1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
“Konsep Dasar Keamanan Informasi, Pemahaman Serangan, Tipe-Tipe
Pengendalian, Prinsip-Prinsip The Five Trust Service untuk Keandalan
System”
Disusun Oleh:
Dian Andriani
55517120022
Dosen Pengampu:
Prof. Dr. Hapzi Ali, CMA
MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
JAKARTA
2018

2. I. Konsep Dasar Keamanan Informasi dan Pemahaman Serangannya
A. Dua Konsep Keamanan Informasi Fundamental
a) Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi
Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat
berteknologi seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan
manajemen senior juga menjadi dasar untuk keberhasilan. Manajemen senior
harusberpartisipasi dalam pengembangan kebijakan karena mereka harus
memutuskan sanksi yang akan diberikan terhadap tindakan ketidakpatuhan. Sebagai
tambahan, dukungan dan keterlibatan aktif dari manajemen puncak diperlukan untuk
memastikan bahwa pelatihan dan komunikasi keamanan informasi dilakukan dengan
serius. Manajemen senior juga harus mengotorisasi investasi sumber daya yang
diperlukan untuk mengatasi ancaman yang terindentifikasi serta mencapai level
keamanan yang dikehendaki. Kemajuan dari TI menciptakan ancaman baru dan
mengubah risiko yang tercampur dengan ancaman lama.
b) Defense-in-depth dan model keamanan informasi berbasis waktu
Defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk
menghindari satu poin kegagalan. Defense-in-depth secara khusus melibatkan
penggunaan sebuah kombinasi dari pengendalian preventif, detektif, dan korektif.
Peran pengendalian preventif adalah untuk membatasi tindakan individu tertentu agar
sesuai dengan kebijakan keamanan organisasi.
Mendeteksi penorobosan keamanan dan penetapan tindakan perbaikan korektif
harus tepat waktu karena segera setelah pengendalian preventif diterobos, seorang
penyusup dapat dengan cepat menghancurkan, membahayakan, atau mencuri sumber
daya ekonomi dan informasi organisasi.
Oleh karena itu, tujuan dari model keamanan berbasis waktu (time-based model
of security) adalah menggunakan kombinasi perlindungan preventif, detektif, dan
korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi
untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-
langkah untuk menggagalkannya sebelum informasi hilang atau rusak. Tujuan ini
dapat ditunjukkan dengan sebuah formula yang menggunakan tiga variabel berikut:
P = waktu yang diperlukan seorang penyerang untuk menerobos pengendalian
preventif organisasi.
D = waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang
dalam proses.
C = waktu yang diperlukan untuk merespon serangan dan mengambil tindakan
korektif.
Ketiga variabel tersebut kemudian dievaluasi sebagai berikut: jika P > D + C,
maka prosedur keamanan organisasi efektif. Jika sebaliknya, keamanan tidaklah
efektif. Model keamanan berbasis waktu memberikan sebuah sarana bagi manajemen
untuk mengidentifikasi pendekatan yang paling hemat biaya untuk meningkatkan
keamanan dengan membandingkan efek investasi tambahan dalam pengendalian
preventif, detektif dan korektif.

3. B. Memahami Serangan Yang Ditargetkan
Meskipun banyak keamanan informasi, seperti virus, worm, bencana alam,
kegagalan perangkat keras, dan kesalahan manusia yang seringnya merupakan kejadian
acak (tidak ditargetkan), organisasi juga sering kali menjadi sasaran dari serangan yang
disengaja. Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang
sistem informasi suatu perusahaan antara lain:
1. Melakukan pengintaian (conduct reconnaissance)
Penyerang mempelajari sebanyak mungkin tentang target serta mengidentifikasikan
kerentanan potensial.
2. Mengupayakan rekayasa sosial (attemp social engineering)
Penyerang menggunakan tipuan untuk mendapatkan akses tanpa izin terhadap
sumber daya informasi.
3. Memindai dan memetakan target (scan and map the target)
Penyerang melakukan lebih banyak pengintaian terperinci untuk mengidentifikasi
titik-titik potensial entri jarak jauh. Penyerang menggunakan berbagai alat otomatis
untuk mengidentifikasi computer yang dapat dikendalikan dari jarak jauh serta
berbagai jenis perangkat lunak yang mereka jalankan.
4. Penelitian (research)
Penyerang melakukan penelitian untuk menemukan kerentanan yang terdeteksi
pada program-program serta mempelajari bagaimana memanfaatkan kerentanan
tersebut.
5. Mengeksekusi serangan (execute the attack)
Penyerang memanfaatkan kerentanan untuk mendapatkan akses tanpa izin terhadap
sistem informasi target.
6. Menutupi jejak (cover tracks)
Penyerang berupaya untuk menutupi jejak mereka dan menciptakan “pintu
belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan
awal mereka telah diketahui.

4. II. Tipe-Tipe Pengendalian
A. Pengendalian Preventif
Pengendalian preventif yang digunakan organisasi secara umum digunakan untuk
membatasi akses terhadap sumber daya informasi. Berbagai pengendalian preventif
tersebut selaras bersamaan seperti kepingan-kepingan puzzle yang menyediakan
defense-in-depth secara kolektif. Meskipun seluruh kepingan penting, komponen
“orang-orang” adalah yang paling penting.
1) Orang-orang: Penciptaan Sebuah Budaya “Sadar-Keamanan”
COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai
salah satu dari fasilitator kritis untuk keamanan informasi yang efektif. Untuk
menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan
keorganisasian, manajemen puncak tidak hanya harus mengomunikasikan kebijakan
keamanan organisasi, tetapi juga harus memandu dengan mencontohkannya. Para
pegawai cenderung patuh dengan kebijakan keamanan informasi ketika mereka
melihat manajer mereka yang melakukannya.
2) Orang-orang: Pelatihan
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah
fasilitator kritis lainnya untuk keamanan informasi yang efektif. Para pegawai harus
memahami cara untuk mengikuti kebijakan keamanan organisasi. Oleh karena itu,
pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh pegawai harus
diajarkan tentang pentingnya ukuran-ukuran keamanan bagi kebertahanan jangka
panjang organisasi.
Mereka juga perlu dilatih untuk mengikuti praktik-praktik komputasi yang
aman. Pelatihan penting dilakukan untuk melatih para pegawai tentang serangan
rekayasa sosial. Pelatihan kesadaran keamanan penting pula bagi manajemen senior
karena pada tahun-tahun belakangan ini, banyak serangan rekayasa sosial.
Pelatihan professional keamanan informasi juga merupakan hal yang tak kalah
penting. Perkembangan teknologi saat ini, secara berkelanjutan menciptakan
ancaman keamanan baru dan membuat solusi lama menjadi usang. Dengan demikian,
penting bagi organisasi untuk mendukung kelanjutan edukasi profesional untuk
spesialis keamanan mereka.
3) Proses: Pengendalian Akses Pengguna (User Access Controls)
Penerapan praktik manajemen COBIT 5 DSS05.04 melibatkan penggunaan atas
dua jenis pengendalian akses pengguna yang saling berhubungan satu sama lain,
yaitu :
a. Pengendalian Autentikasi
Autentikasi (authentication) adalah proses verifikasi identitas seseorang atau
perangkat yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan
bahwa hanya pengguna sah yang dapat mengakses sistem.

5. Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas
seseorang :
1. Sesuatu yang mereka ketahui, seperti kata sandi atau personal identification
number (PIN).
2. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID.
3. Beberapa karakteristik fisik atau perilaku, seperti sidik jari atau pola tulisan.
Meskipun tidak satupun dari ketiga tanda bukti autentikasi, yang dengan
sendirinya sangat mudah digunakan, penggunaan dua atau semua tiga jenis secara
bersamaan yang disebut autentikasi multifaktor cukup efektif. Dalam beberapa
situasi, dapat dilakukan autentikasi multimodal yang menggunakan berbagai tanda
bukti dari jenis yang sama untuk meningkatkan keamanan.
b. Pengendalian Otorisasi
Otorisasi (authorization) adalah proses memperketat akses dari pengguna sah
terhadap bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang
diperbolehkan untuk dilakukan. Tujuannya adalah untuk menyusun hak serta
keistimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan
tugas yang tepat.
Pengendalian otorisasi biasanya diimplementasikan dengan menciptakan
matriks pengendalian akses (access control matrix). Kemudian, ketika seorang
pegawai berusaha mengakses sumber daya sistem informasi tertentu, sistem akan
melakukan sebuah uji kompatibilitas (compatibility test) yang mencocokkan tanda
bukti autentikasi pengguna dengan matriks pengendalian akses untuk menentukan
sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber daya dan
melakukan tindakan yang diminta.
Penting untuk memperbarui secara teratur matriks pengendalian akses agar
merefleksikan perubahan pada tugas pekerjaan karena promosi atau pemindahan.
Informasi yang terdapat di dalam sebuah matriks pengendalian akses digunakan
unntuk mengimplementasikan pengendalian otorisasi pada sistem ERP.
Contoh Matriks Pengendalian Akses
Pengguna File Program
ID Pengguna A B C 1 2 3 4
NHale 0 0 1 0 0 0 0
JPJones 0 2 0 0 0 0 1
BArnold 1 1 0 1 1 0 0
.... .... .... .... .... .... ....
Kode untuk akses File : Kode untuk akses program
0 = Tidak Ada Akses 0 = Tidak Ada Akses
1 = Hanya baca/tampilkan 1 = Eksekusi
2 = Hanya baca/tampilkan dan perbarui
3 = Baca/tampilkan, perbarui, buat, dan hapus
Dalam setiap peran pegawai, sistem memberikan nomor kombinasi yang
sudah ditentukan sebelumnya atas izin untuk melakukan pembatasan akses umum.
Sangat mungkin untuk mencapai pengendalian dan pemisahan tugas yang lebih

6. besar dengan menggunakan sistem manajemen proses bisnis guna melekatkan
otorisasi ke dalam proses bisnis yang otomatis daripada tergantung pada matriks
pengendalian akses yang statis. Pengendalian otorisasi juga dapat diterapkan tidak
hanya untuk orang, tetapi juga pada perangkat yang merupakan cara lain ketika
defense-in-depth meningkatkan keamanan.
4) Solusi TI : Pengendalian Antimalware
Malware (virus, worm, perangkat lunak keystroke logging, dsb.) adalah ancaman
besar yang dapat menghancurkan informasi atau akses tanpa izin. COBIT 5
DSS05.01 yang mendaftar perlindungan malware sebagai salah satu kunci keamanan
yang efektif merekomendasikan:
1. Edukasi kesadaran perangkat lunak jahat.
2. Pemasangan alat anti-malware pada seluruh perangkat.
3. Manajemen terpusat atas sejumlah patch dan memperbaharui perangkat lunak
anti-malware.
4. Tinjauan teratur atas ancaman malware baru
5. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial
6. Melatih pegawai untuk tidak memasang perangkat yang dibagikan atau tidak
disetujui.
5) Pengendalian Akses Jaringan (Network Access Controls)
a. Pertahanan Perimeter : Router, Firewall dan Sistem Pencegahan Gangguan
Sebuah perangkat yang disebut dengan border router menghubungkan sistem
informasi sebuah organisasi ke internet. Dibalik border router terdapat firewall
utama, yang dapat menjadi perangkat keras bertujuan khusus atau perangkat lunak
yang bekerja pada sebuah komputer bertujuan umum yang mengendalikan baik
komunikasi masuk maupun keluar antara sistem di balik firewall dan jaringan
lainnya.
Demilitarized zone (DMZ) adalah sebuah jaringan terpisahyang berada di luar
sistem informasi organisasi serta mengizinkan akses yang dikendalikan dari
internet untuk memilih sumber daya. Secara bersamaan, border router dan
firewall bertindak sebagai penyaring untuk mengendalikan informasi apa yang
diizinkan untuk masuk dan keluar dari sistem informasi organisasi.
b. Tinjauan menyeluruh TCP/IP dan Ethernet
Saat kita mengirimkan sebuah file, file dipecah ke dalam seri-seri potongan
kecil yang dikirim secara individu dan disusun ulang selama pengiriman. Setiap
jaringan area lokal menggunakan Ethernet untuk mentransmisikan informasi
dalam paket-paket dengan ukuran maksimum 1.440 bit.
Meski demikian, kebanyakan file berukuran lebih besar dari 1 MB, sehingga
sejumlah file dibagi ke dalam ribuan paket. Masing-masing paket harus dilabeli
dengan tepat agar seluruh file dapat disusun ulang dengan benar sesuai tujuan.
Informasi yang dikerjakan adalah informasi yang dimuat pada header
Transmission Control Protocol (TCP), Internet Protocol (IP), dan Ethernet.
Header TCP berisi bidang-bidang yang merinci posisi berurutan dari paket yang
berkaitan dengan keseluruhan file dan port number (alamat) pada perangkat-

7. perangkat pengiriman dan penerimaan dari asal file hingga ke mana file disusun
kembali.
Header IP berisi bidang-bidang yang merinci alamat jaringan (alamat IP) dari
perangkat pengiriman dan penerimaan. Router adalah perangkat bertujuan khusus
yang didesain untuk membaca bagian alamat sumber dan tujuan pada header paket
IP untuk memutuskan kemana akan mengirim (rute) paket selanjutnya. Header
Ethernet berisi alamat MAC perangkat pengiriman dan penerimaan yang
digunakan untuk mengendalikan aliran lalu lintas pada local area network (LAN).
Contoh Arsitektur Jaringan Keorganisasian
c. Mengendalikan Akses dengan Paket Penyaringan
Border router dan firewall utama organisasi menggunakan seperangkat aturan
IF-THEN, disebut access control list (ACL) yang digunakan untuk menentukan
tindakan yang dilakukan pada paket yang tiba. Penyaringan paket (packet
filtering) yaitu sebuah proses yang menggunakan berbagai bagian pada header IP
dan TCP paket untuk memutuskan tindakan yang dilakukan pada paket.
Kemudian, dilakukan pemeriksaan data fisik sebuah paket TCP untuk
mengendalikan lalu lintas yang disebut deep packet inspection. Pada saat router
dan firewall memeriksa paket individu, sistem pencegah gangguan (intrusion
prevention system-IPS) jaringan mengawasi pola-pola pada arus lalu lintas untuk
mengidentifikasi dan mengeblok serangan secara otomatis.
d. Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan
Salah satu dimensi dari konsep defense-in-depth adalah penggunakan multi-
firewall internal untuk membuat segmentasi departemen berbeda di dalam
organisasi. Firewall internal membantu untuk mempersempit jenis data dan porsi
sistem informasi sebuah organisasi yang dapat diakses seorang pegawai tertentu.
Hal ini tidak hanya meningkatkan keamanan, tetapi juga memperkuat

8. pengendalian internal dengan menyediakan sebuah sarana untuk melaksanakan
pemisahan tugas.
e. Mengamankan Koneksi Dial-Up
Remote Aunthetication Dial-in User Service (RADIUS) adalah sebuah
metode standar untuk memverifikasi identitas pengguna yang berupaya untuk
terhubung melalui akses dial-in. Selain itu, sebuah modem yang tidak diotorisasi
(“rogue”) terhubung pada stasiun kerja desktop seorang pegawai dapat
menciptakan “pintu belakang” yang sering kali dapat diserang karena sebuah
sistem yang tidak terlindungi dengan baik. Cara untuk mengatasinya adalah
menggunakan perangkat lunak war dialing untuk menghubungi setiap nomor
telepon yang ditentukan oleh organisasi guna mengidentifikasi nomor yang
terhubung dengan modem.
f. Mengamankan Akses Nirkabel
Prosedur yang yang perlu diikuti untuk mengamankan akses nirkabel secara
memadai adalah sebagai berikut :
1. Menyalakan fitur keamanan yang tersedia.
2. Membuktikan keabsahan seluruh perangkat yang digunakan sebelum
menentukan sebuah alamat IP untuk mereka.
3. Mengatur seluruh perangkat nirkabel agar hanya agar hanya beroperasi pada
modus infrastuktur yang memaksa perangkat untuk hanya terhubung ke titik
akses nirkabel.
4. Menggunakan nama yang noninformatif sebagai alamat titik akses yang
disebut dengan service set identifier (SSID).
5. Mengurangi kekuatan publikasi dari titik akses nirkabel.
6. Mengenkripsi seluruh lalu lintas nirkabel.
Terakhir, seperti halnya kasus modem, lebih mudah dan murah bagi para
pegawai untuk membangun titik akses nirkabel tanpa izin di kantor mereka. Oleh
karena itu, staf keamanan informasi atau audit internal secara periodik harus
menguji keberadaan titik akses nirkabel rogue, mematikan yang ditemukan, dan
secara tepat mendisiplinkan para pegawai yang bertanggung jawab atas
pemasangannya.
6) Pengendalian Pengukuhan Peralatan dan Perangkat Lunak (Device and Software
Hardening Controls)
 Konfigurasi Endpoint
Endpoint merupakan istilah kolektif untuk stasiun kerja, server, printer, dan
perangkat lain yang meliputi jaringan organsasi. Endpoint dapat dibuat lebih aman
dengan memodifikasi konfigurasinya. Setiap program yang berjalan menunjukkan
titik serangan potensial karena ia kemungkinan memiliki kerusakan, disebut
kerentanan (vulnerability) yang dapat dimanfaatkan baik untuk merusak sistem
maupun mengambil kendalinya.
Oleh karena itu, setiap program dan fitur opsional yang tidak digunakan
seharusnya dimatikan. Alat-alat yang disebut pemindai kerentanan (vulnerabilities
scanners) dapat digunakan untuk mengidentifikasi program yang tidak digunakan,
sehingga tidak memerlukan program yang menunjukkan ancaman keamanan
potensial.

9. Proses memodifikasi konfigurasi dasar endpoint untuk mengeliminasi
pengaturan dan layanan yang tidak diperlukan disebut pengukuhan (hardening).
Sebagai tambahan untuk pengukuhan, setiap endpoint perlu menjalankan
perangkat lunak antivirus dan firewall yang diperbarui secara teratur. Pengukuhan
tersebut juga diperlukan untuk memasang perangkat lunak pencegahan gangguan
langsung pada endpoint untuk mencegah upaya tanpa izin guna mengubah
konfigurasi pengukuhan perangkat.
 Manajemen Akun Pengguna
Praktik manajemen COBIT 5 DSS05.04 menekankan kebutuhan untuk secara
hati-hati mengelola seluruh akun pengguna, terutama akun-akun yang memiliki
hak tak terbatas (administratif) pada komputer. Hak administratif dibutuhkan
untuk memasang perangkat lunak dan mengubah sebagian besar pengaturan
konfigurasi.
 Desain Perangkat Lunak
Teknik-teknik pemrograman yang buruk memngaruhi tidak hanya kode
ciptaan secara internal, tetapi juga perangkat lunak yang dibeli dari pihak ketiga.
Oleh karena itu, salah satu bagian dari kerangka COBIT 5 menspesifikasikan
kebutuhan untuk mendesain keamanan secara cermat.
7) Solusi TI: Enkripsi
Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses
tanpa izin terhadap informasi sensitif.
8) Keamanan Fisik: Pengendalian Akses
Sudah menjadi hal yang mendasar untuk mengendalikan akses fisik terhadap
sumber daya informasi. Seorang penyerang yang ahli hanya membutuhkan beberapa
menit untuk akses fisik langsung tanpa pengawasan untuk menembus pengendalian
keamanan informasi yang ada. Seseorang dengan akses fisik yang tak terawasi juga
dapat menyusupkan disk “boot” khusus yang memberikan akses langsung terhadap
setiap file di komputer dan kemudian menyalin sejumlah file sensitif ke sebuah
perangkat portabel seperti USB port atau iPod. Cara lainnya, seorang penyerang
dengan akses fisik tak terawasi dapat dengan mudah memindahkan hard drive atau
bahkan mencuri seluruh komputer. COBIT 5 DSS05.05 menjelaskan praktik-praktik
terbaik mengenai pengendalian akses fisik.
Pengendalian akses fisik dimulai dari pintu masuk ke dalam gedung itu sendiri.
Segera setelah masuk ke dalam gedung, akses fisik pada ruangan-ruangan yang
menyimpan komputer juga harus dibatasi. Ruangan-ruangan tersebut harus dikunci
secara aman dan seluruh pintu masuk/keluar diawasi dengan sistem CCTV. Setelan
rumit khusus dari pengendalian akses fisik disebut sebagai jebakan –manusia (man-
trap), yaitu teknik yang melibatkan penggunaan ruangan-ruangan yang didesain
secara khusus. Ruangan-ruangan ini biasanya memiliki dua pintu, masing-masing
pintu menggunakan berbagai metode autentikasi untuk mengendalikan akses.
Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu
dibatasi untuk mencegah wiretapping. Lemari wiring yang berisi perlengkapan
telekomunikasi perlu dikunci dengan aman. Stop kontak tembok yang sedang tidak
digunakan harus diputus koneksinya secara fisik dari jaringan, untuk mencegah

10. seseorang menancapkannya ke laptop dan berupaya mengakse jaringan. Idealnya,
para pegawai sebaiknya tidak menyimpan segala informasi sensitif didalam laptop
atau perangkat pribadi lainnya.
Jika informasi keorganisasian sensitif harus disimpan di dalam laptop atau
perangkat portabel, informasi tersebut harus dienkripsi, sehingga jika perangkat
hilang atau dicuri informasi tidak akan bisa diakses. Selain itu, praktik-praktik
manajemen COBIT 5 DSS05.06 menekankan pentingnya pembatasan aksesakses
fisik ke jaringan printer karena printer sering kali menyimpan gambar-gambar
dokumen dalam hard drive-nya.
Terakhir, cara yang sangat memungkinkan untuk mencapai defense-in-depth
adalah mengintegrasikan sistem pengendalian akses fisik dan akses jarak jauh. Hal
tersebut akan mengidentifikasi kondisi yang menunjukkan adanya penerobosan
keamanan, seperti ketika seorang pengguna yang semestinya di dalam kantor secara
terus-menerus mencoba untuk masuk ke dalam sistem secara jarak jauh dari lokasi
lain yang jaraknya jauh secara geografis.
9) Pengendalian Perubahan dan Manajemen Perubahan
Pengendalian perubahan dan manajemen perubahan adalah proses formal yang
digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat
lunak, atau pada proses tidak mengurangi keandalan sistem. Beberapa karakteristik
proses pengendalian perubahan dan manajemen perubahan yang didesain dengan
baik melibatkan:
 Dokumentasi seluruh permintaan perubahan, pengidentifikasian sifat perubahan,
rasionalitasnya, tanggal permintaan, dan hasil permintaan.
 Persutujan terdokumentasi atas seluruh permintaan perubahan dilakukan oleh
tingkat manajemen yang sesuai.
 Pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah, bukan
hanyayang digunakan untuk proses bisnis harian.
 Pengendalian konversi memastikan memastikan bahwa data ditransfer secara
akurat dan lengkap daei sistem lama ke sistem baru. Para auditor internal harus
meninjau proses konversi.
 Pembaruan seluruh dokumentasi (instruksi program, deskripsi sistem, manual
prosedur, dsb.) untuk menunjukkan implementasi perubahan terbaru.
 Sebuah proses khusus untuk peninjauan, persetujuan, dan dokumentasi secara
tepat waktu atas “perubahan darurat” segera setelah krisis terjadi.
 Pengembangan dan dokumentasi rencana “mundur untuk mempermudah
pengembalian ke konfigurasi sebelumnya jika perubahan baru dapat menciptakan
masalah yang tidak diharapkan.
 Pengawasan dan peninjauan dengan cermat atas hak dan keistimewaan pengguna
selama proses perubahan untuk memastikan bahwa pemisahan tugas yang sesuai
telah ditetapkan.

11. B. Pengendalian Detektif
1) Analisis Log
Analisis log (log analysis) adalah proses pemeriksaan log untuk
mengidentifikasi bukti kemungkinan serangan. Catatan log dibuat secara rutin kapan
saja sesuai terjadinya peristiwa. Log-log tersebut juga perlu dianalisis secara teratur
untuk mendeteksi masalah secara tepat waktu. Hal ini tentunya memerlukan
pertimbangan manusia untuk mengartikan laporan dan mengidentifikasi situasi yang
tidak “normal”.
2) Sistem Deteksi Gangguan
Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah sistem
jaringan terdiri atas satu set sensor dan unit pengawasan pusat (central monitoring
unit) yang menghasilkan log dari seluruh lalu lintas yang diizinkan untuk melewati
firewall dan kemudian menganalisis log-log tersebut sebagai tanda atas gangguan
yang diupayakan atau yang berhasil dilakukan.
3) Pengujian Penetrasi
Uji penetrasi (penetration test) adalah upaya terotorisasioleh baik tim audit
internal maupun kantor konsultasi keamanan eksternal untuk menerobos kedalam
sistem informasi organisasi.
4) Pengawasan Berkelanjutan
Praktik manajemen COBIT 5 menekankan pentingnya pengawasan
berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan informasi
organisasi serta kinerja keseluruhan proses bisnis. Pengawasan tersebut merupakan
pengendalian detektif penting untuk mengidentifikasi masalah potensial secara tepat
waktu.
C. Pengendalian Korektif
1) Computer Incident Response Team (CIRT)
Sebuah komponen utama agar mampu merespons insiden keamanan dengan
tepat dan efektif adalah tim perespons insiden komputer (computer incident response
team – CIRT). Sebuah CIRT harus mengarahkan proses respons insiden organisasi
melalui empat tahapan berikut:
1. Pemberitahuan (recognition) adanya sebuah masalah.
Biasanya, ini terjadi ketika sebuah IPS dan IDS memberi sinyal, tetapi juga
dapat berasal dari hasil analisis log yang dilakukan oleh administrator sistem.
2. Penahanan (containment) masalah.
Segera setelah gangguan terdeteksi, tindakan yang tepat diperlukan untuk
menghentikan gangguan dan menahan bahaya.
3. Pemulihan (recovery).
Bahaya yang disebabkan oleh serangan harus diperbaiki dengan melibatkan
penyimpanan ulang data dari backup serta pemasangan ulang program-program
yang rusak.
4. Tindak lanjut (follow up).
CIRT harus memimpin analisis bagaimana insiden terjadi. Keputusan penting
yang perlu dibuat adalah apakah akan mengupayakan untuk menangkap dan
menghukum pelaku perusakan. Jika organisasi memutuskan bahwa ia ingin
menuntut pelaku, perusahaan perlu melibatkan pakar forensik untuk memastikan

12. bahwa seluruh bukti dapat dikumpulkan dan dikelola dengan cara yang
membuatnya dapat diterima secara administratif di pengadilan.
2) Chief Information Security Officer (CISO)
Posisi CISO harus independen dari fungsi-fungsi sistem informasi lainnya serta
harus melapor baik ke chief executive officer (CEO) maupun chief information
officer (CIO) untuk mendesain, mengimplementasi, serta membangun kebijakan dan
prosedur keamanan yang baik. Oleh karena itu, CISO harus memiliki tanggung
jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara
teratur serta audit keamanan dilakukan secara periodik. CISO juga perlu bekerja
sama dengan pihak yang berwenang atas keamanan fisik, karena akses fisik tanpa
izin dapat memungkinkan penyusup untuk menerobos pengendalian akses logis yang
paling rumit.
3) Manajemen Patch
Peningkatan terus-menerus atas ukuran dan kompleksitas program perangkat
lunak memuat sejumlah kerentanan. Oleh karena itu, setelah sebuah kerentanan
teridentifikasi, penting untuk mengambil langkah secara tepat waktu sebelum sebuah
exploit muncul, yaitu sebuah program yang didesain untuk memanfaatkan adanya
kerentanan yang terdeteksi. Patch adalah kode yang dirilis pengembang perangkat
lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk
secara teratur menerapkan patch dan memperbarui perangkat lunak yang digunakan
oleh organisasi.
III.Prinsip-Prinsip The Five Trust
Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang
berkontribusi secara bersamaan terhadap kendala sistem:
1. Keamanan (security) - akses (baik fisik maupun logis) terhadap sistem dan data di
dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality) – informasi keorganisasian yang sensitif terlindungi dari
pengungkapan yang tanpa izin.
3. Privasi (privacy) – informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan
kerja hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) – data diproses secara akurat, lengkap,
tepat waktu, dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability) – sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.

13. IV.Konsep Sistem Keamanan informasi Pada Perusahaan Pertamina EP Region Jawa
Keamanan data informasi elektronik menjadi hal yang sangat penting bagi perusahaan
yang mengunakan fasilitas TI dan menempatkannya sebagai insfrastruktur penting. Sebab
data/informasi adalah asset bagi perusahaan tersebut.
Dalam kajian ini akan membahas tentang pengklasifikasian dan pengamanan
informasi karena seringkali regulasi organisasi melukakan usaha pengklasifikasian dan
pengamanan informasi adalah karena mandatregulasi kebijakan organisasi. Sebagai contoh
adalah informasi financial dalam organisasi perbankan yang mau tidak mau harus di
berikan proteksi dengan level tertentu, agar bank-nya tetap di percaya nasabah. Organisasi
lainnya melakukan usaha pengklasifikasian dan pengamanannya informasi adalah karena
adanya perjanjian kontrak untuk melindungi informasi dengan konsumennya atau mitra
bisnisnya. Pengendalian adalah cara yang si pilih untuk menyingkirkan resiko atau
meminimalkan resiko ke level yang dapat di terima, berikut adalah 10 Penjabaran Klausula
pengendalian:
1. Kebijakan pengamanan (Security Police) mengarahkan visi dan misi manajemen agar
kelangsungan organisasi dapat di pertahankan dengan mengamankan dan menjaga
integritas / keutuhan data / informasi penting yang dimiliki oleh perusahaan. kebijakan
pengamanan sangat diperlukan mengingat banyaknya masalah-masalah non teknis
seperti penggunaan password oleh lebih dari satu orang yang menunjukkan tidak
adanya kepatuhan dalam menjalankan system keamanan informasi. Kebijakan
pengamanan ini meli[uti aspek infrstuktur dan regulasi keamanan informasi, dimana
dengan melakukan inventaris data-data perusahaan. Selanjutnya di buat regulasi yang
melibatkan banyak departemen, sehingga peraturan yang akan di buat tersebut dapat di
terima oleh semua pihak.
2. Pengendalian Akses Sistem (Sistem Akses Control). Mengendalikan atau membatasi
akses user terhadap informasi-informasi dengan cara mengatur kewenangannya,
termasuk pengendalian secara mobile computing ataupun telenetworking. Mengontrol
tata cara akses terhadap informasi dan sumber daya yang ada meliputi berbagai aspek
seperti:
a. Persyaratan bisnis untuk kendali akses
b. Pengelolaan akses user (User Access Management)
c. Kesadaran keamanan informasi (User Responsibilities)
d. Kendali akses ke jaringan (Network Access Control)
e. Kendali akses terhadap system operasi (Operating System Access Control)
f. Akses terhadap aplikasi (Application Access Management)
g. Pengawasan dan penggunaan akses system (Monitoring System Access dan Use)
h. Mobile computing and Telenetworking.
3. Menyediakan perlindungan terhadap insfrastuctur system informasi melalui perawatan
dan pemeriksaan berkala, serta memastikan ketersediaan panduan system yang
terdokumentasi dan di komunikasikan guna menghindari kesalahan operational.
Pengaturan tentang alur komunikasi dan operasi yang mungkin terjadi seperti:
- Prosedur dan tanggung jawab operasional
- Perencanaan dan penerimaan system
- Perlindungan terhadap software jahat (malicious software)
- Housekepping

14. - Pengelolaan network
- Pengamanan dan pemeliharaan media
- Pertukaran informasi dan software
4. Pengembangan dan pemeliharaan system, memastikan bahwa system operasi maupun
aplikasi yang baru diimpletasikan mampu bersinergi melalui verifikasi dan validasi.
5. Pengamanan fisik dan lingkungan, mencegah hilangnya atau kerusakan data yang di
akibatkan oleh lingkungan fisik, termasuk bencana alam dan pencurian data yang
tersimpan dalam media penyimpanan atau dalam fasilitas penyimpanan informasi
yang lain.
6. Penyesuaian, memastikan impletasi kebijakan keamanan selaras dengan peraturan dan
perundangan yang berlaku, termasuk perjanjian kontrak melalui audit system secara
berkala
7. Keamanan personel / sumber daya manusia. Upaya mengurangi resiko dari
penyalahgunaan fungsi dan wewenang akibat kesalahan manusia, manipulasi data
dalam pengoperasian system serta aplikasi oleh user. Kegiatan yang dilakukan
diantaranya adalah pelatihan-pelatihan mengenai kesadaran informasi agar setiap user
mampu menjaga keamanan data dan informasi dalam lingkungan kerja masing-
masing.
8. Organisasi keamanan, memelihara keamanan informasi secara global pada suatu
organisasi atau instansi, memelihara dan menjaga keutuhan system informasi yang
dilakukan oleh pihak eksternal, termasuk pengendalian terhadap peolahan informasi
yang dilakukan oleh pihak ketiga (mis: Outsourcing).
9. Klasifikasi dan pengendalian asset, memeberikan perlingdungan terhadap asset
perusahaan yang berupa asset informasi berdasarkan tingkat perlindungan yang telah
di tentukan. Perlindungan asset ini meliputi accountability for asset dan klasifikasi
informasi.
10. Pengelolaaan kelangsungan usaha, siaga terhadap resiko yang menungkingkan
timbunya major failure atau kegagalan system utama. Sehingga di perlukan
pengaturan dan pengelolaan untuk kelangsungan proses bisnis, dengan
mempertimbangkan semua aspek dari business manajemen.

15. Daftar Pustaka :
Fitri, Amelia, 2011, https://www.slideshare.net/AmeliaFitri1/konsep-sistem-keamana-
apertamian, (12 April 2018, jam 12.30)
Romney, Marshall B., dan Paul John Steinbart, 2014, Sistem Informasi Akuntansi, Edisi 13,
Salemba Empat, Jakarta.