Chapter 8 - Controls of Information Security, accounting information system, trisakti PDF

Preview

Summary

Chapter 8Controls for Information Security (Kontrol untuk Keamanan Informasi)Pengantar Saat ini, setiap organisasi bergantung pada teknologi informasi (TI). Banyak organisasi juga memindahkan setidaknya sebagian dari sistem informasi mereka ke cloud. Manajemen menginginkan kepastian bahwa informasi ...

Description

Chapter 8

Controls for Information Security (Kontrol untuk Keamanan Informasi) Pengantar Saat ini, setiap organisasi bergantung pada teknologi informasi (TI). Banyak organisasi juga memindahkan setidaknya sebagian dari sistem informasi mereka ke cloud. Manajemen menginginkan kepastian bahwa informasi yang dihasilkan oleh sistem akuntansi organisasi itu dapat diandalkan dan juga tentang keandalan penyedia layanan cloud yang dikontraknya. Selain itu, manajemen juga menginginkan jaminan bahwa organisasi tersebut mematuhi berbagai persyaratan peraturan dan industri yang terus meningkat termasuk Sarbanes-Oxley (SOX), Undang-undang Portabilitas dan Akuntabilitas asuransi kesehatan (HIPAA), dan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS). Seperti disebutkan dalam Bab 7, COBIT 5 adalah kerangka kerja komprehensif praktik terbaik yang berkaitan dengan semua aspek tata kelola dan manajemen TI. Namun, dalam buku ini kami fokus hanya pada bagian-bagian COBIT 5 yang paling langsung berkaitan dengan keandalan sistem informasi dan kepatuhan dengan standar peraturan. Sebagai konsekuensinya, kami mengatur bab ini dan dua berikutnya tentang prinsip-prinsip dalam Kerangka Layanan Perwalian, yang dikembangkan bersama oleh AICPA dan CICA untuk memberikan panduan untuk menilai keandalan sistem informasi. Namun demikian, karena COBIT 5 adalah kerangka kerja yang diakui secara internasional yang digunakan oleh banyak organisasi, auditor dan akuntan harus terbiasa dengannya. Oleh karena itu, sepanjang diskusi kami, kami merujuk bagian COBIT 5 yang relevan yang berhubungan dengan setiap topik sehingga Anda dapat memahami bagaimana prinsip-prinsip yang berkontribusi pada keandalan sistem juga penting untuk mengelola investasi organisasi dalam TI secara efektif. Kerangka Layanan Trust mengatur kontrol terkait TI menjadi lima prinsip yang secara bersama-sama berkontribusi pada keandalan sistem: 1. Keamanan - akses (baik fisik dan logis) ke sistem dan datanya dikendalikan dan dibatasi untuk pengguna yang sah. 2. Kerahasiaan - informasi organisasi yang sensitif (mis., Rencana pemasaran, rahasia dagang) dilindungi dari pengungkapan yang tidak sah. 3. Privasi - informasi pribadi tentang pelanggan, karyawan, pemasok, atau mitra bisnis dikumpulkan, digunakan, diungkapkan, dan dipelihara hanya sesuai dengan kebijakan internal dan persyaratan peraturan eksternal dan dilindungi dari pengungkapan yang tidak sah. 4. Memproses integritas - data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang tepat. 5. Ketersediaan - sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontrak. Seperti yang ditunjukkan Gambar 8-1. Keamanan informasi adalah dasar dari keandalan sistem dan diperlukan untuk mencapai masing-masing dari empat prinsip lainnya. Prosedur keamanan informasi membatasi akses sistem hanya untuk pengguna yang berwenang. dengan demikian melindungi kerahasiaan data organisasi yang sensitif dan privasi informasi pribadi yang dikumpulkan dari pelanggan. Prosedur keamanan informasi melindungi integritas informasi dengan mencegah pengajuan transaksi yang tidak sah atau fiktif dan mencegah perubahan yang tidak sah pada data atau program yang disimpan. Akhirnya, prosedur keamanan informasi memberikan perlindungan terhadap berbagai serangan, termasuk Virus dan worm, sehingga memastikan bahwa sistem tersedia saat dibutuhkan. Akibatnya, bab ini berfokus pada keamanan informasi. Bab 9 membahas kontrol TI yang relevan untuk melindungi kerahasiaan kekayaan intelektual organisasi dan privasi informasi yang dikumpulkannya tentang pelanggan dan mitra bisnisnya. Bab 10 kemudian membahas kontrol TI yang dirancang untuk memastikan integritas dan ketersediaan informasi yang dihasilkan oleh sistem akuntansi organisasi.

Two Fundamental Information Security Concepts (Dua Konsep Keamanan Informasi Dasar) 1. SECURITY IS A MANAGEMENT ISSUE, NOT JUST A TECHNOLOGY ISSUE (KEAMANAN ADALAH MASALAH MANAJEMEN, BUKAN HANYA MASALAH TEKNOLOGI) Meskipun keamanan informasi yang efektif membutuhkan penyebaran alat teknologi seperti firewall, antivirus, dan enkripsi, keterlibatan dan dukungan manajemen senior melalui semua fase siklus hidup keamanan (lihat Gambar 82) sangat penting untuk keberhasilan. Langkah pertama dalam siklus kehidupan keamanan adalah menilai ancaman terkait keamanan informasi yang dihadapi organisasi dan memilih respons yang sesuai. Para profesional keamanan informasi memiliki keahlian untuk mengidentifikasi potensi ancaman dan memperkirakan kemungkinan dan dampaknya. Namun, manajemen senior harus memilih yang mana dari empat respons risiko yang diuraikan dalam Bab 7 (kurangi, terima, bagikan, atau hindari) yang tepat untuk diadopsi sehingga sumber daya yang dimasukkan dalam keamanan informasi mencerminkan selera risiko organisasi. Langkah 2 melibatkan pengembangan kebijakan keamanan informasi dan mengkomunikasikannya kepada semua karyawan. Manajemen senior harus berpartisipasi dalam mengembangkan kebijakan karena mereka harus memutuskan sanksi yang ingin mereka terapkan untuk ketidakpatuhan. Selain itu, dukungan aktif dan keterlibatan manajemen puncak diperlukan untuk memastikan bahwa pelatihan dan komunikasi keamanan informasi ditanggapi dengan serius. Agar efektif, komunikasi ini harus melibatkan lebih dari sekadar menyerahkan dokumen tertulis kepada orang atau mengirimi mereka pesan email dan meminta mereka menandatangani pengakuan bahwa mereka menerima dan membaca pemberitahuan. Sebagai gantinya, karyawan harus menerima pengingat berkala dan berkala tentang kebijakan keamanan dan pelatihan tentang cara mematuhinya. Langkah 3 dari siklus hidup keamanan melibatkan akuisisi atau pembangunan alat teknologi tertentu. Manajemen senior harus mengotorisasi menginvestasikan sumber daya yang diperlukan untuk mengurangi ancaman yang diidentifikasi dan mencapai tingkat keamanan yang diinginkan. Akhirnya, langkah 4 dalam siklus kehidupan keamanan memerlukan pemantauan kinerja secara teratur untuk mengevaluasi efektivitas program keamanan informasi organisasi. Kemajuan dalam IT menciptakan ancaman baru dan mengubah risiko yang terkait dengan ancaman lama. Oleh karena itu, manajemen harus secara berkala menilai kembali respons risiko organisasi dan, jika perlu, membuat perubahan pada kebijakan keamanan informasi dan berinvestasi dalam solusi baru untuk memastikan bahwa upaya keamanan informasi organisasi mendukung strategi bisnisnya dengan cara yang konsisten dengan selera risiko manajemen. 2. THE TIME-BASED MODEL OF INFORMATION SECURITY (MODEL KEAMANAN INFORMASI BERBASIS WAKTU) Tujuan dari model keamanan informasi berbasis waktu adalah untuk menggunakan kombinasi kontrol preventif, detektif, dan korektif untuk melindungi aset informasi cukup lama bagi organisasi untuk mendeteksi bahwa serangan sedang terjadi dan untuk mengambil langkah tepat waktu untuk menggagalkan serangan sebelum informasi apa pun hilang atau dikompromikan. Model keamanan informasi berbasis waktu dapat dinyatakan dalam rumus berikut: P> D + R, dimana P = waktu yang diperlukan penyerang untuk menerobos berbagai kontrol yang melindungi aset informasi organisasi D = waktu yang dibutuhkan organisasi untuk mendeteksi bahwa serangan sedang berlangsung R = waktu yang diperlukan untuk merespons dan menghentikan serangan Jika persamaan terpenuhi (mis., Jika P> D + R benar), maka informasi prosedur sea cunty organisasi efektif. Kalau tidak, keamanan tidak efektif. Organisasi berusaha untuk memenuhi tujuan model keamanan berbasis waktu dengan menerapkan defense-indepth (strategi pertahanan mendalam), yang mengharuskan penggunaan beberapa lapis kontrol untuk menghindari satu titik kegagalan. Defense-in-depth mengakui bahwa meskipun tidak ada kontrol yang dapat 100%

efektif, penggunaan kontrol yang tumpang tindih, komplementer, dan redundan meningkatkan efektivitas secara keseluruhan karena jika satu kontrol gagal atau dielakkan, yang lain mungkin berhasil. Model keamanan berbasis waktu menyediakan sarana bagi manajemen untuk mengidentifikasi pendekatan yang paling hemat biaya untuk meningkatkan keamanan dengan membandingkan efek investasi tambahan dalam pencegahan, detektif, atau kontrol korektif. Sebagai contoh, manajemen mungkin mempertimbangkan investasi $ 100.000 tambahan untuk meningkatkan keamanan. Salah satu opsi mungkin pembelian firewall baru yang akan meningkatkan nilai P dalam 10 menit. Pilihan kedua mungkin untuk meningkatkan sistem deteksi intrusi organisasi dengan cara yang akan menurunkan nilai D dalam 12 menit. Opsi ketiga mungkin berinvestasi dalam metode baru untuk merespons insiden keamanan informasi sehingga mengurangi tambang R dalam 30 menit. Dalam contoh ini, pilihan yang paling hemat biaya adalah berinvestasi dalam kontrol korektif tambahan yang memungkinkan organisasi untuk merespons serangan lebih cepat. Meskipun model keamanan berbasis waktu menyediakan dasar teoritis yang kuat untuk mengevaluasi dan mengelola praktik keamanan informasi organisasi, itu tidak boleh dilihat sebagai formula matematika yang tepat. Satu masalah adalah sulit, jika bukan tidak mungkin, untuk mendapatkan pengukuran parameter P, D, dan R. yang akurat dan andal. Selain itu, bahkan ketika nilai parameter tersebut dapat dihitung secara andal, perkembangan TI baru dapat dengan cepat mengurangi validitasnya. Sebagai contoh, penemuan kerentanan baru yang besar dapat secara efektif mengurangi nilai P menjadi nol. Akibatnya, model keamanan berbasis waktu paling baik digunakan sebagai kerangka kerja tingkat tinggi untuk analisis strategis, untuk secara jelas menggambarkan prinsip pertahanan mendalam dan kebutuhan untuk menggunakan beberapa kontrol preventif, detektif, dan korektif. Understanding Targeted Attacks (Memahami Serangan Bertarget) Meskipun banyak ancaman keamanan informasi, seperti virus, worm, bencana alam, kegagalan perangkat keras, dan kesalahan manusia seringkali merupakan peristiwa acak (tidak ditargetkan), organisasi juga sering menjadi target serangan yang disengaja. Sebelum kita membahas kontrol preventif, detektif, dan korektif yang dapat digunakan untuk mengurangi risiko intrusi sistem, akan sangat membantu untuk memahami langkah-langkah dasar yang digunakan penjahat untuk menyerang sistem informasi organisasi: 1. Conduct reconnaissance /Melakukan pengintaian. Perampok bank biasanya tidak hanya pergi ke bank dan mencoba untuk merampoknya. Sebagai gantinya, mereka pertama-tama mempelajari tata letak fisik target mereka untuk mempelajari tentang kontrol yang ada di tempatnya (alarm, jumlah penjaga, penempatan kamera, dll.). Demikian pula, penyerang komputer mulai dengan mengumpulkan informasi tentang target mereka. Membaca laporan keuangan organisasi, pengarsipan Securities and Exchange Commission (SEC), situs web, dan siaran pers dapat menghasilkan banyak informasi berharga. Tujuan dari pengintaian awal ini adalah untuk belajar sebanyak mungkin, tentang target dan untuk mengidentifikasi kerentanan potensial. 2. Attempt social engineering / Mencoba rekayasa sosial. Mengapa harus melalui semua kesulitan untuk mencoba masuk ke sistem jika Anda bisa membuat seseorang mengizinkan Anda masuk? Penyerang akan sering mencoba untuk menggunakan informasi yang diperoleh selama pengintaian awal mereka untuk "menipu" karyawan yang tidak curiga agar memberi mereka akses. Penggunaan penipuan semacam itu untuk mendapatkan akses tidak sah ke sumber daya informasi disebut sebagai rekayasa sosial. Rekayasa sosial dapat terjadi dalam beberapa cara, hanya dibatasi oleh kreativitas dan imajinasi penyerang. Serangan rekayasa sosial sering terjadi melalui telepon. Salah satu teknik umum adalah penyerang menyamar sebagai eksekutif yang tidak bisa mendapatkan akses jarak jauh ke ubin penting. Penyerang memanggil asisten administrasi yang baru disewa dan meminta orang itu untuk membantu memperoleh 6 file penting. Tipu muslihat umum lainnya adalah penyerang berpura-pura sebagai pekerja sementara yang tidak mengerti yang tidak bisa masuk ke sistem dan memanggil help desk untuk mendapatkan bantuan. Serangan rekayasa sosial juga dapat terjadi melalui email. Sebuah serangan yang sangat efektif yang

3.

4.

5. 6.

dikenal sebagai phishing tombak melibatkan pengiriman email yang konon dari seseorang yang dikenal oleh korban. E-mail tombak phishing meminta korban mengklik tautan tertanam atau membuka lampiran. Jika penerima melakukannya, program kuda Trojan dijalankan yang memungkinkan penyerang untuk mendapatkan akses ke sistem. Taktik rekayasa sosial lainnya adalah menyebarkan drive USB di tempat parkir organisasi yang ditargetkan. Karyawan yang tidak curiga atau penasaran yang mengambil drive dan menghubungkannya ke komputer mereka akan memuat program Trojan horse yang memungkinkan penyerang untuk mendapatkan akses ke sistem. Scan and map the target / Pindai dan petakan target. Jika penyerang tidak berhasil menembus sistem target melalui rekayasa sosial, langkah selanjutnya adalah melakukan pengintaian yang lebih rinci untuk mengidentifikasi titik-titik potensial dari entri jarak jauh. Penyerang menggunakan berbagai alat otomatis untuk mengidentifikasi komputer yang dapat diakses dari jarak jauh dan jenis perangkat lunak yang mereka jalankan. Research / Penelitian. Setelah penyerang telah mengidentifikasi target spesifik dan tahu versi perangkat lunak apa yang berjalan pada mereka, langkah selanjutnya adalah melakukan penelitian untuk menemukan kerentanan yang diketahui untuk program-program tersebut dan belajar bagaimana memanfaatkan kerentanan tersebut. Execute the attack / Jalankan serangan. Penjahat mengambil keuntungan dari kerentanan untuk mendapatkan akses tidak sah ke sistem informasi target. Cover tracks / Tutup jejak. Setelah menembus sistem informasi korban, kebanyakan penyerang berusaha untuk menutupi jejak mereka dan membuat "pintu belakang" yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal mereka ditemukan dan kontrol diterapkan untuk memblokir metode masuk itu.

Sekarang setelah kita memiliki pemahaman dasar tentang bagaimana para penjahat menyerang sistem informasi organisasi, kita dapat melanjutkan untuk membahas metode untuk mengurangi risiko serangan tersebut, serta ancaman acak seperti virus dan worm, akan berhasil. Bagian berikut membahas tipe utama dari kontrol preventif, detektif, dan korektif yang tercantum dalam Tabel 8-1 yang digunakan organisasi untuk memberikan keamanan informasi melalui pertahanan mendalam. Melindungi Sumber Daya Informasi Bagian ini membahas kontrol preventif, detektif, dan korektif yang tercantum dalam Tabel 8-1 yang biasanya digunakan organisasi untuk melindungi sumber daya informasi. Seperti yang diperlihatkan Gambar 8-3, berbagai kontrol pencegahan ini cocok bersama-sama seperti potongan-potongan dalam teka-teki untuk secara kolektif memberikan pertahanan yang mendalam. Meskipun semua bagian itu perlu, kami membahas komponen "orang" terlebih dahulu karena itu yang paling penting. Manajemen harus menciptakan budaya "sadar-keamanan" dan karyawan harus dilatih untuk mengikuti kebijakan keamanan dan mempraktikkan perilaku komputasi yang aman. PEOPLE: CREATION OF A “SECURITY-CONSCIOUS” CULTURE

ORANG: PENCIPTAAN BUDAYA “SECURITY-CONSCIOUS” Diskusi kerangka kerja COSO dan COSO-ERM (Enterprise Risk Management) di Bab 7 menekankan bagaimana sikap dan perilaku risiko manajemen puncak menciptakan lingkungan internal yang mendukung dan memperkuat kontrol internal yang sehat atau yang secara efektif meniadakan kebijakan kontrol tertulis. Prinsip yang sama berlaku tentang keamanan informasi. Memang, COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu faktor pemungkin penting bagi keamanan informasi yang efektif. Untuk menciptakan budaya sadar-keamanan di mana karyawan mematuhi kebijakan organisasi, manajemen puncak tidak hanya harus mengomunikasikan kebijakan keamanan organisasi, tetapi juga harus memimpin dengan memberi contoh.

Karyawan lebih cenderung mematuhi kebijakan keamanan informasi ketika mereka melihat manajer mereka melakukannya. Sebaliknya, jika karyawan mengamati manajer yang melanggar kebijakan keamanan informasi, misalnya dengan menuliskan kata sandi dan menempelkannya ke monitor, mereka cenderung meniru perilaku itu. PEOPLE: TRAINING COBIT 5 mengidentifikasi keterampilan dan kompetensi karyawan sebagai pendukung penting lainnya untuk keamanan informasi yang efektif. Karyawan harus memahami cara mengikuti kebijakan keamanan organisasi. Dengan demikian, pelatihan adalah kontrol preventif yang kritis. Memang, pentingnya tercermin dalam fakta bahwa pelatihan kesadaran keamanan dibahas sebagai praktik utama untuk mendukung beberapa proses manajemen COBIT 5. Semua karyawan harus diajari mengapa langkah-langkah keamanan penting untuk kelangsungan hidup jangka panjang organisasi. Mereka juga perlu dilatih untuk mengikuti praktik komputasi yang aman, seperti tidak pernah membuka lampiran email yang tidak diminta, hanya menggunakan perangkat lunak yang disetujui, tidak berbagi kata sandi, dan mengambil langkah-langkah untuk melindungi laptop secara fisik. Pelatihan sangat diperlukan untuk mendidik karyawan tentang serangan rekayasa sosial. Misalnya, karyawan harus diajari untuk tidak membocorkan kata sandi atau informasi lain tentang akun mereka atau konfigurasi stasiun kerja mereka kepada siapa saja yang menghubungi mereka melalui telepon, email, atau pesan instan dan mengklaim sebagai bagian dari fungsi keamanan sistem informasi organisasi; Karyawan juga perlu dilatih untuk tidak membiarkan orang lain mengikuti mereka melalui pintu masuk akses terbatas. Serangan rekayasa sosial ini, yang disebut piggybacking, dapat terjadi tidak hanya di pintu masuk utama gedung, tetapi juga di pintu-pintu terkunci internal, terutama ke kamar-kamar yang berisi peralatan komputer. Piggybacking dapat diupayakan tidak hanya oleh orang luar tetapi juga oleh karyawan lain yang tidak berwenang untuk memasuki area tertentu. Membonceng sering berhasil karena banyak orang merasa tidak sopan untuk tidak membiarkan orang lain melewati pintu bersama mereka atau karena mereka ingin menghindari konfrontasi. Latihan bermain peran sangat efektif untuk meningkatkan sensitivitas dan keterampilan untuk menghadapi serangan rekayasa sosial. Pelatihan kesadaran keamanan juga penting untuk manajemen senior, karena dalam beberapa tahun terakhir banyak serangan rekayasa sosial, seperti phishing tombak, telah ditargetkan pada mereka. Pelatihan profesional keamanan informasi juga penting. Perkembangan baru dalam teknologi terus-menerus menciptakan ancaman keamanan baru dan membuat solusi lama menjadi usang. Karena itu, penting bagi organisasi untuk mendukung pendidikan profesional berkelanjutan bagi spesialis keamanan mereka. Namun, investasi organisasi dalam pelatihan keamanan hanya akan efektif jika manajemen menunjukkan dengan jelas bahwa itu mendukung karyawan yang mengikuti kebijakan keamanan yang ditentukan. Ini sangat penting untuk memerangi serangan rekayasa sosial, karena tindakan balasan terkadang dapat menciptakan konfrontasi yang memalukan dengan karyawan lain. Misalnya, salah satu penulis mendengar anekdot tentang seorang profesional sistem di sebuah bank besar yang menolak untuk mengizinkan orang yang tidak ada dalam daftar karyawan yang berwenang untuk memasuki ruangan yang menampung server-server yang berisi informasi keuangan utama bank. Orang tersebut menolak masuk kebetulan adalah seorang eksekutif baru yang baru saja dipekerjakan. Alih-alih menegur karyawan, eksekutif menunjukkan komitmen dan dukungan bank untuk keamanan yang kuat dengan menulis surat pujian resmi untuk kinerja berjasa yang akan ditempatkan dalam file kinerja karyawan. Jenis dukungan manajemen puncak yang terlihat untuk keamanan inilah yang meningkatkan efektivitas semua kebijakan keamanan. Manajemen puncak juga perlu mendukung penegakan sanksi, hingga dan termasuk pemecatan, terhadap karyawan yang sengaja melanggar kebijakan keamanan. Melakukan hal itu tidak hanya mengirim pesan yang kuat kepada karyawan lain tetapi juga terkadang dapat mengurangi konsekuensi bagi organisasi jika seorang karyawan terlibat dalam perilaku ilegal. PROCESS: USER ACCESS CONTROLS

Penting untuk dipahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang karyawan dapat menjadi ...