Minggu, 17 April 2022

RESUME COBIT Kerja TFOBIRDalam

Nama : Nur Aisah Amini

Nim : 193100054

Mata kuliah : Audit Sistem Informasi

Nama dosen : Asti Ratnasari, M.Kom

Keterangan Resume : BAB 1

 

Judul: Kerja TFOBIRDalam

Volume:

Tahun: 2022

Penulis: Nur Aisah Amini

 

A.    Latar Belakang

Beberapa tahun terakhir, menjadi semakin jelas bahwa ada kebutuhan akan kerangka acuan untuk mengembangkan dan mengelola pengendalian internal dan tingkat keamanan yang sesuai dalam teknologi informasi . Dengan demikian, organisasi yang sukses memerlukan apresiasi dan pemahaman dasar tentang risiko dan kendala TI di semua tingkatan dalam perusahaan untuk mencapai arah yang efektif dan kontrol yang memadai. TI. Akibatnya, tata kelola perusahaan dan tata kelola TI tidak lagi dapat dianggap sebagai disiplin ilmu yang terpisah dan berbeda. Tata kelola perusahaan yang efektif memfokuskan keahlian dan pengalaman individu dan kelompok di tempat yang paling produktif, memantau dan mengukur kinerja, dan memberikan jaminan untuk masalah kritis.

Tata kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI, dan informasi dengan strategi dan tujuan perusahaan. Tata kelola TI mengintegrasikan dan melembagakan cara optimal untuk merencanakan dan mengatur, memperoleh dan mengimplementasikan, memberikan dan mendukung, serta memantau dan mengevaluasi kinerja TI. Tata kelola TI merupakan bagian integral dari keberhasilan tata kelola perusahaan dengan memastikan peningkatan terukur yang efisien dan efektif dalam proses perusahaan terkait. Melihat interaksi proses tata Kelola perusahaan dan TI secara lebih rinci, tata kelola perusahaan, sistem dimana entitas diarahkan dan dikendalikan, mendorong dan menetapkan tata Kelola TI. TI sebenarnya dapat mempengaruhi peluang strategis yang digariskan oleh perusahaan.

Menerapkan praktik terbaik yang diterima secara umum untuk memastikan bahwa perusahaan mencapai tujuan strategis dan operasionalnya. Mencapai tujuan tersebut mengharuskan entitas untuk mengambil beberapa tingkat risiko tidak ada imbalan tampa beberapa tingkat risiko. Dari tujuan ini mengalir arah organisasi, yang menentukan aktivitas perusahaan tertentu, dengan menggunakan sumber daya perusahaan. HAsil kegiatan perusahaan diukur dan dilaporkan, memberikan masukan untuk revisi konstan dan peliharaan control, melalui siklus lagi.

Manajemen TI juga diatur oleh praktik terbaik untuk memastikan bahwa informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya, sumber dayanya digunakan secara bertanggung jawab, dan risikonya dikelola dengan tepat. Praktik-praktik ini  membentuk dasar untuk arah kegiatan TI, yang dapat dicirikan sebagai merencanakan dan mengatur, memperoleh dan menerapkan, menyampaikan dan mendukung, dan memantau dan mengevaluasi, untuk tujuan ganda mengelola risiko ( untuk mendapatkan keamanan, keandalan, dan kepatuhan ) dan mewujudkan manfaat ( meningkatkan efektivitas an efesien).

Model control bisnis secara keseluruhan, seperti COSO (Committee of Sponsoring Organizations of the Treadway Commission, Internal Control-Integrated Framework, 1992, COSO Enterprise Risk Management Framwork, 2004) di AS, Turnbull di Inggris, CoCo di kanada dan King di Afrika Selatan telah dikembangkan dan diterbitkan. Namun, model control terfokus ini tidak menyediakan model control yang komprehensif dan dapet digunakan atas TI yang mendukung proses bisnis. Tujuan COBIT adalah untuk menjambatani kesenjangan ini dengan memberikan landasan yang terkait erat dengan tujuan bisnis sambal berfokus pada TI.

Institute of Certified Public Accountants di AS dan Dewan Pengembangan Layanan Jaminan CICA di
Kanada, sebagian didasarkan pada tujuan pengendalian COBIT. SysTrust dirancang untuk meningkatkan kenyamanan manajemen, pelanggan dan mitra bisnis dengan sistem yang mendukung bisnis atau aktivitas tertentu. Layanan SysTrust mengharuskan akuntan publik memberikan layanan jaminan di mana ia mengevaluasi dan menguji apakah suatu sistem dapat diandalkan ketika diukur terhadap empat prinsip penting: ketersediaan, keamanan, integritas dan pemeliharaan.
Tujuan utama COBIT adalah pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif kebutuhan. Selanjutnya, tujuan dan pedoman audit dikembangkan dari perspektif tujuan pengendalian.

B.    Hasil Pembahasan

Perusahaan energi AS mengadopsi COBIT sebagai tanggapan terhadap peraturan Sarbanes -Oxley. Itu telah mencari struktur, dan alih-alih mengembangkan kerangka kontrolnya sendiri, ia lebih suka mengadopsi kerangka kerja yang diterima secara international COBIT. Mereka telah memberi wewenang kepada komite audit dewan untuk memastikan bahwa kita melakukan pekerjaan kita. Komite audit telah memberi wewenang kepada C-suite untuk memastikan kami melakukan pekerjaan kami, dan C-suite telah meminta komite pengarah TI ini untuk memastikan kami memiliki kontrol internal yang memadai untuk TI. Komite pengarah TI, sebaliknya, meminta CIO dan tim manajemennya untuk membuat kami nyaman bahwa ini berkaitan dengan TI, dan kami akan menggunakan COBIT untuk melakukanny.

1.     OBIT : MANAJEMEN, PENGGUNA DAN AUDITOR

·       Mnajemen Untuk membantu mereka menyeimbangkan risiko dan mengendalikan investasi di lingkungan IT yang sering tidak terduga

·       Pengguna Untuk mendapatkanjaminan tentang keamanan dan control layanan TI yang disediakan oleh pihak internal atau ketiga.

·       Auditor Untuk menyediakan kerangka kerja untuk membantu mereka memberikan pendapat tentang tingkat jaminan atas materi pelajaran tertentu yang diaudit dan/atau memberikan saran kepada manajemen tentang masalah internal control.

2.     Sertifikasi CISA dan CISM

Untuk target audiens di atas, ISACA juga telah mengembangkan program sertifikasi. TM mengukur keunggulan di bidang audit, kontrol, dan keamanan IS.

3.     COBITSPESIFIKASI KERANGKA

Untuk memahami sepenuhnya kerangka kerja COBI, definisi berikut diberikan. Pengendalian diadaptasi dari laporan COSO (Internal Control—Integrated Framework) dan tujuan pengendalian TI diadaptasi dari

Systems Auditability and Control (SAC) Report, The Institute of Internal Auditors (IIA) Research Foundation, 1991 dan 1994. Control adalah didefinisiskan sebagai kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang umtuk membrikan jaminan yang wajar bahwa tujuan bisnsi akan tercapai dan kejadian yang tidak diinginkan akan dicegah atau dideteksi dan diperbaiki.

Tujuan pengendalian TI didefinisikan sebagai pernyataan tentang hasil atau tujuan yang diinginkan yang dicapai dengan menerapkan prosedur pengendalian dalam aktivitas TI tertentu. COBIT bertujuan untuk menjembatani kesenjangan yang ada di antara keduanya.COBIT diposisikan lebih komprehensif untuk manajemen dan beroperasi pada tingkat yang lebih tinggi daripada standar teknologi murni untuk manajemen sistem informasi.

Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteriaa tertentu. Kriteria ini dirujuk, dalam COBIT, sebagai persyaratan bisnis untuk informasi.

Persyaratan kualitas meliputi :

·       Kualitas

·       Biaya

·       Pengeriman

Persyaratan fidusia (COSO) meliputi :

·       Efektivitas dan efesiensi operasi

·       Keandalan informasi

·       Kepatuhan terhadap hukum dan peraturan

Persratan kemanan meliputi :

·       Kerahasiaan

·       Integritas

·       Ketersediana

Memulai analisis dari persyaratan kualitas, fidusia dan keamanan yang lebih luas, tujuh kategori berbeda, tentu saja tumpang tindih, diekstraksi.COBIDefinisi kerja Efektivitas—Berkaitan dengan informasi yang relevan dan berkaitan dengan proses bisnis serta disampaikan secara tepat waktu, benar, konsisten, dan dapat digunakan

Ø  Efisiensi—Menyangkut penyediaan informasi melalui optimal ( penggunaan sumber daya yang paling produktif dan ekonomis)

Ø  Kerahasiaan—Menyangkut perlindungan informasi sensitif dari pengungkapan yang tidak sah

Ø  Integritas—Berkaitan dengan keakuratan dan kelengkapan informasi serta validitasnya sesuai dengan nilai dan harapan bisnis

Ø  Ketersediaan—Berkaitan dengan informasi tersedia ketika dibutuhkan oleh proses bisnis sekarang dan di masa depan. Ini juga menyangkut pengamanan sumber daya yang diperlukan dan kemampuan terkait.

Ø  dengan kepatuhan terhadap undang-undang, peraturan, dan pengaturan kontrak yang tunduk pada proses bisnis, yaitu, kriteria bisnis yang diberlakukan secara eksternal

efektivitas dalam situasi ini berkaitan dengan aksebilitas dan kegunaan fungsi untuk audiens target. Ini menjadi ukuran keberhasilan yang memungkiankan bisnis mencapai proposi nilainya dan menjadi ukuran TI utama untuk proyek (setidaknya dalam dimensi proyek ini).

Ada satu set sumber daya TI yang dibutuhkan untuk memebantu memenuhi kebutuhan bisnis. Sumber daya nya adalah :

Ø  Data yaitu objek dalam arti yang luas ( eksternal, dan internal), struktur dan tidak struktur, grafik, suara, dll.

Ø  System aplikasi yaitu dipahami sebagai jumlah prosedur manual dan terprogram

Ø  Teknologi yaitu perangkat keras, pengoprasian sistema, sistema manajemen bisnis data, jaringan, multimedia, dll.

Ø  Fasilitas yaitu semua sumber daya untuk menampung dan mendukung sistem informasi

Ø  Orang yaitu keterampilan, kesadaran, dan produktivitas staf untuk merencanakan, mengatur memperoleh, menyampaikan, mendukung , memantau, dan mengevaluasi system infomasi dan layanan.

COBIT terdiri dari tujuan control tingkat tinggi dan struktur keseluruhan untuk klarifikasi mereka. Teori yang mendasari klarifikasi tersebut adalah bahwa pada dasarnya ada tiga tingakat upaya TI Ketika mempertimbangkan pengelolaan sumber daya TI.

Definisi untuk empat domain yang diidentifikasi untuk klasifikasi tingkat tinggi adalah:

Ø  Merencanakan dan mengatur—Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi cara terbaik TI dapat berkontribusi pada pencapaian tujuan bisnis.

Ø  Memperoleh dan mengimplementasikan—Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis.

Ø  Deliver and support—Domain ini berkaitan dengan pengiriman aktual layanan yang dibutuhkan, yang berkisar dari operasi tradisional atas aspek keamanan dan kontinuitas hingga pelatihan.

Ø  Monitor dan evaluasi—Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk kualitas dan kepatuhannya terhadap persyaratan kontrol.

Jelas bahwa Tindakan pengendalian atas proses TI tidak akan selalu memenuhi semua kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.

Ø  Primer

Ø  Skunder

Ø  Kosong

COBIKELUARGA PRODUK

COBIT menyediakan beberapa produk yang menjelaskan berbagai komponen COBIT secara rinci. Bagian berikut berisi penjelasan singkat tentang produk yang paling penting, menggunakan proses DS2 mengelola layanan pihak ketiga untuk semua contoh produk, dan kemudian contoh masing-masing.

OBJEKTIF KONTROL
COBIT menyediakan satu set 34 tujuan kontrol tingkat tinggi, satu untuk setiap proses TI, dikelompokkan ke dalam empat domain: merencanakan dan mengatur, memperoleh dan menerapkan, menyampaikan dan mendukung, dan memantau dan mengevaluasi. Dengan mengatasi 34 tujuan pengendalian tingkat tinggi ini, pemilik proses bisnis dapat memastikan bahwa sistem kontrol yang memadai disediakan untuk lingkungan TI. 
Secara total, COBIT berisi 318 tujuan kontrol terperinci atas semua 34 proses TI.

Tujuan kontrol tingkat tinggi untuk DS2 mengelola layanan pihak ketiga Kontrol atas proses TI dalam mengelola layanan pihak ketiga yang memenuhi persyaratan bisnis untuk memastikan bahwa peran dan tanggung jawab pihak ketiga didefinisikan dengan jelas, dipatuhi, dan terus memenuhi persyaratan diaktifkan dengan tindakan pengendalian yang ditujukan untuk meninjau dan memantau perjanjian dan prosedur yang ada untuk efektivitas dan kepatuhannya terhadap kebijakan organisasi dan mempertimbangkan

Ø  Perjanjian layanan pihak ketiga

Ø   Manajemen kontrak

Ø   Perjanjian kerahasiaan

Ø   Persyaratan hukum dan peraturan

Ø  Pemantauan dan pelaporan pemberian layanan

Ø  Penilaian risiko perusahaan dan TI

Ø  Penghargaan dan penalti kinerja

Ø  Akuntabilitas organisasi internal dan eksternal

Ø  Analisis varians biaya dan tingkat layanan

Tujuan kontrol terperinci untuk DS2 mengelola layanan pihak ketiga Antarmuka pemasok Manajemen harus memastikan bahwa semua layanan penyedia pihak ketiga diidentifikasi dengan benardan bahwa antarmuka teknis dan organisasi dengan pemasok didokumentasikan.

PRAKTEK KONTROL
Praktik kontrol memperluas kemampuan COBIT dengan memberikan tingkat detail tambahan kepada praktisi. Proses TI COBIT, persyaratan bisnis, dan tujuan kontrol terperinci menentukan apa yang perlu dilakukan untuk menerapkan struktur kontrol yang efektif. 
Gambar 11 memberikan contoh praktik kontrol, sekali lagi menggunakan DS2 Manage third-party services.

Mengapa melakukannya?

Mengindentifikasi dan mendefinisikan antarmuka teknis dan organisasi yang disediakan oleh pemasok pihak ketiga sejalan dengan praktik pengendalian akan mempromosikan hubungan yanga mendukung tujuan organisasi secara keseluruhan, memfasilitas komunikasi yang efektif dan efisien, memastikan bahwa kepemilikan elemen-elemen tersebut disetiap sisi batas antara organisasi dan penyediaan layanan pihak ketiga jelas, dan oleh kerana itu menghindari kesenjangan atau tumpeng tindih dalam tanggaung jawab yang dapat menyebabkan hilangnya layanan atau inf

AUDIT PEDOMAN

Praktik Pengendalian

1.     Kebijakan dan prosedur terkait dengan pemeliharaan daftar pemasok utama untuk fungsi TI dikembangkan.

2.     Daftar pemasok TI ditinjau secara berkala untuk memastikan bahwa daftar tersebut tetap terkini.

3.     Kebijakan dan prosedur yang berkaitan dengan pemeliharaan register antarmuka sistem dikembangkan.

PANDUAN MANAJEMEN Pedoman manajemenCOBIT menyediakan hubungan penting antara kontrol TI dan tata kelola TI. Mereka berorientasi pada tindakan dan generik, dan memberikan arahan manajemen untuk mendapatkan informasi perusahaan dan proses terkait di bawah kendali, memantau pencapaian tujuan organisasi, memantau dan meningkatkan kinerja dalam setiap proses TI, dan membandingkan pencapaian organisasi.

Pedoman manajemen meliputi

1.       Model kematangan Ini Pendekatan, seperti yang diilustrasikan pada gambar 12, telah diturunkan dari model kematangan yang didefinisikan oleh Software Engineering Institute untuk kematangan kemampuan pengembangan perangkat lunak.

2.      Faktor keberhasilan kritis (CSF)

CSF menentukan masalah atau tindakan paling penting bagi manajemen untuk dipertimbangkan atau dilakukan untukmencapai kendali atas dan dalam proses TI.

3.      Sasaran utama (KGI) menetukan ukuran yang memberitahu manajemen, setelah falta, apakah proses TI telah mencapai persyaratan bisnisnya.

4.      Indikator kinerja utama (KPI) menentukan ukuran untuk menetukan seberapa baik kinerja proses TI dalam memungkinkan tujuan menjadi dicapai.

TmenawarkanT dan Balanced Scorecard
KGI dan KPI yang disediakan dalam COBIinformasi yang berguna untuk membantu membangun balanced scorecard untuk departemen TI atau domain atau proses tertentu TI. Penting tidak hanya untuk menentukan metrik di setiap perspektif, tetapi juga untuk mengidentifikasi hubungan sebab akibat antara KPI dan KGI.
Dan KPI tanpa KGI dapat menyebabkan investasi yang signifikan tanpa pengukuran yang tepat yang menunjukkan apakah strategi manajemen tingkat layanan yang dipilih efektif.

COBIT ORIENTASI TUJUAN BISNIS

COBIT ditujukan untuk mencapai tujuan bisnis. Tujuan pengendalian membuat hubungan yang jelas dan berbeda dengan tujuan bisnis untuk mendukung penggunaan yang signifikan di luar komunitas jaminan.
Pada domain dan proses yang teridentifikasi, tujuan pengendalian tingkat tinggi diidentifikasi dan alasan diberikan untuk mendokumentasikan tautan ke tujuan bisnis. Selain itu, pertimbangan dan pedoman disediakan untuk menentukan dan mengimplementasikan tujuan pengendalian TI.
Bersama-sama, mereka membentuk kerangka kerja COBIT. Kerangka kerja ini didasarkan pada aktivitas penelitian yang telah mengidentifikasi 34 tujuan pengendalian tingkat tinggi dan 318 tujuan pengendalian terperinci.

 

 

 

 


Senin, 12 Juli 2021

Sniffing Wireless & Digital Forensik

 Sniffing Wireless & Digital Forensik


A. Network FORENSIK 

 Forensik jaringan merupakan bagian dari Forensik digital, di mana bukti ditangkap dari jaringan dan diinterpretasikan berdasarkan pengetahuan dari serangan jaringan, dengan tujuan untuk menemukan penyerang dan merekonstruksi tindakan serangan penyeran melalui analisis bukti penyusupan. Bukti digital didefinisikan sebagai informasi elektronik (dokumentasi elektronik, komputer file log, data, laporan, fisik hardware, software, disk gambar, dan sebagainya), yang dikumpulkan selama investigasi komputer dilakukan. 

B. Sniffing

Sniffing merupakan proses pengendusan paket data pada sistem jaringan komputer, yang diantaranya dapat memonitor dan menangkap semua lalu lintas jaringan yang lewat tanpa peduli kepada siapa paket itu di kirimkan. Contoh dampak negatif sniffing, seseorang dapat melihat paket data informasi seperti username dan password yang lewat pada jaringan komputer. Contoh dampak positif sniffing. Seorang admin dapat menganalisa paket-paket data yang lewat pada jaringan untuk keperluan optimasi jaringan, seperti dengan melakukan penganalisaan paket data, dapat diketahui dapat membahayakan performa jaringan atau tidak, dan dapat mengetahui adanya penyusup atau tidak.

C. Digital Forensik

Digital Forensik merupakan aplikasi bidang ilmu pengetahuan dan teknologi komputer untuk kepentingan pembuktian hukum,membuktikan kejahatan berteknologi tinggi atau cyber crime secara Ilmiah hingga bisa mendapatkan bukti-bukti digital yang dapat digunakan untuk menjerat pelaku kejahatan. 

Bukti digital sangat rapuh dan dapat dihapus atau diubah tanpa penanganan yang memadai.

• Alat Digital Forensic harus dapat mengembalikan (recovery) dari file yang terhapus, file tersembunyi dan, file sementara yang tidak terlihat oleh orang biasa.

 • Dalam kasus hukum, teknik forensik komputer sering digunakan untuk menganalisiss istem komputer milik terdakwa (dalam kasus pidana) atau berperkara (dalam kasus perdata)



Steganografi

 Steganografi


Prolog 

1. Data rahasia seperti password

2. Menyimpan password dengan aman

3. Cara aman menyimpan password dengan aman

a. Mengenkripsinya 

b. Menyembunyikannya

A. Steganografi

Steganography adalah ilmu dan seni menyembunyikan pesan rahasia dengan suatu cara sedemikian sehingga tidak seorangbpun mencurigai keberadaan pesan tersebut.

Tujuan : pesan tidak terdetkai keberadaannya

perbedaan kriptografi dan Steganografi

- kriptografi yaitu menyembunyikan isi pesan

- steganografi yaitu menyembunyikan keberadaan pesan.

B. Information Hidding

informaai Hiding yaitu bidang ilmu yang mempelajari cara menyembunyikan pesan sehingga tidak dapat dipersepsi.

1. kriptografi

2. steganografi

Sejarah Steganografi

Periode sejarah steganografi dapat dibagi menjadi:

1. Steganografi kuno (ancient steganography)

2. Steganografi zaman renaisans (renaissance 

steganography).

3. Steganografi zaman perang dunia

4. Steganografi modern

Steganografi Digital

- Steganografi digital: penyembunyian pesan digital di dalam dokumen digital lainnya. 

- Carrier file: dokumen digital yang digunakan sebagai media untuk menyembunyikan pesan.

Kriteria Steganografi yang Bagus

1. Imperceptible

Keberadaan pesan rahasia tidak dapat dipersepsi secara 

visual atau secara audio (untuk stego-audio).

2. Fidelity.

Kualitas cover-object tidak jauh berubah akibat penyisipan 

pesan rahasia. 

3. Recovery. 

Pesan yang disembunyikan harus dapat diekstraksi kembali. 

4. Capacity 

Ukuran pesan yang disembunyikan sedapat mungkin besar

Teknik Dasar dalam Steganografi

- Substitution techniques : mengganti bagian yang redundan dari cover-object dengan pesan rahasia.Contoh: metode modifikasi LSB

- Transform domain techniques : menyisipkan pesanrahasia ke dalam sinyal dalam ranah transform(misalnya dalam ranah frekuensi).

- Spread spectrum techniques : menyisipkan pesanrahasia dengan mengadopsi ide komunikasi spread spectrum. 

Bitplane pada Citra Digital
- Nilai pixel pada koordinat (x, y) menyatakan intensitas nilai keabuan pada posisi tersebut. 
- Pada citra grayscale nilai keabuan itu dinyatakan dalam integer berukuran 1 byte sehingga rentang nilainya antara 0 sampai 255. 
- Pada citra berwarna 24-bit setiap pixel tediri atas kanal red, green, dan blue (RGB) sehingga setiap pixel berukuran 3 byte (24 bit).Rinaldi Munir/IF4020 Kriptografi 
- Di dalam setiap byte bit-bitnya tersusun dari kiri ke 
kanan dalam urutan yang kurang berarti (least significant 
bits atau LSB) hingga bit-bit yang berarti (most 
significant bits atau MSB). 
- Susunan bit pada setiap byte adalah b8b7b6b5b4b3b2b1.
 
Beberapa Varian Metode LSB
1. Sequential
2. Acak
3. m-bit LSB
4. Enkripsi XOR

PSNR
- PSNR = Peak-Signal-to-Noise Ratio 
- Merupakan metrik untuk mengukur kualitas (fidelity) citra setelah proses manipulasi.
- Selalu dibandingkan dengan citra semula (yang belum dimanipulasi).
- Misalkan I = cover-image dan = stego-image, ukuran citra M x N,

Steganalisis
- Steganalisis: Ilmu dan seni untuk mendeteksi ada-tidaknya 
pesan tersembunyi dalam suatu objek.
- Steganalisis untuk metode LSB:
 # Metode subjektif melibatkan indera penglihatan manusia.
contoh: enhanced LSB
 # Metode statistik melibatkan analisis matematis.
contoh : uji chi-square dan RS-analysis
Rinaldi Munir/IF4020 Kriptografi

Jumat, 02 Juli 2021

Data Backup dan Disaster Recovery

 Data Backup dan Disaster Recovery


 Backup adalah proses membuat salinan data tambahan (atau beberapa salinan).Proses pencadangan (backing up) merupakan proses penyalinan yang bisa digunakan untuk menggantikan file yang rusak atau digunakan dalam proses mengembalikan data (restore data). Definisi lain menyebutkan bahwa Backup adalah kegiatan menyalin file atau database sehingga salinan tersebut dapat digunakan untuk memulih-kan data asli yang rusak karena berbagai sebab.Disaster Recovery disaster recovery mengacu pada rencana dan proses untuk membangun kembali akses dengan cepat ke aplikasi, data, dan sumber daya TI setelah terjadi suatu masalah.

Istilah-istilah penting :

1. Recovery time objektive (RTO) yaitu jumlah waktu yang dibutuhkan untuk memulihkan operational bisnis setelah terjadi masalah.

2. Recovery poin objective (RPO) merajuk pada jumlah data yang anda muklumi ketika terjadi bencana.

3. Filover adalah proses disaster recovery yang secara otomatis memindahkan tugas ke sistem cadangan atua backup dengan cara mulus. 

4. Restore yaitu proses mentransfer data cadangan ke sistem utama.

5. Disaster Recovery as a service (DRaaS) adalah pendekatan teekelola untuk disaster recovery.




Selasa, 29 Juni 2021

Audit keamanan informasi

 Audit keamanan informasi



Audit Sistem Informasi 

   Weber dalam Sarno (2009: 28) mendefinisikan Audit Sistem Informasi sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif. 

Keamanan Informasi 

 Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (ISO 27001 dalam Sarno dan Iffano, 2009: 27). 

Sistem Informasi 

“Sistem Informasi adalah suatu kombinasi teratur dari people (orang), hardware (perangkat keras), software (perangkat lunak), computer network and data communications (jaringan komunikasi), dan database (basis data) yang mengumpulkan, mengubah, dan menyebarkan informasi di dalam suatu bentuk organisasi.” (O’Brien, 2005)“Sistem Informasi adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasional, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan.” (Jogiyanto, 2010)Kelompok kegiatan operasi yang tetap yang pada dasarnya terbentuk dari suatu sistem informasi, yaitu:

a. Data dikumpukan

b. Data dikelompokkan

c. Data dilakukan penghitungan 

d. Menganalisa

e. Laporan disajikan

Pengamanan Jaringan

 Pengamanan Jaringan

  Keamanan jaringan komputer adalah proses untuk mencegah dan mengidentifikasi pengguna yang tidak sah dari jariangan komputer.  Tujuan dari keamanan komputer adalah untuk mengantisipasi risiko jaringan komputer berupa bentuk ancaman fisik maupun logik baik langsung ataupun tidak langsung yang menganggu ativitas yang sedang berlangsung dalam jaringan komputer.

Elemen utama pembentuk keamanan jaringan :

1. Tembok Pengamanan baik secara gisik maupun maya,yang ditaruh diantara piranti dan layanan jaringan yang digunakan serta orang-orang yang akan perbuat jahat.

2. Rencana Pengamanan, yang akan diimplementasikan bersama dengan user lainnya untuk menjaga agar sistem tidak bisa ditembus dari luar.

Bentuk ancaman keamanan jaringan komputer ;

1. Fisik

2. Logik

a. sniffer

b. shoofing

c. remote attack

d. hole

e. phreaking

f. hacker

g. cracker

Metode Penyerangan Keamanan Jaringan Komputer :

- Eavesdropping

- Masquerading

- Message Tempering

- Replaying

- Denial of service

Kategori Serangan Keamanan komputer :

1. Interruption

2.Interception

Konsep Firewall Keamanan jaringan komputer :

Firewall adalah sistem atau sekelompok sistem yang menetapkan kebijakan kendali akses atara dua jaringan. 

secara prinsip, firewall dapat dianggap sebagai sepasang mekanisme;

1. memblok lalu lintas 

2. mengizinkan lalulintas jaringan

firewall digunakan untuk melindungi jariangan anda dari serangan jaringan pihak luar fairewall tidak dapat melindungi dari serangan yang tidak melalui firewall,serangan dari seseorang yang berada didalam jaringan anda,serta dari program-program aplikasi yang ditulis dengan buruk


Pengamanan Mobile Devices dan Cloud

 Pengamanan Mobile Devices dan Cloud 


 Komputasi awan (cloud computing) adalah gabungan pemanfaatan teknologi komputer (komputasi) dan pengembangan berbasis Internet (awan). Awan (cloud) adalah metefora dari internet, sebagaimana awan yang sering digambarkan di diagram jaringan komputer. Sebagaimana awan dalam diagram jaringan komputer tersebut, awan dalam cloud computing juga merupakan abstraksi dari infrastruktur kompleks yang disembunyikannya.cloud computing adalah suatu metoda komputasi di mana kapabilitas terkait teknologi informasi disajikan sebagai suatu layanan, sehingga pengguna dapat mengaksesnya lewat Internet, tanpa mengetahui apa yang ada di dalamnya.

 Teknologi Cloud Computing dapat didefinisikan secara sederhana sebagai sebuah perusahaan dengan pusat data yang menyediakan rental Space Storage. Perusahaan ini hanya menyediakan Infrastruktur untuk tempat penyimpanan data dan aplikasi dari suatu perusahaan.

Manfaat Cloud Computing :

Ada banyak alasan mengapa teknologi cloud computing menjadi pilihan bagi pengusaha dan praktisi IT saat ini, yakni adanya beberapa keuntungan yang dapat dimanfaatkan dari perkembangan Cloud Computing ini (Marks, 2010), seperti : 

1. Lebih efisien karena menggunakan anggaran yang rendah untuk sumber daya 

2. Membuat lebih eglity, dengan mudah dapat berorientasi pada profit dan perkembangan yang cepat 

3. Membuat operasional dan manajemen lebih mudah, dimungkinkan karena sistem pribadi atau perusahaan yang terkoneksi dalam satu cloud dapat dimonitor dan diatur dengan mudah 

4. Menjadikan koloborasi yang terpecaya dan lebih ramping

5. Membantu dalam menekan biaya operasi biaya modal pada saat reliability ditingkatkan dan kritikal sistem informasi yang dibangun.

Keamanan Teknologi Cloud Computing

  Cloud Computing menyajikan banyak tantangan organisasi. Bila organisasi berpindah ke layanan komputasi awan publik tentu infrastruktur sistem komputasi dikendalikan oleh pihak ketiga yaitu Cloud Service Provider (CSP) dan tantangan ini harus ditangani melalui inisiatif manajemen. Inisiatif manajemen ini akan memerlukan gambaran jelas peran kepemilikan dan tanggung jawab dari CSP dan organisasi yang berperan sebagai pelanggan. Dalam Presentasi yang dilakukan oleh Security Issues in Cloud Computing, Saurabh K Prashar menyatakan bahwa masalah security merupakan masalah utama yang timbul dengan adanya teknologi Cloud Computing. Dengan adanya teknologi ini, keamanan data dari setiap user tidak dapat terjamin, karena setiap data dan informasi yang dimiliki terdapat di Cloud atau di internet tepatnya. Hal ini menjadi isu utama dari teknologi Cloud Computing.

Pengamanan Mobile Devices 

1. Tambahkan Peranti Keamanan untuk Jaringan Wireless

2. Berikan PIN atau Password

3. Periksa Hak Akses Aplikasi

4. Mengatur Akses Aplikasi terhadap Jaringan

5. Hilang, Kunci, dan Hapus


Rabu, 09 Juni 2021

PENGAMANAN KOMUNIKASI SOSMED

 PENGAMANAN KOMUNIKASI SOSIAL MEDIA (SOSMED)

A. Media Sosial 

  Pada tahun 1979, Tom Truscott dan Jim Ellis dari Duke University telah menciptakan Usenet, sistem diskusi di seluruh dunia yang memungkinkan pengguna Internet untuk mengirim pesan publik. Ketersediaan akses Internet berkecepatan tinggi semakin menambah popularitas konsep tersebut, yang mengarah pada penciptaan situs jejaring sosial seperti MySpace (tahun 2003) dan Facebook (tahun 2004). Lalu terciptakan istilah ‘media sosial’ dan berkontribusi pada keunggulan yang dimilikinya hingga saat ini (Kaplan and Haenlein, 2010).

  Media sosial didefinisikan sebagai sekelompok aplikasi berbasis Internet yang membangun fondasi ideologis dan teknologi Web 2.0, dan memungkinkan penciptaan dan pertukaran konten yang dibuat penggunanya (Kaplan and Haenlein,2010). 

B. Information Security di era IoT

 Internet of Things didefinisikan sebagai infrastruktur jaringan global yang dinamis dengan konfigurasi sendiri dan komunikasi yang dapat dioperasikan. Sederhananya, IoT berarti kemampuan untuk membuat segala sesuatu di sekitar kita mulai dari (mis. mesin, perangkat, ponsel, dan mobil) bahkan (kota dan jalan) dapat terhubung ke Internet dengan perilaku yang cerdas dan dengan mempertimbangkan keberadaan jenis otonomi dan privasi. IoT memungkinkan orang dan hal-hal untuk terhubung kapan saja, di mana saja, dengan apa pun dan siapa pun, idealnya menggunakan setiap jalur/jaringan dan layanan apa pun. 

C. Privasi

Privasi telah ada sejak lama,didefinisikan sebagai ruang privat (private sphere). Samuel D. Warren dan Louis D. Brandeis (1890) menyebut privasi juga sebagai “the right to be let alone” atau jika diartikan dalam bahasa Indonesia menjadi hak untuk dibiarkan sendiri (Collste, 1992). Definisi ini masih berlaku, namun harus ditempatkan dalam lingkungan modern di mana harus hidup berdampingan dengan minat masyarakat dalam kehidupan berjaringan (networked life). Dengan kata lain, fenomena media sosial yang agak baru dan konsekuensinya terhadap kesediaan untuk berbagi informasi pribadi harus diperhitungkan (Hiselius, 2015). Privasi mungkin adalah masalah yang paling banyak dibahas dalam etika-TIK. Privasi memungkinkan orang untuk mengekspresikan diri secara individu atau kolektif tanpa terlalu khawatir tentang konsekuensi ekspresif mereka (Schachter, 2003 dalam Youm & Park, 2016). 



Senin, 05 April 2021

INTRUSION DETECTION SYSTEM

 

INTRUSION DETECTION SYSTEM


  Intrusion Detection System (IDS) adalah suatu tindakan untuk mendeteksi adanya trafik paket yang tidak diinginkan dalam sebuah jaringan atau device. Sebuah IDS dapat diimplementasikan melalui software atau aplikasi yang terinstall dalam sebuah device, dan aplikasi tersebut dapat memantau paket jaringan untuk mendeteksi adanya paket-paket ilegal seperti paket yang merusak kebijakan rules keamanan, dan paket yang ditujukan untuk mengambil hak akses suatu pengguna (Wu, 2009).

Jenis-jenis IDS:

a) Network Based

Network Intrusion Detection System (NIDS) adalah salah satu tipe IDS yang populer atau paling banyak diimplementasikan kedalam sebuah sistem jaringan.

b) WLAN IDS

Wireless Local Area Network (WLAN) IDS menyerupai NIDS yang dapat m menganalisa paket-paket jaringan. WLAN ini dapat menganalisa paket wireless secara spesifik, termasuk pemindaian pengguna eksternal yang mencoba untuk terhubung ke Access Point (AP). Karena WLAN IDS sendiri sebenarnya adalah NIDS dengan menggunakan wireless maka aturan-aturan keamanan yang diterapkan lebih luas (Wu, 2009).

c) Host-Based

Host-based Intrusion Detection System (HIDS) menganalisa paket jaringandan pengaturan sistem secara spesifik seperti software calls, local security policy, local log audits, dll. HIDS harus diinstal di setiap mesin dan membutuhkan konfigurasi secara spesifik pada sistem operasi dan software (Wu,2009).   

C. Jenis-jenis  pendeteksian

a) Signature Based-Detection

b) Anomaly Based Detection

c) Statefal Protokol Inspection


Jumat, 02 April 2021

FIREWALL DAN KEAMANAN JARINGAN

FIREWALL DAN KEAMANAN JARINGAN


A. Pengertian Firewall Firewall adalah sistem keamanan yang melindungi komputer dari berbagai ancaman di jaringan intrnet, baik itu serangan komputer liar. Fungsi dari firewall yaitu memonitor semua lalulintas jaringan baik itu yang masuk maupun keluar, yang berdasarkan aturan keamanan informasi  yang sudah ditetapkan. Secara umum firewall merupakan program perangkat lunak yang melindungi dari akses yang tidak sah.

B. Manfaat Firewall

 Firewall merupakan tembok penghalang untuk melindungi komputer dari serangan Malware yang berbasis data. Manfaat Firewall, yaitu:

  1. Melindungi komputer dari akses tidak sah
  2. Dapat memblokir pesan 
  3. Komputer aman
C. Fungsi Firewall

  1. Mencegah informasi bocor
  2. Sebagai pos keamanan jaringan
  3. Sebagai kontrol pengawasan arus paket data
  4. Mencatat aktivitas
D. Jenis-jenis Firewall

  1. Paket-fitering firewall
  2. Statefal inspection firewall
  3. Proxy firewall
  4. Next generation firewall
E  Mengidentifikasi kebutuhan firewell

  1. Highlever disk Assessment : yaitu keamanan jaringan juga harus melalui beberapa tahapan pengujian untuk memenuhi kriteria firewell yang baik dan hatis bisa menahan serangan Malware.
  2. Menentukan perangkat keras yang diperlukan : sebuah server pada komputer harus memiliki kapasitas yang besar,agar bisa mendukung program firewall.
  3. Inspeksi paket : strategik paket inspeksi merupakan proses inspeksi paket yang tidak dilkaukan menggunakan struktur paket data yang terkadang dalam paket tapi juga pada keadaan host-host yang saling berkomunikasi.
  4. Melakukan autentikasi  terhadap akses : firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi.
F. Cara kerja Firewall

  1. Menutup traffic yang datang
  2. Menutup traffic yang keluar
  3. Menutup traffic berdasarkan konten
  4. Melaporkan traffic di jaringan kegiatan firewall.
G. Langkah-langkah membangun Firewall

  1. Mengidentifikasi bentuk jaringan yang dimiliki
  2. Menyiapkan software/hardware yang akan dilakukan
  3. Melakukan test konfigurasi
H. Arsitektur Firewall

  1. Arsitektur dua-homed host
  2. Arsitektur screened host
  3. Arsitektur screened subnet
I. Kemanan Jaringan

Serangan terhadap kemanan informasi (Security attack) sering terjadi.kejahatan komputer pada internet seringkali terjadi yang dilakukan oleh sekelompok orang yang ingin menembus kemanan informasi,Yang bertuajuan ingin mencari,mengubah,mendapatkan,dan bahkan menghapus informasi. Tipe-tipe dari serangan penyerang, yaitu :

  1. Interception
  2. Interruption
  3. Febrilator
  4. Modification
J. Macam-macam keamanan

  1. Keamanan fisik
  2. Keamanan data dan media
  3. Keamanan dari pihak luar
  4. Keamanan operasi.