SYSTEMS
RELIABILITY
Pengendalian bagi Keamanan Informasi
Tujuan Pembelajaran:Setelah mempelajari bab ini, mahasiswa seharusnya mampu untuk:
1. Menjelaskan bagaimana keamanan informasi mempengaruhi keandalan sistem informasi
2. Mendiskusikan bagaimana sebuah kombinasi dari pengendalian pencegahan, deteksi, dan koreksi dapat diterapkan dalam menyediakan jaminan yang memadai tentang keamanan sistem informasi organisasi.
PENGENALAN
Trust Service Framework yang dikembangkan oleh AICPA dan CICA membagi pengendalian terkait IT ke dalam 5 prinsip yang berkontribusi dalam keandalan suatu sistem yaitu:
1. Security – akses (baik fisik maupun logical) terhadap sistem dan data dikendalikan dan dibatasi hanya kepada pengguna yang sah
2. Confidentiality – informasi organisasi yang sensitif dilindungi dari pengungkapan yang tidak berhak 3. Privacy – informasi personal terkait pelanggan, karyawan, suplier atau partner bisnis hanya digunakan
dalam hal kepatuhan terhadap kebijakan internal dan persayaratan aturan eksternal dan dilindungi dari pengungkapan yang tidak sah
4. Processing integrity – data diproses secara akurat, lengkap dan hanya dengan otorisasi yang sah 5. Availability – sistem dan informasinya tersedia bagi kebutuhan operasional dan kewajiban kontraktual
DUA KONSEP DASAR MENGENAI KEAMANAN INFORMASI Kemanan adalah isu manajemen, bukan hanya isu teknologi.
Meskipun efektivitas keamanan informasi memerlukan instrumen teknologi seperti firewalls, antivirus, dan enkripsi, keterlibatan dan dukungan manajemen senior untuk melewati siklus keamanan adalah mutlak diperlukan untuk kesuksesan. Ada 4 tahap siklus hidup dari keamanan yaitu:
1. Menilai ancaman-ancaman keamanan informasi yang dijumpai oleh perusahaan dan menentukan respon yang tepat.
2. Mengembangkan kebijakan keamanan informasi dan mengkomunikasikan ke seluruh karyawan 3. Memperoleh dan menerapkan solusi-solusi atau instrumen-instrumen teknologi khusus.
4. Memantau kinerja secara reguler untuk mengevaluasi efektivitas program kemanan informasi organisasi.
Keamanan Informasi dengan Pertahanan Bertingkat dan Model Berbasis Waktu
Konsep dari Pertahanan Bertingkat (defense-in-depth) adalah menempatkan pengendalian berlapis untuk menghindari kegagalan pada area tertentu. Misalnya organisasi tidak hanya menggunakan firewalls tapi juga metode otorisasi berganda (password, tokens dan biometrik) untuk membatasi akses terhadap sistem informasi.
Mendeteksi pembobolan sistem keamanan dan melakukan tindakan koreksi harus dilakukan cepat atau tepat waktu karena sekali pengendalian pencegahan telah ditembus, si pengacau dapat secara cepat menghancurkan, berkompromi, atau mencuri sumber informasi dan ekonomi perusahaan. Oleh karena itu, tujuan dari Kemanan Model Berbasis Waktu (time-based model of security) adalah untuk menempatkan suatu kombinasi dari pengendalian pencegahan, deteksi, dan koreksi yang akan melindungi aset informasi cukup lama sehingga memungkinkan organisasi untuk mengenali bahwa sebuah serangan sedang terjadi dan mengambil langkah untuk menghalanginya sebelim terjadi kerugian atau kerusakan. Tujuan pengendalian ini dapat dirumuskan sebagai berikut:
P= waktu yang dibutuhkan penyerang untuk menembus pengendalian pencegahan suatu organisasi D= waktu yang dibutuhkan untuk mendeteksi serangan yang sedang berlangsung
C= waktu yang dibutuhkan untuk merespon serangan dan melakukan tindakan koreksi Apabila P>D+C maka prosedur keamanan suatu organisasi tersebut efektif.
MEMAHAMI SERANGAN YANG DITARGETKAN
Beberapa tahapan dasar kriminal untuk menyerang sistem informasi organisasi 1. Melakukan pengintaian
2. Mengusahakan teknik sosial/psikologi yaitu dengan melakukan penipuan terhadap korban 3. Mengamati dan memetakan target menggunakan alat-alat elektronik
4. Penelitian, setelah memahami sistem dan sofware si target, selanjutnya penyerang akan meneliti lebih lanjut mengenai kelemahan dan kerentanan sistem
5. Melakukan penyerangan dengan mengambil keuntungan dari kelemahan sistem yang ada
6. Melindungi jejaknya dan mencari cara belakang untuk menembus sistem supaya kalau cara yang pertama ketahuan.
Terdapat beberapa macam jenis pencegahan yang bergabung seperti sebuah puzzle yang akan membangun sistem pertahanan berlapis. Meskipun semua itu diperlukan, komponen “manusia” adalah yang paling penting. Manajemen harus menciptakan suatu budaya sadar akan keamanan dan karyawan harus dilatih untuk mengikuti kebijakan keamanan dan mempraktikkan perilaku penggunaan komputer yang aman.
Manusia: Menciptakan budaya sadar akan keamanan
COSO dan COSO-ERM menekankan pada bagaimana perilaku manajemen risiko puncak menciptakan lingkungan internal yang mendukung dan memperkuat sistem pengendalian internal atau seseorang yang secara efektif meniadakan kebijakan pengendalian yang tertulis. Untuk menciptakan budaya sadar akan keamanan, manajemen seharusnya tidak hanya mengkomunikasikan kebijakan-kebijakan tetapi harus memberikan contoh kepada para karyawan.
Manusia: Pelatihan
COBIT 5 mengidentifikasi skil dan kompetensi pegawai sebagai suatu hal yang penting untuk efektifitas keamanan informasi. Karyawan harus memahami bagaimana mematuhi kebijakan keamanan perusahaan. Oleh karena itu pelatihan adalah pengendalian pencegahan yang baik bahkan begitu pentingnya, fakta bahwa pelatihan kesadaran keamanan didiskusikan sebagai sebuah kegiatan kunci yang mendukung beberapa proses manajemen dalam COBIT 5. Pelatihan ini juga penting bagi manajemen senior, karena beberapa tahun terakhir ini beberapa serangan social engineering seperti phising juga ditargetkan ke mereka.
Proses: Pengendalian Akses Pengguna
Penting untuk dipahami bahwa ancaman tidak hanya berasal dari luar. Pegawai mungkin saja merasa tidak puas terhadap beberapa alasan seperti tidak dapat promosi, balas dendam atau rentan untuk melakukan korupsi karena kesulitan keuangan atau diperas untuk menyediakan informasi yang sensitif. Oleh karenanya organisasi perlu untuk menerapkan sistem pengendalian untuk melindungi aset berupa informasi dari akses dan penggunaan yang tidak sah oleh karyawan. COBIT 5 mempraktekkan DSS05.04 yang terdiri dari dua tipe pengendalian akses pengguna yang saling berhubungan namun berbeda yaitu:
1. Pengendalian pembuktian keaslian yaitu suatu proses memverifikasi identitas dari seseorang atau perangkat yang mengakses suatu sistem. Ada 3 tipe surat/cara untuk memverifikasi seseoarang yaitu:
a. Sesuatu yang diketahui yaitu password atau PIN b. Sesuatu yang dimiliki yaitu id card atau smart card
c. Suatu karakteristik fisik atau perilaku (disebut juga biometric identifier) seperti fingerprint atau typing patterns.
2. Pengendalian kewenangan (otorisasi) yaitu proses membatasi akses bagi pengguna yang berhak pada bagian tertentu saja dari sebuah sistem dan membatasi tindakan apa yang diizinkan untuk bisa dilakukan. COBIT 5 praktek manajemen DSS06.03 menjelaskan tujuannya adalah untuk mengatur hak dan kewenangan pegawai dalam konteks menyelenggarakan dan mengelola fungsi pemisahan tanggung jawab.
Solusi IT: Pengendalian menggunakan Antimalware
Malware (seperti virus, worms, trojan, software keystroke logging) adalah ancaman utama. Malware dapat merusak dan menghancurkan informasi atau menyediakan akses ilegal. Oleh karena itu COBIT 5 bagian
DSS05.01 yang mendaftar perlindungan malware sebagai salah satu kunci bagi efektivitas keamanan, secara khusus merekomendasikan:
1. Pendidikan kesadaran akan software yang mengganggu
2. Pemasangan alat perlindungan anti malware pada semua perangkat
3. Manajemen yang terpusat untuk patches dan updatenya bagi software antimalware 4. Reviu secara reguler terhadap ancaman malware baru
5. Memfilter lalu lintas data untuk membentengi dari sumber-sumber yang berpotensi membawa malware 6. Pelatihan karyawan supaya tidak menginstall software gratisan atau ilegal.
Solusi IT: Pengendalian terhadap Akses Jaringan
Kebanyakan organisasi menyediakan akses jarak jauh untuk mengakses sistem informasi bagi karyawan, pelanggan, dan suplier. Biasanya akses ini menggunakan fasilitas internet, tetapi beberapa organisasi masih mengelola jaringan pribadi mereka atau menyediakan akses dial-up melaluui modem. Selain itu juga ada yang menyediakan akses wireless bagi sistem mereka. Terdapat beberapa metode yang digunakan untuk mendukung COBIT 5 praktik manajemen DSS05.02 yang menjelaskan keamanan dari jaringan organisasi dan hal-hal yang terkait.
Lingkaran pertahanan: Routers, Firewalls, and Intrusion Prevention Systems
Menggunakan pertahanan bertingkat untuk membatasi akses jaringan.
Penggunaan beberapa perangkat perimeter berlapis akan lebih efisien dan efektif dari pada menggantungkan pada satu perangkat. Oleh karena itu, kebanyakan perusahaan menggunakan border routers untuk dengan cepat menyaring dengan jelas paket-paket data yang buruk dan melewati firewall utama. Firewall utama tidak secara detail memeriksa yang kemudian firewalls yang lain melakukan inspeksi paket secara mendalam untuk lebih melindungi perangkat khusus seperti web server atau email server perusahaan.
Beberapa perusahaan masih mengizinkan karyawan untuk mengakses dari jauh jaringan organisasi melalui modem. Sangat penting untuk memverifikasi identitas dari pengguna yang memperoleh akses dial up. Remote Authentication Dial-In User Service (RADIUS) adalah metode standar untuk melakukan hal itu.
Mengamankan akses wireless
Beberapa perusahaan juga menyediakan akses nirkabel untuk sistem informasinya. Akses nirkabel memamng nyaman dan mudah, namun juga menyediakan peluang terhadap serangan dan memperluas lingkup pertahanan yang harus dilindungi. Berikut ini prosedur yang perlu diikuti untuk memperoleh akses wireless yang memiliki keamanan secara memadai yaitu:
1. Menghidupkan fitur-fitur keamanan yang tersedia
2. Memastikan keaslian semua peragkat yang digunakan untuk mengakses jaringan wireless sebelum memberi mereka IP address
3. Mengatur semua perangkat wireless yang sah untuk mengoperasikan hanya dalam mode infrastruktur, dimana memaksa perangkat untuk tersambung hanya pada wireless access point.
4. Menggunakan nama-nama yang tidak informatif bagi alamat access point, biasa kita sebut SSID (service set identifier). Contohnya adalah A1 atau X1 bukan Gaji, Keungan atau R&D.
5. Mengurangi kekuatan broadcast dari access point, meletakkannya didalam gedung dan menggunakan directional antena untuk membatasi pengguna yang ilegal.
6. Mengenkripsi semua lalu lintas jaringan nirkabel.
Solusi IT: Pengendalian mengenai Penguatan Perangkat dan Software
COBIT 5 management practice DSS05.03 menjelaskan aktivitas yang terlibat dalam mengelola keamanan endpoint. (Endpoint adalah istilah untuk sekumpulan workstations, servers, printer dan perangkat lain yang terhubung pada jaringan organisasi).
Terdapat 3 area yang perlu mendapat perhatian khusus yaitu: 1. Konfigurasi endpoint
Endpoints dapat dibuat lebih aman dengan cara memodifikasi konfigurasinya. Instalasi bawaan biasanya terdiri dari beberapa program yang sebenarnya kurang substantial. Dengan menghidupkan semua fitur/program yang tidak terlalu dibtuhkan akan meningkatkan biaya dan kelemahan sistem itu sendiri. Setiap program yang berjalan mempunyai potensi untuk menerima serangan disebut dengan vulnerabilities. Oleh karena itu program atau fitur yang tidak berguna dapat dinonaktifkan terutama yang rentan terhadap serangan. Alatnya disebut dengan vulnerability scanner. Sedangkan proses memodifikasi default configuration dari endpoints untuk mengeliminasi setting dan layanan yang tidak berguna disebut hardening.
2. Manajemen akun pengguna
COBIT 5 management practices DSS05.04 menekankan pada kebutuhan akan mengelola semua user acoount secara hati-hati, khususnya akun-akun yang mempunyai hak tak terbatas (administrative account) dalam komputer.
3. Desain software
Section BAI03 dari COBIT 5 memfokuskan kebutuhan akan mendesain keamanan secara hati-hati terhadap seluruh aplikasi dan seksi APO10 melakukan best practices untuk mengelola risiko terkait software yang dibeli.
Solusi IT: Enkripsi
Enkripsi menyediakan lapisan/tingkatan akhir yang menyediakan pertahanan untuk mencegah akses ilegal terhadap informasi penting dan sensitif.
Keamanan Fisik: Pengendalian terkait Akses
COBIT 5 management practices DSS05.05 menggambarkan best practices dalam hal pengendalian terkait akses fisik. Pengendalian akses fisik dimulai dengan entry point dari bangunan itu sendiri. Idelanya seharusnya hanya ada satu entry point reguler yang tidak terkunci selama jam kerja kantor. Ketika memasuki sebuah gedung, akses fisik ke ruangan-ruangan peralatan komputer harus dibatasi dan harus dimonitor sistem CCTV.
Pengendalian dan Manajemen dalam Perubahan
Change controls and change management adalah proses formal yang digunakan untuk memastikan bahwa modifikasi terhadap hardware, software atau proses tidak akan mengurangi keandalan sebuah sistem. Karakteristik dari proses change control dan change management yang baik adalah:
1. Mendokumentasikan seluruh permintaan perubahan
2. Mendokumentasikan seluruh permintaan perubahan yang disetujui oleh manajemen yang berwenang 3. Menguji seluruh perubahan dalam sistem yang terpisah
4. Pengendalian terhadap konversi perubahan yang telah dilakukan untuk memastikan keakuratan dan dan kelengkapan data yang ditransfer dari sistem lama ke sistem baru
5. Memutakhirkan seluruh proses dokumentasi untuk merefleksikan perubahan baru yang diterapkan. 6. Proses khusus seperti reviu, persetujuan dan dokumentasi dari perubahan darurat harus segara
dilaksanakan
7. Pengembangan dan pendokumentasian rencana “backout” untuk memfasilitasi mengembalikan ke konfigurasi semula jika perubahan baru tidak sesuai harapan
8. Memantau dan mereviu hak-hak user selama proses perubahan untuk memastikan pemisahan tanggung jawab dikelola dengan baik.
PENGENDALIAN DETEKSI
Pengendalian pencegahan tidak akan pernah dapat 100% efektif dalam menangkal seluruh serangan. Oleh karena itu COBIT 5 management practice DSS05.07 menjelaskan aktivitas yang suatu organisasi juga perlukan untuk memungkinkan deteksi terhadap masalah dan gangguan.
Empat tipe dari pengendalian deteksi adalah sebagai berikut: 1. Log analysis
Yaitu proses menguji logs untuk mengidentifikasi bukti-bukti dari kemungkinan serangan 2. Intrusion detection systems (IDS)
Yaitu sistem yang membuat logs dari semua lalu lintas jaringan yang diizinkan untuk melalui firewall kemudian menganalisa logs tersebut terhadap jejak atau gangguan yang berhasil.
3. Penetration testing
Yaitu percobaan untuk menembus sistem informasi organisasi. COBIT 5 control processes MEA01 dan MEA02 menyatakan perlunya melakukan pengujian secara periodik tentang efektifitas dari proses bisnis dan pengendalian internal (termasuk prosedur keamanan)
4. Monitoring berelanjutan
COBIT 5 management practice APO01.08 menekankan pentingnya memantau secara berkelanjutan terkait kepatuhan karyawan terhadap kebijakan keamanan informasi organisasi dan kinerja proses bisnis secara keseluruhan.
PENGENDALIAN KOREKSI
Mendeteksi secara tepat waktu masalah-masalah yang sangatlah penting, namun hal ini belum cukup. COBIT 5 management practice MEA01.05 menjelaskan, organisasi juga memerlukan prosedur untuk mengusahakan tindakan koreksi secara tepat waktu. Pengendalian korektif yang penting utamanya adalah sebagai berikut:
1. Mengembangkan sebuah tim yang menangani insiden komputer atau computer incident response team (CIRT)
CIRT adalah tim yang bertanggung jawab menyelesaikan masalah keamanan utama komputer. CIRT tidak hanya terdiri dari ahli teknis tetapi juga manajemen operasi senior, karena penanganan masalah keamanan mempunyai dampak yang signifikan terhadap ekonomi.
CIRT memimpin organisasi dalam hal penanganan masalah keamanan dengan empat tahap yaitu: a. Pengakuan bahwa masalah sedang terjadi. Biasanya hal ini terjadi ketika sinyal IPS atau IDS
berbunyi, selain itu juga hasil dari analisis log oleh administrator sistem.
b. Meminimalisir masalah. Ketika kerusakan terdeteksi, yang selanjutnya diperlukan adalah menghentikannya dan menahan dari kerusakan
c. Recovery. Kerusakan akibat serangan harus diperbaiki. Tindakan yang dilakukan termasuk mengambil data dari backup dan menginstall ulang program yang terhapus
d. Tindak lanjut. Ketika dalam proses recovery, CIRT memberikan analisis bagaimana insiden terjadi. Hal ini dilakukan untuk menyesuaikan kebijakan keamanan dan prosedur yang telah ada untuk meminimalisir kemungkinan kejadian serupa dimasa depan.
2. Mempekerjakan kepala keamanan informasi atau chief information security (CISO).
COBIT 5 mengidentifikasi struktur organisasi sebagai suatu hal yang memungkinkan tercapainya pengendalian dan keamanan yang efektif. Hal ini penting bagi perusahaan untuk memberikan tanggung jawab terhadap keamanan informasi kepada sesorang pada tingkat manajemen yang sesuai.
3. Mengembangkan dan menerapkan sistem manajemen pemutakhiran komputer.
Patch management adalah proses yang secara reguler memutakhirkan software. Hal ini dilakukan untuk mengatasi exploit. Exploit adalah program yang didesain untuk mengambil keuntungan dari kelemahan sistem.
DAMPAK KEAMANAN DARI VIRTUALIZATION DAN CLOUD
Virtualization adalah menjalankan berbagai sistem secara bersamaan pada satu komputer. Hal ini akan menerkan biaya hardware karena semakin sedikit server yang perlu untuk dibeli.
Cloud computing adalah memanfaatkan bandwith yang besar dari jaringan telekomunikasi global yang memungkinkan karyawan menggunakan browser untuk mengakses dari jarak jauh sebagai software untuk mengakses, perangkat untuk penyimpanan data, hardware dan lingkungan keseluruhan aplikasi. Cloud computing dapat menghemat biaya secara signifikann.
Virtualization dan cloud computing dapat meningkatkan risiko ancaman bagi keamanan informasi. Dengan demikian virtualization dan cloud computing sebenarnya mempunyai dampak positif dan negatif terhadap keamanan informasi dari keseluruhan level, tergantung bagaimana organisasi atau cloud provider menerapkan pengendalian pencegaha, deteksi dan koreksi secara bertingkat.
