CHAPTER 8 Information Systems Controls for Systems Reliability-Part 1: Information Security

CHAPTER 8
Information Systems Controls for Systems Reliability-Part 1: Information Security
LATAR BELAKANG
         NORTHWEST INDUSTRIES
Ø   Tinjauan oleh Jason Scott,
mengenai Pengendalian Internal dalam Northwest Industries, khususnya pada Sistem Informasi yang digunakan. 
PENDAHULUAN
         Dalam COBIT framework, ditunjukkan bahwa keberhasilan suatu organisasi bisnis, memerlukan pengendalian yang memadai khususnya dalam hal IT. Hal ini diperlukan untuk memastikan, bahwa informasi yang disediakan dapat memenuhi 7 kriteria yang diperlukan.
1.      Effectiveness
2.      Efficiency
3.      Confidentiality
4.      Integrity
5.      Availability
6.      Compliance
7.      Reliability
COBIT
( Control Objective for Information and related Technology )
         Merupakan suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru.
         COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko IT dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab.
COBIT memiliki 4 cakupan domain, yaitu :
         Perencanaan dan organisasi (plan and organise)
         Pengadaan dan implementasi (acquire and implement)
         Pengantaran dan dukungan (deliver and support
         Pengawasan dan evaluasi (monitor and evaluate)
Seluruh tahapan COBIT yang terbagi dalam 4 domain dan 34 proses (Cobit Framework) tersebut, ditunjukkan pada Figure 8-1 hal. 240
Trust Services Framework
         Mengklasifikasi pengendalian Sistem Informasi kedalam 5 kategori, yang semuanya bersinggungan dengan System Reliability.
1.      Security
2.      Confidentiality
3.      Privacy
4.      Processing Integrity
5.      Availability
*Trust Services Framework digunakan bukan sebagai pengganti dari COBIT, namun, TSF hanya merupakan bagian dari persoalan yang dibahas dalam COBIT.
Konsep dasar Keamanan Informasi
*Security is a Management issue, not a Technology issue.
*Defense-in-Depth and Time Based Model of Information Security

Understanding Targeted Attacks

Conduct Reconnaissance
Attempt Social Engineering
Scan and Map the Target
Research
Execute the Attack
Cover Tracks
Defense-in-depth
Biasanya melibatkan kombinasi dari preventive, detective, dan corrective controls
“Preventive  Controls”
Pengendalian ini dimaksudkan untuk mencegah terjadinya suatu kesalahan & mencegah hasil yang tidak diinginkan, sebelum kejadian itu terjadi.
Pencegahan ini akan berjalan dengan baik apabila, fungsi atau personilnya melaksanakan perannya dengan benar.
Contoh dari Preventive Controls:
         Training:
Mewajibkan semua karyawan memahami bahwa di perusahaan memiliki sistem  keamanan yang harus dipahami & tidak boleh dilanggar.
         User  Access Controls:
Menekankan pentingnya untuk dapat mengidentifikasi secara rinci, mengidentifikasi setiap orang yang mengakses SIO & melacak tindakan yang apa saja yang mereka lakukan.
Device Software:
Untuk melindungi peremeter jaringan.



“Detective Controls”

         Meningkatkan keamanan dengan memantau efektivitas pengendalian pencegahan dan mendeteksi insiden, dimana kontrol pencegahan telah berhasil dilakukan.
Contoh dari Detective Controls:
         Log Analysis:
Proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan adanya serangan yang menyerang sistem keamanan.
         IDS:
Terdiri dari satu set sensor keamanan & unit pengawasan pusat yang membuat lalu-lintas jaringan yang diizinkan untuk melewati firewall & kemudian menganalisa.
         Management Reports:
Mengatasi kebutuhan bagi manajemen untuk memonitor dan mengevaluasi baik kinerja sistem maupun kontrol.
         Security Testing:
Mencatat kebutuhan untuk secara berkala menguji efektivitas prosedur keaamanan yang ada.
“Corrective Controls”
         Mengoreksi  masalah-masalah yang terindetifikasi  oleh pengendalian deteksi. Tujuannya agar kesalahan yang telah terjadi tidak terulang kembali.
         CISO:
Tanggung jawab untuk menjaga suatu keaamanan informasi, bisa ditugaskan pada orang yang tepat. salah satu caranya yakni dengan membentuk posisi CISO. CISO harus mengerti ruang lingkup teknologi perusahaan.
         Patch Management:
menekankan kebutuhan untuk memperbaiki kerentanan dikenal dengan menginstal update terbaru untuk kedua program keamanan dan sistem operasi dan program aplikasi lain untuk melindungi organisasi dari virus dan jenis-jenis malware.
COMPUTER INCIDENT RESPONSE TEAM
-Tim respon insiden komputer bekerja untuk dapat merespon insiden keamanan segera dan efektif
-Bertanggung jawab untuk menangani insiden besar serta mencakup tidak hanya spesialis teknis tetapi juga manajemen operasi senior.
-memiliki konsekuensi ekonomi yang signifikan, misalnya: untuk menutup sementara server e-commerce. 

CHAPTER 9 Sistem Informasi Kontrol untuk Sistem Keandalan
Bagian 2: Kerahasiaan dan Privasi

PENDAHULUAN
1.      Pertanyaan yang akan dibahas dalam bab ini meliputi:
2.      Kontrol apa yang digunakan untuk melindungi kerahasiaan informasi sensitif?
3.      Kontrol apa yang dirancang untuk melindungi privasi informasi pribadi pelanggan?
4.      Jelaskan bagaimana dua tipe dasar sistem enkripsi bekerja.
3 dari 26

Menurut kerangka Trust Services, sistem yang dapat diandalkan memenuhi lima prinsip:
·         Keamanan (dibahas dalam Bab 8)
·         Kerahasiaan
·         Pribadi
·         Integritas Pengolahan
·         Tersedianya

KEAMANAN
KERAHASIAAN
PRIVASI PENGOLAHAN INTEGRITAS KETERSEDIAAN
Kerahasiaan
Dimana informasi, yang memiliki akses ke sana?
Klasifikasikan nilai informasi
Proses mengaburkan informasi untuk membuatnya dibaca tanpa pengetahuan khusus, file kunci, atau password.
Manajemen hak informasi: control yang dapat membaca, menulis, menyalin, menghapus, atau men-download informasi.
Yang paling penting! Karyawan perlu tahu apa yang dapat atau tidak dapat dibaca, ditulis, disalin, dihapus, atau download
5 dari 26
Identifikasi dan Klasifikasi
·         Kekayaan Intelektual (IP)
·         Rencana strategis
·         Rahasia dagang
·         Biaya informasi
·         Dokumen hukum
·         Proses perbaikan
·         Semua perlu dijamin
6 dari 26
Enkripsi
·         Enkripsi saja tidak cukup untuk melindungi kerahasiaan. Mengingat waktu yang cukup, banyak skema enkripsi dapat rusak.
·         Kontrol akses juga diperlukan
·         Teknik otentikasi yang kuat diperlukan.
·         7 dari 26
Mengontrol Access
Manajemen Hak Informasi (IRM) software
Dapat membatasi tindakan (membaca, menulis, mengubah, menghapus, copy, dll) yang berwenang pengguna dapat melakukan ketika mengakses informasi rahasia
·         Kontrol akses fisik
·         Output sistem
·         Media magnetik dan optik
·         Data Loss Prevention (DLP) software
·         Voice-over-the-Internet (VoIP) teknologi
·         Virtualisasi dan komputasi awan
8 dari 26
Latihan
·         Penggunaan Karyawan email dan instant messaging (IM) mungkin mewakili dua ancaman terbesar terhadap kerahasiaan informasi sensitif.
·         Penggunaan perangkat lunak enkripsi
·         Meninggalkan workstation tanpa pengawasan
·         Kode laporan untuk mencerminkan kepentingan
·         Kebijakan meja yang bersih
9 dari 26
PRIVASI
·         Dalam rangka Trust Services, prinsip privasi terkait erat dengan prinsip kerahasiaan.
·         Perbedaan utama adalah bahwa privasi berfokus pada melindungi informasi pribadi tentang pelanggan daripada data organisasi.
KEAMANAN KERAHASIAAN
PRIVASI
PENGOLAHAN INTEGRITAS KETERSEDIAAN
SISTEM
Pribadi
·         Sama seperti kontrol kerahasiaan
·         Identifikasi dan klasifikasi
·         Enkripsi
·         Akses kontrol
·         Latihan

Masalah Privasi
·         SPAM
·         Yang tidak diminta e-mail yang berisi baik iklan atau konten yang menyinggung
·         Mengontrol Assault Non-diminta UU Pornografi dan Pemasaran. CAN-SPAM (2003)
·         Hukuman pidana dan perdata untuk spamming
Organisasi harus hati-hati mengikuti pedoman CAN-SPAM, yang meliputi:
·         Identitas pengirim harus ditampilkan dengan jelas dalam header pesan.
·         Bidang subjek dalam header harus jelas mengidentifikasi pesan sebagai iklan atau ajakan.
·         Tubuh harus menyediakan penerima dengan link kerja yang dapat digunakan untuk "keluar" dari email masa depan.
·         Tubuh harus mencakup pengirim yang valid alamat pos.
·         Organisasi tidak harus:
·         Kirim email ke alamat secara acak.
·         Mengatur situs yang dirancang untuk memanen alamat email pelanggan potensial.
·         Pencurian Identitas
·         Penggunaan tidak sah dari seseorang informasi pribadi karena pelaku 's manfaat.
·         Perusahaan memiliki akses dan dengan demikian harus mengontrol informasi pribadi pelanggan.
14 dari 26
Privasi Kisah Regulatory
Sejumlah peraturan, termasuk Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA), Teknologi Informasi Kesehatan Ekonomi dan Klinis Undang-Undang Kesehatan (HITECH), dan Jasa Keuangan Modernisasi Act (alias, Gramm-Leach-Billey Act) mengharuskan organisasi untuk melindungi privasi informasi pelanggan.
15 dari 26
ENCRYPTION
·         Mengenkripsi data yang tersimpan sensitif menyediakan satu penghalang terakhir yang harus diatasi oleh penyusup.
·         Enkripsi memainkan peran penting dalam memastikan dan memverifikasi keabsahan transaksi e-bisnis.
·         Oleh karena itu, akuntan, auditor, dan sistem profesional perlu memahami enkripsi.
·         Enkripsi adalah proses transformasi teks biasa, yang disebut plaintext, menjadi omong kosong terbaca, disebut ciphertext.
·         Dekripsi membalikkan proses ini.
·         Untuk mengenkripsi atau mendekripsi, baik kunci dan algoritma yang diperlukan.

Kekuatan Enkripsi
·         Panjang kunci
    • Jumlah bit (karakter) yang digunakan untuk mengubah teks menjadi blok-blok
    • 256 adalah umum
  • Algoritma
    • Cara di mana kunci dan teks dikombinasikan untuk membuat teks orak-arik
  • Kebijakan mengenai kunci enkripsi
    • Disimpan dengan aman dengan kode akses yang kuat
18 dari 26
ENCRYPTION
·                     Jenis Sistem Enkripsi
·                     Ada dua tipe dasar sistem enkripsi
·                     Sistem enkripsi simetris
·                     Sistem enkripsi asimetris
19 dari 26
ENCRYPTION
·                     Symmetric Encryption Sistem
·                     Gunakan tombol yang sama untuk mengenkripsi dan mendekripsi.
·                     Symmetric enkripsi keuntungan:
·                     Hal ini jauh lebih cepat dari enkripsi asimetris.
·                     Symmetric kelemahan enkripsi:
·                     Kedua belah pihak perlu mengetahui kunci rahasia, sehingga metode yang diperlukan untuk aman bertukar kunci, dan email bukan merupakan solusi yang tepat.
·                     Sebuah kunci yang berbeda perlu dibuat untuk masing-masing pihak dengan siapa entitas melakukan transaksi terenkripsi.
·                     Karena kedua sisi transaksi menggunakan tombol yang sama, tidak ada cara untuk membuktikan yang mana dari kedua belah pihak menciptakan dokumen.
20 dari 26 
·                     Sistem enkripsi asimetris
·                     Gunakan dua kunci:
·                     Kunci publik tersedia untuk umum.
·                     Kunci pribadi dirahasiakan dan hanya diketahui oleh pemilik kedua kunci tersebut.
·                     Salah satu tombol dapat digunakan untuk mengenkripsi.
·                     Apapun kunci digunakan untuk mengenkripsi, kunci lainnya harus digunakan untuk mendekripsi.
·                     Kelemahan utama untuk enkripsi asimetris adalah kecepatan.
·                     Solusi Hybrid
·                     Gunakan simetris untuk mengenkripsi informasi
·                     Gunakan asimetris untuk mengenkripsi kunci simetrik untuk dekripsi
22 dari 26
Hashing
·                     Mengubah informasi menjadi "hash" kode panjang tetap.
·                     Kode tidak dapat dikonversi kembali ke teks.
·                     Jika perubahan dibuat untuk informasi kode hash akan berubah, sehingga memungkinkan verifikasi informasi.
23 dari 26
Tanda tangan digital
·                     Hash dari dokumen yang dienkripsi menggunakan kunci pribadi dokumen pencipta '
·                     Memberikan bukti:
·                     Dokumen yang belum diubah
·                     Dari pencipta dokumen
24 dari 26
Sertifikat Digital
·                     Dokumen Elektronik yang berisi kunci publik entitas 's
·                     Menyatakan identitas pemilik kunci publik tertentu
·                     Diterbitkan oleh Certificate Authority
·                     Public Key Infrastructure (PKI)
25 dari 26
Virtual Private Network (VPN)
·                     Internet menyediakan transmisi murah, tapi data mudah disadap.
·                     Enkripsi memecahkan masalah intersepsi.
·                     Jika data dienkripsi sebelum mengirimnya, virtual private network (VPN) dibuat.
·                     Menyediakan fungsi jaringan milik pribadi
·                     Tetapi menggunakan Internet
·         Saluran komunikasi pribadi, sering disebut sebagai terowongan, yang hanya dapat diakses oleh pihak-pihak yang memiliki enkripsi yang sesuai dan kunci dekripsi.



Comments

Post a Comment

Popular posts from this blog

suwardjono BAB 9 BIAYA

Image
TUGAS TEORI AKUNTANSI BAB 9 BIAYA Disusun oleh Kelompok 8: Hannik Inayatur Rahma          (13312402) Elsa Delviana                          (13312424) Merryzsa Septerie Anitha       (13312506) Kelas E Dosen Pengampuh:      Yuni Nustini Tahun Pelajaran 2015/2016 Kata Pengantar Puji syukur kehadirat Allah SWT, atas Rahmat-Nyalah kami bisa membuat tugas teori akuntasi, dengan baik dan lancar tanpa adanya halangan yang menerpa kepada kelompok kami. Dan kami berterima kasih kepada dosen pengampuh ibu Yuni Nustini karena telah memberikan tugas ini agar kami bisa merangkum dan membuat sebuah tugas dengan kata-kata kami. Kami merasa banyak sekali kekurangan dalam memilih kata-kata pada saat merangkum sebuah karya orang lain ke kata-kata kami. Ka...
Read more

Kasus 6-4 Medoc Company

Image
Kasus 6-4 Medoc Company 1.       Saran apakah yang akan Anda berikan pada kendala struktur organisasi dalam kasus? ·          Memberikan informasi yang relevan kepada masing-masing  unit usaha untuk menentukan imbal balik yang optimum antara biaya dan pendapatan perusahaan. ·          Menghasilkan keputusan yang selaras dengan cita-cita -maksudnya, sistem harus dirancang sedemikian rupa sehingga keputusan engingkatkan laba unit usaha juga akan meningkatkan laba perusahaan. ·          Membantu pegukuran kinerja ekonomi dari unit usaha individual. ·          Memberikan sistem yang mudah dimengerti dan dikelola. Orang-orang yang Kompeten Secara ideal, para manajer harus memperhatikan kinerja jangka panjang daari pusat tanggung jawab mereka, sam seperti kinerja jangka pendeknya. Adapun ...
Read more

Diskusi Tim Audit

Diskusi Tim Audit Tinjauan Umum Unsur penting dalam sukses penugasan audit manapun, adalah komunikasi yang baik diantara anggota tim audit. Manfaat komunikasi yang baik adalah: ·          Produktivitas audit ·          Efektivitas audit ·          Pengembangan staf Komunikasi berkelanjutan yang efektif memerlukan: ·          Keterlibatan penuh dari partner penugasan dan anggota inti lainnya. ·          Kesediaan personel senior untuk mendengar personel yang lebih junior Pertemuan Perencanaan Tim Audit  Dalam penugasan yang lebih besar, pertemuan mengenai perencanaandijadwalkan jauh sebelum dimulainya pekerjaan lapangan. Tiga hal yang dibahas selanutnya yaitu sebagai berikut: ·          Berbagi insight tentang entitas ...
Read more