6, SI & PI Yovie Aulia Dinanda, Hapzi Ali, Konsep dasar Keamanan Informasi Pemahaman Serangan, Tipe-Tipe Pengendalian Prinsip-Prinsip The Five bTrust Service untuk Keandalan Sistem, Universitas Mercu Buana, 2018
1. Konsep Dasar Keamanan Informasi Pemahaman Serangan, Tipe-Tipe Pengendalian
Prinsip-Prinsip The Five Trust Service untuk Keandalan Sistem
Dosen Pengampu:
Prof. Dr. Ir. Hapzi Ali, MM, CMA
Dibuat Oleh:
Yovie Aulia Dinanda
55518110057
MAGISTER AKUNTANSI
PROGRAM PASCASARJANA (S2)
UNIVERSITAS MERCU BUANA
JAKARTA
2018
2. A. KONSEP DASAR KEAMANAN INFORMASI DAN PEMAHAMAN
SERANGANNYA
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat
mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki
arti fisik. Selain itu keamanan sistem informasi bisa diartikan
sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk
mencegah akses yang tidak sah, perubahan program, pecurian, atau kerusakan fisik
terhadap system informasi.
System pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat
keras dan lunak computer, jaringan komunikasi dan data. Keamanan jaringan internet
adalah manajemen pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan
melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti
penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang
di miliki. Resiko terhadap keamanan sistem informasi mencakup dua hal utama yaitu
ancaman terhadap keamanan system informasi dan kelemahan keamanan system
informasi.
Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem
informasi yaitu:
1. Efektifitas
2. Efisiensi
3. Kerahaasiaan
4. Integritas
5. Keberadaan (availability)
6. Kepatuhan (compliance)
7. Keandalan (reliability)
Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat
terkriteriakan dengan baik. Adapun kriteria yang perlu di perhatikan dalam masalah
keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di
perhatikan yaitu:
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada
3. Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan
berdasarkan ancaman dan kelemahan sistem yang dimiliki.
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam
sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem
informasi. Ancaman terhadap keamanan informasi berasal dari individu, organisasi,
mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada
sumber-sumber informasi. Pada kenyataannya ancaman dapat bersifat internal, yaitu
berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan.
Ancaman juga dapat terjadi secara sengaja ataupun tidak sengaja. Ancaman selama ini
hanya banyak di bahas dikalangan akademis saja. Tidak banyak masyarakat yang
mengerti tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat hanya
mengenal kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“
atau “attack”. Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang
keamanan sistem terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru
mengenalkan „serangan‟ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai
dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman. Serangan
dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan antisipasi
sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode-metode
penilaian resiko dari sebuah ancaman.
Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah
satunya adalah Stride Method (metode stride). STRIDE merupakan singkatan dari:
Spoofing yaitu menggunakan hak akses/mengakses sistem dengan menggunakan
identitas orang lain.
Tampering yaitu tanpa mempunyai hak akses namun dapat mengubah data yang
ada didalam database.
Repudiation yaitu membuat sebuah sistem atau database dengan sengaja salah,
atau sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi
sehingga dapat digunakan untuk mengakses sistem pada suatu saat.
Information disclosure yaitu membuka atau membaca sebuah informasi tanpa
memiliki hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi.
Denial of service yaitu membuat sebuah sistem tidak bekerja atau tidak dapat
digunakan oleh orang lain.
Elevation of priviledge yaitu menyalahgunakan wewenang yang dimiliki untuk
mengakses sebuah system untuk kepentingan pribadi.
Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang
diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang
tersebut dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada
saat diketahui seseorang membawa kunci T di sakunya maka dapat disimpulkan orang
tersebut adalah merupakan ancaman bagi orang lain yang membawa kendaraan
bermotor. Didalam dunia keamanan sistem atau dunia teknologi informasi seseorang
dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal sebagai berikut:
a) Kewenangan tinggi untuk login kedalam sebuah sistem.
b) Memiliki hak akses (password) seseorang yang dia ketahui dari berbagai sumber.
c) Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian
dibidang itu.
4. d) Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem
tersebut.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi
yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan
untuk mencapai tiga sasaran utama yaitu:
1. Kerahasiaan
2. Ketersediaan
3. Integritas
Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus. Virus
adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa
pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang
dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan
yang dilakukan dengan menggunakan metode dan teknik tertentu dengan berbagai
tools yang diperlukan sesuai dengan kebutuhan yang disesuaikan dengan objek
serangan tertentu baik menggunakan serangan terarah maupun acak“. Serangan yang
terjadi terhadap sebuah sistem jaringan dikalangan praktisi lazim sering disebut
dengan penetration. Dalam materi keamanan sistem dikenal sangat banyak dan
beragam teknik serangan terhadap sebuah sistem sesuai dengan sifat dan
karakteristiknya. Teknik serangan semakin lama semakin canggih dan sangat sulit di
prediksi dan dideteksi. Beberapa contoh serangan yang dapat mengancam sebuah
sistem adalah sebagai berikut:
Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an,
virus berkembang pesat seiring dengan pesatnya perkembangan teknologi
komputer. Virus selalu menemukan dan menyesuaikan diri untuk menyebarkan
dirinya dengan berbagai macam cara. Pada dasarnya, virus merupakan program
komputer yang bersifat “malicious” (memiliki tujuan merugikan maupun bersifat
mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem
komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau
keterlibatan “user” sebagai pengguna komputer. Kerusakan yang dapat
ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada
jenis kerusakan yang bersifat merugikan dalam hal finansial.
Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah
disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud
misalnya dilakukan melalui penekanan tombol pada keyboard, penekanan tombol
pada mouse, penggunaan USB pada komputer, pengiriman file via email, dan lain
sebagainya.
Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus”
merupakan program malicious yang dirancang terutama untuk menginfeksi
komputer yang berada dalam sebuah sistem jaringan. Walaupun sama-sama
sebagai sebuah penggalan program, perbedaan prinsip yang membedakan worms
dengan virus adalah bahwa penyebaran worm tidak tergantung pada campur
tangan manusia atau pengguna. Worms merupakan program yang dibangun
dengan algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri
pada sebuah jaringan komputer tanpa melalui bantuan maupun keterlibatan
5. pengguna. Pada mulanya worms diciptakan dengan tujuan untuk mematikan
sebuah sistem atau jaringan komputer. Namun belakangan ini telah tercipta worms
yang mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun
jaringan komputer, seperti merusak file-file penting dalam sistem operasi,
menghapus data pada hard disk, menghentikan aktivitas komputer , dan hal-hal
destruktif lainnya. Karena karakteristiknya yang tidak melibatkan manusia, maka
jika sudah menyebar sangat sulit untuk mengontrol atau mengendalikannya.
Usaha penanganan yang salah justru akan membuat pergerakan worms menjadi
semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus dalam
menghadapinya.
Trojan Horse
Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang
digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak
penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat
beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng
akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami sejumlah
hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip
dengan fenomena taktik perang ini, mengingat banyaknya antivirus yang
bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi oleh
antivirus.
Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan
Horse, antara lain:
1. Remote Access Trojan-kerugian yang ditimbulkan adalah komputer korban
dapat diakses menggunakan remote program.
2. Password Sending Trojan-kerugian yang ditimbulkan adalah password yang
diketik oleh komputer korban akan dikirimkan melalui email tanpa
sepengetahuan dari korban serangan.
3. Keylogger-kerugian yang ditimbulkan adalah ketikan atau input melalui
keyboard akan dicatat dan dikirimkan via email kepada hacker yang memasang
keylogger.
4. Destructive Trojan–kerugian yang ditimbulkan adalah file-file yang terhapus
atau hard disk yang diformat oleh Trojan jenis ini.
5. FTP Trojan–kerugian yang terjadi adalah dibukanya port 21 dalam sistem
komputer tempat dilakukannya download dan upload file.
6. Software Detection Killer–kerugiannya dapat mencium adanya program-
program keamanan seperti zone alarm, anti-virus, dan aplikasi keamanan
lainnya.
7. Proxy Trojan–kerugian yang ditimbulkan adalah di-“settingnya” komputer
korban menjadi “proxy server” agar digunakan untuk melakukan “anonymous
telnet”, sehingga dimungkinkan dilakukan aktivitas belanja online dengan
kartu kredit curian dimana yang terlacak nantinya adalah komputer korban,
bukan komputer pelaku kejahatan.
Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan
(preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem
informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan
6. dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan sistem informasi
dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”,
dapat digunakan“Secure Socket Layer” (SSL). Metoda ini misalnya umum digunakan
untuk Web Site. Secara fisik, sistem anda dapat juga diamankan dengan menggunakan
“firewall” yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi
dapat dilakukan ditingkat aplikasi sehingga data-data anda atau e-mail anda tidak
dapat dibaca oleh orang yang tidak berhak.
1. Mengatur akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah
dengan mengatur akses ke informasi melalui mekanisme “access control”.
Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.
Di sistem UNIX, untuk menggunakan sebuah sistem atau komputer, pemakai
diharuskan melalui proses authentication dengan menuliskan “userid” dan
“password”. Informasi yang diberikan ini dibandingkan dengan userid dan
password yang berada di sistem. Apabila keduanya valid, pemakai yang
bersangkutan diperbolehkan menggunakan sistem. Apabila ada yang salah,
pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini
biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung
kepada konfigurasi dari sistem setempat. Misalnya, ada yang menuliskan
informasi apabila pemakai memasukkan userid dan password yang salah sebanyak
tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log
meskipun baru satu kali salah. Informasi tentang waktu kejadian juga dicatat.
Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapat
memeriksa keabsahan hubungan.
2. Memilih password
Dengan adanya kemungkinan password ditebak, misalnya dengan menggunakan
program password cracker, maka memilih password memerlukan perhatian
khusus.
3. Memasang proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih
spesifik adalah firewall. Filter dapat digunakanuntuk memfilter e-mail, informasi,
akses, atau bahkan dalam level packet.
4. Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan
jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini.
Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam
maupun ke luar) dari orang yang tidak berwenang(unauthorized access) tidak
dapat dilakukan. Konfigurasi dari firewall bergantung kepada kebijaksanaan
(policy) dari organisasi yang bersangkutan.
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang
melewatinya. Berdasarkan konfigurasi dari firewall makaakses dapat diatur
berdasarkan IP address, port, dan arah informasi.Detail dari konfigurasi
bergantung kepada masing-masing firewall.Firewall dapat berupa sebuah
perangkat keras yang sudahdilengkapi dengan perangkat lunak tertentu, sehingga
pemakai(administrator) tinggal melakukan konfigurasi dari firewall tersebut.
7. 5. Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu
tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini
adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu
administrator melalui e-mail maupun melalui mekanisme lain seperti melalui
pager. Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya
aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh
software IDS antara lain: Autobuse, mendeteksi probing dengan memonitor
logfile, Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang
dan Shadow dari SANS.
Aspek keamanan sistem informasi
Authentication: agar penerima informasi dapat memastikan keaslian pesan
tersebut datang dari orang yang dimintai informasi.
Integrity: keaslian pesan yang dikirim melalui sebuah jaringan dan dapat
dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak
berhak dalam perjalanan informasi tersebut.
Authority: Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi
oleh pihak yang tidak berhak atas akses tersebut.
Confidentiality: merupakan usaha untuk menjaga informasi dari orang yang tidak
berhak mengakses.
Privacy: merupakan lebih ke arah data-data yang sifatnya privat (pribadi).
Aspek ancaman keamanan komputer atau keamanan sistem informasi
Interruption: informasi dan data yang ada dalam sistem komputer dirusak dan
dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
Interception: Informasi yang ada disadap atau orang yang tidak berhak
mendapatkan akses ke komputer dimana informasi tersebut disimpan.
Modifikasi: orang yang tidak berhak berhasil menyadap lalu lintas informasi yang
sedang dikirim dan diubah sesuai keinginan orang tersebut.
Fabrication: orang yang tidak berhak berhasil meniru suatu informasi yang ada
sehingga orang yang menerima informasi tersebut menyangka informasi tersebut
berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.
Metodologi Keamanan Sistem Informasi
Keamanan level 0: keamanan fisik, merupakan keamanan tahap awal dari
komputer security. Jika keamanan fisik tidak terjaga dengan baik, maka data-data
bahkan hardware komputer sendiri tidak dapat diamankan.
Keamanan level 1: terdiri dari database, data security, keamanan dari PC itu
sendiri, device, dan application. Contohnya: jika kita ingin database aman, maka
kita harus memperhatikan dahulu apakah application yang dipakai untuk membuat
desain database tersebut merupakan application yang sudah diakui keamanannya
seperti oracle. Selain itu kita harus memperhatikan sisi lain yaitu data security.
Data security adalah cara mendesain database tersebut. Device security adalah
alat-alat apa yang dipakai supaya keamanan dari komputer terjaga. Computer
security adalah keamanan fisik dari orang-orang yang tidak berhak mengakses
komputer tempat datadase tersebut disimpan.
8. Keamanan level 2: adalah network security. Komputer yang terhubung dengan
jaringan sangat rawan dalam masalah keamanan, oleh karena itu keamanan level 2
harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal yang dapat
merusak keamanan data tersebut.
Keamanan level 3: adalah information security. Keamanan informasi yang kadang
kala tidak begitu dipedulikan oleh administrator seperti memberikan password ke
teman, atau menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika
informasi tersebut diketahui oleh orang yang tidak bertanggung jawab.
Keamanan level 4: merupakan keamanan secara keseluruhan dari komputer. Jika
level 1-3 sudah dapat dikerjakan dengan baik maka otomatis keamanan untuk
level 4 sud
Cara mendeteksi suatu serangan atau kebocoran sistem
Terdiri dari 4 faktor yang merupakan cara untuk mencegah terjadinya serangan atau
kebocoran sistem :
1. Desain sistem: desain sistem yang baik tidak meninggalkan celah-celah yang
memungkinkan terjadinya penyusupan setelah sistem tersebut siap dijalankan.
2. Aplikasi yang Dipakai: aplikasi yang dipakai sudah diperiksa dengan seksama
untuk mengetahui apakah program yang akan dipakai dalam sistem tersebut dapat
diakses tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi sudah
mendapatkan kepercayaan dari banyak orang.
3. Manajemen : pada dasarnya untuk membuat suatu sistem yang aman/terjamin
tidak lepas dari bagaimana mengelola suatu sistem dengan baik. Dengan demikian
persyaratan good practice standard seperti Standard Operating Procedure (SOP)
haruslah diterapkan di samping memikirkan hal teknologinya.
4. Manusia (Administrator): manusia adalah salah satu fakor yang sangat penting,
tetapi sering kali dilupakan dalam pengembangan teknologi informasi dan dan
sistem keamanan. Sebagai contoh, penggunaan password yang sulit menyebabkan
pengguna malah menuliskannya pada kertas yang ditempelkan di dekat komputer.
Oleh karena itu, penyusunan kebijakan keamanan faktor manusia dan budaya
setempat haruslah sangat diperhatikan.
Langkah keamanan sistem informasi
1. Aset: Perlindungan aset merupakan hal yang penting dan merupakan langkah awal
dari berbagai implementasi keamanan komputer. Contohnya: ketika mendesain
sebuah website e-commerce yang perlu dipikirkan adalah keamanan konsumen.
Konsumen merupakan aset yang penting, seperti pengamanan nama, alamat,
ataupun nomor kartu kredit.
2. Analisis Resiko: adalah tentang identifikasi akan resiko yang mungkin terjadi,
sebuah even yang potensial yang bisa mengakibatkan suatu sistem dirugikan.
3. Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan
Internet Firewall yaitu suatu akses yang mengendalikan jaringan internet dan
menempatkan web dan FTP server pada suatu server yang sudah dilindungi oleh
firewall.
4. Alat: alat atau tool yang digunakan pada suatu komputer merupakan peran penting
dalam hal keamanan karena tool yang digunakan harus benar-benar aman.
9. 5. Prioritas: Jika keamanan jaringan merupakan suatu prioritas, maka suatu
organisasi harus membayar harga baik dari segi material maupun non material.
Suatu jaringan komputer pada tahap awal harus diamankan dengan firewall atau
lainnya yang mendukung suatu sistem keamanan.
Strategi dan taktik keamanan sistem informasi
Keamanan fisik: lapisan yang sangat mendasar pada keamanan sistem informasi
adalah keamanan fisik pada komputer. Siapa saja memiliki hak akses ke sistem.
Jika hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.
Kunci Komputer: banyak case PC modern menyertakan atribut penguncian.
Biasanya berupa soket pada bagian depan case yang memungkinkan kita memutar
kunci yang disertakan ke posisi terkunsi atau tidak.
Keamanan BIOS: BIOS adalah software tingkat terendah yang mengonfigurasi
atau memanipulasi hardware. Kita bisa menggunakan BIOS untuk mencegah
orang lain me-reboot ulang komputer kita dan memanipulasi sisten komputer kita.
Mendeteksi Gangguan Keamanan Fisik: hal pertama yang harus diperhatikan
adalah pada saat komputer akan di-reboot. Oleh karena Sistem Operasi yang kuat
dan stabil, saat yang tepat bagi komputer untuk reboot adalah ketika kita meng-
upgrade SO, menukar hardware dan sejenisnya.
B. TIPE-TIPE PENGENDALIAN
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari
pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting
karena mengamati setiap tahapan dalam proses pengelolaan informasi. Pengendalian
sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan
mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada
teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke
cloud.
TIPE PENGENDALIAN
1. PENGENDALIAN PREVENTIF
Yaitu pengendalian yang mencegah masalah sebelum timbul. Pengendalian
preventif yang digunakan organisasi secara umum digunakan untuk membatasi
akses terhadap sumber daya informasi. COBIT 5 mengidentifikasi kemampuan
dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan
informasi yang eefektif. Oleh karena itu, pelatihan adalah sebuah pengendalian
preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran-
ukuran keamanan bagi kebertahanan jangka panjang organisasi. Selain itu,
pegawai juga dilatih untuk mengikuti praktik-praktik komputasi yang aman.
Investasi organisasi dalam pelatihan keamanan akan menjadi efektif hanya jika
manajemen mendemontrasikan dengan jelas bahwa mereka mendukung para
pegawai yang mengikuti kebijakan keamanan. Penting memahami bahwa “orang
luar” bukan satu-satunya sumber ancaman. Oleh karena itu, organisasi menerapkan
satu set pengendalian untuk melindungi aset informasi.
Praktik manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian atas
ancaman terhadap aset informasi:
10. a) Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat
yang mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa
saja yang dapat mengakses sistem informasi organisasi.
b) Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas
bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang
diperbolehkan untuk dilakukan.
2. PENGENDALIAN DETEKTIF
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang
tidak terelakan. Sebagaian besar sistem muncul dengan kemampuan ekstensif
untuk mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat
menciptakan sebuah jejak audit pada akses sistem. Analisis log adalah proses
pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Sedangkan,
sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem
yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan
untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas
gangguan yang diupayakan atau berhasil dilakukan.
Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan
pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk
menerobos ke dalam sistem informasi organisasi. Oleh karena itu, Praktik
manajemen COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan
kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta
kinerja keseluruhan proses bisnis.
3. PENGENDALIAN KOREKTIF
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta
memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga
pengendalian korektif yang penting:
a) Pembentukan sebuah tim perespon insiden komputer (computer incident
response team–CIRT). Merupakan sebuah tim yang bertanggung jawab untuk
mengatasi insiden keamanan utama. Sebuah CIRT harus mengarahkan proses
respon insiden organisasi melalui empat tahap: 1).
Pemberitahuan(recognition) adanya sebuah masalah; 2). Penahanan
(containment) masalah; 3). Pemulihan (recovery); dan 4). Tindak lanjut
(foloow up).
b) Pendesainan individu khusus (Chief Informastion Security Officer – CISO).
Penting agar organisasi menentukan pertanggungjawaban atas keamanan
informasi kepada seseorang di level manajemen senior yang tepat. satu cara
untuk memenuhi sasaran adalah menciptakan posisi CISO, yang harus
independen dari fungsi-fungsi sistem informasi lainnya serta harus melapor
baik ke chief operating officer (COO) maupun chief executive officer (CEO).
Oleh karena itu, CISO harus memiliki tanggung jawab untuk memastikan
bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit
keamanan dilakukan secara periodic.
c) Penetapan serta penerapan sistem manajemen path yang didesain dengan
baik.Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk
secara teratur menerapkan patch dan memperbarui seluruh perangkat lunak
11. yang digunakan oleh organisasi. Oleh karena
sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh
rumit, maka organisasi perlu menguji dengan cermat efek dari patch sebelum
menyebarkannya.
PENGENDALIAN UMUM DAN APLIKASI
1. PENGENDALIAN UMUM
Yaitu pengendalian yang didesain untuk memastikan sistem informasi organisasi
serta pengendalian lingkungan stabil dan dikelola dengan baik. Pengendalian
umum digolongkan menjadi beberapa, diantaranya:
a) Pengendalian organisasi dan otorisasi adalah secara umum terdapat
pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan
administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya
dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.
b) Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi
dengan baik selayaknya sesuai yang diharapkan.
c) Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap
sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem
informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
d) Pengendalian akses fisikal dan logikal. Pengendalian akses fisikal berkaitan
dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu
perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses
terhadap sistem operasi sistem tersebut (misal: windows).
2. PENGENDALIAN APLIKASI
Yaitu pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan
transaksi dan penipuan dalam program aplikasi. Terdapat beberapa macam aplikasi
berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan:
a) Perangkat lunak berdiri sendiri. Terdapat pada organisasi yang belum
menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang
berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software)
MYOB pada fungsi akuntansi dan keuangan.
b) Perangkat lunak di server. Tedapat pada organisasi yang telah menerapkan
SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur
sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-
muka (interface) untuk mengakses aplikasi pada server.
Selain macam-macam aplikasi dalam pengendalian, terdapat juga bentuk
pengendalian dari aplikasi tersebut, diantaranya:
a) Pengendalian Organisasi dan Akses Aplikasi. Pada pengendalian organisasi,
hampir sama dengan pengendalian umum organisasi, namun lebih terfokus
pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas
administrator, pengguna, hingga pengembangan aplikasi tersebut. Untuk
pengendalian akses, terpusat hanya pada pengendalian logika saja untuk
menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian
role based menu dibalik pengendalian akses logika, dimana hanya pengguna
12. tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh
administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur
perusahaan berkaitan dengan nama pengguna dan sandi nya.
b) Pengendalian Input. Pengendalian input memastikan data-data yang
dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c) Pengendalian Proses. Pengendalian proses biasanya terbagi menjadi dua
tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas
transaksi baik yang sementara maupun yang permanen dan (2) tahapan
database, proses yang dilakukan pada berkas-berkas master.
d) Pengendalian Output. Pada pengendalian ini dilakukan beberapa pengecekan
baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan
juga kasat mata.
e) Pengendalian Berkas Master. Pada pengendalian ini harus terjadi integritas
referensial pada data, sehingga tidak akan diketemukan anomali-anomali,
seperti anomaly penambahan, anomaly penghapusan dan anomaly
pemuktahiran/pembaruan.
C. PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN
SYSTEM
Untuk mengatasi permasalahan pengendalian tersebut, AICPA dan CICA
mengembangkan Trust Service Framework untuk menyediakan panduan penilaian
keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke
dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem
dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive
(seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan
tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai,
pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan,
dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan
peraturan eksternal serta terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,
lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.
KERAHASIAAN DAN PRIVASI
a) Kerahasiaan
Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan
pada sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-
orang yang tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna
(internal) yang memiliki izin tetapi menyalah gunakan izin tersebut lalu
pengguna tersebut menyebar luaskan data-data organisasi yang bersifat rahasia
tersebut kepada orang lain atau pesaing yang membuat organisasi merasa
dirugikan atau juga pengguna tersebut menggunakan secara pribadi rahasia
13. tersebut untuk menyaingi perusahaan. Terdapat empat tindakan dasar yang harus
dilakukan untuk menjaga kerahasiaan atas informasi sensitif:
i. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Langkah
pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi
bisnis sensitive lainnya adalah mengidentifikasi letak informasi tersebut
disimpan dan orang yang mengaksesnya. Setelah informasi yang perlu
untuk dilindungi telah diidentifikasi, langkah selanjutnya adalah
mengklasifikasikan informasi untuk organisasi berdasarkan nilainya.
Praktik manajemen COBIT 5 menunjukkan bahwa klasifikasi merupakan
tanggung jawab pemilik informasi, bukan professional keamanan
informasi karena hanya pemilik informasilah yang memahami bagaimana
informasi digunakan.
ii. Mengenkripsi informasi. Enkripsi adalah alat yang penting dan efektif
untuk melindungi kerahasiaan. Enkripsi adalah satu-satunya cara untuk
melindungi informasi dalam lalu lintas internet dan cloud publik.
iii. Mengendalikan akses atas informasi. Pengendalian autentikasi dan
otorisasi tidaklah cukup untuk melindungi kerahasiaan karena hanya
mengendalikan akses awal terhadap informasi yang disimpan secara
digital. Perangkat lunak information rights management (IRM)
memberikan tambahan lapisan perlindungan terhadap informasi yang
disimpan dengan format digital, menawarkan kemampuan tidak hanya
untuk membatasi akses terhadap file tetapi juga memerinci tindakan-
tindakan yang dapat dilakukan individuyang diberi akses terhadap sumber
daya tersebut. Saat ini organisasi secara konstan mempertukarkan
informasi dengan rekan bisnis dan pelanggan, perangkat lunak data loss
prevention bekerja seperti antivirus secara terbalik mengeblok pesan-pesan
keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait
dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi.
iv. Melatih para pegawai untuk menangani informasi secara tepat. Pelatihan
adalah pengendalian yang penting untuk melindungi kerahasiaan. Para
pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dan
jenis informasi yang dilindungi. Dengan pelatihan yang memadai, para
pegawai dapat memainkan peran penting untuk melindungi kerahasiaan
informasi organisasi dan meningkatkan efektivitas pengendalian terkait.
b) Privasi
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip
kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan
informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis
dari pada data keorganisasian. Langkah pertama untuk melindungi privasi yaitu
mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia simpan, dan
orang yang memiliki akses terhadapnya. Demi melindungi privasi, organisasi
harus menjalankan program data masking yaitu program yang menggantikan
informasi pribadi semacam itu dengan nilai-nilai palsu sebelum mengirimkan
data tersebut kepada pengembang program dan sistem pengujian. Terdapat dua
permasalahan utama terkait privasi:
i. Spam adalah e-mail tak diinginkan yang mengandung baik periklanan
maupun konten serangan. Spam merupakan permasalahan yang terkait
14. privasi karena penerima sering kali menjadi target tujuan atas akses tak
terotorisasi terhadap daftar dan databasee-mail yang berisi informasi
pribadi.
ii. Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi
pribadi seseorang demi keuntungan pelaku. Organisasi harus memiliki
kewajiban etis dan moral untuk menerapkan pengendalian demi
melindungi informasi pribadi yang organisasi kumpulkan.
Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi
individu telah menghasilkan berbagai regulasi pemerintah. Untuk membantu
organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan ini,
American Institute of Certified Public Accountant (AICPA) dan Canadian
Institute of Chartered Accountants (CICA) bersama-sama mengembangkan
sebuah kerangka yang disebut prinsip-prinsip yang diterima umum (Generally
Accepted Privacy Principles – GAAP). Kerangka tersebut mengidentifikasi dan
mendefinisikan pelaksanaan 10 praktik terbaik untuk melindungi privasi
informasi pribadi para pelanggan yang terdiri dari: 1). Manajemen; 2).
Pemberitahuan; 3). Pilihan dan persetujuan; 4). Pengumpulan; 5). Penggunaan
dan Retensi; 6). Akses; 7). Pengungkapan kepada pihak ketiga; 8). Keamanan;
9). Kualitas; 10). Pengawasan dan penegakan.
INTEGRITAS DAN KETERSEDIAAN PEMROSESAN
1. Integritas Pemrosesan
Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa
sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi
akurat, lengkap, tepat waktu, dan valid. Aplikasi pengendalian untuk integritas
pemrosesan terdiri atas:
Pengendalian Input. Jika data yang dimasukkan ke dalam sistem tidak akurat,
tidak lengkap, atau tidak valid maka bentuk pengendalian input yang
dilakukan adalah bentuk desain, pembatalan dan penyimpanan dokumen,
otorisasi dan pemisahan tugas pengendalian, pemindaian visual, dan
pengendalian entri data.
Pengendalian pemrosesan. Jika terjadi kesalahan dalam output dan data yang
tersimpan dalam pemrosesan maka bentuk pengendalian yang dilakukan
adalah pencocokan data, label file, total batch, pengujian saldo cross-footing
dan saldo nol, mekanisme menulis perlindungan (write-protection),
pemrosesan database, dan pengendalian integritas.
Pengendalian Output. Jika terjadi penggunaan laporan yang tidak akurat atau
tidak lengkap, pengungkapan yang tidak diotorisasi informasi sensitive, dan
kehilangan, perubahan, atau pengungkapan informasi dalam transit maka
bentuk pengendalian yang dilakukan adalah pemeriksaan dan rekonsiliasi,
enkripsi dan pengendalian akses, pengecekan berimbang dan tenik pengakuan
pesan.
2. Ketersediaan Pemrosesan
Tujuan utamanya adalah untuk meminimalkan risiko penghentian sistem. Oleh
karena itu, organisasi perlu memiliki pengendalian yang didesain untuk
memungkinkan pelanjutan cepat dari operasi normal. Berdasarkan kedua tujuan
tersebut maka bentuk pengendaliannya:
15. Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui
pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan desain
pusat data, pelatihan, dan manajemen patch dan perangkat lunak antivirus.
Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal
dapat dilakukan melalui pengendalian prosedur backup, disaster recovery
plan, dan business continuity plan.
16. Daftar Pustaka
https://dosenpendidikan.com, diakses pada Senin 15 Oktober 2018
https://mr-fahmi.blogspot.com/2014/10/konsep-dasar-keamanan-jaringan.html, diakses pada
Senin 15 Oktober 2018
https://serverekoomi.blogspot.com/2016/11/perecanaan-audit-dan-tipe-tipe, diakses pada
Senin 15 Oktober 2018
https://yenifitra32.wordpress.com2013/04/26/29, diakses pada Senin 15 Oktober 2018
https://yuriauary.blogspot.com/2017/05/sistem-informasi-dan-pengendalian, diakses pada
Senin 15 Oktober 2018