Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pemahaman serangan tipe tipe pengendalian prinsip - prinsip the five trust service untuk keandalan sistem, universitas mercubuana, 2018
1. Sistem Informasi dan Pengendalian Internal
Konsep Dasar Keamanan Informasi Pemahaman
Serangan, Tipe -Tipe Pengendalian Prinsip - prinsip The
Five Trust Service untuk keandalan sistem
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA
Disusun Oleh :
Nurul Hidayati Yuliani (55517120018)
MAGISTER AKUNTANSI
PROGRAM PASCASARJANA (S2)
UNIVERSITAS MERCUBUANA
2018
2. 2018
2
Pembahasan
Konsep Dasar Keamanan Informasi Pemahaman Serangan,
Tipe -Tipe Pengendalian Prinsip - prinsip The Five Trust
Service untuk keandalan sistem
Saat ini informasi merupakan komoditi yang sangat berharga baik untuk rannah pribadi atau
kelompok seperti perusahaan ,organisasi, lembaga pemerintahan, perguruan tinggi.
Mengingat begitu pentingnya informasi ini sering kali ada pihak pihak yang ingin
memanfaatkan informasi untuk hal-hal yang bukan semestinya, dan untuk menghindari hal
itu terjadi perlu adanya keamanan informasi.
Sebelum membahas lebih jauh tentang keamanan itu sendiri, pada dasarnya keamanan
informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam
sumber daya informasi perusahaan.
Manajemen daya informasi sendiri terdiri dari 1
:
1. Perlindungan sehari-hari disebut Manajemen Keamanan Informasi (iformation
security management /ISM)
2. Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen
Kesinambungan Bisnis (businees continuity management /BCM)
Pengertian Keamanan2
• John D. Howard, Computer Security is preventing attackers from achieving
objectives through unauthorized access or unauthorized use of computers and networks.
• G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah
penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang
berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
• Wikipedia, keamanan komputer atau sering diistilahkan keamanan sistem informasi
adalah cabang dari teknologi komputer yang diterapkan untuk komputer dan jaringan. Tujuan
keamanan komputer meliputi perlindungan informasi dan properti dari pencurian, kerusakan,
atau bencana alam, sehingga memungkinkan informasi dan aset informasi tetap diakses dan
produktif bagi penggunanya. Istilah keamanan sistem informasi merujuk pada proses dan
1
Hapzi Ali, 2018
2
Fairuzelsaid, 2018
3. 2018
3
mekanisme kolektif terhadap informasi yang sensitif dan berharga serta pelayann publikasi
yang terlindungi dari gangguan atau kerusakan akibat aktivitas yang tidak sah, akses individu
yang tidak bisa dipercaya dan kejadian tidak terencana.
Trust Service Framework3
Trust Service Framework mengatur pengendalian TI ke dalam lima prinsip yang
berkontribusi secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data
di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti
rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau
rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan kepatuhan
terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari
pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,
lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
Tujuan Keamanan sistem informasi4
Keamanan Sistem Informasi dimaksudkan untuk mecapaitiga sasara utama sebagai berikut :
• Kerahasiaan (Confidentiality) Membutuhkan bahwa informasi (data) hanya bisa
diakses oleh mereka yang memiliki otoritas.
• Integritas (Integrity) Membutuhkan bahwaa informasi hanya dapat diubah oleh pihak
yang memiliki otoritas.
• Ketersediaan (Availability ) Mensyaratkan bahwa ketersediaan informasi yang
tersedia bagi mereka yang memiliki wewenang ketika dibutuhkan.
Manajemen Keamanan Informasi
Istilah corporate information systems security officer (CISSO) telah digunakan untuk orang
yang berada di organisasi yang bertanggung jawab pada sistem keamanan informasi
perusahaan.
Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO) yang
melaporkan kepada CEO dan mengatur suatu unit jaminan informasi.
3
Yuriaiuary, 2018
4
Hapzi Ali, 2018
4. 2018
4
Manajemen Keamanan Informasi (ISM)
ISM terdiri dari empat langkah :
1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi
perusahaan.
2. Mendefinisikan resiko dari ancaman yang dapat memaksakan
3. Penetapan kebijakan keamanan informasi
4. Menerapkan controls yang tertuju pada resiko
Benchmarks juga digunakan untuk memastikan integritas dari sistem manajemen resiko.
Gambar 9.15
Domain Keamanan Sistem Informasi6
• Keamanan Pengoperasian , teknik-teknik kontrol pada operasi personalia, sistem
informasi dan perangkat keras.
• Keamanan Aplikasi dan Pengembangan Sistem, mempelajari berbagai aspek
keamanan serta kendali yang terkait pada pengembangan sistem informasi. Cakupannya
meliputi: (1) Tingkatan Kerumitan Fungsi dan Aplikasi; (2) Data Pengelolaan Keamanan
BasisData; (3) SDLC: Systems Development Life Cycle; (4) metodology pengembangan
aplikasi (5) pengendalian perubahan perangkat lunak; (6) program bermasalah;
• Rencana Kesinambungan Usaha dan Pemulihan Bencana, mempelajari bagaimana
aktifitas bisnis dapat tetap berjalan meskipun terjadi gangguan atau bencana. Cakupannya
meliputi: Indentifikasi Sumber Daya Bisnis, Penentuan Nilai Bisnis, Analisa Kegagalan
5
image.slidesharecdn.com, 2018
6
Fairuzelsaid, 2018
5. 2018
5
Bisnis, Analisa Kerugian, – Pengelolaan Prioritas dan Krisis, Rencana Pengembangan,
Rencana Implementasi, dan Rencana Pemeliharaan
• Hukum, Investigasi, dan Etika, mempelajari berbagai jenis aturan yang terkait
dengan kejahatan komputer dan legalitas transaksi elektronik, serta membahas masalah etika
dalam dunia komputer.
• Keamanan Fisik, mempelajari berbagai ancaman, resiko dan kontrol untuk
pengamanan fasilitas sistem informasi. Cakupannya meliputi: Kawasan Terbatas, Kamera
Pemantau dan Detektor Pergerakan, – Bunker (dalam tanah), Pencegahan dan Pemadaman
Api, Pemagaran, Peralatan Keamaman, Alarm, dan Kunci Pintu
• Audit (Auditing)
Ancaman7
Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau peristiwa yang
dapat berpotensi menimbulkan kejahatan pada sumber daya iformasi perusahan.
Ancaman dapat berupa internal atauexternal, disengaja atau tidak disengaja.
Pada gambar di bawah ini memperlihatkan tujuan keamanan informasi dan bagaimana
keamaan informasi diberlakukan terhadap empat jenis resiko :
• Pencurian dan penyingkapan tidak sah
• Penggunaan tidak sah
• Pembinasaan dan pengingkaran layanan yang tidak sah
• Modifikasi yang tidak sah
Gambar 9.28
7
Hapzi Ali, 2018
8
image.slidesharecdn.com, 2018
6. 2018
6
Attack (Serangan) untuk keamanan dapat dikategorikan ke dalam empat kategori
utama9
:
• Gangguan (Interruption) Aset dari sistem di bawah serangan sehingga menjadi tidak
tersedia atau tidak dapat digunakan oleh pihak berwenang. Contohnya adalah perusakan /
modifikasi perangkat keras atau jaringan saluran.
• Intersepsi (Interception) Orang yang tidak berwenang mendapatkan akses ke aset.
Pihak bersangkutan dimaksud bisa orang, program, atau sistem lain. Contohnya adalah
penyadapan data dalam jaringan.
• Modifikasi (Modification) Orang yang tidak berwenang dapat membuat perubahan
pada aset. Contohnya adalah perubahan nilai file data, memodifikasi program sehingga tidak
beres, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
• Fabrikasi (Fabrication) Sebuah pihak yang tidak berwenang menyisipkan objek
palsu ke dalam sistem. Contohnya adalah mengirimkan pesan palsu kepada orang lain
Pengendalian
Pengendalian mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau
meminimalkandampak resiko pada perusahaan jika resiko tersebut terjadi. Pegedaliandi
dibagi menjadi tiga kategori yaitu :
1. Pengendalian Teknis (Tehnical control)
Pengendalian yang menjadi satu di dalam sistem dan dibuat oleh penyusun sistem selama
masa siklus penyusuna sistem.
a. Pengendalian akses
• Idetifikasi pegguna
• Otentifikasi pengguna
• Otorisasi pengguna
b. Sistem deteksi gangguan
c. Firewall
9
dosenpendidikan.com, 2018
7. 2018
7
Gamar9.410
2. Pengendalian Kriptografis
3. Pengendalian Fisik
Pengendalian Preventif, Detektif dan Korektif11
1. Pengendalian Preventif.
Yaitu pengendalian yang mencegah masalah sebelum timbul. Penting memahami bahwa
“orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu, organisasi menerapkan
satu set pengendalian untuk melindungi aset informasi. Praktik manajemen COBIT 5
DSS05.04 menetapkan dua pengendalian atas ancaman terhadap aset informasi:
a. Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat
mengakses sistem informasi organisasi.
b. Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk
dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di bidang
teknologi informasi sendiri pun diperlukan. Terdapat beberapa solusi teknologi informasi
yang dapat digunakan:
a. Pengendalian antimalware. Malware dapat menghancurkan informasi atau memperoleh
akses tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5 DSS05.01 mendaftarkan
perlindungan malware sebagi salah satu dari kunci keamanan yang efektif.
10
image.slidesharecdn.com,2018
11
Yuriaiuary, 2018
8. 2018
8
b. Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel terhadaap
sistem mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan keamanan jaringan
organisasi dan seluruh upaya untuk tersambung ke dalamnya.
c. Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain untuk
melindungi parimeter jaringan, namun diperlukan tambahan pengendalian preventif pada
stasiun kerja, server, printer, dan perangkat lainnya (secara kolektif disebut endpoint) yang
meliputi jaringan organisasi. Praktik manajemen COBIT 5 DSS05.03 menjelakan aktivitas
yang terlibat dalam mengelola keamanan endpoint.
d. Enkripsi. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah
akses tanpa ijin terhadap informasi sensitif.
2. Pengendalian Detektif.
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak
terelakan.
3. Pengendalian Korektif.
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan
memulihkan dari kesalahan yang dihasilkan. Terdapat tiga pengendalian korektif yang
penting:
a. Pembentukan sebuah tim perespon insiden komputer (computer incident response team
– CIRT). Merupakan sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan
utama. Sebuah CIRT harus mengarahkan proses respon insiden organisasi melalui empat
tahap:
1). Pemberitahuan(recognition) adanya sebuah masalah
2). Penahanan (containment) masalah
3). Pemulihan (recovery)
4). Tindak lanjut (foloow up).
b. Pendesainan individu khusus (Chief Informastion Security Officer – CISO).
c. Penetapan serta penerapan sistem manajemen path yang didesain dengan baik. Patch
adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan
tertentu.
Pengendalian Umum dan Aplikasi.
1. Pengendalian Umum.
Yaitu pengendalian yang didesain untuk memastikan sistem informasi organisasi serta
pengendalian lingkungan stabil dan dikelola dengan baik.Pengendalian umum digolongkan
menjadi beberapa, diantaranya:
9. 2018
9
a. Pengendalian organisasi dan otorisasi adalah secara umum terdapat pemisahan tugas
dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi
b. Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik
selayaknya sesuai yang diharapkan.
c. Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap sistem
informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut,
catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah
sistem informasi.
d. Pengendalian akses fisikal dan logikal.Pengendalian akses fisikal berkaitan dengan
akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan
akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut
(misal: windows).
2. Pengendalian Aplikasi
Yaitu pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi dan
penipuan dalam program aplikasi. Terdapat beberapa macam aplikasi berwujud perangkat
lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan:
a. Perangkat lunak berdiri sendiri. Terdapat pada organisasi yang belum menerapkan SIA
dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing
unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.
b. Perangkat lunak di server. Tedapat pada organisasi yang telah menerapkan SIA dan
sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai
sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses
aplikasi pada server.
Selain macam-macam aplikasi dalam pengendalian, terdapat juga bentuk pengendalian dari
aplikasi tersebut, diantaranya:
a. Pengendalian Organisasi dan Akses Aplikasi. Pada pengendalian organisasi, hampir
sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan.
b. Pengendalian Input. Pengendalian input memastikan data-data yang dimasukkan ke
dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c. Pengendalian Proses. Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu
(1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara
maupun yang permanen
10. 2018
10
(2) tahapan database, proses yang dilakukan pada berkas-berkas master.
d. Pengendalian Output. Pada pengendalian ini dilakukan beberapa pengecekan baik
secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.
e. Pengendalian Berkas Master. Pada pengendalian ini harus terjadi integritas referensial
pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:
- Anomaly penambahan
- Anomaly penghapusan
- Anomaly pemuktahiran/pembaruan
Gambar 9.512
Langkah-Langkah dalam Proses Pengendalian13
Mockler (1984) membagi pengendalian dalam 4 langkah yaitu :
1. Menetapkan standar dan Metode Mengukur Prestasi Kerja
Standar yang dimaksud adalah criteria yang sederhana untuk prestasi kerja, yakni titik-titik
yang terpilih didalam seluruh program perencanaan untuk mengukur prestasi kerja tersebut
12
player.slideplayer.info, 2018
13
Ahmad qon irizki, 2018
11. 2018
11
guna memberikan tanda kepada manajer tentang perkembangan yang terjadi dalam
perusahaan itu tanpa perlu mengawasi setiap langkah untuk proses pelaksanaan rencana yang
telah ditetapkan.
2. Melakukan Pengukuran Prestasi Kerja
Pengukuran prestasi kerja idealnya dilaksanakan atas dasar pandangan kedepan, sehingga
penyimpangan-pennyimpangan yang mungkin terjadi ari standar dapat diketahui lebih
dahulu.
3. Menetapkan Apakah Prestasi Kerja Sesuai dengan Standar
Yaitu dengan membandingkan hasil pengukuran dengan target atau standar yang telah
ditetapkan. Bila prestasi sesuai dengan standar manajer akan menilai bahwa segala
sesuatunya beada dalam kendali.
4. Mengambil Tindakan Korektif
Proses pengawasan tidak lengkap bila tidak diambil tindakan untuk membetulkan
penyimpangan yanf terjadi. Apabila prestasi kerja diukur dalam standar, maka pembetulan
penyimpangan yang terjadi dapat dipercepat, karena manajer sudah mengetahui dengan tepat,
terhadap bagian mana dari pelaksanaan tugas oleh individu atau kelompok kerja, tindakan
koreksi itu harus dikenakan.
Kerahasiaan dan Privasi14
1. Kerahasiaan
Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan pada sistem
organisasi yang tidak boleh diakses atau digunakan oleh orang-orang yang tidak berhak.
Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas
informasi sensitif:
a. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi.
b. Mengenkripsi informasi. Enkripsi adalah alat yang penting dan efektif untuk
melindungi kerahasiaan. Enkripsi adalah satu-satunya cara untuk melindungi informasi
dalam lalu lintas internet dan cloud publik.
c. Mengendalikan akses atas informasi.
d. Melatih para pegawai untuk menangani informasi secara tepat.
2. Privasi
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan,
perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi pribadi mengenai
14
Yuriaiuary, 2018
12. 2018
12
pelanggan, pegawai, pemasok, atau rekan bisnis dari pada data keorganisasian. Terdapat dua
permasalahan utama terkait privasi:
a. Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten
serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering kali
menjadi target tujuan atas akses tak terotorisasi terhadap daftar dan databasee-mail yang
berisi informasi pribadi.
b. Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi
seseorang demi keuntungan pelaku. Organisasi harus memiliki kewajiban etis dan moral
untuk menerapkan pengendalian demi melindungi informasi pribadi yang organisasi
kumpulkan.
Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi individu telah
menghasilkan berbagai regulasi pemerintah. Untuk membantu organisasi agar hemat biaya
dalam mematuhi banyaknya persyaratan ini, American Institute of Certified Public
Accountant (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-
sama mengembangkan sebuah kerangka yang disebut prinsip-prinsip yang diterima umum
(Generally Accepted Privacy Principles – GAAP). Kerangka tersebut mengidentifikasi dan
mendefinisikan pelaksanaan 10 praktik terbaik untuk melindungi privasi informasi pribadi
para pelanggan yang terdiri dari:
1). Manajemen;
2). Pemberitahuan;
3). Pilihan dan persetujuan;
4). Pengumpulan;
5). Penggunaan dan Retensi;
6). Akses;
7). Pengungkapan kepada pihak ketiga;
8). Keamanan;
9). Kualitas;
10). Pengawasan dan penegakan.
13. 2018
13
Contoh Implementasi
PENGENDALIAN AKSES
A. TUJUAN
Pengendalian akses bertujuan untuk memastikan otorisasi akses pengguna dan mencegah
akses pihak yang tidak berwenang terhadap aset informasi khususnya perangkat pengolah
informasi.
B. RUANG LINGKUP
Kebijakan dan standar pengendalian akses ini meliputi:
1. Persyaratan untuk pengendalian akses;
2. Pengelolaan akses pengguna;
3. Tanggung jawab pengguna;
4. Pengendalian akses jaringan;
5. Pengendalian akses ke sistem operasi;
6. Pengendalian akses ke aplikasi dan sis tern informasi; dan
7. Mobile Computing dan Teleworking.
C. KEBIJAKAN
1. Persyaratan untuk Pengendalian Akses
Unit eselon I harus menyusun, mendokumentasikan, dan mengkaji ketentuan akses ke
aset informasi berdasarkan kebutuhan organisasi dan persyaratan kearnanan.
2. Pengelolaan Akses Pengguna
a. Pendaftaran pengguna
Unit TIK pusat dan unit TIK eselon I harus menyusun prosedur pengelolaan hak
akses pengguna sesuai dengan peruntukannya.
b. Pengelolaan hak akses khusus
Unit TIK pusat dan unit TIK eselon I harus rnernbatasi dan mengendalikan
penggunaan hakakses khusus.
c. Pengelolaan kata sandi pengguna
1) Unit TIK pusat dan unit TIK eselon I harus rnengatur pengelolaan kata sandi
pengguna; dan
14. 2018
14
2) Pengelolaan kata sandi pengguna sesuai dengan standar yang ditetapkan
dalarn kebijakan dan Standar Penggunaan Akun dan Kata Sandi, Surat
Elektronik, dan Internet di Lingkungan Departernen Keuangan.
d. Kajian hak akses pengguna
Unit eselon I harus mernantau dan mengevaluasi hak akses pengguna dan
penggunaannya secara berkala untuk rnernastikan kesesuaian status
pernakaiannya.
3. Tanggung Jawab Pengguna
a. Pengguna harus mematuhi aturan pembuatan dan penggunaan kata sandi.
Tanggung jawab pengguna terhadap kata sandi sesuai dengan standar tanggung
jawab pengguna yang ditetapkan dalam Kebijakan dan Standar. Penggunaan Akun
dan Kata Sandi, Surat Elektronik, dan Internet di Lingkungan Departemen
Keuangan;
b. Pengguna harus memastikan perangkat pengolah informasi yang digunakan
mendapatkan perlindungan terutama pada saat di tinggalkan; dan
c. Pengguna harus melindungi informasi agar tidak diakses oleh pihak yang tidak
berwenang.
4. Pengendalian Akses Jaringan
a. Penggunaan layanan jaringan
1) Unit TIK pusat dan unit TIK eselon I harus mengatur akses pengguna dalam
mengakses jaringan Kementerian Keuangan sesuai dengan peruntukannya;
dan
2) Unit TIK pusat dan unit TIK eselon I harus mengatur akses pengguna dalam
mengakses internet. Akses pengguna dalam mengakses internet sesuai dengan
standar yang ditetapkan dalam Kebijakan dan Standar Penggunaan Akun dan
Kata Sandi, Surat Eiektronik, dan Internet di Ungkungan Kementerian
Keuangan.
b. Otorisasi pengguna untuk koneksi eksternal
Unit TIK pusat dan unit TIK eselon I harus menerapkan proses otorisasi pengguna
untuk setiap akses ke dalam jaringan internal melalui koneksi eksternal (remde
access).
c. Perlindungan terhadap diagnosa jarak jauh dan konfigurasi port
15. 2018
15
1) Akses ke perangkat keras dan perangkat lunak untuk diagnosa harus dikontrol
berdasarkan prosedur dan hanya digunakan oleh pegawai yang berwenang
untuk melakukan pengujian, pemecahan masalah, dan pengembangan sistem;
dan
2) Port pada fasilitas jaringan yang tidak dibutuhkan dalam kegiatan atau fungsi
Iayanan harus dinonaklifkan.
d. Pemisahan dalam jaringan
Unit TIK pusat dan unit TIK eselon I harus memisahkan jaringan untuk pengguna,
sistem informasi, dan Iayanan informasi.
e. Pengendalian koneksi jaringan
Unit TIK pnsat dan unit TIK eselon I harus menerapkan mekanisme pengendalian
akses pengguna sesuai dengan persyaratan pengendalian akses.
f. Pengendalian routing jaringan
Pengendalian routing jaringan internal Kementerian Keuangan harus dilakukan
sesuai pengendalian akses dan kebutuhan layanan informasi.
5. Pengendalian Akses ke Sistem Operasi
a. Prosedur akses yang aman
Akses ke sistem operasi harus dikontrol dengan menggunakan prosedur akses
yang aman.
b. Identifikasi dan otorisasi pengguna ,
1) Setiap pengguna harus memiliki akun yang unik dan hanya digunakan sesuai
dengan peruntukannya; dan
2) Proses otorisasi pengguna harus menggunakan teknik autentikasi yang sesuai
untuk memvalidasi identitas dari pengguna.
c. Sistem pengelolaan kata sandi
Sistem pengelolaan kata sandi harus mudah digunakan dan dapat memastikan
kualitas kata sandi yang dibuat pengguna.
d. Penggunaan system utilities
Unit TIK pusat dan unit TIK eselon I harus membatasi dan mengendalikan
penggunaan system utilities.
e. Session time-out
Fasilitas session time-out harus diaktifkan untuk menutup dan mengunci layar
komputer, aplikasi, dan koneksi jaringan apabila tidak ada aktivitas pengguna
setelah periode tertentu.
16. 2018
16
f. Pembatasan waktu koneksi
Unit TIK pusat dan unit TIK eselon l harus membatasi waktu koneksi untuk
sistem inforrr.asi dan aplikasi yang memiliki klasifikasi sangat rahasia dan
rahasia.
6. Pengendalian Akses ke Aplikasi dan Sistem Informasi
a. Unit TIK pusat dan unit TIK eselon I harus memastikan bahwa akses terhadap
aplikasi dan sistem informasi hanya diberikan kepada pengguna sesuai
peruntukannya.
b. Aplikasi dan sistem informasi yang memiliki klasifikasi sangat rahasi dan rahasia
harus diletakkan pada lokasi terpisah untuk mengurangi kemungkinan diakses
oleh pihak yang tidak berwenang.
7. Mobile Computing dan Teleworking
a. Unit TIK pusat dan unit TIK eselon I membangun kepedulian pengguna perangkat
mobile computing dan teleworking akan risiko-risiko keamanan yang terus
meningkat terhadap informasi yang tersimpan dalam perangkat mobile computing;
dan
b. Pengguna perangkat mobile computing dan teleworking harus rnengikuti prosedur
yang terkait penggunaan perangkat mobile computing dan teleworking untuk
rnenjaga kearnanan perangkat dan inforrnasi di dalarnnya.
D. STANDAR
1. Persyaratan untuk Pengendalian Akses
Persyaratan untuk pengendalian akses rnencakup:
a. Penentuan kebutuhan kearnanan dari pengolah aset inforrnasi; dan
b. Pernisahan peran pengendalian akses, seperti adrninistrasi akses dan otorisasi
akses.
2. Pengelolaan Akses Pengguna
Prosedur pengelolaan akses pengguna harus rnencakup:
a. Penggunaan akun yang unik untuk rnengaktifkan pengguna agar terhubung
dengan sistern inforrnasi atau Iayanan, dan pengguna dapat bertanggung jawab
dalarn penggunaan sistern inforrnasi atau layanan tersebut. Penggunaan akun
khusus hanya diperbolehkan sebatas yang diperlukan untuk kegiatan atau alasan
operasional, dan harus disetujui Pejabat yang berwenang serta didokurnentasikan;
17. 2018
17
b. Perneriksaan bahwa pengguna rnerniliki otorisasi dari pernilik sistern untuk
rnenggunakan sistem inforrnasi atau layanan, dan jika diperlukan harus mendapat
persetujuan yang terpisah dari Pejabat yang berwenang;
c. Pemeriksaan bahwa tingkat akses yang diberikan sesuai dengan tujuan kegiatan
dan konsisten dengan Kebijakan dan Standar SMKI di Lingkungan Kementerian
Keuangan;
d. Pernberian pemyataan tertu!is' kepada pengguna tentang hak aksesnya dan
rnerninta pengguna rnenandatangani pernyataan ketentuan akses tersebut;
e. Pernastian penyedia layanan tidak rnernberikan akses kepada pengguna sebelurn
prosedur otorisasi telah selesai;
f. Pemeliharaan catatan pengguna layanan yang terdaftar dalam rnenggunakan
layanan;
g. Penghapusan atau penonaktifan akses pengguna yang telah berubah tugas dan atau
fungsinya, setelah penugasan berakhir atau mutasi;
h. Pemeriksaan, penghapusan, serta penonaktifan akun secara berkala dan untuk
pengguna yang rnerniliki lebih dari 1 (satu) akun; dan
i. Pernastian bahwa akun tidak digunakan oleh pengguna lain ..
3. Pengelolaan Hak Akses Khusus (privilege management)
Pengelolaan hak akses khusus harus mempertimbangkan:
a. Hak akses khusus setiap sistem dari pabrikan perlu diidentifikasi untuk
dialokasikan diberikan kepada pengguna yang terkait dengan produk, seperti
sistem operasi, sistem pengelolaan basis data, aplikasi;
b. Hak akses khusus hanya diberikan kepada pengguna sesuai dengan
peruntukkannya berdasarkan kebutuhan dan kegiatan tertentu;
c. Pengelolaan proses otorisasi dan aatatan dari seluruh hak akses khusus yang
dialokasikanj diberikan kepada pengguna. Hak akses khusus tidak boleh diberikan
sebelum proses otorisasi selesai;
d. Pengembangan dan penggunaan sistem rutin (misal job scheduling) harus
diutamakan untuk menghindari kebutuhan dalam memberikan hak akses khusus
secara terus menerus kepada pengguna;
e. Hak akses khusus harus diberikan secara terpisah dari akun yang digunakan untuk
kegiatan umum, seperti akun system administrator, database administrator, dan
network administrator.
4. Kajian Hak Akses Pengguna
18. 2018
18
Kajian hak akses pengguna harus mempertimbangkan:
a. Hak akses pengguna harus dikaji paling sedikit 6 (enam) bulan sekali atau setelah
terjdi perubahan pada sistem, a tau struktur organisasi;
b. Hak akses khusus harus dikaji paling sedikit 6 (enam) bulan sekali dalam jangka
waktu lebih sering dibanding jangka waktu pengkajian hak akses pengguna, atau
apabila terjadi perubahan pada sistem, atau struktur organisasi;
c. Pemeriksaan hak akses khusus harus dilakukan secara berkala, untuk memastikan
pemberian hak akses khusus telah diotorisasi.
5. Pengendalian Akses Jaringan
a. Menerapkan prosedur otorisasi untuk pemberian akses ke jaringan dan layanan
jaringan;
b. Menerapkan teknik autentikasi akses dari koneksi eksternal, seperti teknik
kriptografi, token hardware, dan dial-back; dan
c. Melakukan penghentian isolasi layanan jaringan pada area jaringan yang
mengalami gangguan keamanan informasi.
6. Pemisahan dalam Jaringan
Melakukan pemisahan dalam jaringan antara lain:
a. Pemisahan berdasarkan kelompok layanan informasi, pengguna, dan aplikasi; dan
b. Pemberian akses jaringan kepada tamu, hanya dapat diberikan akses terbatas
misalnya internet dan/ a tau sur at elektronik tanpa bisa terhubung ke jaringan
internal Kementerian Keuangan. ·
7. Mobile Computing dan Teleworking
a. Penggunaan perangkat mobile computing dan teleworking harus
mempertimbangkan:
1) Memenuhi keamanan informasi dalam penentuan lokasi;
2) Menjaga keaM.anan akses;
3) Menggunakan anti malicious code;
4) Memakai perangkat lunak berlisensi; dan
5) Mendapat persetujuan Pejabat yang berwenang/ atasan langsung pegawai.
b. Pencabutan hak akses dan pengembalian fasilitas perangkat teleworking apabila
kegiatan telah selesai.
19. 2018
19
Daftar Pustaka
• Fairuzel said,2018, https://fairuzelsaid.wordpress.com/2010/08/24/cyberlaw-konsep-
keamanan-sistem-informasi/ (12/04/2018 jam 06:20)
• Dosen pendidikan, 2018, http://www.dosenpendidikan.com/10-konsep-dasar-
keamanan-jaringan-komputer/ (12/04/2018 jam 06:22)
• Yuriaiuary, 2018, http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-
pengendalian.html (13/04/2018 jam 14:40)
• Audi, 2018, https://www.slideshare.net/audi15Ar/bab-9-keamanan-informasi-
29170789 (12/04/2018 jam 17:17)
• Audi, 2018, https://image.slidesharecdn.com/keamananinformasibab9-
131213021759-phpapp01/95/bab-9-keamanan-informasi-9-638.jpg?cb=1386901390
(12/04/2018 jam 17:17)
• Audi, 2018, https://image.slidesharecdn.com/keamananinformasibab9-
131213021759-phpapp01/95/bab-9-keamanan-informasi-11-638.jpg?cb=1386901390
(12/04/2018 jam 17:20)
• Audi, 2018, https://image.slidesharecdn.com/keamananinformasibab9-
131213021759-phpapp01/95/bab-9-keamanan-informasi-17-
638.jpg?cb=1386901390(12/04/2018 jam 20:47)
• Audi, 2018, https://image.slidesharecdn.com/keamananinformasibab9-
131213021759-phpapp01/95/bab-9-keamanan-informasi-23-638.jpg?cb=1386901390
• Ahmad qoni rizki, 2018, http://arenamateribelajar.blogspot.co.id/2012/11/langkah-
langkah-dalam-proses.html (13/04/2018 jam 18:03)
• No name, 2018, http://slideplayer.info/slide/12421219/# (13/04/2018 jam 17:50)
• No name, 2018,
http://player.slideplayer.info/74/12421219/slides/slide_5.jpg(13/04/2018 jam 17:50)
• Lampiran Keputusan Menteri Keuangan no.479 / KMK.01/2010 Tentang Kebijakan
Dan Standar Sistem Manajemen Informasi Di Lingkungan Kementerian Keuangan,
(diunduh tanggal 14 April 2018 pukul 16:00 WIB dari laman
http://ketentuan.pajak.go.id/aturan/lampiran/Lampiran_KMK_479_KMK01_2010.pdf
)