Informasi adalah aset perusahaan yg sama pentingnya dengan aset-aset lainnya, seperti: gedung , mesin produksi, SDM, dan lainnya. Sebagai konsekuensinya keamanan informasi harus dilindungi dari berbagai ancaman.
ISO 17799 adalah standar system manajemen keamanan informasi yang diakui di seluruh dunia. Standar ini diterbitkan untuk pertama kalinya oleh internasional organization for standardization (ISO) pada Desember 2000.
ISO/IEC 17799:2008 Framework baru system manajemen keamanan informasi
Revisi dari framework system Manajemen keamanan informasi (SMK) juga di kenal dengan istilah informasi security management system (ISMS) framework ISO/IEC 17799 merupakan satu-satunya framework SMKI yang secar luas diakui oleh banyak Negara. Beberapa Negara mempunyai framework SMKI local mereka masing-masing, dan sejumlah ordanisasi telah berusaha memperbaiki versi sebelumnya,ISO/IEC 17799:2000. Akan tetapi, kepercayaan pada ISO/IEC 17799 tetap tidak tegoyahkan sebagai framework SMKI de facto dunia.
ISO/IEC 17799:2000 terdiri dari 10 control clause, yaitu:
1. Security policy
2. Security organization
3. Asset classification
4. Personal security
5. Physical and environmental security
6. Communicastion and operation management
7. Access control
HOME USER
Contoh berikut ini menunjukan sejumlah alasan mengapa home user rawan akan resiko keamanan informasi:
• Kurangnya pemahaman terhadap bahaya internet
• Pengguna software yang tidak sempurna atau tidak dapat di andalkan, dimana memiliki kelemahan di sisi keamanan
• Pengguna operating system yang tua dan lawas, sehingga meninggalkan kemungkinan terjadinya crash atau kehilangan data
• Kerawanan terhadap pornogerafi atau media yang tidak senonoh lainnya
• Tidak terkontrolnya pengguna computer oleh anak, teman, dan lainnya
• Penggunaan computer rumah untuk aktivitas bisnis, sehingga membuka peluang kerawanan baru terhadap data perusahaan.
Professional User
Berikut ini adalah contoh-contoh yang menunjukan bagaimana seorang professional user masih memiliki kerawanan terhadap resiko keamanan informasi:
• Kurangnya pemahaman terhadap peraturan dan prosedur keamanan informasi perusahaan, dan kurangnya rasa tanggung jawab
• Rendahnya apresiasi terhadap nilai dari data perusahaan
• Saling berbagai akses dengan rekan kerja atau teman
• Penggunaan computer kantor untuk urusan rumah
• Penggunaan laptop, mobile devise, dan media penyimpanan data lainnya ketika berada di luar kantor.
Hal-hal yang dilakukan oleh seorang professional user adalah:
• Sadarilah tanggung jawab pribadi anda atas segala hal yang terkait dengan keamanan informasi
• Pelajarilah aturan-aturan keamanan informasi yang sudah ada
• Berhati-hatilah terhadap segala kemungkinan terburuk yang bias terjadi, dan waspadalah apabila benar-benar terjadi
• Laporkan setiap insiden dan hal-hal yang mengkhawatirkan terkait dengan keamanan informasi, seperti :
1. Pelanggaran hak akses
2. Backup yang kurang memeadai
3. Kegagalan system
4. Transaksi elektronik yang tidak terkontrol dengan baik atau mengalami kegagalan.
• Buatlah backup terhadap data penting secara teratur dan lakukan tes terhadap hasil backup tersebut.
• Setelah menerima password, gantilah sesegera mungkin.
• Kembalikan seluruh hak hak milik perusahan.
• Kuncilah ruangan saat menunggalkan data atau perangkat yang harga
• Hancurkanlah informasi yang bersifat sensitif secara efiktif guna shredder, sapu bersih disket, hancurkan medianya, dan lainnya.
• Hanya guna accunt yang memiliki hak sebagai administrator dalam saat-saat tertentu saja, seperti saat menginstall software atau mengconfigure system anda, apabila memungkinkan.
• Ingatalah selalu bahwa anda bias dihadapkan pada suatu situasi dimana anda harus mempertanggung jawabkan bobolnya keamanan informasi secara hokum.
Yang tidak boleh dilakukan oleh seorang professional user adalah:
• Penyalagunaan sumber daya komputesi milik perusahaan untuk penggunaan yang tidak mendapat persetujuan .
• Meninggalkan system tanpa penjagaan yang memadai dan mudah untuk diakses oleh otang lain dalam jangka waktu yang lama.
• Memberitahukan password Anda pada orang lain atau berbagi pakai password dangan orang lain.
• Mengungkapkan data sensitive pada orang lain yang tidak mendapat otorisai untuk menerimanya atau yang tidak perlu mengetahui informasi tersebut.
• Menggunakan software bajakan atau shareware yang tidak jelas dikomputer milik perusahaan.
• Membypass atau menguninstall software antivirus.
• Mengabaikan insiden security yang terjadi
• Menambahkan atau mengambil perangkat komputert tampa otorisasi.
Manager
Berikut ini adalah contoh kerawanan terhadap resiko keamanan informasi :
• Gagal memahami beasrnya dampak dari setiap insiden sekuriti.
• Kurangnya pemahaman terhadap resiko keamanan informasi.
• Gagalnya memberikan arahan menganai keamanan informasi.
• Gagal memantau aktivitas para staff.
• Gagal mengidentifikasi insiden sekuriti .
• Gagal menjadikan isu keamanan informasi sebagai hal yang penting dan memastikan bahwa setiap langkah pencegahan telah dilakukan.
Kondisi-kondisi yang perlu diperhatikan oleh para manager untuk menghindari resiko keamanan informasi adalah sebagai berikut :
• Pastikan bahwa para staff mengtahui apa yang boleh dan yang tidak boleh dilakukan terkait keamanan informasi.
• Pastikan bahwa para staff memiliki sumber daya dan keahlian yang memadai.
• Pastika bahwa sekuriti menjadi salah satu bagian yang dipertimbangkan dalam penilaian kinerja para stff.
• Pastikan bahwa keamanan informasi menjadi bagian tak terpisah dari proses SDLC (system development cycle).
• Pastikan ketresediaan panduan sekuriti dan kesepakatan kontrak untuk e-commerce dan elektronok payment.
• Pastikan bahwa daftar hardware dan software yang sifatnya kritial terhadap layanan TI selalu tersedia dan up-to-date termasuk lokasi penanggulangan bencana.
• Pastikan bahwa prosedur pengarsipan dan backup terhadap data-data penting telah didefinisikan dan diterapkan
• Pastikan bahwa mobile device telah menjadi bagian dari strategi keamanan informasi dan telah dilindungi.
• Pastikan bahwa seluruh staff telah sadar bahwa mereka dapat dituntut secara hokum saat terjadi kebobolan serius terhadap keamanan informasi perusahaan.
Executive
Kerawanan yang dimiliki oleh executive antara lain :
• Kurang apresiasi terhadap resiko mana saja yang apaling signikfikan.
• Gagal untuk mengkomunikasikan budaya dan kerangka kerja pengendalian keamanan informasi yang tepat.
• Gagal dalam mendelegasikan pertanggunmg jawaban terhadap penglolaan resiko di setiap tingkat.
• Gagal dalam medetekasi di mana kelemahan sekutiti berada di dalam organisasi.
• Gagal memantau aktivitas pengolaan untuk memastikan kepatuhan terhadap kebijakan yang sudah ada.
Pertanyaan-pertanyaan yang perlu ditanyakan kepada para executive, apakah sudah berada di jalur yang tepat dalam merapkan information security governance di organisasimereka, adalah sebagai berikut :
• Kapan terakhir kalinya dilakukan pengukuran resiko trehadap tingkat criticality dari asset-aset informasi?
• memperhitungkan dampak dari kemampuan entitas bisnis untuk beroperasi saat informasi yang bersifat kritikal tidak tersedia,corrupted atau hilang?.
• Apakah pengukuran resiko keamanan informasi telah menjadi agenda rutin dalam setiap pertemuan pihak manajeman TI perusahaan, dan apakah pihak manajemen mengikuti terus setipa usaha melakuakn peningkatan?
• Apa yang dilakuakan perusahaan lain, dan bagaimana posisi perusahaan dengan para pesaing tersebur?
• Kapan terakhir kalinya kebijakan keamanan informasi dikeluarkan oleh perusahaan? Apakah kebijakan tersebut mencakup :
1. Asset informasi yang bersifat kritikal.
2. Penegasan betapa pentingnya isu mengenai keamanan informasi oleh dewan deksi dan manajemen
3. Resiko-resiko yang teridentifikasi.
4. Prosuder pemantauan dan pengumpulan feeback.
5. Mekanisme pengendalian yang dibengun untuk mengatasi resiko-resiko tersebut.
• Kapan terakhir kalinya penilaian kinerja dari orang yang bertanggung jawab terhadap keamanan informasi?
• Perlindunagan seperti apa saja yang telah diterapkan dalam system yang terhubung ke internet untuk melindungi entitas bisnis dari virus dan serangan lain?
• Apakah manajemen menyadari bahwa bobolnya system keamanan informasi dapat menyebabkan konsekkuensi hukum, dimanaperusahaan terpaksa harus menanggungnya?
Aksi nyata yang harus dilakuakan para executive adalah :
• Siapkan dan laksanakan program pengolahaan resiko yang mengidentifikasi ancaman, menanalisa vulnerability, mengukur tingkat criticality, dan menerapkan best practice di industry terkait.
• Definisikan dan terapkan kerangka kerja keamanan informasi yang terdiri dari standat, panduan praktis, dan prosuder.
• Pastikan bahwa strategi keamanan informasi yang terukur dan transparan bagi kalangan manajemen.
• Pelejari kembali strategi keamanan informasi dan perbaharui setidaknya setiap tahuan tatau lebih.
• Kembangkan skenario “what-if” terhadap resiko keamanan informasi, dengaan memenfaatkan pengetahuan dari para spesialis.
• Tetapka patokan dasar keamanan informasi dan pantau terus kesesuaiannya.
• Pastika bahwa setiap insiden sekuriti diinvestikasi dan dipecahkan secara tepat.
• Pastikan bahwa system keamanan informasi yang ditetapkan sesui dengan kerangka kerja information security govermence :
1. Keamanan informasi yang efektif bukan saja masalah teknologi, tetapi juga merupakan permasalahan bisnis.
2. Pengolahan resiko yang terkait harus disesuaikan dengan budayan perusahaan, kesadaran dan aksi manajemen sehubungan dengan keamanan informasi.
• Catatlah selalu seluruh informasi, layanan, dan transaksi yang sifatnya kritikal bagi perusahaan.
• Tetapkan pendekatan tingkat tinggi terhadap :
1. Siapa yang dapat mengakses dan mengubah data.
2. Tpe retensi data dan backup yang diperlukan.
3. Bagaimana cara melakukan otorisasi dan verifikasi terhadap transaksi elektronok.
• Dasarkan otorisasi system pada business rule dan sesuikan metode authentication pada resiko bisnis.
• Pastikan bahwa keamanan informasi menjadi bagian dari siklus hidup TI secara keseluruhan.
Senior Executive
senior executive masih memiliki kerawanan terhadap resiko keamanan informasi :
• Kurang apresiasi terhadap resiko mana saja yang apaling signikfikan
• Gagal dalam memberikan mandate untuk menerpakn budaya dan kerangka kerja pengendalian keamanan informasi yang tepat.
• Gagal dalam menyertakan pertanggungjawaban terhadap pengelolaan resiko dalam tim manajemen.
• Gagal dalam mendeteksi dimana kelemahan sekuriti berada di dalam organisai.
• Gagal dalam mengarahkan pengelolaan resiko dan memposisikan diri untuk mengetahui sisa resiko apa saja yang masih ada.
Pertanyaan-pertanyaan yang perlu ditanyakan kepada para senior executive adalah sebagai berikut :
• Bagaimana dewan direksi dapat selalu mengetahui seluruh isu-isu terkait keamanan informasi?
• Apakah sudah jelas bagi perusahaan mengenai posisinya terhadap resiko TI dan keamanan informasi?
• Apakah pihak manajemen mengetahui masalah-masalah sekuriti dan practice Ti terkini?
• Apa yang menjadi best practice di industry dan bagaimana keadaan perusahaan apabila dibandingkan terhadap best practice tersebut?
• Apakah masalah-masalah sekuriti TI menjadi bahan pertimbangan saat mengembangkan strategi bisnis dan strategi TI?
• Asset informasi mana saja yang terkait dengan hokum dan regulasi?
• Apakah ada program terkait keamanan informasi yang sudah ada, dimana mencakup seluruh pertanyaan diatas?
• Apakah manajemen sadar bahwa bobolnya system keamanan inbformasi bias menyebabkan tuntutan hokum yang akan menyeret pihak manajemen.
Aksi nyata yang harus dilakuakn oleh senior executive adalah :
• Membangun sebuah organisasi dan fungsi keamanan informasi yang akan membantu pihak manajemen dalam mengembangkan kebijakan dan membantu perusahaan dalam mengembangkan kebijakan tersebut.
• Menetapkan pertanggungjawaban, akuntibilitas, dan otoritas untuk seluruh fungsi yang terkait dengan keamanan informasi, kepada individu yang tepat di dalam organisai.
• Menetapkan program yang jelas dan pragmatis untuk kontinuitasperusahaan dan teknologinya, dimana akan secara ritin diuji dan dijaga selalu up-to-date.
• Lakukan audit keamanan informasi berdasarkan proses dan akuntibilitasyang jelas, dan tanggapi setiap rekomendasi yang dihasilakan sampai tuntas.
• Sertakan isu keamanan informasi dalam penilaian kinerja karyawan dan berikan penghargaan dan tindakan disipliner yang sesuai.
• Kembangkan dan perkenalkan pelaporan yang jelas dan rutin mengenai status keamanan ionformasi perusahaan kepada dewan dideksi, berdasarkan kebijakan yang sudah ditetapkan dan panduan, serta standar yang sesuai.
Diposkan oleh BELAJAR KOMPUTER DENGAN MUDAH di 01:30 0 komentar
Label: standar sistem manajeman
TUJUAN DARI MANAJEMEN KEAMANAN INFORMASI
Mengelola keamanan komputer dan jaringan semakin lama menjadi pekerjaan yang sangat menantang.Perkembangan teknolagi informasi dan telematika telah memindahkan pusat pengolahan data,dari data center ke personal computer (PC) di kantor dan dirumah..Alhasil,focus perhatian dalam pengawasan keamanan informasi menjadi lebih
luas,dan membuat kerja para manager keamanan informasi menjadi sangat sulit.
Manajer keamanan informasi harus membuat dan menjalankan inisiatif keamanan informasi yang memastikan tiga hal utama,yaitu:
• Kerahasiaan (confidentionality)
• Integritas (integrity)
• Ketersediaan (availability) system informasi perusahaan.
I.Kerahasiaan
Dapat diartikan sebagai perlindungan terhadap datadalam sisteam informasi perusahaan,sehingga tidak dapat diskses orang yang tidak berhak.Kerahasiaan harus terdefinisikan dengan baik,dan prosedur untuk menjaga kerahasiaan informasi harus diterapkan secara hati-hati,kususnya untuk computer bersifat standalone atau tidak terhubung kejaringan.
Ancaman terhadap perusahaan
• Seorang hacker adalah orang yang membobol pengendalian akses dari sebuah system,dengan memanfaatkan kelemahan system tersebut.
• Seorang masquerader adalah orang yang berhak mengakses system, tetapi telah memiliki password dari orang lain,sehingga dapat mengakses file yang tersedia untuk user lain.
• Aktivitas user yang tidak terotoritasi ini terjadi saat user yang berhak mengakses system dan mereka memiliki kemampuan untuk mengakses file-file yang sebenarnya tidak berhak untuk mereka akses.
• Download file tanpa proteksi dapat mengancam keamanan informasi saat dipindahkan karena tidak dilindungi dengan baik,mungkin telah diikuti oleh virus saat download.
• LAN (local area network),biasanya mengunakan topologi bus (meng_ hub) karena data2 dalam bentuk tidak terenkripsi bias saja terlihat oleh orang2 yang tidak berhak.
• Trojan horse,bias menyalin file2 rahasia ke t4yang tidak aman yang tidak dapat diketahui oleh user.progaram ini semacam virus.
Model-model kerahasiaan
Model bell-lapadula merupakan model hubungan antara objek.Dalam model ini menerapkan sebuah prinsip yang menentukan bahwa subyek memiliki hak tulis terhadap obyek yang berada dalam tingkat yang sama atau lebih tinggi dari subyek.
Model access control dimana mengorganisir sebuah sistemkedalam obyek,subyek,dan operasi.Yang bermanfaat memastikan integritas dan juga kerahasiaan informasi.
Penerapan model-model kerahasiaan
Trusted system criteria yang dikembangkan oleh National Computer Security Center(NCSC) yang mempublikasikan Department of Defense Trusted Computer System Evaluation Criteria (ORANGE BOOK),merupakan paduan terbaik dalam menerapkan model-model kerahasiaan.
Ncsc juga mengembangkan Trusted Network Inrterpretation of the Computer System Evaluation Criteria (RED BOOK) merupakan aplikasi dari criteria-kriteria dalam orange book.
II.Integritas
Merupakan perlindungan terhadap data dalam system dari perubahan yang tidak terotoritas,baik secara sengaja atupun tidak.elemen tambahan dari integritas adalah kebutuhan untuk melindungio proses atau program yang digunakan untuk memanipulasi data dari modifikasi yang tidak terotoritasi.pentingnya integritas data untuk mencegah penipuan (fraud)dan kesalahan (error).
Tiga prinsipdasar yang digunakan untuk menerapkan pengendalian integritas adl:
1. memberikan akses dalam kerangka need-to-know basis..
2. pemisahan tugas (separation of duties).
3. rotasi tugas.
Model integritas
Digunakan untuk menjelaskan apa yang perlu dilakukanuntuk menerapkan kebijaksanaan integritas informasi dalam suatu organisasi.
Ada tiga sasaran integritas:
• Mencegah user yang tidak berhak melakukan perubahan dat atau program.
• Mencegah user yang berhak melakukan perubahan yang tidak benar atau tidak terotoritas.
• Menjaga konsistensi data dan program secara internal dan external.
III.Ketersediaan
Yang dapat diartikan sebagai kepastian bahwa sebuah system informasi dapat diakses oleh user yang berhak kapan saja system informasi tersebut dibutuhkan.
Ada 2 “pengganggu” ketrsediaan yang sering dibicarakan,yaitu:
1. Denial of service,dilakukan dengan mengunci layanan dari system informasi sehingga tidak bias digunakn oleh user yang berhak.
2. Hilangnay kemampuan pemrosesan dat karena bencana alam atau perbuatan manusia.Yang lebih sering dihadapi dan dapat ditangulagi dengan membuat contingency plan yang dapat mengurangi waktu yang dibutuhkan untuk memulihkan kemampuan pemrosesan data saat terjadinya bencana.
Masalah urusan fisik,teknis dan administrasi merupakan aspek penting dari inisiatif keamanan informasi untuk mengatasi isu ketersediaan.
Kesimpulan
Tiga tujuan utama dari managemen keamanan informasi kerahsiaan,integritas, dan ketersediaan haruslah hadir disetiap system informasi.Kombinasi kerahasiaan,ketersediaaan,dan integritas dalm porsi yang pantas untuk mendukung tujuan organisasi akan dapat menghasilkan system yang dapat diprcayai (trustworthy)oleh para user.Tingkat kepaercayaan ini memiliki definisi lebih luas dari sekedar keamanan informasi,karena mengabungkan isu keamanan informasi dengan isu keselamatan dan keandalan,serta perlindungan trhadap privasi.
ELEMEN PEMBAGUNAN KEAMANAN INFORMASI
Keamanan informasi tidak selalumerupakan pengendalian dari sisi teknologi dan tidak dapat dicapai hanya melalui perelatan software atau hardware.pendekatan terbaik untuk mencapai keamanan informasi yang efektif adalah melalui pendekatan berlapis –lapis yang meliputi prelindungan disisi teknologi dan nonteknologi.
Teknologi keamanan informasi tidak dapat menghilangkan seluruh peluang ancaman terhadap keamanan informasi perusahaan.Manager keamanan informasi harus berkerja sama dengan seluruh bagian perusahaan.Kebijaksanaan,standar,prosedur,,dan panduankeamanan inpormasi perusahaan dikembangkan secara bersamaan sebagai fondasi dari segala aktifitas keamanan informasi.Dengn pendekatan seperti ini keamanan informasi akan menjadi sebuah fungsi dalam prerusahaan bukan sebagi penghalang.
Pendekatan keamanan informasi harus melihat seluruh aspek.Yang dapat diandaikan sebagiai rumah yang dibangun tanpa fondasi.
Tanpa fondasi yang didasrkan pada kebijakan keamanan informasi yang solit,dan intra strukturnya.Tanpa kebijakan,standar,prosedur dan panduan keamanan informasi,artinya
Tidak ada kerangaka kerja umum atau fondasi keamanan informasi.Kebijakan menenyukan landasan terhadap pemilihan teknolaogi dan bagai mana teknologi tersebut akan diconfigure dideploy.
Audit keaman informasi,pemeriksaan dan mungkin juga tes terhadap kebijakan,standar.prosedur,dan panduaan keamanan informasi dari seluruh organisasi biasanya terdaftar sebagai elemen pertama dalam menilai resiko keamana organisasi.Sangat mudah melihat kebijakan dalam bentuk kebijakan tapi apakah dipraktekan perlu dilakukan obserfasi secara langsung di lingkar,untuk mengevaluasi apa yang sebenarnya dilakuakn sehari-hari.
Misi keamanan informasi:untuk meliundungi asset informasi,system,dan jaringan yang menjadi media transmisi informasi,dari kerusakan yang menghasilkan kegagalan terhadp kerahasiaan,integritas,dan ketersediaan informasi.
Sasaran keamanan informasi:untuk menigkatkan produktifitas perusahaan melaluyi pengurangan peluang terjadinya kehilangan melalui desain dan implementasi kebijakan,standar,prosedur,dan panduan yang menigkatkan perlindungan terhadap asset perusahaan.
Keamanan system informasi dimana mengkhususkan terhadap keamanan data,baik dalam bentuk technology(hardware&software)maupun nonteknolaogi (kebijakan, standar, prosedur, panduan keamanan informasi).
Corporate Security Officer(CSO) atau Chief Security Officer, yang diberikan tanggung jawab yang meliputi keamanan informasi tanpa memperdulikan teknologinynadan tanggung jawab seluurh bagian perusahaan tanpa memperdulikan batasan-batasan geografis.
*Filosofi dasar keamanan informasi
Keamanan informasi sering kali diharapkan untuk memberikan return on invertment (ROI)secara langsung untuk menjustifikasi biaya yang dikeluarka.Keamanan informasi seringkali merupaakn proses yang intangibledan banyak kasus tingkat keamanan disuatu perusahaan tidak terlihat jelas sampai terjadinya klekacauan,dimana dalam kondisi seperti ini,kurangnya tingkat keamanan ter;lihat secara nyata.
3 elemen perlindungan keamanan informasi:
1. Authentication ,merupakan proses saat system melakukan verifikasi thd user yang meminta hak akses terhadp informasi,bahwa orang tersebut memang merupakan orang yang mengklaim memiliki hak akses.
2. Akuntabilitas,melibatkan audit trail,dimana akan dapat menunjukkan user mana yang mengakses informasi
3. Audit,untuk menunjukan apakah aktivitas tertentu,baik teroterial atau tdk,terjadi dalam suatu system yang dilakukan oleh user pad suatu sat tertentu.
Perlindungan keamanan informasi yang berlapis-lapis terdiri dari:
• Kebijakan keamanan informasi perusahaan
• Kebijakan fungsional keamanan informasi
• Kebijakan keamanan computer
• Standar minimum keamanan informasi
• Keamanan disisi teknologi dan fisik
Point yang penting yang harus diperhatikan dalam keamanan informasi :
• Keamanan informasi bukan sekedar masalah pengendalian disisi teknologi
• Keamanan informasi harus dilihat dari sudut pandang proses dan tujuan bisnis
• Keamana informasi harus menjadi sebuah fungsi dalam perusahaan,bukan dilihat dari sudut penghalang.
• Buatlah sebuah tim.hanya dengan tim yang solitperusahaan dapat mengetahuikebijakan apa yang sudah ada,dan apa yang masih perlu ditambah.
• Kebijakan keamanan informasi sebaiknya ditung seringkas mungkindalam rangka mempermudah pemahaman dan kebijakan dari pimpinan sampai bawahan mengenai keamanan informasi.
• Kebijakan keamanan informasi yang padat &ringkas harus dibarengi dengan tersediaya panduan dan prosedur,sehingga dapat mencapai tujuan dari perusahaaan tsb.
• Lakukan pemeriksaan rutin thd apa yang tercantum didalam kebijakan dan standar,dengan apa yang sebenarnya dilakukan,
• Definisikan secara hati-hati domain yang menjadi tanggung jawab meniger keamana informasi.identifikasi secara jelas cakupan dari perusahaan.
• Komunikasi adalah kunci sukses no.1 dari setiap inisiatif keamanan informasi.
Keamanan informasi adlaah hasil usaha bersama dari sebuah tim,dimana dari seluruh anggota organisasi harus mendukung tujuan bisnis perusahaan.
Keamanan informasi juga suatu bagian penting dari tujaun disnis ,dimasna dapat menciptakan peluang bisnis baru dan menurangi resiko bisnis.
Diposkan oleh BELAJAR KOMPUTER DENGAN MUDAH di 01:25 0 komentar
Label: tujuan keamanan
Standar system Manajemen keamanan Informasi
Informasi adalah asset perusahaan sama pentingnya dengan asset-aset lainnya, seperti: gedung , mesin produksi, SDM, dan lainnya. Sebagai konsekuensi keamanan informasi di perlukan karena informasi dan proses, system, dan jaringan computer pendukungnya merupakan asset perusahaan yang sangat penting, dan harus dilindungi dari berbagai ancaman.
ISO 17799 adalah standar system manajemen keamanan informasi yang diakui di seluruh dunia. Standar ini diterbitkan untuk pertama kalinya oleh internasional organization for standardization (ISO) pada Desember 2000.
ISO/IEC 17799:2008 Framework baru system manajemen keamanan informasi
Revisi dari framework system Manajemen keamanan informasi (SMK) juga di kenal dengan istilah informasi security management system (ISMS) framework ISO/IEC 17799 merupakan satu-satunya framework SMKI yang secar luas diakui oleh banyak Negara. Beberapa Negara mempunyai framework SMKI local mereka masing-masing, dan sejumlah ordanisasi telah berusaha memperbaiki versi sebelumnya,ISO/IEC 17799:2000. Akan tetapi, kepercayaan pada ISO/IEC 17799 tetap tidak tegoyahkan sebagai framework SMKI de facto dunia.
ISO/IEC 17799:2000 terdiri dari 10 control clause, yaitu:
1. Security policy
2. Security organization
3. Asset classification
4. Personal security
5. Physical and environmental security
6. Communicastion and operation management
7. Access control
HOME USER
Contoh berikut ini menunjukan sejumlah alasan mengapa home user rawan akan resiko keamanan informasi:
• Kurangnya pemahaman terhadap bahaya internet
• Pengguna software yang tidak sempurna atau tidak dapat di andalkan, dimana memiliki kelemahan di sisi keamanan
• Pengguna operating system yang tua dan lawas, sehingga meninggalkan kemungkinan terjadinya crash atau kehilangan data
• Kerawanan terhadap pornogerafi atau media yang tidak senonoh lainnya
• Tidak terkontrolnya pengguna computer oleh anak, teman, dan lainnya
• Penggunaan computer rumah untuk aktivitas bisnis, sehingga membuka peluang kerawanan baru terhadap data perusahaan.
Professional User
Berikut ini adalah contoh-contoh yang menunjukan bagaimana seorang professional user masih memiliki kerawanan terhadap resiko keamanan informasi:
• Kurangnya pemahaman terhadap peraturan dan prosedur keamanan informasi perusahaan, dan kurangnya rasa tanggung jawab
• Rendahnya apresiasi terhadap nilai dari data perusahaan
• Saling berbagai akses dengan rekan kerja atau teman
• Penggunaan computer kantor untuk urusan rumah
• Penggunaan laptop, mobile devise, dan media penyimpanan data lainnya ketika berada di luar kantor.
Hal-hal yang dilakukan oleh seorang professional user adalah:
• Sadarilah tanggung jawab pribadi anda atas segala hal yang terkait dengan keamanan informasi
• Pelajarilah aturan-aturan keamanan informasi yang sudah ada
• Berhati-hatilah terhadap segala kemungkinan terburuk yang bias terjadi, dan waspadalah apabila benar-benar terjadi
• Laporkan setiap insiden dan hal-hal yang mengkhawatirkan terkait dengan keamanan informasi, seperti :
1. Pelanggaran hak akses
2. Backup yang kurang memeadai
3. Kegagalan system
4. Transaksi elektronik yang tidak terkontrol dengan baik atau mengalami kegagalan.
• Buatlah backup terhadap data penting secara teratur dan lakukan tes terhadap hasil backup tersebut.
• Setelah menerima password, gantilah sesegera mungkin.
• Kembalikan seluruh hak hak milik perusahan.
• Kuncilah ruangan saat menunggalkan data atau perangkat yang harga
• Hancurkanlah informasi yang bersifat sensitif secara efiktif guna shredder, sapu bersih disket, hancurkan medianya, dan lainnya.
• Hanya guna accunt yang memiliki hak sebagai administrator dalam saat-saat tertentu saja, seperti saat menginstall software atau mengconfigure system anda, apabila memungkinkan.
• Ingatalah selalu bahwa anda bias dihadapkan pada suatu situasi dimana anda harus mempertanggung jawabkan bobolnya keamanan informasi secara hokum.
Yang tidak boleh dilakukan oleh seorang professional user adalah:
• Penyalagunaan sumber daya komputesi milik perusahaan untuk penggunaan yang tidak mendapat persetujuan .
• Meninggalkan system tanpa penjagaan yang memadai dan mudah untuk diakses oleh otang lain dalam jangka waktu yang lama.
• Memberitahukan password Anda pada orang lain atau berbagi pakai password dangan orang lain.
• Mengungkapkan data sensitive pada orang lain yang tidak mendapat otorisai untuk menerimanya atau yang tidak perlu mengetahui informasi tersebut.
• Menggunakan software bajakan atau shareware yang tidak jelas dikomputer milik perusahaan.
• Membypass atau menguninstall software antivirus.
• Mengabaikan insiden security yang terjadi
• Menambahkan atau mengambil perangkat komputert tampa otorisasi.
Manager
Berikut ini adalah contoh kerawanan terhadap resiko keamanan informasi :
• Gagal memahami beasrnya dampak dari setiap insiden sekuriti.
• Kurangnya pemahaman terhadap resiko keamanan informasi.
• Gagalnya memberikan arahan menganai keamanan informasi.
• Gagal memantau aktivitas para staff.
• Gagal mengidentifikasi insiden sekuriti .
• Gagal menjadikan isu keamanan informasi sebagai hal yang penting dan memastikan bahwa setiap langkah pencegahan telah dilakukan.
Kondisi-kondisi yang perlu diperhatikan oleh para manager untuk menghindari resiko keamanan informasi adalah sebagai berikut :
• Pastikan bahwa para staff mengtahui apa yang boleh dan yang tidak boleh dilakukan terkait keamanan informasi.
• Pastikan bahwa para staff memiliki sumber daya dan keahlian yang memadai.
• Pastika bahwa sekuriti menjadi salah satu bagian yang dipertimbangkan dalam penilaian kinerja para stff.
• Pastikan bahwa keamanan informasi menjadi bagian tak terpisah dari proses SDLC (system development cycle).
• Pastikan ketresediaan panduan sekuriti dan kesepakatan kontrak untuk e-commerce dan elektronok payment.
• Pastikan bahwa daftar hardware dan software yang sifatnya kritial terhadap layanan TI selalu tersedia dan up-to-date termasuk lokasi penanggulangan bencana.
• Pastikan bahwa prosedur pengarsipan dan backup terhadap data-data penting telah didefinisikan dan diterapkan
• Pastikan bahwa mobile device telah menjadi bagian dari strategi keamanan informasi dan telah dilindungi.
• Pastikan bahwa seluruh staff telah sadar bahwa mereka dapat dituntut secara hokum saat terjadi kebobolan serius terhadap keamanan informasi perusahaan.
Executive
Kerawanan yang dimiliki oleh executive antara lain :
• Kurang apresiasi terhadap resiko mana saja yang apaling signikfikan.
• Gagal untuk mengkomunikasikan budaya dan kerangka kerja pengendalian keamanan informasi yang tepat.
• Gagal dalam mendelegasikan pertanggunmg jawaban terhadap penglolaan resiko di setiap tingkat.
• Gagal dalam medetekasi di mana kelemahan sekutiti berada di dalam organisasi.
• Gagal memantau aktivitas pengolaan untuk memastikan kepatuhan terhadap kebijakan yang sudah ada.
Pertanyaan-pertanyaan yang perlu ditanyakan kepada para executive, apakah sudah berada di jalur yang tepat dalam merapkan information security governance di organisasimereka, adalah sebagai berikut :
• Kapan terakhir kalinya dilakukan pengukuran resiko trehadap tingkat criticality dari asset-aset informasi?
• memperhitungkan dampak dari kemampuan entitas bisnis untuk beroperasi saat informasi yang bersifat kritikal tidak tersedia,corrupted atau hilang?.
• Apakah pengukuran resiko keamanan informasi telah menjadi agenda rutin dalam setiap pertemuan pihak manajeman TI perusahaan, dan apakah pihak manajemen mengikuti terus setipa usaha melakuakn peningkatan?
• Apa yang dilakuakan perusahaan lain, dan bagaimana posisi perusahaan dengan para pesaing tersebur?
• Kapan terakhir kalinya kebijakan keamanan informasi dikeluarkan oleh perusahaan? Apakah kebijakan tersebut mencakup :
1. Asset informasi yang bersifat kritikal.
2. Penegasan betapa pentingnya isu mengenai keamanan informasi oleh dewan deksi dan manajemen
3. Resiko-resiko yang teridentifikasi.
4. Prosuder pemantauan dan pengumpulan feeback.
5. Mekanisme pengendalian yang dibengun untuk mengatasi resiko-resiko tersebut.
• Kapan terakhir kalinya penilaian kinerja dari orang yang bertanggung jawab terhadap keamanan informasi?
• Perlindunagan seperti apa saja yang telah diterapkan dalam system yang terhubung ke internet untuk melindungi entitas bisnis dari virus dan serangan lain?
• Apakah manajemen menyadari bahwa bobolnya system keamanan informasi dapat menyebabkan konsekkuensi hukum, dimanaperusahaan terpaksa harus menanggungnya?
Aksi nyata yang harus dilakuakan para executive adalah :
• Siapkan dan laksanakan program pengolahaan resiko yang mengidentifikasi ancaman, menanalisa vulnerability, mengukur tingkat criticality, dan menerapkan best practice di industry terkait.
• Definisikan dan terapkan kerangka kerja keamanan informasi yang terdiri dari standat, panduan praktis, dan prosuder.
• Pastikan bahwa strategi keamanan informasi yang terukur dan transparan bagi kalangan manajemen.
• Pelejari kembali strategi keamanan informasi dan perbaharui setidaknya setiap tahuan tatau lebih.
• Kembangkan skenario “what-if” terhadap resiko keamanan informasi, dengaan memenfaatkan pengetahuan dari para spesialis.
• Tetapka patokan dasar keamanan informasi dan pantau terus kesesuaiannya.
• Pastika bahwa setiap insiden sekuriti diinvestikasi dan dipecahkan secara tepat.
• Pastikan bahwa system keamanan informasi yang ditetapkan sesui dengan kerangka kerja information security govermence :
1. Keamanan informasi yang efektif bukan saja masalah teknologi, tetapi juga merupakan permasalahan bisnis.
2. Pengolahan resiko yang terkait harus disesuaikan dengan budayan perusahaan, kesadaran dan aksi manajemen sehubungan dengan keamanan informasi.
• Catatlah selalu seluruh informasi, layanan, dan transaksi yang sifatnya kritikal bagi perusahaan.
• Tetapkan pendekatan tingkat tinggi terhadap :
1. Siapa yang dapat mengakses dan mengubah data.
2. Tpe retensi data dan backup yang diperlukan.
3. Bagaimana cara melakukan otorisasi dan verifikasi terhadap transaksi elektronok.
• Dasarkan otorisasi system pada business rule dan sesuikan metode authentication pada resiko bisnis.
• Pastikan bahwa keamanan informasi menjadi bagian dari siklus hidup TI secara keseluruhan.
Senior Executive
senior executive masih memiliki kerawanan terhadap resiko keamanan informasi :
• Kurang apresiasi terhadap resiko mana saja yang apaling signikfikan
• Gagal dalam memberikan mandate untuk menerpakn budaya dan kerangka kerja pengendalian keamanan informasi yang tepat.
• Gagal dalam menyertakan pertanggungjawaban terhadap pengelolaan resiko dalam tim manajemen.
• Gagal dalam mendeteksi dimana kelemahan sekuriti berada di dalam organisai.
• Gagal dalam mengarahkan pengelolaan resiko dan memposisikan diri untuk mengetahui sisa resiko apa saja yang masih ada.
Pertanyaan-pertanyaan yang perlu ditanyakan kepada para senior executive adalah sebagai berikut :
• Bagaimana dewan direksi dapat selalu mengetahui seluruh isu-isu terkait keamanan informasi?
• Apakah sudah jelas bagi perusahaan mengenai posisinya terhadap resiko TI dan keamanan informasi?
• Apakah pihak manajemen mengetahui masalah-masalah sekuriti dan practice Ti terkini?
• Apa yang menjadi best practice di industry dan bagaimana keadaan perusahaan apabila dibandingkan terhadap best practice tersebut?
• Apakah masalah-masalah sekuriti TI menjadi bahan pertimbangan saat mengembangkan strategi bisnis dan strategi TI?
• Asset informasi mana saja yang terkait dengan hokum dan regulasi?
• Apakah ada program terkait keamanan informasi yang sudah ada, dimana mencakup seluruh pertanyaan diatas?
• Apakah manajemen sadar bahwa bobolnya system keamanan inbformasi bias menyebabkan tuntutan hokum yang akan menyeret pihak manajemen.
Aksi nyata yang harus dilakuakn oleh senior executive adalah :
• Membangun sebuah organisasi dan fungsi keamanan informasi yang akan membantu pihak manajemen dalam mengembangkan kebijakan dan membantu perusahaan dalam mengembangkan kebijakan tersebut.
• Menetapkan pertanggungjawaban, akuntibilitas, dan otoritas untuk seluruh fungsi yang terkait dengan keamanan informasi, kepada individu yang tepat di dalam organisai.
• Menetapkan program yang jelas dan pragmatis untuk kontinuitasperusahaan dan teknologinya, dimana akan secara ritin diuji dan dijaga selalu up-to-date.
• Lakukan audit keamanan informasi berdasarkan proses dan akuntibilitasyang jelas, dan tanggapi setiap rekomendasi yang dihasilakan sampai tuntas.
• Sertakan isu keamanan informasi dalam penilaian kinerja karyawan dan berikan penghargaan dan tindakan disipliner yang sesuai.
• Kembangkan dan perkenalkan pelaporan yang jelas dan rutin mengenai status keamanan ionformasi perusahaan kepada dewan dideksi, berdasarkan kebijakan yang sudah ditetapkan dan panduan, serta standar yang sesuai.
Diposkan oleh BELAJAR KOMPUTER DENGAN MUDAH di 01:18 0 komentar
Label: standar sistem manajeman
TUJUAN DARI MANAGEMEN KEAMANAN INFORMASI
Mengelola keamanan komputer dan jaringan semakin lama menjadi pekerjaan yang sangat menantang.Perkembangan teknolagi informasi dan telematika telah memindahkan pusat pengolahan data,dari data center ke personal computer (PC) di kantor dan dirumah..Alhasil,focus perhatian dalam pengawasan keamanan informasi menjadi lebih
luas,dan membuat kerja para manager keamanan informasi menjadi sangat sulit.
Manajer keamanan informasi harus membuat dan menjalankan inisiatif keamanan informasi yang memastikan tiga hal utama,yaitu:
• Kerahasiaan (confidentionality)
• Integritas (integrity)
• Ketersediaan (availability) system informasi perusahaan.
I.Kerahasiaan
Dapat diartikan sebagai perlindungan terhadap datadalam sisteam informasi perusahaan,sehingga tidak dapat diskses orang yang tidak berhak.Kerahasiaan harus terdefinisikan dengan baik,dan prosedur untuk menjaga kerahasiaan informasi harus diterapkan secara hati-hati,kususnya untuk computer bersifat standalone atau tidak terhubung kejaringan.
Ancaman terhadap perusahaan
• Seorang hacker adalah orang yang membobol pengendalian akses dari sebuah system,dengan memanfaatkan kelemahan system tersebut.
• Seorang masquerader adalah orang yang berhak mengakses system, tetapi telah memiliki password dari orang lain,sehingga dapat mengakses file yang tersedia untuk user lain.
• Aktivitas user yang tidak terotoritasi ini terjadi saat user yang berhak mengakses system dan mereka memiliki kemampuan untuk mengakses file-file yang sebenarnya tidak berhak untuk mereka akses.
• Download file tanpa proteksi dapat mengancam keamanan informasi saat dipindahkan karena tidak dilindungi dengan baik,mungkin telah diikuti oleh virus saat download.
• LAN (local area network),biasanya mengunakan topologi bus (meng_ hub) karena data2 dalam bentuk tidak terenkripsi bias saja terlihat oleh orang2 yang tidak berhak.
• Trojan horse,bias menyalin file2 rahasia ke t4yang tidak aman yang tidak dapat diketahui oleh user.progaram ini semacam virus.
Model-model kerahasiaan
Model bell-lapadula merupakan model hubungan antara objek.Dalam model ini menerapkan sebuah prinsip yang menentukan bahwa subyek memiliki hak tulis terhadap obyek yang berada dalam tingkat yang sama atau lebih tinggi dari subyek.
Model access control dimana mengorganisir sebuah sistemkedalam obyek,subyek,dan operasi.Yang bermanfaat memastikan integritas dan juga kerahasiaan informasi.
Penerapan model-model kerahasiaan
Trusted system criteria yang dikembangkan oleh National Computer Security Center(NCSC) yang mempublikasikan Department of Defense Trusted Computer System Evaluation Criteria (ORANGE BOOK),merupakan paduan terbaik dalam menerapkan model-model kerahasiaan.
Ncsc juga mengembangkan Trusted Network Inrterpretation of the Computer System Evaluation Criteria (RED BOOK) merupakan aplikasi dari criteria-kriteria dalam orange book.
II.Integritas
Merupakan perlindungan terhadap data dalam system dari perubahan yang tidak terotoritas,baik secara sengaja atupun tidak.elemen tambahan dari integritas adalah kebutuhan untuk melindungio proses atau program yang digunakan untuk memanipulasi data dari modifikasi yang tidak terotoritasi.pentingnya integritas data untuk mencegah penipuan (fraud)dan kesalahan (error).
Tiga prinsipdasar yang digunakan untuk menerapkan pengendalian integritas adl:
1. memberikan akses dalam kerangka need-to-know basis..
2. pemisahan tugas (separation of duties).
3. rotasi tugas.
Model integritas
Digunakan untuk menjelaskan apa yang perlu dilakukanuntuk menerapkan kebijaksanaan integritas informasi dalam suatu organisasi.
Ada tiga sasaran integritas:
• Mencegah user yang tidak berhak melakukan perubahan dat atau program.
• Mencegah user yang berhak melakukan perubahan yang tidak benar atau tidak terotoritas.
• Menjaga konsistensi data dan program secara internal dan external.
III.Ketersediaan
Yang dapat diartikan sebagai kepastian bahwa sebuah system informasi dapat diakses oleh user yang berhak kapan saja system informasi tersebut dibutuhkan.
Ada 2 “pengganggu” ketrsediaan yang sering dibicarakan,yaitu:
1. Denial of service,dilakukan dengan mengunci layanan dari system informasi sehingga tidak bias digunakn oleh user yang berhak.
2. Hilangnay kemampuan pemrosesan dat karena bencana alam atau perbuatan manusia.Yang lebih sering dihadapi dan dapat ditangulagi dengan membuat contingency plan yang dapat mengurangi waktu yang dibutuhkan untuk memulihkan kemampuan pemrosesan data saat terjadinya bencana.
Masalah urusan fisik,teknis dan administrasi merupakan aspek penting dari inisiatif keamanan informasi untuk mengatasi isu ketersediaan.
Kesimpulan
Tiga tujuan utama dari managemen keamanan informasi kerahsiaan,integritas, dan ketersediaan haruslah hadir disetiap system informasi.Kombinasi kerahasiaan,ketersediaaan,dan integritas dalm porsi yang pantas untuk mendukung tujuan organisasi akan dapat menghasilkan system yang dapat diprcayai (trustworthy)oleh para user.Tingkat kepaercayaan ini memiliki definisi lebih luas dari sekedar keamanan informasi,karena mengabungkan isu keamanan informasi dengan isu keselamatan dan keandalan,serta perlindungan trhadap privasi.
ELEMEN PEMBAGUNAN KEAMANAN INFORMASI
Keamanan informasi tidak selalumerupakan pengendalian dari sisi teknologi dan tidak dapat dicapai hanya melalui perelatan software atau hardware.pendekatan terbaik untuk mencapai keamanan informasi yang efektif adalah melalui pendekatan berlapis –lapis yang meliputi prelindungan disisi teknologi dan nonteknologi.
Teknologi keamanan informasi tidak dapat menghilangkan seluruh peluang ancaman terhadap keamanan informasi perusahaan.Manager keamanan informasi harus berkerja sama dengan seluruh bagian perusahaan.Kebijaksanaan,standar,prosedur,,dan panduankeamanan inpormasi perusahaan dikembangkan secara bersamaan sebagai fondasi dari segala aktifitas keamanan informasi.Dengn pendekatan seperti ini keamanan informasi akan menjadi sebuah fungsi dalam prerusahaan bukan sebagi penghalang.
Pendekatan keamanan informasi harus melihat seluruh aspek.Yang dapat diandaikan sebagiai rumah yang dibangun tanpa fondasi.
Tanpa fondasi yang didasrkan pada kebijakan keamanan informasi yang solit,dan intra strukturnya.Tanpa kebijakan,standar,prosedur dan panduan keamanan informasi,artinya
Tidak ada kerangaka kerja umum atau fondasi keamanan informasi.Kebijakan menenyukan landasan terhadap pemilihan teknolaogi dan bagai mana teknologi tersebut akan diconfigure dideploy.
Audit keaman informasi,pemeriksaan dan mungkin juga tes terhadap kebijakan,standar.prosedur,dan panduaan keamanan informasi dari seluruh organisasi biasanya terdaftar sebagai elemen pertama dalam menilai resiko keamana organisasi.Sangat mudah melihat kebijakan dalam bentuk kebijakan tapi apakah dipraktekan perlu dilakukan obserfasi secara langsung di lingkar,untuk mengevaluasi apa yang sebenarnya dilakuakn sehari-hari.
Misi keamanan informasi:untuk meliundungi asset informasi,system,dan jaringan yang menjadi media transmisi informasi,dari kerusakan yang menghasilkan kegagalan terhadp kerahasiaan,integritas,dan ketersediaan informasi.
Sasaran keamanan informasi:untuk menigkatkan produktifitas perusahaan melaluyi pengurangan peluang terjadinya kehilangan melalui desain dan implementasi kebijakan,standar,prosedur,dan panduan yang menigkatkan perlindungan terhadap asset perusahaan.
Keamanan system informasi dimana mengkhususkan terhadap keamanan data,baik dalam bentuk technology(hardware&software)maupun nonteknolaogi (kebijakan, standar, prosedur, panduan keamanan informasi).
Corporate Security Officer(CSO) atau Chief Security Officer, yang diberikan tanggung jawab yang meliputi keamanan informasi tanpa memperdulikan teknologinynadan tanggung jawab seluurh bagian perusahaan tanpa memperdulikan batasan-batasan geografis.
*Filosofi dasar keamanan informasi
Keamanan informasi sering kali diharapkan untuk memberikan return on invertment (ROI)secara langsung untuk menjustifikasi biaya yang dikeluarka.Keamanan informasi seringkali merupaakn proses yang intangibledan banyak kasus tingkat keamanan disuatu perusahaan tidak terlihat jelas sampai terjadinya klekacauan,dimana dalam kondisi seperti ini,kurangnya tingkat keamanan ter;lihat secara nyata.
3 elemen perlindungan keamanan informasi:
1. Authentication ,merupakan proses saat system melakukan verifikasi thd user yang meminta hak akses terhadp informasi,bahwa orang tersebut memang merupakan orang yang mengklaim memiliki hak akses.
2. Akuntabilitas,melibatkan audit trail,dimana akan dapat menunjukkan user mana yang mengakses informasi
3. Audit,untuk menunjukan apakah aktivitas tertentu,baik teroterial atau tdk,terjadi dalam suatu system yang dilakukan oleh user pad suatu sat tertentu.
Perlindungan keamanan informasi yang berlapis-lapis terdiri dari:
• Kebijakan keamanan informasi perusahaan
• Kebijakan fungsional keamanan informasi
• Kebijakan keamanan computer
• Standar minimum keamanan informasi
• Keamanan disisi teknologi dan fisik
Point yang penting yang harus diperhatikan dalam keamanan informasi :
• Keamanan informasi bukan sekedar masalah pengendalian disisi teknologi
• Keamanan informasi harus dilihat dari sudut pandang proses dan tujuan bisnis
• Keamana informasi harus menjadi sebuah fungsi dalam perusahaan,bukan dilihat dari sudut penghalang.
• Buatlah sebuah tim.hanya dengan tim yang solitperusahaan dapat mengetahuikebijakan apa yang sudah ada,dan apa yang masih perlu ditambah.
• Kebijakan keamanan informasi sebaiknya ditung seringkas mungkindalam rangka mempermudah pemahaman dan kebijakan dari pimpinan sampai bawahan mengenai keamanan informasi.
• Kebijakan keamanan informasi yang padat &ringkas harus dibarengi dengan tersediaya panduan dan prosedur,sehingga dapat mencapai tujuan dari perusahaaan tsb.
• Lakukan pemeriksaan rutin thd apa yang tercantum didalam kebijakan dan standar,dengan apa yang sebenarnya dilakukan,
• Definisikan secara hati-hati domain yang menjadi tanggung jawab meniger keamana informasi.identifikasi secara jelas cakupan dari perusahaan.
• Komunikasi adalah kunci sukses no.1 dari setiap inisiatif keamanan informasi.
Keamanan informasi adlaah hasil usaha bersama dari sebuah tim,dimana dari seluruh anggota organisasi harus mendukung tujuan bisnis perusahaan.
Keamanan informasi juga suatu bagian penting dari tujaun disnis ,dimasna dapat menciptakan peluang bisnis baru dan menurangi resiko bisnis.
