PENGENDALIAN UNTUK KEAMANAN INFORMASI

pada tanggal

RINGKASAN MATERI KULIAH

PENDAHULUAN


Setiap organisasi bergantung pada teknologi informasi. Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh sistem akuntansinya dapat diandalkan. Ia juga ingin tahu bahwa investasinya dalam teknologi informasi adalah hemat biaya. Meskipun kerangka kerja COSO dan COSO-ERM menyediakan cakupan luas dari pengendalian internal, tetapi tidak secara khusus membahas pengendalian atas teknologi informasi. Kerangka kerja COBIT yang dikembangkan oleh ISACA mengisi kekosongan itu. COBIT menyajikan pandangan komprehensif tentang pengendalian yang diperlukan untuk keandalan sistem.

Ini menunjukkan bahwa mencapai tujuan bisnis dan tata kelola organisasi memerlukan pengendalian yang memadai atas sumber daya TI untuk memastikan bahwa informasi yang diberikan kepada manajemen memenuhi tujuh kriteria utama:
  1. Efektivitas—informasi harus relevan dan tepat waktu.
  2. Efisiensi—informasi harus dihasilkan dengan cara yang hemat biaya.
  3. Kerahasiaan—informasi sensitif harus dilindungi dari pengungkapan yang tidak sah.
  4. Integritas—informasi harus akurat, lengkap, dan valid.
  5. Ketersediaan—informasi harus tersedia kapanpun dibutuhkan.
  6. Kepatuhan—pengendalian harus memastikan kepatuhan dengan kebijakan internal dan persyaratan hukum dan peraturan eksternal.
  7. Keandalan—manajemen harus memiliki akses ke informasi yang tepat yang diperlukan untuk melakukan kegiatan sehari-hari dan untuk melaksanakan tanggung jawab fidusia dan tata kelola.
Proses TI umum yang harus dikelola dan dikendalikan dengan baik untuk menghasilkan informasi yang memenuhi tujuh kriteria yang tercantum di atas. Proses-proses tersebut dikelompokkan menjadi empat aktivitas manajemen dasar, yang disebut COBIT sebagai domain:
  1. Merencanakan dan Mengatur (Plan and Organize—PO).
  2. Akuisisi dan Implementasi (Acquire and Imlement—AI).
  3. Memberikan dan Mendukungan (Deliver and Support—DS).
  4. Memantau dan Mengevaluasi ( Monitor and Evaluate—ME).
DUA KONSEP KEAMANAN INFORMASI FUNDAMENTAl

Keamanan Merupakan Masalah Manajemen, Bukan Hanya Masalah Teknologi

Walaupun keamanan informasi yang efektif mensyaratkan penggnaan alat-alat teknologi seperti firewell, antivirus, dan enkripsi, keterlibatan serta dukungan manajemen senior juga jelas menjadi dasar untuk keberhasilan. Para profesional keamanan informasi memiliki keahlian untuk mengidentifikasi ancaman potensial dan mengestimasi kemungkinan serta dampaknya. Manajemen senior harus berpastisipasi dalam pengembangan kebijakan karena mereka harus memutuskan sanksi yang akan diberikan terhadap tindakan ketidakpatuhan. Sebagai tambahan, dukungan dan keterlibatan aktif dari manajemen puncak diperlukan untuk memastikan bahwa pelatihan dan komunikasi keamanan informasi dilakukan dengan serius.

Manajemen senior juga harus mengotorisasi investasi sumber daya yang diperlukan untuk mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang dikehendaki. Kemajuan dalam TI menciptakan ancaman baru dan mengubah risiko yang tercampur dengan ancaman lama. Oleh karena itu, manajemen harus secara periodik menilai ulang respon risiko organisasi dan, ketika diperlukan, membuat perubahan terhadap kebijakan keamanan informasi serta berinvestai pada solusi baru untuk memastikan bahwa upaya keamanan informasi organisasi mendukung strategi bisnisnya secara konsisten dengan kebutuhan risiko manajemen.

Defense-In-Depth dan Model Keamanan Informasi Berbasis Waktu

Gagasan dari defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari  satu poin keggalan. Penggunaan pengendaliian yang tumpang tindih, saling melenkapi, dan berulang dapat meningkatkan keseluruhan efektivitas karena jika satu pengendalian gagal atau terlewatkan maka yang lainnya dapat berfungsi seperti yang direncanakan.

Defense-in-depth secara khusus melibatkan pengunaan sebuah kombinasi dari pengendalian preventif, detektif, dan korektif. Peran pengendalian preventif adalah untuk membatasi tindakan individu tertentu agar sesuai dengan kebijakan keamanan organisasi. Meski demikian, auditor telah lama menyadari bahwa pengendalian preventif tidak pernah dapat memberikan perlindungan 100%. Dengan waktu dan sumber daya yang cukup, segala pengendalian preventif dapat dielakkan. Oleh karenanya, perlu untuk melengkapi segala pengendalian preventif dengan metode-metode untuk mendeteksi insiden dan prosedur untuk melakukan tindakan perbaikan korektif.

Mendeteksi penerobosan keamanan dan penetapan tindakan perbaikan korektif harus tepat waktu karena segera setelah pengendalian preventif diterobos, seorang penyusup dapat dengan cepat menghancurkan, membahayakan, atau mencuri sumber daya ekonomi dan informasi organisasi. Oleh karena itu, tujuan dari model keamanan berbasis waktu (time-based model of security) adalah menggunakan kombinasi perlindungan preventif, detektif dan korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak. tujuan ini dapat ditunjukkan dengan sebuah formula yang menggunakan tiga variabel berikut:

P = waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi.

D = waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses.

C = waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif.

ketiga variabel tersebut kemudian dievaluasi seperti berikut: jika P>D+C, maka prosedur keamanan organisasi efektif. jika kebalikannya, keamanan tidak efektif.





Referensi :
MARSHALL B. ROMNEY & PAUL JOHN STEINBART edisi 13 

Komentar

Posting Komentar