SISTEM EKONOMI AKUNTANSI
08 OKTOBER 2018
CHAPTER 8
PENGENDALIAN UNTUK KEAMANAN INFORMASI
DEFENSE-IN-DEPTH DAN MODEL KEAMANAN INFORMASI BERBASIS WAKTU
Gagasan dari defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan.
Tujuan dari model keamanan berbasis waktu (time-based model of security) adalah menggunakan kombinasi perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak. Tujuan ini dapat ditunjukkan dengan sebuah formula yang menggunakan tiga variabel berikut:
P= waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi
D= waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses
C= waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif
Langkah-langkah dasar yang dilakukan penjahat untuk menyerang sistem informasi suatu perusahaan:
- Melakukan pengintain
- Mengupayakan rekayasa sosial
- Memindai dan memetakan target (scan and map the target)
- Penelitian (research)
- Mengeksekusi serangan (execute the attack)
- Menutupi jejak (cover tracks)
PENGENDALIAN PREVENTIF
PENGENDALIAN AUTENTIKASI
Autentikasi (authentication) adlaah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem.
PENGENDALIAN OTORISASI
Otorisasi (authorization) adalah proses dari memperketat akses dari pengguna sah terhadap bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keisitimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.
PENGENDALIAN DETEKTIF
PENGENDALIAN KOREKTIF
COMPUTER INCIDENT RESPONSE TEAM (CIRT)
Sebuah komponen utama agar mampu merespons indisen keamanan dengan tepat dan efektif adalah penetapan sebuah tim perespon insiden komputer. Sebuah CIRT harus mengarahkan proses respons insiden organisasi melalui empat tahapan berikut:
- Pemberitahuan (recognition) adanya sebuah masalah
- Penahanan (containment) masalah
- Pemulihan (recovery)
- Tindak lanjut (follow up)
CHIEF INFORMATION SECURITY OFFICER (CISO)
MANAJEMEN PATCH
Patch adalah kode yang diilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen Patch adalah proses untuk secara teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang digunakan oleh organisasi.
IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD
Virtualisasi (virtualization) memanfaatkan kekuatan dan kecepatan komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi cloud (cloud computing) memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat lunak dari jarak jauh (perangkat lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan sebagai sebuah layanan), dan seluruh lingkungan aplikasi (platform sebagai sebuah layanan).
No comments:
Post a Comment