Professional Documents
Culture Documents
Jenis-jenis Pengendalian
i.
ii.
People : pelatihan
Semua karyawan harus di ajari mengapa ukuran keamanan asangat
openting untuk daya hidup perusahaan di masa mendatang. Mereka juga
perlu untuk dilatih untuk mengikuti praktik penggunaan computer dengan
aman. Pelatihan khususnya diperlukan untuk mendidik karyawan mengenai
social engineering attacks.
iii.
i.
Analisis Log/Catatan
Analisis log adalah proses untuk meneliti catatan untuk mengetahui bukti
adanya kemungkinan serangan. Hal ini sangat penting khususnya untuk
menganalisis upaya gagal untuk login dan upaya gagal untuk mendapatkan
informasi tertentu.
ii.
iii.
Pengujian penyusupan
Adalah sebuah percobaan dengan otorisasi dari tim audit atau dari tim
konsuktasi keamanan untuk merusak system informasi dari perusahaan.
iv.
Pengawasan berkelanjutan
Pengawasan yang berkelanjutan adalah salah satu alat penting dalan deteksi
karena dapat mampu mengetahui potensial masalah dengan tepat waktu.
i.
ii.
iii.
Patch Management
Patch/ Tambalan adalah sebuah kode yang di rilis oleh pengembang
aplikasi untuk memperbaiki kerentanan. Patch management adalah sebuah
proses untuk menggunakan patch secara teratur dan memperbaharui
software yang digunakan oleh perusahaan.
iii.
iv.
b) Privasi
i.
Pengendalian privasi
Sebagai langkah pertama dalam menjaga privasi dari informasi personal yang
dikumpulkan dari pelanggan, karyawan, pemasok dan partner bisnis adalah
mengidentifikasi informasi apa yang di miliki oleh perusahaan? Dimana
disimpan informasi itu? Dan siapa saja yang memiliki akses terhadap informasi
tersebut?
Sangat penting untuk melaksanakan pengendalian untuk melindungi informasi
tersebut, karena insiden yang melibatkan pemberitahuan rahasia mengenai
informasi personal yang tidak terotoriasasi baik itu dengan sengaja maupun tidak
akan menimbulkan biaya yang sangat besar.
ii.
Perhatian privasi
a. SPAM
SPAM merupakan e-mail yang tidak diinginkan yang dapat berisikan
iklan maupun konten yang menyinggung.
SPAM tidak hanya mengurangi fungsi e-mail, namun juga menjadi salah
satu sumber virus, worms, dan program spyware dan malware
b. Pencurian identitas
Adalah penggunaan tidak sah dari informasi personal seseorang untuk
keuntungan pelaku kejahatan.
Manajemen
Notice
Choice and consent
Collection
Use and retention
Access
Disclosure to third parties
Security
Quality
Monitoring and enforcement
Prinsip memproses integritas dari Trust Service Framework menyatakan bahwa system
yang andal adalah yang mampu menghasilkan informasi yang akurat, lengkap, tepat
waktu dan valid.
i.
Input controls
Kalimat sampah masuk, sampah keluar mengaris bawahi pentingnya
pengendalian input. Jika data yang dimasukkan ke dalam system tidak akurat,
tidak lengkap atau tidak valid maka output juga akan mengalami hal yang sama.
Akibatnya, personil yang sah hanya akan bertindak dalam lingkup tanggung
jawab dan otoritasnya dalam menyiapkan dokumen. Sebagai tambahan, desain
formulir, penundaan, dan penyimpanan sumber dokumen dan pengendalian
pemasukan data secara otomatis sangat dibutuhkan untuk memvirifikasi validitas
dari sebuah data.
ii.
Pengendalian control
Pengendalian juga diperlukan untuk meyakinkan bahwa data telah diproses
secara benar.
iii.
Pengendalian output
Pemeriksaan hasil/output dari system menyediakan pengendalian tambahan
terhadap pemrosesan integritas.
b) Ketersediaan
Gangguan terhadap proses bisnis dikarenakan tidak adanya system atau informasi dapat
menyebabkan kerugian secara keuangan. Karena itu, COBIT 5 control processes DSS01
dan DSS04 menunjukkan pentingnya keyakinan bahwa system dan informasi tersedia
untuk digunakan kapanpun. Tujuan utama adalah untuk mengecilkan resiko system
downtime. Adalah tidak mungkin untuk menghilangkan resiko system downtime secara
keseluruhan. Oleh karena itu perusahaan perlu pengendalian yang dirancang untuk
memungkinkan secara cepat melanjutkan operasi secara normal setelah sebuah kejadian
mengganggu ketersediaan system.