dalam postingan ini saya akan membahas
Sistem Informasi Akuntansi tentang Information systems Controls for System Reliabilityi Part 1: lnformation Security. Selamat membaca ^^
7 kriteria dari inforrmasi yang terpercaya
- Efektivitas-informasi harus relevan dan tepat waktu.
- Efisiensi - informasi harus dihasilkan dengan cara yang hemat biaya.
- Informasi rahasia-sensitif harus dilindungi dari pengungkapan yang tidak sah.
- Integritas - informasi harus akurat, lengkap, dan valid.
- Ketersediaan-informasi harus tersedia kapanpun dibutuhkan.
- Kontrol kepatuhan harus memastikan kepatuhan dengan kebijakan internal dan persyaratan hukum dan peraturan eksternal.
- Manajemen keandalan harus memiliki akses ke informasi yang tepat yang diperlukan untuk melakukan kegiatan sehari-hari dan untuk melaksanakan tanggung jawab fidusia dan tata kelola.
4 domain aktivitas manajemen untuk pengendalian IT menurut COBIT
Proses-proses itu dikelompokkan ke dalam empat aktivitas manajemen dasar, yang disebut COBIT sebagai domain:
- merencanakan dan mengatur (PO). Gambar 8-1 mendaftar 10 proses penting untuk mendesain dan mengelola sistem informasi organisasi dengan benar.
- Akuisisi dan Implementasi (AI). Gambar 8-l mendaftar tujuh proses dasar untuk mendapatkan dan memasang solusi teknologi.
- Memberikan Dukungan anil (DS). Gambar 8-1 mendaftar 13 proses penting untuk mengoperasikan sistem infojnasi secara efektif dan efisien dan menyediakan kebutuhan manajemen informasi untuk menjalankan organisasi
- Monitor und Evaluate (ME). Gambar 8-1 mencantumkan empat proses penting untuk menilai pengoperasian sistem informasi suatu organisasi.
2 konsep dasar dari pengamanan informasi
- Keamanan lsue Manajemen, Bukan Teknologi. keamanan informasi adalah fondasi untuk keandalan sistem. Akibatnya, keamanan informasi adalah tanggung jawab manajemen. Oleh karena itu, meskipun keamanan informasi adalah subjek teknis yang rumit, ini adalah pertama dan terutama masalah manajemen, bukan masalah teknologi informasi. Pentingnya peran manajemen dalam keamanan informasi tercermin dalam fakta bahwa tujuan pengendalian keamanan terperinci pertama COBIT (DS 5.1) meminta keamanan informasi untuk dikelola pada tingkat tertinggi yang sesuai. keterlibatan aktif dan dukungan manajemen senior diperlukan dalam setiap aspek keamanan informasi. Keterlibatan manajemen sangat penting dalam tahap perencanaan. Ingat bahwa COSO menekankan pentingnya "nada di atas" untuk menciptakan lingkungan internal yang baik; dengan cara yang sama, sikap dan perilaku manajemen senior sangat penting untuk membentuk budaya keamanan organisasi. Identifikasi dan penilaian sumber daya informasi juga membutuhkan masukan manajemen; sama seperti manajemen senior tidak memiliki pengetahuan yang diperlukan untuk memilih perangkat lunak enkripsi atau firewall mana yang harus dibeli, para profesional keamanan informasi tidak dapat secara akurat menilai nilai informasi organisasi. Meskipun para profesional keamanan informasi dapat mengidentifikasi dan memperkirakan risiko berbagai ancaman, hanya manajemen senior yang dapat menilai dampaknya dengan tepat dan memilih respons risiko yang sesuai. Akhirnya, karyawan lebih cenderung mematuhi kebijakan dan prosedur ketika mereka tahu bahwa manajemen senior sepenuhnya mendukung mereka.
- Defense-in-Depth dan Model Keamanan Informasi Berbasis WaktuIde pertahanan-mendalam adalah menggunakan beberapa lapisan kontrol untuk menghindari satu titik kegagalan. Sebagai contoh, banyak organisasi tidak hanya menggunakan firewall tetapi juga beberapa metode otentikasi (kata sandi, token, dan biometrik) untuk membatasi akses. Penggunaan kontrol yang tumpang tindih, saling melengkapi, dan berlebihan meningkatkan keefektifan secara keseluruhan karena jika satu kontrol gagal atau terhindar, yang lain dapat berfungsi seperti yang direncanakan. Pertahanan-mendalam biasanya melibatkan penggunaan kombinasi kontrol pencegahan, detektif, dan korektif. Peran kontrol pencegahan adalah untuk membatasi tindakan terhadap individu tertentu sesuai dengan kebijakan keamanan organisasi. Namun, auditor sudah lama menyadari hal itukontrol preventif tidak pernah dapat memberikan perlindungan 1007o. Berikan waktu dan daya ledak yang cukup, setiap kontrol preventif dapat dicegah. Oleh karena itu, penting untuk menerapkan kontrol pencegahan dengan metode untuk mendeteksi insiden dan prosedur untuk mengambil perbaikan korektiftindakan. Saya Mendeteksi pelanggaran keamanan dan memulai tindakan perbaikan korektif harus tepat waktu, karena begitu kontrol pencegahan telah dilanggar, dibutuhkan sedikit waktu untuk menghancurkan, berkompromi, atau mencuri sumber daya ekonomi dan informasi organisasi. Oleh karena itu, tujuan dari model waktu jangka panjang adalah menggunakan kombinasi kontrol detektif dan korektif yang mengidentifikasi informasi mengamankan insiden cukup dini untuk mencegah hilangnya atau kompromi informasi.
pengertian P, D, C pada time based model of security
P: waktu yang dibutuhkan penyerang untuk menerobos kontrol pencegahan organisasi
D: waktu yang dibutuhkan untuk mendeteksi bahwa serangan sedang berlangsung
C: waktu yang dibutuhkan untuk menanggapi serangan itu
Ketiga variabel tersebut kemudian dievaluasi sebagai berikut: Jika P> D * C, maka prosedur keamanan organisasi efektif. Kalau tidak, keamanan tidak efektif.Model keamanan berbasis waktu menyediakan sarana bagi manajemen untuk mengidentifikasi pendekatan yang paling efektif. biaya untuk meningkatkan keamanan dengan membandingkan efek dari investasi tambahan dalam kontrol pencegahan, detektif, atau korektif. Sebagai contoh, manajemen mungkin mempertimbangkan investasi tambahan $ 100.000 untuk meningkatkan keamanan. Salah satu pilihan mungkin adalah pembelian firewall baru yang akan meningkatkan nilai P hingga 10 menit. Pilihan kedua mungkin untuk meningkatkan sistem deteksi intrusi organisasi dengan cara yang akan menurunkan nilai D selama 12 menit. Pilihan ketiga mungkin untuk berinvestasi dalam metode baru untuk menanggapi insiden keamanan informasi sehingga dapat menurunkan nilai C hingga 30 menit. Dalam contoh ini, pilihan yang paling hemat biaya adalah berinvestasi dalam kontrol korektif tambahan yang memungkinkan organisasi merespons serangan lebih cepat. Meskipun model keamanan berbasis waktu memberikan dasar teoritis yang kuat untuk mengevaluasi dan mengelola praktik keamanan informasi organisasi, itu harus dilihat sebagai alat strategis dan bukan sebagai rumus matematika yang tepat. Satu masalah adalah sulit, jika tidak mustahil, untuk mendapatkan pengukuran parameter P, D, dan C. yang akurat dan andal. Selain itu, bahkan ketika nilai-nilai parameter tersebut dapat dihitung dengan andal, perkembangan IT baru dapat dengan cepat mengurangi validitasnya. Misalnya, penemuan kerentanan baru yang besar dapat secara efektif mengurangi nilai P ke nol. Konsekuensinya, model keamanan berbasis waktu paling baik digunakan sebagai kerangka kerja tingkat tinggi untuk analisis strategis. Untuk manajemen keamanan taktis dan harian, sebagian besar organisasi mengikuti prinsip pertahanan-mendalam dan menggunakan beberapa kontrol pencegahan, detektif, dan korektif.
P: waktu yang dibutuhkan penyerang untuk menerobos kontrol pencegahan organisasi
D: waktu yang dibutuhkan untuk mendeteksi bahwa serangan sedang berlangsung
C: waktu yang dibutuhkan untuk menanggapi serangan itu
Ketiga variabel tersebut kemudian dievaluasi sebagai berikut: Jika P> D * C, maka prosedur keamanan organisasi efektif. Kalau tidak, keamanan tidak efektif.Model keamanan berbasis waktu menyediakan sarana bagi manajemen untuk mengidentifikasi pendekatan yang paling efektif. biaya untuk meningkatkan keamanan dengan membandingkan efek dari investasi tambahan dalam kontrol pencegahan, detektif, atau korektif. Sebagai contoh, manajemen mungkin mempertimbangkan investasi tambahan $ 100.000 untuk meningkatkan keamanan. Salah satu pilihan mungkin adalah pembelian firewall baru yang akan meningkatkan nilai P hingga 10 menit. Pilihan kedua mungkin untuk meningkatkan sistem deteksi intrusi organisasi dengan cara yang akan menurunkan nilai D selama 12 menit. Pilihan ketiga mungkin untuk berinvestasi dalam metode baru untuk menanggapi insiden keamanan informasi sehingga dapat menurunkan nilai C hingga 30 menit. Dalam contoh ini, pilihan yang paling hemat biaya adalah berinvestasi dalam kontrol korektif tambahan yang memungkinkan organisasi merespons serangan lebih cepat. Meskipun model keamanan berbasis waktu memberikan dasar teoritis yang kuat untuk mengevaluasi dan mengelola praktik keamanan informasi organisasi, itu harus dilihat sebagai alat strategis dan bukan sebagai rumus matematika yang tepat. Satu masalah adalah sulit, jika tidak mustahil, untuk mendapatkan pengukuran parameter P, D, dan C. yang akurat dan andal. Selain itu, bahkan ketika nilai-nilai parameter tersebut dapat dihitung dengan andal, perkembangan IT baru dapat dengan cepat mengurangi validitasnya. Misalnya, penemuan kerentanan baru yang besar dapat secara efektif mengurangi nilai P ke nol. Konsekuensinya, model keamanan berbasis waktu paling baik digunakan sebagai kerangka kerja tingkat tinggi untuk analisis strategis. Untuk manajemen keamanan taktis dan harian, sebagian besar organisasi mengikuti prinsip pertahanan-mendalam dan menggunakan beberapa kontrol pencegahan, detektif, dan korektif.
Website paling ternama dan paling terpercaya di Asia
BalasHapusSistem pelayanan 24 Jam Non-Stop bersama dengan CS Berpengalaman respon tercepat
Memiliki 9 Jenis game yang sangat digemari oleh seluruh peminat poker / domino
Link Alternatif :
arena-domino.club
arena-domino.vip
100% Memuaskan ^-^