BAB 8 PENGENDALIAN UNTUK KEAMANAN INFORMASI


PENDAHULUAN

Trust Service Framework mengatur pengendalian TI dalam lima prinsip dasar yang berkontribusi secara bersamaan terhadap keandalan system
  1. Kemanan (security), akses terhadap system dan data dikendalikan seta terbatas untuk pengguna sah
  2. Kerahasiaan (confidentially), informasi organisasi yang sensitive terlindungi dari pengungkapan yang tanpa izin.
  3. Privasi (privacy), informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan hanya dikumpulkan, digunakan, diungkakan ,dan dikelola sesuai dengan kepatuhan terhadap kebijakan.
  4. Integritas pemrosesan (processing integrity), data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang sesuai.
  5. Ketersediaan (availability), system dan informasinya tersedia untuk memenuhi kebutuhan operasional dan kontraktual.

DUA KONSEP KEAMANAN INFORMASI FUNDAMENTAL

Defense In-Depth

Defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. Defense-in-depth secara khusus melibatkan penggunaan sebuah kombinasi dari pengendalian preventif, korektif, dan detektif. Peran pengendalian preventif adalah untuk membatasi tindakan individu agar sesuai dengan kebijakan keamanan organisasi. Meski demikian, auditor menyadari bahwa pengendalian preventif tidak dapat memberikan perlindungan 100%. Olehkarena itu perlu adanya pengendalian detektif korektif juga. Adanya penerobosan yang dilakukan penyusup memerlukan penanganan pada waktu yang tepat dan pada kala itu juga.Model keamanan berbasis waktu (time based model of security)adalah menggunakan perlindungan preventif, detektif, dan korektif yang melindungi asset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang dan rusak. Model ini dapat dipahami melalui 3tiga variabel yaitu:
P=waktu yang diperlukan untuk menerobos pengendalian
D=waktu yang diperlukan untuk mendeteksi serangan
C=waktu yang diperlukan untuk merespon serangan
Apabila P > D + C, maka prosedur keamanan organisasi tersebut dapat dikatakan efektif begitu pula sebaliknya.

MEMAHAMI SERANGAN YANG DITARGETKAN

Akan sangat berguna untuk memahami langkah-langkah dasar yang dilakukan para penjahat untuk menyerang system informasi suatu perusahaan:
  1. Melakukan pengintaian (conduct reconnaissance)
  2. Mengupayakan rekayasa social (attempt social engineering)
  3. Memindai dan memetakan target (scan and map the target)
  4. Penelitian (research)
  5. Mengeksekusi serangan (execute the attack)
  6. Menutupi jejak (cover tracking )

Komentar

Posting Komentar

Postingan Populer