Keamanan Aset Informasi
Memahami Ancaman
Definisi keamanan:
- Vulnerability
- Risk
- Threat
- Exposure
- Countermeasure
- Subject
- Object
Serangan keamanan dari luar:
Serangan keamanan dari dalam:
Serangan terstruktur
Karakteristik serangan terstruktur:
- Mean
- Determination
- Knowledge
- Funds
- Time
Serangan tidak struktur
Trend Keamanan Modern
Keamanan Fundamental
Kerahasiaan
Integritas
Ketersediaan
Ancaman dan kejahatan komputer
- Pencurian
- Penipuan
- Sabotase
- Pemerasan
- Pengintaian Industri
- Pengungkapan yang tidak sah
- Kehilangan kredibilitas
- Kehilangan kepemilikan informasi
- Konsekuensi Hukum
Identifikasi Pelaku Kejahatan
- Hackers
- Crackers
- Script Kiddies
- Penghianatan Karyawan
- Ethical Hacker Gone Bad
- Third Parties
- Ignorance
Metode Penyerangan
- Penyerangan secara pasif: Analisis jaringan, Host Traffic Analysis, Eavesdropping
- Penyerangan secara aktif: Social Engineering, Phishing, Dumpster Diving, Virus, Worm, Logic Bomb, Trapdoor, Brute Force Attack, DoS, IP Fragmentation Attack, Crash-restart, Maintenance Account, Remote Access Attack, Source Routing, Salami Technique, Packet Replay, Message Modification, Email Spamming and Spoofing.
Menggunakan Perlindungan Administrasi
Manajemen keamanan informasi
- Chief Security Officer
- Chief Privacy Officer
- Keamanan Sistem Informasi manager
Kontrol Akses
IT Security Governance
- Publik: Informasi untuk konsumsi publik
- Sensitif: ada tipe data tertentu kebutuhan yang harus diungkapkan kepada pihak tertentu tetapi tidak untuk semua orang
- Private, hanya untuk internal: klasifikasi data hanya untuk penggunaan internal biasa diterapkan untuk prosedur operasi dan kerjacatatan
- Rahasia: ini adalah kategori tertinggi keamanan umum klasifikasi di luar pemerintah
Peran otoritas atas Data
- Data Owner: Eksekutif atau manajer yang bertanggung jawab untuk isi data
- Data User: orang yang mendapat manfaat dari data terkomputerisasi
- Data Custodian: Bertanggung jawab untuk melaksanakan penyimpanan dataperlindungan dan memastikan ketersediaan data.
Menggunakan Perlindungan Admin
- Data Retention: prosedur untuk menyimpan data, berapa lama untuk menyimpan data dan melepas data.
- Document Access path: Semua jalur akses dokumen dikenal seperti peta fisik.
- Personnel Management: Setiap individu harus menjalani proses pelatihan kesadaran keamanan.
- Physical Access: Daerah sensitif, layanan port, konsol komputer.
Melaksanakan Perlindungan Fisik
Teknik untuk Meningkatkan Perlindungan fisik
- Televisi sirkuit tertutup
- Penjaga
- Kunci Khusus: Kunci elektronik , sandi kunci, biometrics
- Pengendalian Lingkungan: Tombol darurat untuk mematikan power , UPS, Generator, Dual Power Lead, Power Transfer System
- Pendeteksi asap, panas dan kebakaran
- Percikan Api (Wet Pipe Sys, Dry Pipe Sys, Dry
Chemical Sys) - Penyimpanan yang aman
- Penyimpanan Off-site
- Media Transportasi
- Pelepasan Prosedur (Overwriting, Degaussing)
Menggunakan Perlindungan Teknis
Teknis Perlindungan = Perlindungan Logis
Klasifikasi Kontrol Teknis : Discretionary Access Control
Kewajiban Akses Kontrol
Role-Based Access Control
Aturan Hak Minimal
Metode Otentifikasi
3 Type Otentifikasi:
- Type 1: Sesuatu yang diketahui seseorang
- Type 2: Sesuatu yang telah dimiliki seseorang
- Type 3: Karakteristik Fisik
2 Faktor Otentifikasi:
- Kartu ATM + PIN
- Kartu Kredit + Signature
- User Name + Password
3 Faktor Otentifikasi:
- Password + Token + Scan Sidik Jari
- Pin + Kartu + Scan Mata
Biometrik:
- Scan Sidik Jari
- Scan Telapak Tangan
- Scan Mata
- Scan Selaput Pelangi (di bola mata)
- Scan Wajah
Pelindungan Akses Jaringan:
– Single Sign On
– Network Firewall: packet filter, apps proxy server filter, stateful inspection, adaptive
response, kernel process
– Wireless Access
– Remote Dial-Up Access
– Intrusion Detection System: Host Based and Network Based
– IDS Methods Detecting: Statistical, Signature, Neural
Enkripsi
– Private Key System/ Symmetric Key: Kunci Tunggal adalah berbagi antara pengirim dan penerima
– Public Key/Asymmetric Key: pasangan kunciterdiri dari kunci rahasia yang dilindungi oleh pemilik, kunci publik yang kedua adalah bebas didistribusikan.
– Digital Signatures
Public Key Infrastructure (PKI)
- Certify Authority (CA)
- Registration Authority (RA)
- Certificate Revocation List (CLR)
- Certification Practice Statement (CPS)
Pelayanan IT
OPERASI IT
- Manajemen Departemen IT.
- Sistem Life Cycle.
- Kebijakan IT.
- Standar IT.
- Prosedur IT.
- Tugas dan tanggung jawab IT.
- Proses resiko manajemen IT.
- Manajemen aset IT.
- Layanan IT kepada user.
Menggunakan kartu skor IT
- Merahasiakan pertumbuhan tujuan organisasi dan belajar, proses bisnis, pelanggan, dan tujuan financial menjadi serangkaian matriks yang didefinisikan.
- Keuntungan kartu skor: meningkatkan fokus pada matriks khusus untuk mendukung langsung tujuan organisasi.
- Kerugian kartu skor: membutuhkan kehati-hatian dalam pemilihan matriks oleh CEO atau CFO tersebut.
- 3 layer untuk skoring IT: Misi, Target, Metrik.
Penggunaan Metrik
- Metrik adalah alat yang dirancang untuk menunjukkan efektivitas operasi TI.
- Mengembangkan metrik dengan menggunakan empat prinsip: 1. Dapat memperoleh data; 2. Pengulangan proses dan terukur; 3. Menggunakan skala yang dapat diukur; 4. Mendapatkan Secara Otomatis atau Manual
- Dasar Pengukuran Jenis Metrik : 1. Implementasi; 2. Efesiensi; 3. Efektifitas; 4. Dampak.
Pengembangan Metrik
- Maksud Tujuan
- Tujuan Kinerja
- Sasaran Kinerja
- Jenis Pengukuran
- Sumber Data
- Tersedia Bukti
- Frekuensi
- Penggunaan Formula
- Indikator
Manajemen Tingkat Layanan
- Ketersediaan Sistem
- Definisi Layanan
- Kualifikasi Personal
- Kebutuhan Keamanan
- Integritas Data
- Kinerja Pelaporan SLA
- Hak untuk Audit
- Perubahan Prosedur SLA
- Biaya Layanan
Kontrol Pengawasan
Kontrol Sistem Pengaksesan
- User login dan manajemen account
- Keistimewaan Account Login
- Pemeliharaan account login
Kontrol File Data
- Kedudukan kontrol data
- Sistem Kontrol Parameter
- Logical Kontrol Access
- Kontrol Pemrosesan Transaksi
Kontrol Proses Aplikasi
- Kontrol Input
- Kontrol Proses
- Kontrol Output
Kontrol Pemeliharaan
- Backup dan Recovery
- Manajemen Proyek
Manajemen Perubahan
- Software Release dan Patch Managemen
- Kontrol Konfigurasi
- Otorisasi Perubahan
- Perubahan Darurat
- Kontrol Manajemen
- Lisensi Perangkat Lunak
- Traking Aset dan Media
- Disposisi Aset
- Trainning User
Sistem Monitoring, Manajemen Jaringan, Manajemen Masalah
Sistem Monitoring
Hardware: Melampirkan pemeriksaan prosesor dan mendeteksi serta merekam even dalam pemeriksaannya. Even tersebut terdeteksi sebagai perubahan level tegangan pada titik-titik pemeriksaan
Software: Menggunakan aplikasi untu memonitor dalam pelaksanaan sistem komputer untuk mengamati dan laporan sistem. Aplikasi tersebut akan mengumpulkan banyak data untuk analisis beban kerja.
Sistem Logging yang terpusat
Manajemen Jaringan
Fault Management: Kepedulian dengan pencegahan, deteksi, koreksi kesalahan kondisi.
Performance Management: Kepedulian dengan kualitas, efektivitas, dan efisiensi jaringan komunikasi.
Configuration Management: Perhatian dengan pelacakan dan kontrol sumber daya jaringan.
Accounting Management: Kepedulian dengan mengumpulkan dan memilah informasi tentang pemanfaatan jaringan.
Security Management: Kepedulian dengan memantau dan mengendalikan akses ke jaringan sumber daya.
Manajemen Masalah
- Sistem manajemen masalah
- Eskalasi masalah dan proses penyelesaian
- Masalah stratifikasi
- Laporan prosedur
- Review manajemen masalah
Manajemen Daur Hidup
Manajemen Kualitas Software
1. Capacity Maturity Model [CMM]
Menyiapkan strategi untuk menentukan kematangan proses saat ini dan untuk mengidentifikasi langkah berikutnya yang diperlukan untuk perbaikan
2. Ukuran CMM
Level 1 = Inisialisai
Level 2 = Pengulangan
Level 3 = Pendefinisian
Level 4 = Pengelolaan
Level 5 = Pengoptimalan
3. ISO 15504 atau Spice (Modifikasi dari CMM)
Level 0 = Tidak Komplet
Level 1 = Diselenggarakan
Level 2 = Dikendalikan
Level 3 = Menetapkan
Level 4 = Dapat di prediksikan
Level 5 = Pengoptimalan
4. ISO 9001: Quality Management
Personel akan melakukan kerja sesuai dengan yang diharapkan dengan baik dan dan dapat meningkatkan kompetensi.
5. ISO 9126: Software Quality
6 karakteristik kualitas:
1. Fungsionalitas dari proses perangkat lunak
2. Kemudahan dalam penggunaannya
3. Keandalan
4. Efesiensi atas sumber daya
5. Mudah dipindahkan
6. Kemampuan bertahan
6. Steering Committee
– Mengidentifikasi Critical Success Factor (CSF)
CSF adalah sesuatu yang harus pergi setiap waktu atau sesuatu yang harus berfungsi dengan benar setiap waktunya.
– Skenario pendekatan adalah dimotori oleh rangkaian pertanyaan “What If”
– Menyelaraskan perangkat lunak untuk kebutuhan bisnis
1. Menentukan kebutuhan
2. Mengidentifikasi usaha kerja
3. Ringkasan dari impak
4. Menghasilkan manfaat
7. Manajemen Perubahan
Proses manajemen perubahan dimulai dengan otorisasi dalam perubahan yang berlangsung. Untuk tujuan ini, metodologi yang harus ada untuk memprioritaskan dan menyetujui perubahan sistem permintaan.
Perubahan permintaan dimulai dari pengguna akhir serta staf operasional dan staf sistem pengembangan sistem.
Perubahan permintaan harus dalam format yang memastikan semua perubahan dipertimbangkan untuk tindakan dan yang memungkinkan sistem manajemen staf untuk dengan mudah melacak status permintaan tersebut.
8. Proses Perubahan Permintaan
– Menyebarkan Perubahan
– Dokumentasi
– Pengujian perubahan program
– Audit perubahan prigram
– Perubahan darurat
– Menyebarkan perubahan ke produksi
Contoh permintaan untuk perubahan dokumen
Teknologi Informasi Pemerintahan
Didalam Teknologi Informasi pemerintahan terdapat 9 tugas utama dan 15 pengetahuan yang harus dikuasai oleh seorang auditor.
9 tugas utama tersebut adalah
- Mengevaluasi efektivitas struktur teknologi informasi pemerintahan untuk memastikan kontrol yang memadai atas keputusan, arah dan kinerja teknologi informasi, sehingga mendukung strategi dan tujuan organisasi.
- Mengevaluasi struktur organisasi IT dan manajemen sumber daya manusia untuk memastikan bahwa mereka mendukung strategi dan tujuan organisasi.
- Mengevaluasi strategi IT dan proses untuk development, persetujuan implementasi dan maintenance untuk memastikan bahwa dapat mendukung strategi dan tujuan organisasi.
- Mengevaluasi kebijakan TI, standar, prosedur, dan proses development, persetujuan, pelaksanaan dan pemeliharaan untuk memastikan bahwa mereka mendukung strategi IT dan memenuhi persyaratan peraturan dan hukum
- Mengevaluasi management practices untuk memastikan dengan strategi organisasi TI, kebijakan, standar dan prosedur.
- Mengevaluasi investasi sumber daya IT, pengguna, dan allocation practices untuk memastikan keselarasan dengan strategi dan tujuan organisasi.
- Mengevaluasi strategi dan kebijakan dalam pembuatan kontrak, dan manajemen kontrak untuk memastikan bahwa hal tersebut mendukung strategi dan tujuan organisasi.
- Mengevaluasi menajemen resiko untuk memastikan bahwa resiko organisasi IT yang terkait dikelola dengan baik.
- Mengevaluasi monitoring and assurance practices untuk memastikan bahwa dewan direksi dan manajemen eksekutif menerima informasi yang cukup dan tepat waktu tentang performansi IT.
15 pengetahuan tersebut adalah
- Mengerti tentang tujuan atau strategi IT, kebijakan, standar dan prosedur untuk organisasi dan unsur-unsur penting lainnya.
- Mengerti tentang kerangka tata kelola IT.
- Mengerti tentang proses untuk pengembangan, strategi pelaksanaan dan pemeliharaan IT, kebijakan, standar dan prosedur (misalnya, perlindungan atas aset informasi, bisnis kontinuitas dan pemulihan bencana, sistem dan manajemen infrastruktur, serta pelayanan dan dukungan IT).
- Mengerti tentang strategi manajemen mutu dan kebijakan.
- Mengerti tentang struktur organisasi, peran dan terkait dengan penggunaan dan tanggung jawab manajemen IT.
- Mengerti tentang IT standar internasional dan petunjuk-petunjuknya.
- Mengerti tentang enterprise arsitektur IT dan implikasi untuk menetapkan arah strategis jangka panjang.
- Mengerti tentang metodologi manajemen resiko dan perangkatnya.
- Mengerti tentang mengontrol kerangka kerja (CobiT.
COSO, IS0 17799). - Mengerti tentang penggunaan maturitas dan proses perbaikan model (misalnya, CMM, CobiT)
- Mengerti tentang strategi pembuatan kontrak, proses, dan manajemen kontrak.
- Mengerti tentang pelaksanaan monitoring, dan pelaporan kinerja IT (misalnya, balanced scorecards, key performance indicators (KPI)).
- Mengerti tentang peraturan dan perundang-undangan (misalnya, hak cipta intelektual, persyaratan tata kelola perusahaan ).
- Mengerti tentang pengelolaan sumber daya manusia IT.
- Mengerti tentang praktik pengalokasian investasi sumber daya IT (misalnya, portfolio management return on investment (ROl)).
Proses Audit Sistem Informasi
Dalam suatu proses audit sistem informasi terdapat 5 tugas utama dan 10 pengetahuan yang harus dikuasai oleh seorang auditor.
5 tugas utama tersebut adalah
- Mengembangkan dan mengimplementasikan audit sistem informasi berbasis strategi resiko untuk kepatuhan suatu organisasi dengan standar audit sistem informasi, petunjuk, dan pengalaman.
- Membuat rencana audit yang spesifik untuk memastikan IT dan sistem bisnis terproteksi dan terkontrol.
- Melaksanakan audit sesuai dengan standar audit sistem informasi, petunjuk, dan pengalaman untuk tujuan audit yang sudah direncanakan.
- Mengkomunikasikan isu-isu penting, pontensial beresiko, dan hasil audit kepada stakeholders.
- Menyarankan tentang pelaksanaan manajemen resiko dan mengontrol cara kerja didalam suatu organisasi sampai dengan dapat memelihara secara mandiri
10 pengetahuan tersebut adalah
- Mengerti tentang standar audit sistem informasi ISACA, petunjuk dan prosedure, dan kode etika profesionalisme.
- Mengerti cara kerja audit sistem informasi dan tekniknya.
- Mengerti teknik untuk mengumpulkan informasi dan perlindungan bukti
- Mengerti tentang life cycle evidence.
- Mengerti tentang tujuan pengendalian dan kontrol yang berhubungan dengan sistem informasi.
- Mengerti tentang penilaian resiko dalam konteks audit.
- Mengerti tentang rencana audit dan management techniques.
- Mengerti tentang pelaporan dan teknik komunikasi
- Mengerti tentang Control Self-Assessment (CSA).
- Mengerti tentang teknik audit berkelanjutan.
Itulah tugas-tugas dan pengetahuan yang harus dikuasai oleh seorang auditor sistem informasi.