Bab 9
Keamanan Informasi
Keamanan Informasi
Saat pemerintah dan kalangan industri mulai menyadari
kebutuhan untuk mengamankan sumber daya informasi mereka,perhatian nyaris
terfokus secara eksklusif pada perlindungan peranti keras dan data, jadi isilah
keamanan sistem pun digunakan untuk mendeskripsikan perlindungan baik
peralatan komputer dan non komputer, fasilitas , data,dan informasi dari
penyalahgunaan pihak – pihak yang tidak berwenang.
Tujuan keamanan informasi.
a. Kerahasiaan
b. Ketersediaan
c. Integritas
Ancaman
Ancaman keamanan informasi adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya
nformasi perusahaan.
Risiko
Risiko keamanan informasi didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggan informasi oleh ancaman keamanan
informasi.
Paktik keamanan yangdi wajibkan oleh visa
Peritel yang memilih untuk mengikuti praktik ini
akan menghadapi denda, kehilangan keanggotaan dalam program visa atau
pembatasan penjualan visa. Paritel harus :
1. Memperbaiki keamanan
2. Memantau
akses data dengan ID unik
3. Secara
teratur menguji sistem keamanan
4. Memasang
dan memelhara fiewall
5. Melakukan
enkripsi pada data yang disimpan
Manajemen risiko
Risiko dapat dikelola dengan cara mengendalikanatau
menghilangkan rikiko atau mengurangi dampaknya. Pendefinisian risiko
terdiri dari atas empat langkah :
1. Identifikasi aset – aset isnis yang harus dilindungi oleh
risiko
2. Menyadari
risikonya
3. Menentukan
tingkatan dampak pada perusahaan jika risiko benar – benar terjadi
4. Menganalisis
kelemahan perusahaa tersebut
Kebijakan keamanan informasi
Mengilustrasikan lia fase mplementasi kebijakan keamanan
a. Fase 1 Inisiasi proyek
Tim yang menyusun kebijkam keamanan yang dibentuk.
b. Fase 2 Penyusunan kebijakan
Tim proyek berkonsultasi dengan semua pihak yang berminat
dan terpengaruh oleh proyek ini untuk menentukan kebutuhan kebijakan baru
tersebut.
c. Fase 3 Konsultasi dan persetujuan
Tim proyek berkonsultasi dengan manajemen untuk
memberitahukan temuannya sampai saat itu, serta mendapatkan pandangan
mengenai berbagai persyaratan kebijakan.
d. Fase 4 Kesadaran edukasi
Program pelatihan kesadaran dan edeukasi kebijakan
dilaksanakan dalam unit – unit organisasi.
e. Fase 5 Penyebarluasan kebijakan
Kebijakan keamanan ini disebarluaskan keamanan seluruh
unit orgasnisasi dimana kebijakan tersebut dapat diterapkan
Pengendalian teknis
Pengendalian teknis adalah pengendalian yang menjadi satu
dalam sistem dan dibuat oleh para penyusun sistem.
Pengendalian akses memiliki 3 tahap :
a. Identifikasi
pengguna
b. Otentikasi
pengguna
c. Otorisasi
pengguna
Meletakkan pengendalian teknis pada tempatnya
a. Pengendalian
formal
Pengendalian formal mecakup penentuan cara berperilaku ,
dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta
pencegahan perilaku yang berbeda dari panduan yang berlaku.
b. Pengendalian
informal
Pengendalian ini mencakup program - program
pelatihan dan edukasi serta program pembangunan manajemen.
Rencana darurat
Menyebutkan cara - cara yang akan menjaga menjaga
keamanan karyawan jika bencana terjadi. Cara - cara ini mencakup seperti
alarm, prosedur, evakuasi , dan sistem pemadaman api.
Rencana cadangan
Rencana ini dapat diperoleh melalui kombinasi
redundansi,keeragaman dan mobilitas.
a. Redudansi
Peranti keras, peranti lunak dan data
dipublikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya
dapat meneruskan proses.
b. Keberagaman
Sumber daya informasi tidak dipasang di tempat yang sama
c. Mobilitas
Perusahaan dapat membuat perjanjian dengan para pengguna
peralatan yang sama sehingga masing – masing perusahaan dapat menyebakan
cadangan kepada yang lain jika terjadi bencana besar.
Raymond McLeod,Jr
& George P.Schell