BAB 08 : PENGENDALIAN UNTUK KEAMANAN INFORMASI
Hari ini, setiap organisasi bergantung pada teknologi informasi. Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh sistem akuntansinya dapat diandalkan. Ia juga ingin tahu bahwa investasinya dalam teknologi informasi adalah hemat biaya. Meskipun kerangka kerja COSO dan COSO-ERM menyediakan cakupan luas dari kontrol internal, tidak secara khusus membahas kontrol atas teknologi informasi. Kerangka kerja COBIT yang dikembangkan oleh ISACA mengisi kekosongan itu. COBIT menyajikan pandangan komprehensif tentang kontrol yang diperlukan untuk keandalan sistem.
Ini menunjukkan bahwa mencapai tujuan bisnis dan tata kelola organisasi memerlukan kontrol yang memadai atas sumber daya TI untuk memastikan bahwa informasi yang diberikan kepada manajemen memenuhi tujuh kriteria utama:
- Efektivitas, informasi harus relevan dan tepat waktu.
- Efisiensi, informasi harus dihasilkan dengan cara yang hemat biaya.
- Informasi rahasia, sensitif harus dilindungi dari pengungkapan yang tidak sah.
- Integritas, informasi harus akurat, lengkap, dan valid.
- Ketersediaan, informasi harus tersedia kapanpun dibutuhkan.
- Pengendalian kepatuhan harus memastikan kepatuhan dengan kebijakan internal dan persyaratan hukum dan peraturan eksternal.
- Keandalan, manajemen harus memiliki akses ke informasi yang tepat yang diperlukan untuk melakukan kegiatan sehari-hari dan untuk melaksanakan tanggung jawab penggadaian dan tata kelola.
memesan untuk menghasilkan informasi dikelompokkan ke dalam empat aktivitas manajemen dasar, yang disebut COBIT sebagai domain:
- Merencanakan dan Mengatur (PO).
- Akuisisi dan Implementasi (AI).
- Memberikan Dukungan anil (DS).
- Monitor und Evaluate (ME).
- Akses keamanan ke sistem dan datanya dikontrol dan dibatasi untuk pengguna yang sah)
- Informasi organisasi konjensial / y-sensitif (misalnya, rencana pemasaran, rahasia dagang) dilindungi dari pengungkapan yang tidak sah.
- Informasi privasi-pribadi tentang pelanggan dikumpulkan, digunakan, diungkapkan, dan dipelihara hanya sesuai dengan kebijakan internal dan persyaratan peraturan eksternal dan dilindungi dari pengungkapan yang tidak sah.
- Pengolahan Integritas-data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang tepat.
- Ketersediaan-sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontrak.
- Keamanan adalah masalah Manajemen, Bukan masalah Teknologi, bagian 302 SOX mengharuskan CEO dan CFO untuk menyatakan bahwa laporan keuangan cukup menyajikan hasil dari aktivitas perusahaan. Keakuratan laporan keuangan organisasi bergantung pada keandalan sistem informasinya. Peran manajemen dalam keamanan informasi:
- Ciptakan dan kembangkan budaya "sadar keamanan" yang proaktif.
- Inventarisasi dan nilai sumber daya informasi organisasi
- Menilai risiko dan pilih respons risiko.
- Kembangkan dan komunikasikan rencana keamanan, kebijakan, dan prosedur.
- Dapatkan dan gunakan teknologi dan produk keamanan informasi.
- Pantau dan evaluasi efektivitas program keamanan informasi organisasi.
- Defense-in-Depth dan Model Keamanan Informasi Berbasis Waktu, Ide pertahanan-mendalam adalah menggunakan beberapa lapisan kontrol untuk menghindari satu titik kegagalan. Sebagai contoh, banyak organisasi tidak hanya menggunakan firewall tetapi juga beberapa metode otentikasi (kata sandi, token, dan biometrik) untuk membatasi akses. Penggunaan kontrol yang tumpang tindih, saling melengkapi, dan berlebihan meningkatkan keefektifan secara keseluruhan karena jika satu kontrol gagal atau terhindar, yang lain dapat berfungsi seperti yang direncanakan.
Sebelum kita membahas pengendalian, pencegahan, detektif, dan korektif yang dapat digunakan untuk mengurangi risiko gangguan sistem, akan sangat membantu untuk memahami langkah-langkah dasar yang digunakan penjahat untuk menyerang sistem informasi organisasi terlebih dahulu, seperti:
- Melakukan pengintaian.
- Mencoba rekayasa sosial
- Pindai dan petakan target
- Kebangkitan kembali.
- Jalankan serangan
- Tutup jejak
Pengendalian preventif secara umum digunakan oleh organisasi untuk membatasi akses terhadap sumber daya informasi. berbagai pengendalian preventif ini selaras bersamaan seperti kepingan-kepingan puzzle yang menyediakan defense-in-depth secara kolektif. Berikut beberapa pengendalian preventif :
- Pelatihan
- pengendalian akses pengguna (otentikasi dan otorisasi)
- pengendalian akses fisik (kunci, penjaga, dll.)
- pengendalian akses jaringan (firewall, sistem pencegahan intrusi, dll)
- pengendalian perangkat lunak dan perangkat keras(opsi konfigurasi)
Seperti yang disebutkan sebelumnya, kontrol pencegahan tidak pernah efektif dalam memblokir semua serangan. Oleh karena itu, tujuan pengendalian COBIT DS 5.5 menekankan bahwa organisasi juga perlu menerapkan kontrol yang dirancang untuk mendeteksi intrusi secara tepat waktu. Kontrol detektif meningkatkan keamanan dengan memantau efektivitas kontrol pencegahan dan mendeteksi insiden di mana kontrol pencegahan telah berhasil dielakkan. Bagian ini membahas empat jenis pengendalian detektif, seperti :
- Analisis pencatatan
- Sistem deteksi intrusi
- Pengujian keamanan dan audit
- Laporan Manajerial.
Mengetahui gangguan yang dicoba dan berhasil tidak cukup. Organisasi juga membutuhkan prosedur untuk melakukan tindakan korektif tepat waktu. Banyak kontrol korektif, bagaimanapun, bergantung pada manusia judgrnent. Akibatnya, efektivitas mereka sangat tergantung pada perencanaan dan persiapan yang tepat. Bagian ini membahas tiga hal yang sangat penting dalam pengendalian korektif yang membahas (1) pembentukan tim respon insiden komputer, (2) penunjukan individu tertentu, biasanya disebut sebagai Chief Information Security Officer (CISO), dengan tanggung jawab yang luas di seluruh organisasi untuk keamanan informasi , dan (3) yang dirancang dengan baik sistem manajemen patch.
Komentar
Posting Komentar