Pretest
Manajemen Kontrol Keamanan :
Untuk mengamankan suatu Sistem Informasi menurut anda apa
saja yang perlu dilindungi?
Pentingnya keamanan sangat mempengaruhi untuk suatu sistem informasi di era
globalisasi pada sebuah organisasi atau perusahaan untuk menjaga fasilitas terpenting perusahaan. Pada dasarnya
fasilitas dan asset perusahaan yang ingin dijaga adalah berkaitan dengan lima
komponen dasar sistem informasi yaitu perangkat keras, perangkat lunak, pengguna,
data dan prosedur.
Empat karakteristik dasar yang dapat diketahui apabila perusahaan
ingin menerapkan solusi pengamanan sistem informasi di perusahaan :
1.
Perusahaan yang bersangkutan harus
memiliki sebuah sistem komputerisasi yang harus dilindungi seperti misalnya
mempunyai komputer diperusahaannya, memiliki jaringan komputer ( local area
network ) atau jaringan yang lebih luas lagi ataupun internet yang pada kenyataannya
digunakan untuk kegiatan bisnis perusahaan.
2.
Perusahaan yang dimaksud harus
memiliki sebuah divisi teknologi informasi yang menangani berbagai kegiatan
penunjang untuk berbagai aplikasi bisnis perusahaan di bidang teknologi. Divisi
teknologi diperusahaan bisaanya disebut dengan EDP (Entry Data Processing ).
Kejahatan komputer dapat dilakukan dan berawal dari bagian ini , seperti
dikatakan oleh Thomas porter dalam bukunya “ Elektronik Data Processing ( EDP )
control and auditing “ ( Porter ,1974 ), beliau mengatakan bahwa kejahatan yang
berhubungan dengan personal terutama dalam perusahaan dapat dikategorikan dalam
komputer abuse ( penyalahgunaan komputer ) , computer crime ( kejahatan
komputer ) dan computer related crime ( kejahatan yang berhubungan dengan
komputer ).
3.
Mempunyai
data, informasi dan sistem jaringan yang
berharga yang layak untuk di jaga, dan dapat menyebabkan kerugian yang besar
apabila data, informasi dan sistem jaringan tersebut dapat keluar dari
perusahaan atau dapat menyebabkan perusahaan tidak dapat beroperasi.
Karakteristik ini sangat berhubungan dengan materi risk manajemen. Pihak
peruhaan dapat menghitung kerugian material ataupun non material yang
disebabkan kejahatan dari sisi teknologi ini sehingga dapat diketahui apakah
sudah layak mereka mengimplementasikan pengamanan sistem informasi dalam setiap
kegiatan bisnis mereka.
4.
Karakteristik berikutnya adalah perusahaan
yang bersangkutan belum mempunyai kebijakan mengenai tata kelola teknologi
informasi terutama yang berkaitan dengan kebijakan tentang pengelolaan
keamanan sistem informasi (Information technology security policy). Atau mereka
sudah menerapkan beberapa prosedur kebijakan tentang keamanan sistem informasi
namun belum mengikuti standarisasi dari beberapa organisasi standar yang ada (
akan dipelajari lebih lanjut pada bab selanjutnya ).
Empat tipe keamanan komputer berdasarkan lubang keamanannya menurut
David Icove :
1.
Keamanan yang bersifat fisik ( physical
security )
Termasuk akses orang ke gedung, peralatan,
atau media yang digunakan. Beberapa contoh kejahatan jenis ini adalah sebagai
berikut :
a. Berkas-berkas dokumen yang telah
dibuang ke tempat sampah yang mungkin memuat informasi password dan username.
b. Pencurian komputer dan laptop
c. Serangan yang disebut dengan DDos
Attack / denial of service
d. Pemutusan jalur listrik sehingga
tidak berfungsi secara fisik.
e. Pembajakan pesawat pada saat tragedy
world trade centre.
2.
Keamanan yang berhubungan dengan orang
( personal security ).
Tipe keamanan jenis ini termasuk kepada
identifikasi, profile resiko dari pekerja di sebuah perusahaan. Dalam dunia
keamanan informasi salah satu factor terlemah adalah dari tipe jenis ini. Hal
ini disebabkan manusia bukanlah mesin sehingga kadangkala pekerjaannya tidak
terstruktur dan dapat di kelabui. Kejahatan jenis ini sering menggunakan metode
yang disebut dengan social engineering .
3.
Keamanan dari data dan media serta
teknik komunikasi (Communication security).
Tipe keamanan jenis ini banyak
menggunakan kelemahan yang ada pada perangkat lunak, baik perangkat lunak
aplikasi ataupun perangkat lunak yang diugunakan dalam mengelola sebuah
database.
4.
Keamanan dalam operasi ( management
security )
Kebijakan atau policy adalah hal
terpenting yang harus di perhatikan sebuah perusahaan dalam memelihara asset
teknologi dan bisnis mereka apabila ingin aman dari serangan hacker. Kebijakan
digunakan untuk mengelola sistem keamanan , prosedur sebelum maupun setelah
serangan terjadi, mempelajari manajemen resiko seperti dampak dan akibat dari
sebuah serangan.Banyak perusahaan terutama di Indonesia tidak memiliki standard
prosedur bagi keamanan sistem informasi. Untuk itu beberapa bagian dari buku ini
akan banyak membahas tentang implementasi dari standard pelaksanaan keamanan sistem
informasi bagi perusahaan yang diambil dari ISO 27001.
Sumber :
0 komentar:
Posting Komentar