Post on 15-Apr-2017
PERTEMUAN VIII :
Pengendalian Sistem
Informasi Berbasis Komputer
Mahasiswa mampu menjelaskan konsep
keamanan informasi serta tipe2 kontrol untuk
keandalan sistem informasi , konsep COBIT’s
Framework
Chapter 8
Information
Security
Introduction
Security
Concepts
Targeted
Attacks
Preventive
Control
Detective
Control
Corective
Control
Virtualization
and the
cloud
Co
bit
Fra
me
wo
rk
Trust Services Framework
Security Concepts
• Keamanan sistem adalah masalah
manajemen, bukan masalah teknologi semata.
• Untuk menjamin keamanan sistem diperlukan
defense-in-depth dan time-based model of
security
Defense-in-depth
Penggunaan berbagai lapisan pengendalian untuk menghindari
kegagalan sistem
Time-based Model of Security
P > D + C
P waktu yang diperlukan untuk
menerobos pengendalian preventif
organisasi
D Waktu yang diperlukan untuk
mendeteksi sebuah serangan sedang
berlangsung
C Waktu yang diperlukan untuk
mengambil tindakan atas serangan
yang terjadi
Pengertian
Penggunaan kombinasi tiga
jenis perlindungan untuk
melindungi aset informasi
sehingga memungkinkan
sistem untuk mengenali dan
mengambil langkah untuk
menggagalkan serangan
yang terjadi
Understand Targeted Attacks
Langkah yang dilakukan penjahat untuk
menyerang suatu sistem informasi :
PengintaianSocial
Engineering
Pindai danmemetakan
target
ResearchEksekusiserangan
Menutupijejak
Preventive Control
Training
Pengendalian
User Access:
• Authentication
• Authorization
Pengendalian
Network Access :
• Firewalls
• Intrution
prevention
system
Pengendalian
Physical Access:
• Locks
• Guards
Network Access Control
Detective Control
Pemeriksaan log
untuk
mengidentifikasi
bukti
kemungkinan
serangan
Log Analysis
Sistem yang
menghasilkan
sejumlah log dari
lalu lintas
jaringan yang
melewati firewall
dan
menganalisisnya
untuk
mengetahui
adanya gangguan
Intrusion
Detection System
Intrusion
Detection System
Uji terotorisasi
untuk menerobos
ke dalam sistem
informasi
Penetration Test
Laporan berisi
jumlah gangguan,
user yang tidak
memenuhi
standar
password, kunci/
pengamanan
yang terbobol
Managerial
Reports
Managerial
Reports
Log Analysis
Intrusion Detection System
Corrective Control
Tim yang
bertanggungjawab
untuk mengatasi
insiden keamanan
utama
Computer Incident
Response Team (CIRT)
• Harus independen
• Memahami
lingkungan
teknologi
• Mampu menjadi
penilai dan
pengevaluasi IT
• Bekerjasama
dengan CIO
mendesain prosedur
keamanan yang baik
Chief Information
Security Officer (CISO)
Proses menerapkan
patch secara teratur
dan memperbarui
perangkat lunak
Patch Management
Tim yang
bertanggungjawab
untuk mengatasi
insiden keamanan
utama
Computer Incident
Response Team (CIRT)
• Harus independen
• Memahami
lingkungan
teknologi
• Mampu menjadi
penilai dan
pengevaluasi IT
• Bekerjasama
dengan CIO
mendesain prosedur
keamanan yang baik
Chief Information
Security Officer (CISO)
Virtualisation dan Cloud Computing
Virtualisation
Menjalankan berbagai sistem
secara bersamaan dalam satu
komputer fisik
Cloud Computing
Penggunaan browser untuk
mengakses perangkat lunak,
penyimpanan data, perangkat
keras dan aplikasi dari jarak
jauh
Chapter 9
Introduction
Pre
serv
ing
Co
nfid
en
tiality
Privacy
En
cry
pti
on
Preserving Confidentiality
Identifikasi danklasifikasi informasi
Enkripsi
Pelatihan Pengendalian akses
Penjagaankerahasiaandan privasi
Information Right Managements
Perangkat lunak yang menawarkan kemampuan
membatasi akses terhadap file, seperti baca,
salin, cetak, unduh.
Data Loss Prevention
Perangkat lunak yang bekerja seperti antivirus secara terbalik
dengan memblok pesan keluar (email, social media, IM dll) yang
mengandung frase kunci yang terkait dengan kekayaan
intelektual atau data sensitif yang ingin dilindungi organisasi
Digital Watermark
Kode yang terkandung dalam dokumen yang
memungkinkan pihak tertentu untuk
mengidentifikasi informasi rahasia yang telah
diungkapkan
Privacy
Dua permasalahan privacy
Email yang tidak diinginkan
karena mengandung konten
periklanan ataupun
penyerangan
Penggunaan identitas seseorang oleh
pihak lain yang tidak berhak untuk
keuntungan ekonomi
Data MaskingProgram yang
melindungi privasi
dengan mengganti
informasi pribadi
dengan nilai-nilai
palsu
Generally Accepted Privacy Principles
Encryption
Proses
mentransformasikan
teks normal (plain
text) ke bentuk yang
tidak dapat dibaca
(chiper text)
Encryption
Mengubah chiper text
kembali menjadi
plaintext
Dekripsi
Plain text yang diubah
menjadi bentuk yang
tidak dapat dibaca
menggunakan enkripsi
Chiper Text
Teks normal yang
belum dienkripsi
Plain Text
Faktor Yang Memengaruhi Kekuatan
Enkripsi
Kebijakan Mengelola
Kunci Kriptografi
Key Length
Encryption Algorithm
Symetric Encryption System
• Satu kunci rahasia
• Lebih cepat
• Kunci rahasia harus
terlindungi
• Untuk enkripsi data yang
besar
Asymetric Encryption System
• Dua Kunci (rahasia dan
publik)
• Lebih lamban
• Kunci privat harus
terlindungi
• Untuk pembuatan tanda
tangan digital
Hashing
Mengubah plaintext ke dalam kode
singkat yang disebut hash
Digital Signature
Sebuah hash yang dienkripsi dengan kunci privat milik pembuat
hash
Digital Certificate
Sebuah dokumen elektronik yang mengandung kunci
publik milik entitas dan menerangkan identitas pemilik
kunci publik tersebut
Digital Signature Vs Digital Certificate
Digital Signature Vs Digital Certificate• Anto hendak mengirim pesan ke Badu. Setelah membubuhkan digital
signature ke dalam pesan, Anto hendak mengirim kunci publiknya (PbA)
kepada Badu. Tapi saat kunci itu dikirim lewat jaringan publik, Maling
mencuri kunci PbA. Kemudian Maling menyerahkan kunci publiknya (PbM)
kepada Badu, sambil mengatakan bahwa kunci itu adalah kunci publik
milik Anto.
• Badu, karena tidak pernah memegang kunci publik Anto yang asli, percaya
saja saat menerima PbM. Saat Anto hendak mengirim dokumen yang telah
ditandatanganinya dengan kunci privatnya (PvA) kepada Badu, sekali lagi
Maling mencurinya. Tanda tangan Anto pada dokumen itu lalu dihapus,
dan kemudian Maling membubuhkan tanda tangannya dengan kunci
privatnya (PvM). Maling mengirim dokumen itu ke Badu sambil
mengatakan bahwa dokumen ini berasal dari Anto dan ditandatangani
oleh Anto. Badu kemudian memeriksa tanda tangan itu, dan mendapatkan
bahwa tanda tangan itu sah dari Anto. Tentu saja kelihatan sah, karena
Badu memeriksanya dengan kunci publik PbM, bukan dengan PbA.
Digital Signature Vs Digital Certificate
• Untuk mengatasi masalah sekuriti pendistribusian kunci publik,maka kunci publik itu ‘direkatkan’ pada suatu digital certificate.Digital certificate adalah kartu kredit elektronik yang membuatsurat kuasa anda ketika melakukan bisnis atau transaksi lainnya diWeb. Hal ini dikeluarkan oleh otoritas sertifikasi (CA).
• Digital certificate ini berisi nama anda, nomor seri, tanggalkadaluarsa, salinan kunci publik pemegang sertifikat (digunakanuntuk mengenkripsi pesan dan digital signature), dan digitalsiganture dari sertifikat sehingga penerima dapat memverifikasibahwa sertifikat tersebut benar . Beberapa digital certificate sesuaidengan standar, X.509. Digital certificate dapat disimpan dalamregistri otentikasi sehingga pengguna dapat melihat kunci publikuser lain.
Sumber : https://vier2cha.wordpress.com/definisi-digital-signature-dan-digital-certificate/
Public Key Infrastructure
Sistem untuk
menerbitkan
sepasang kunci
publik dan privat
serta sertifikat
digital terkait
Virtual Private Network
Menggunakan enkripsi dan
autentikasi untuk
mentransfer informasi
melalui internet dengan
aman sehingga
menciptakan sebuah
jaringan privat virtual
Referensi :
Accounting Information Systems 12th Edition
Marshall B. Romney
Paul John Steinbart