang
diupayakan atau yang berhasil dilakukan.
3. Pengujian Penetrasi
Dua dari bagian proses pengendalian COBIT 5 menyatakan kebutuhan untuk secara
periodik menguji efektivitas proses bisnis dan pengendlian internal (prosedur keamanan).
Pengujin penetrasi memberikan sebuah cara yang lebih cermat untuk menguji efektivitas
keamanan informasi suatu organisasi. Suatu uji penetrasi adalah suatu upaya terotorisasi
oleh baik tim audit internal maupun kantor konsultasi keamanan eksternal untuk
menerobos kedalam system informasi organisasi.
4. Pengawasan Berkelanjutan
Praktik manajemen COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan
kapatuhan karyawan terhadap kebijakan keamanan informasi organisasi serta kinerja
keseluruhan proses bisnis. Pengawasan tersebut merupakan pengendalian detektif penting
yang dapat mengidentifikasi masalah potensial secara tepat waktu.
Pengendalian Korektif
Organisasi juga memerlukan prosedur untuk melakukan tindakan korektif secara tepat
waktu. Banyak pengendalian korektif yang bergantung pada pertimbangan manusia. Akibatnya,
efektifitas mereka bergantung pada sebuah batasan pada perencanaan dan persiapan yang sesuai.
Itulah alasan COBIT 5 menyediakan 2 bagian dari keseluruhan proses untuk mengelola dan
merespon insiden serta masalah. Ada 3 pengendalian korektif yang penting yaitu:
1. Computer Incident Response Team (CIRT)
Sebuah komponen utama agar mampu merespon insiden keamanan dengan tepat dan
efektif adalah penetapan sebuah tim perespons insiden computer (CIRT). Sebaiknya
CIRT tidak hanya melibatkan spesialis teknis, tetapi juga manajemen operasi senior,
SUCIANA MARDINA31115742KELAS B STAR BPKP 7
RESUME HASIL BELAJAR Minggu iniKejahatan Komputer
Kejahatan Komputer dan teknik penyalahgunaan
karena beberapa respons potensial insiden keamanan memiliki konsekuensi ekonomi
yang signifikan. Suatu CIRT harus mengarahkan proses respon insiden organisasi melalui
4 tahapan yaitu:
a. Pemberitahuan adanya suatu masalah.
b. Penahanan masalah
c. Pemulihan
d. Tindak lanjut
2. Chief Information Security Officer (CISO)
COBIT 5 mengidentfikasi struktur keorganisasian sebagai suatu fasilitator kritis untuk
mencapai pengendalian dan keamanan yang efektif. Suatu cara untuk memenuhi sasaran
ini adalah menciptakan posisi CISO, yang harus independen dari fungsi-fungsi system
informasi lainnya serta harus melapor baik ke COO maupun CEO.
3. Manajemen Patch
Manajemen patch adalah proses untuk secara teratur menerapkan patch dan
memperbaharui seluruh perangkat lunak yang digunakan oleh orgaisasi. Sejumlah patch
merepresentasikan modifikasi perangkat lunak yang sungguh rumit. Akibatnya, patch
terkadang menciptakan masalah baru karena dampak lain yang tidak diantisipasi.
Implikasi Keamanan Virtualisasi dan Cloud
Banyak organisasi telah melibatkan virtualisasi dan komputasi cloud untuk meningkatkan
baik efisiensi maupun efektifitas. Virtualisasi memanfaatkan kekuatan dan kecepatan computer
modern untuk menjalankan berbagai system secara bersamaan pada satu computer fisik. Hal ini
memotong biaya perangkat keras karena semakin sedikit server yang erlu dibeli. Komputasi
Cloud memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar
memungkinkan para karyawan suatu browser untuk mengakses perangkat lunak dari jarak jauh
( perangkat lunak sebagai suatu layanan), perangkat penyimpangan data (penyimpanan sebagai
suatu layanan), perangkat keras (infrastruktur sebagai suatu layanan), dan seluruh lingkungan
aplikasi (platform sebagai suatu layanan). Virtualisasi dan komputasi cloud mengubah risiko
beberapa ancaman keamanan informasi.
SUCIANA MARDINA31115742KELAS B STAR BPKP 8