YUFI MAHENDRA WARDANA-12312043 CHAPTER 8: INFORMATION SYSTEMS CONTROL FOR SYSTEM RELIABILITY-PART 1: INFORMATION SECURITY
Pada masa globalisasi ini Kehidupan kita tidak lepas dari Teknologi Informasi, Pada bidangnnya tentu manajemen membutuhkan informasi yang efektif dan dengan cost yang sedikit. Cobit framework yang ditemukan oleh ICASA menyajikan pandangan komprehensif tentang pengontrolan sistem. Di dalamnya memperlihatkan keberhasilan dalam control terhadapp IT untuk membawa informasi kepada manajemen yang mana memiliki beberapa kriteria, yang pertama adalah efektif yakni informasi tepat dan tepat waktu, efisien, informasi harus menghasilkan cost yang efektif, Confidentiallity yakni harus dijaga dengan baik, Integrity yakni informasi harus akurat dan komplit, avaibillity yang mana berarti harus mudah diakses kapan saja, compliance yaitu penjaminan atas internal dan eksternal legal. Selanjutnya adalah reabillity, manajemen harus bisa akses informasi yang cocok untuk menjalankan aktifitas sehari-hari. Proses yang mengakibatkan informasi di atas adalah dapat dikategorikan sebagai aktifitas manajemen sebagai berikut, yang pertama adalah Plan and Organize yakni proses penting untuk mendesain dan mengatur sistem informasi orgainisasi, yang kedua Acquire and Implement menjelaskan tentang proses pengaturan dan penginstalan solusi teknologi. Deliver and Support adalah suatu proses yang mengedepankan efektif dan efisiensi system informasi operasi dan membawa informasi yang dibutuhkan oleh manajemen, Kemudian adalah Monitor and Evaluate, yakni memeriksa operasi dan system informasi sistem. AICPA menyatakan bahwa terdapat 5 fundamental prinsip servis terpercaya yang berkontribusi kepada semua objek dari system yakni, Security, Confidentiallity, Privacy, Processing Integrity, Availability. Berikut adalah bentuk hubungan dari 5 fundamentalnya.
Systems Reliability Confidentality
Privacy
Processing Integrity
Security
Avaibility
YUFI MAHENDRA WARDANA-12312043
Dua Fundamental Sistem Pengamanan Informasi 1. Pengamanan adalah keluaran dari pihak manajemen, bukan dari keluaran teknologi Aktivitasnya seperti, membuat dan memelihara budaya pengetahuan keamanan, Menaksir resiko dan memilih respon terhadap suatu resiko, dan lain-lain. 2. Model Pertahanan terdalam dan berdasar waktu dari Keamanan Informasi Defense in Depth adalah control berlapis yang bertujuan mengurangi poin kegagalan, dan Time Based yakni manajemen mengindentifikasi mana kos yang paling efektif untuk meningkatkan keamanan dengan membandingkan dengan efek-efek tertentu. Mengerti target Penyerangan, adalah Conduct reconnaissance, objektif dari ini adalah mempelajari sebanyak mungkin apa yang dapat menjadi target untuk mengidentifikasi system yang mudah diserang. Selanjutnya adalah Attempt social engineering dimana penyerang akan berusahan menggunakan informasi palsu yang digunakan selama pengintaian untuk melakukan kejahatan terhadap korban, Scan and map the target yakni penyerang menggunakan macam-macam tools untuk mengidentifikasi computer yang dapat dikendalikan aksesnya dan tipe software yang dijalankan, Research adalah bagaimana untuk memperoleh peluang dari mana yang menjadi kelengahan, Execute the attack, cover tracks bisa dibilang untuk melinfungi jejaknya dan membuat “back door”. door”. Penjelasan dapat ditemui di buku Romney halaman 244. Dari penjelasan di atas dapat diketahui bagaimana kejahatan menyerang system informasi organiasi. Ada 3 cara untuk mengatasi resiko dari penyerangan terhadap sistem. Yang pertama adalah preventive control misalnya adalah pelatihab, Usser acces control, Kontrol Akses fisik, Kontrol terhadap akses Jaringan, dan sebagainya, sedangkan dari Detective control yaitu adalah Log analisis, Intrusion detection systems, security testing dan audit, dan manajerial report. Pada Corrective control adalah Computer incident response teams, Chief Information security officer, dan Patch management.
