Keamanan Aset Informasi

18 June 2010 at 16:32 (Certified Information Systems Auditor (CISA))

Memahami Ancaman

Definisi keamanan:

  • Vulnerability
  • Risk
  • Threat
  • Exposure
  • Countermeasure
  • Subject
  • Object

Serangan keamanan dari luar:

Serangan dari Luar

Serangan keamanan dari dalam:

Serangan dari Dalam

Serangan terstruktur

Karakteristik serangan terstruktur:

  1. Mean
  2. Determination
  3. Knowledge
  4. Funds
  5. Time

Serangan Terstruktur

Serangan tidak struktur

Serangan Tidak Struktur

Trend Keamanan Modern

Trend Keamanan Modern

Keamanan Fundamental

Keamanan Fundamental

Kerahasiaan

Kerahasiaan

Integritas

Integritas

Ketersediaan

Ketersidiaan

Ancaman dan kejahatan komputer

  1. Pencurian
  2. Penipuan
  3. Sabotase
  4. Pemerasan
  5. Pengintaian Industri
  6. Pengungkapan yang tidak sah
  7. Kehilangan kredibilitas
  8. Kehilangan kepemilikan informasi
  9. Konsekuensi Hukum

Identifikasi Pelaku Kejahatan

  1. Hackers
  2. Crackers
  3. Script Kiddies
  4. Penghianatan Karyawan
  5. Ethical Hacker Gone Bad
  6. Third Parties
  7. Ignorance

Metode Penyerangan

  1. Penyerangan secara pasif: Analisis jaringan, Host Traffic Analysis, Eavesdropping
  2. Penyerangan secara aktif: Social Engineering, Phishing, Dumpster Diving, Virus, Worm, Logic Bomb, Trapdoor, Brute Force Attack, DoS, IP Fragmentation Attack, Crash-restart, Maintenance Account, Remote Access Attack, Source Routing, Salami Technique, Packet Replay, Message Modification, Email Spamming and Spoofing.

Menggunakan Perlindungan Administrasi

Manajemen keamanan informasi

  • Chief Security Officer
  • Chief Privacy Officer
  • Keamanan Sistem Informasi manager

Kontrol Akses

Kontrol Akses

IT Security Governance

  • Publik: Informasi untuk konsumsi publik
  • Sensitif: ada tipe data tertentu kebutuhan yang harus diungkapkan kepada pihak tertentu tetapi tidak untuk semua orang
  • Private, hanya untuk internal: klasifikasi data hanya untuk penggunaan internal biasa diterapkan untuk prosedur operasi dan kerjacatatan
  • Rahasia: ini adalah kategori tertinggi keamanan umum klasifikasi di luar pemerintah

Peran otoritas atas Data

  • Data Owner: Eksekutif atau manajer yang bertanggung jawab untuk isi data
  • Data User: orang yang mendapat manfaat dari data terkomputerisasi
  • Data Custodian: Bertanggung jawab untuk melaksanakan penyimpanan dataperlindungan dan memastikan ketersediaan data.

Peran Otoritas atas Data

Menggunakan Perlindungan Admin

  • Data Retention: prosedur untuk menyimpan data, berapa lama untuk menyimpan data dan melepas data.
  • Document Access path: Semua jalur akses dokumen dikenal seperti peta fisik.
  • Personnel Management: Setiap individu harus menjalani proses pelatihan kesadaran keamanan.
  • Physical Access: Daerah sensitif, layanan port, konsol komputer.

Melaksanakan Perlindungan Fisik

Teknik untuk Meningkatkan Perlindungan fisik

  • Televisi sirkuit tertutup
  • Penjaga
  • Kunci Khusus: Kunci elektronik , sandi kunci, biometrics
  • Pengendalian Lingkungan: Tombol darurat untuk mematikan power ,  UPS, Generator, Dual Power Lead, Power Transfer System
  • Pendeteksi asap, panas dan kebakaran
  • Percikan Api (Wet Pipe Sys, Dry Pipe Sys, Dry
    Chemical Sys)
  • Penyimpanan yang aman
  • Penyimpanan Off-site
  • Media Transportasi
  • Pelepasan Prosedur  (Overwriting, Degaussing)

Menggunakan Perlindungan Teknis

Teknis Perlindungan = Perlindungan Logis

Klasifikasi Kontrol Teknis : Discretionary Access Control

Menggunakan Perlindungan Teknis

Kewajiban Akses Kontrol

Kewajiban Kontrol Akses

Role-Based Access Control

Role-Based Access Control

Aturan Hak Minimal

Aturan Hak Minimal

Metode Otentifikasi

3 Type Otentifikasi:

  1. Type 1: Sesuatu yang diketahui seseorang
  2. Type 2: Sesuatu yang telah dimiliki seseorang
  3. Type 3: Karakteristik Fisik

2 Faktor Otentifikasi:

  1. Kartu ATM + PIN
  2. Kartu Kredit + Signature
  3. User Name + Password

3 Faktor Otentifikasi:

  1. Password + Token + Scan Sidik Jari
  2. Pin + Kartu + Scan Mata

Biometrik:

  1. Scan Sidik Jari
  2. Scan Telapak Tangan
  3. Scan Mata
  4. Scan Selaput Pelangi (di bola mata)
  5. Scan Wajah

Pelindungan Akses Jaringan:

– Single Sign On

Single Sign On

– Network Firewall: packet filter, apps proxy server filter, stateful inspection, adaptive
response, kernel process
– Wireless Access
– Remote Dial-Up Access
– Intrusion Detection System: Host Based and Network Based
– IDS Methods Detecting: Statistical, Signature, Neural

Intrusion Detection Systems

NIDS and HIDS

Honeypots and Honeynets

Enkripsi

– Private Key System/ Symmetric Key: Kunci Tunggal adalah berbagi antara pengirim dan penerima

Private Key System

– Public Key/Asymmetric Key: pasangan kunciterdiri dari kunci rahasia yang dilindungi oleh pemilik, kunci publik yang kedua adalah bebas didistribusikan.

Public Key

– Digital Signatures

Digital Signatures

Public Key Infrastructure (PKI)

  • Certify Authority (CA)
  • Registration Authority (RA)
  • Certificate Revocation List (CLR)
  • Certification Practice Statement (CPS)

Public Key Infrastructure (PKI)

Save to PDF

Permalink Leave a Comment

Pelayanan IT

18 June 2010 at 14:15 (Certified Information Systems Auditor (CISA))

OPERASI IT

  • Manajemen Departemen IT.
  • Sistem Life Cycle.
  • Kebijakan IT.
  • Standar IT.
  • Prosedur IT.
  • Tugas dan tanggung jawab IT.
  • Proses resiko manajemen IT.
  • Manajemen aset IT.
  • Layanan IT kepada user.

Menggunakan kartu skor IT

  • Merahasiakan pertumbuhan tujuan organisasi dan belajar, proses bisnis, pelanggan, dan tujuan financial menjadi serangkaian matriks yang didefinisikan.
  • Keuntungan kartu skor: meningkatkan fokus pada matriks khusus untuk mendukung langsung tujuan organisasi.
  • Kerugian kartu skor: membutuhkan kehati-hatian  dalam pemilihan matriks oleh CEO atau CFO tersebut.
  • 3 layer untuk skoring IT: Misi, Target, Metrik.

Penggunaan Metrik

  • Metrik adalah alat yang dirancang untuk menunjukkan efektivitas operasi TI.
  • Mengembangkan metrik dengan menggunakan empat prinsip: 1. Dapat memperoleh data; 2. Pengulangan proses dan terukur; 3. Menggunakan skala yang dapat diukur; 4. Mendapatkan Secara Otomatis atau Manual
  • Dasar Pengukuran Jenis Metrik : 1. Implementasi; 2. Efesiensi; 3. Efektifitas; 4. Dampak.

Pengembangan Metrik

  • Maksud Tujuan
  • Tujuan Kinerja
  • Sasaran Kinerja
  • Jenis Pengukuran
  • Sumber Data
  • Tersedia Bukti
  • Frekuensi
  • Penggunaan Formula
  • Indikator

Manajemen Tingkat Layanan

  • Ketersediaan Sistem
  • Definisi Layanan
  • Kualifikasi Personal
  • Kebutuhan Keamanan
  • Integritas Data
  • Kinerja Pelaporan SLA
  • Hak untuk Audit
  • Perubahan Prosedur SLA
  • Biaya Layanan

Kontrol Pengawasan

Kontrol Sistem Pengaksesan

  1. User login dan manajemen account
  2. Keistimewaan Account Login
  3. Pemeliharaan account login

Kontrol File Data

  1. Kedudukan kontrol data
  2. Sistem Kontrol Parameter
  3. Logical Kontrol Access
  4. Kontrol Pemrosesan Transaksi

Kontrol Proses Aplikasi

  1. Kontrol Input
  2. Kontrol Proses
  3. Kontrol Output

Kontrol Pemeliharaan

  1. Backup dan Recovery
  2. Manajemen Proyek

Manajemen Perubahan

  1. Software Release dan Patch Managemen
  2. Kontrol Konfigurasi
  3. Otorisasi Perubahan
  4. Perubahan Darurat
  5. Kontrol Manajemen
  6. Lisensi Perangkat Lunak
  7. Traking Aset dan Media
  8. Disposisi Aset
  9. Trainning User

Sistem Monitoring, Manajemen Jaringan, Manajemen Masalah

Sistem Monitoring

Hardware: Melampirkan pemeriksaan prosesor dan mendeteksi serta merekam even dalam pemeriksaannya. Even tersebut terdeteksi sebagai perubahan level tegangan pada titik-titik pemeriksaan

Software: Menggunakan aplikasi untu memonitor dalam pelaksanaan sistem komputer untuk mengamati dan laporan sistem. Aplikasi tersebut akan mengumpulkan banyak data untuk analisis beban kerja.

Sistem Logging yang terpusat

Manajemen Jaringan

Fault Management: Kepedulian dengan pencegahan, deteksi, koreksi kesalahan kondisi.

Performance Management: Kepedulian dengan kualitas, efektivitas, dan efisiensi jaringan komunikasi.

Configuration Management: Perhatian dengan pelacakan dan kontrol sumber daya jaringan.

Accounting Management: Kepedulian dengan mengumpulkan dan memilah informasi tentang pemanfaatan jaringan.

Security Management: Kepedulian dengan memantau dan mengendalikan akses ke jaringan sumber daya.

Manajemen Masalah

  • Sistem manajemen masalah
  • Eskalasi masalah dan proses penyelesaian
  • Masalah stratifikasi
  • Laporan prosedur
  • Review manajemen masalah

Save to PDF

Permalink Leave a Comment

Manajemen Daur Hidup

17 June 2010 at 22:52 (Certified Information Systems Auditor (CISA))

Manajemen Kualitas Software

1.   Capacity Maturity Model [CMM]

Menyiapkan strategi untuk menentukan kematangan proses saat ini dan untuk mengidentifikasi langkah berikutnya yang diperlukan untuk perbaikan

2.  Ukuran CMM

Level 1 = Inisialisai

Level 2 = Pengulangan

Level 3 = Pendefinisian

Level 4 = Pengelolaan

Level 5 = Pengoptimalan

3. ISO 15504 atau Spice (Modifikasi dari CMM)

Level 0 = Tidak Komplet

Level 1 = Diselenggarakan

Level 2 = Dikendalikan

Level 3 = Menetapkan

Level 4 = Dapat di prediksikan

Level 5 = Pengoptimalan

4. ISO 9001: Quality Management

Personel akan melakukan kerja sesuai dengan yang diharapkan dengan baik dan dan dapat meningkatkan kompetensi.

5.  ISO 9126: Software Quality

6 karakteristik kualitas:

1. Fungsionalitas dari proses perangkat lunak

2. Kemudahan dalam penggunaannya

3. Keandalan

4. Efesiensi atas sumber daya

5. Mudah dipindahkan

6. Kemampuan bertahan

6.  Steering Committee

– Mengidentifikasi Critical Success Factor (CSF)

CSF adalah sesuatu yang harus pergi setiap waktu atau sesuatu yang harus berfungsi dengan benar setiap waktunya.

– Skenario pendekatan adalah dimotori oleh rangkaian pertanyaan “What If”

– Menyelaraskan perangkat lunak untuk kebutuhan bisnis

1. Menentukan kebutuhan

2. Mengidentifikasi usaha kerja

3. Ringkasan dari impak

4. Menghasilkan manfaat

7.  Manajemen Perubahan

Proses manajemen perubahan dimulai dengan otorisasi dalam perubahan yang berlangsung. Untuk tujuan ini, metodologi yang harus ada untuk memprioritaskan dan menyetujui perubahan sistem permintaan.

Perubahan permintaan dimulai  dari pengguna akhir serta staf operasional dan staf sistem pengembangan sistem.

Perubahan permintaan harus dalam format yang memastikan semua perubahan dipertimbangkan untuk tindakan dan yang memungkinkan sistem manajemen staf untuk dengan mudah melacak status permintaan tersebut.

8. Proses Perubahan Permintaan

– Menyebarkan Perubahan

– Dokumentasi

– Pengujian perubahan program

– Audit perubahan prigram

– Perubahan darurat

– Menyebarkan perubahan ke produksi

Contoh permintaan untuk perubahan dokumen

Permintaan Perubahan Dokumen

Permalink Leave a Comment

Teknologi Informasi Pemerintahan

16 June 2010 at 23:46 (Certified Information Systems Auditor (CISA))

Didalam Teknologi Informasi pemerintahan terdapat 9 tugas utama dan 15 pengetahuan yang harus dikuasai oleh seorang auditor.

9 tugas utama tersebut adalah

  1. Mengevaluasi efektivitas struktur teknologi informasi pemerintahan untuk memastikan kontrol yang memadai atas keputusan, arah dan kinerja teknologi informasi, sehingga mendukung strategi dan tujuan organisasi.
  2. Mengevaluasi struktur organisasi IT dan manajemen sumber daya manusia untuk memastikan bahwa mereka mendukung strategi dan tujuan organisasi.
  3. Mengevaluasi strategi IT dan proses untuk development, persetujuan implementasi dan maintenance untuk memastikan bahwa dapat mendukung strategi dan tujuan organisasi.
  4. Mengevaluasi kebijakan TI, standar, prosedur, dan proses development, persetujuan, pelaksanaan dan pemeliharaan untuk memastikan bahwa mereka mendukung strategi IT dan memenuhi persyaratan peraturan dan hukum
  5. Mengevaluasi management practices untuk memastikan dengan strategi organisasi TI, kebijakan, standar dan prosedur.
  6. Mengevaluasi investasi sumber daya IT, pengguna, dan allocation practices untuk memastikan keselarasan dengan strategi dan tujuan organisasi.
  7. Mengevaluasi strategi dan kebijakan dalam pembuatan kontrak, dan manajemen kontrak untuk memastikan bahwa hal tersebut mendukung strategi dan tujuan organisasi.
  8. Mengevaluasi menajemen resiko untuk memastikan bahwa resiko organisasi IT yang terkait dikelola dengan baik.
  9. Mengevaluasi monitoring and assurance practices untuk memastikan bahwa dewan direksi dan manajemen eksekutif menerima informasi yang cukup dan tepat waktu tentang performansi IT.

15 pengetahuan tersebut adalah

  1. Mengerti tentang tujuan atau strategi IT, kebijakan, standar dan prosedur untuk organisasi dan unsur-unsur penting lainnya.
  2. Mengerti tentang kerangka tata kelola IT.
  3. Mengerti tentang proses untuk pengembangan, strategi pelaksanaan dan pemeliharaan IT, kebijakan, standar dan prosedur (misalnya, perlindungan atas aset informasi, bisnis kontinuitas dan pemulihan bencana, sistem dan manajemen infrastruktur, serta pelayanan dan dukungan IT).
  4. Mengerti tentang strategi manajemen mutu dan kebijakan.
  5. Mengerti tentang struktur organisasi, peran dan terkait dengan penggunaan dan tanggung jawab manajemen IT.
  6. Mengerti tentang IT standar internasional dan petunjuk-petunjuknya.
  7. Mengerti tentang enterprise arsitektur IT dan implikasi untuk menetapkan arah strategis jangka panjang.
  8. Mengerti tentang metodologi manajemen resiko dan perangkatnya.
  9. Mengerti tentang mengontrol kerangka kerja (CobiT.
    COSO, IS0 17799).
  10. Mengerti tentang penggunaan maturitas dan proses perbaikan model (misalnya, CMM, CobiT)
  11. Mengerti tentang strategi pembuatan kontrak, proses, dan manajemen kontrak.
  12. Mengerti tentang pelaksanaan monitoring, dan pelaporan kinerja IT (misalnya, balanced scorecards, key performance indicators (KPI)).
  13. Mengerti tentang peraturan dan perundang-undangan (misalnya, hak cipta intelektual, persyaratan tata kelola perusahaan ).
  14. Mengerti tentang pengelolaan sumber daya manusia IT.
  15. Mengerti tentang praktik pengalokasian investasi sumber daya IT (misalnya, portfolio management return on investment (ROl)).

Permalink Leave a Comment

Proses Audit Sistem Informasi

16 June 2010 at 00:03 (Certified Information Systems Auditor (CISA))

Dalam suatu proses audit sistem informasi terdapat 5 tugas utama dan 10 pengetahuan yang harus dikuasai oleh seorang auditor.

5 tugas utama tersebut adalah

  1. Mengembangkan dan mengimplementasikan audit sistem informasi berbasis strategi resiko untuk kepatuhan suatu organisasi dengan standar audit sistem informasi, petunjuk, dan pengalaman.
  2. Membuat rencana audit yang spesifik untuk memastikan IT dan sistem bisnis terproteksi dan terkontrol.
  3. Melaksanakan audit sesuai dengan standar audit sistem informasi, petunjuk, dan pengalaman untuk tujuan audit yang sudah direncanakan.
  4. Mengkomunikasikan isu-isu penting, pontensial beresiko, dan hasil audit kepada stakeholders.
  5. Menyarankan tentang pelaksanaan manajemen resiko dan mengontrol cara kerja didalam suatu organisasi sampai dengan dapat memelihara secara mandiri

10 pengetahuan tersebut adalah

  1. Mengerti tentang standar audit sistem informasi ISACA, petunjuk dan prosedure, dan kode etika profesionalisme.
  2. Mengerti cara kerja audit sistem informasi dan tekniknya.
  3. Mengerti teknik untuk mengumpulkan informasi dan perlindungan bukti
  4. Mengerti tentang life cycle evidence.
  5. Mengerti tentang tujuan pengendalian dan kontrol yang berhubungan dengan sistem informasi.
  6. Mengerti tentang penilaian resiko dalam konteks audit.
  7. Mengerti tentang rencana audit dan management techniques.
  8. Mengerti tentang pelaporan dan teknik komunikasi
  9. Mengerti tentang Control Self-Assessment (CSA).
  10. Mengerti tentang teknik audit berkelanjutan.

Itulah tugas-tugas dan pengetahuan yang harus dikuasai oleh seorang auditor sistem informasi.

Permalink Leave a Comment