Trust
Services Framework
mengatur pengendalian TI ke dalam 5 prinsip yang berkontribusi secara bersama
terhadap keandalan sistem :
1.
Keamanan
( Security ) akses baik fisik maupun logis terhadap sistem dan data di dalamnya
dikendalikan serta terbatas untuk penggunaan yang sah
2.
Kerahasiaan
(Confidentiality ) informasi keorganisasian yang sensitif seperti rencana
pemasaran, rahasia dagang terlindung dari pengungkapan yang tanpa izin.
3.
Privasi
( Privacy) informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan
kerja hanya di kumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindung dari pengungkapan yang tanpa izin.
4.
Integritas
pemrosesan ( Processing Integrity ) data di proses secara akurat, lengkap,
tepat waktu dan hanya dengan otorisasi yang sesuai.
5.
Ketersediaan
( Avaliabillity ) sistem dan informasinya tersedia untuk memenuhi kewajiban
oprasional dan kontraktual.
COBIT
sendiri dirancang terdiri dari 34 control
objective yang tercermin di dalam 4 domain aktivitas manajemen berikut ini :
1.
Plant and Organise (PO), secara umum domain ini meliputi
strategi dan taktik, serta identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian
sasaran bisnis. Domain ini dibagi ke dalam 10 fase, yaitu
a.
PO1
: Mengidentifikasi rencana strategis TI
b.
PO2
: Mendefinisikan arsitektur informasi
c.
PO3
: Menentukan arahan teknologi
d.
PO4
: Mendefinisikan proses TI, organisasi dan keterhubungannya
e.
PO5
: Mengelola Investasi TI
f.
PO6
: Mengkomunikasikan tujuan dan arahan manajemen
g.
PO7
: Mengelola sumber daya TI
h.
PO8
: Mengelola kualitas
i.
PO9
: Menaksir dan mengelola resiko TI
j.
PO10
: Mengelola Proyek
2.
Acquire and Implement (AI), Domain ini
menggambarkan bagaimana perubahan dan pemeliharaan dari sistem yang ada selaras
dengan sasaran bisnis. Domain AI terbagi menjadi tujuh proses TI yang dapat
dilihat pada tabel berikut:
AI1: Mengidentifikasi
Solusi Otomatis
AI2: Memperoleh dan
Memelihara Software Aplikasi
AI3: Memperoleh dan
Memlihara Infrastruktur Teknologi
AI4: Memungkinkan
Operasional dan Penggunaan
AI5: Memenuhi Sumber
Daya TI
AI6: Mengelola
Perubahan
AI7: Instalasi dan
Akreditasi Solusi beserta Perubahannya
3.
Deliver and Support (DS), Domain ini mencakup penyampaian hasil
aktual dari layanan yang diminta, termasuk pengelolaan kelancaran dan keamanan,
dukungan layanan terhadap pengguna serta pengelolaan data dan operasional
fasilitas, yang meliputi:
DS1: Mengidentifikasi
dan Mengelola Tingkat Layanan
DS2: Mengelola
Layanan Pihak Ketiga
DS3: Mengelola
Kinerja dan Kapasitas
DS4: Memastikan
Layanan yang Berkelanjutan
DS5: Memastikan
Keamanan Sistem
DS6: Mengidentifikasi dan Mengalokasikan Biaya
DS7: Mendidik dan
Melatih Pengguna
DS8: Mengelola
service desk
DS9: Mengelola
Konfigurasi
DS10: Mengelola
Permasalahan
DS11: Mengelola Data
DS12: Mengelola
Lingkungan Fisik
DS13: Mengelola
Operasi
4.
Monitor and Evaluate (ME), Domain ini terkait dengan kinerja
manajemen, kontrol internal, pemenuhan terhadap aturan serta menyediakan tata
kelola. Fungsi doman ini sendiri adalah untuk memastikan seluruh proses TI
dapat dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan
pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari
4 proses TI, yaitu:
ME1: Mengawasi dan
Mengevaluasi Kinerja TI
ME2: Mengawasi dan
Mengevaluasi Kontrol Internal
ME3: Memastikan
Pemenuhan terhadap Kebutuhan Eksternal
ME4: Menyediakan Tata
Kelola TI
Implementasi COBIT dipercaya dapat
membantu perusahaan dalam hal meningkatkan pendekatan/program audit, mendukung
audit kerja dengan arahan audit secara rinci, memberikan petunjuk untuk IT
governance, sebagai penilaian benchmark untuk kendali IS/IT, meningkatkan
control IS/IT, dan sebagai standarisasi pendekatan/program audit.
DUA
KONSEP KEAMANAN SISTEM INFORMASI
- Defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. Sebagai contoh : banyak organisasi yang tidak hanya menggunakan firewall tetapi juga berbagai metode autentikasi (kata sandi, token, dan biometrika). Untuk membasi akses terhadap sistem informasi mereka.
- Model keamanan berbasis waktu (time based model of security) adalah penggunaan kombinasi perlindungan preventif, detektif, korektif yang melindungi asset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah – langkah untuk menggagalkannya sebelum informasi hilang atau dirusak. Tujuan ini dapat ditunjukan dengan formula 3 variabel berikut :
P = waktu yang diperlukan seorang
penyerang untuk menerobos pengendalian preventif organisasi.
D = waktu yang diperlukan untuk
mendeteksi bahwa sebuah serangan sedang dalam proses.
C = waktu yang diperlukan untuk
merespon serangan dan mengambil tindakan korektif.
Komentar
Posting Komentar