Keamanan informasi
Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk mengamankan sumber-sumber daya informasi mereka keamanan system pun digunakan sebagai perlindungan bagi peralatan compute dan non komputer.
Tujuan keamanan informasi
Keamanan informasi ditujukan untuk mencapai 3 tujuan utama:
· Kerahasian
· Ketrsediaan
· Intregritas
Manajemen keamanan informasi
CIO adalah orang yang tepat untuk memikul tanggung jawb atas keamanaan informasi namun kebanyakan organisasi mulai menunjuk orang-orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini. Jabatan direktur keamanan system informasi perusahaan digunakan untuk individu di dalam organisasi.
MANAJEMEN KEAMANAN INFORMASI
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas 4 tahapan, yaitu :
· Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan.
· Mendefinisikan resiko yang dapat disebabkan oleh ancaman-ancaman tersebut.
· Menentukan kebijakan keamanan informasi.
· Mengimplementasikan pengendalian untuk mengatasi resiko-resiko.
ANCAMAN
Ancaman keamanan informasi adalah orang, organisasi, mekanisme atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.
ANCAMAN INTERNAL DAN EKSTERNAL
Ancaman internal mencakup bahwa halnya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor. Ancaman internal diperkirakan menghasilkan kerusakan secara potensial lebih serius jika dibandingkan dengan ancaman eksternal.
JENIS ANCAMAN
1.
Re Resiko keamanan informasi
2. Pengungkapan informasi yang tidak terotorisasai dan pencurian
3. Penggunaan yang tidak terotorisasai
4. Penghancuran yang tidak terotorisasi dan penolakan layanan
5. Modifikasi yang tidak terotorisasi
PERSOALAN E-COMMERCE
· Kartu kredit sekali pakai
PRAKTIK KEAMANAN YANG DIWAJIBKAN OLEH VISA
Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, pembatasan penjualan dengan visa. Peritel harus :
· Memasang dan memelihara firewall
· Memperbaharui keamanan
· Melakukan enkripsi pada data yang disimpan
· Melakukan enkripsi pada data yang dikirimkan
· Menggunakan dan memeperbaharui peranti lunak antivirus
Selain itu visa mengidentifikasi 3 praktek umum yang harus diikuti oleh praktikel dalam mendapatkan keamanan informasi untuk semua aktivitas. Bukan hanya yang berhubungan dengan E-Commerce :
· Menyaring karyawan yang memiliki akses terhadap data.
· Tidak meninggalkan data (disket, kertas dll).
· Menghancurkan data jika tidak dibutuhkan lagi.
MANJEMEN RESIKO
Pendefinisian resiko terdiri atas 4 langkah :
1. Identifikasi asset-aset bisnis yang harus dilindungi dengan resiko
2. Menyadari resikonya
3. Menentukan tingkatan dampak pada perusahaan jika resiko benar-benar terjadi
4. Menganalisis kelemahan perusahaan tersebut
Setelah analisis resiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisis resiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini :
1. Deskripsikan resiko.
2. Sumber resiko.
3. Tingginya tingkat resiko.
4. Pengendalian yang diterapkan pada resiko.
5. Para pemilik resiko tersebut.
6. Tindakan yang direkomendasikan untuk mengatasi resiko.
7. Jangka waktu yang direkomendasikan untuk mengatasi resiko.
8. Apa yang dilaksanakan untuk mengatasi resiko tersebut.
KEBIJAKAN KEAMANAN INFORMASI
Dibagi menjadi beberapa fase :
1. Fase pertama inisiasi proyek
2. Fase kedua penyusunan kebijakan
3. Fase ketiga kosultasi dan persetujuan
4. Kesadaran dan edukasi
5. Penyebarluasan kebijakan
Kebijakan terpisah dikembangkan untuk :
· Keamanan system informasi
· Pengendalian akses system
· Keamanan personil
· Keamanan lingkungan dan fisik
· Keamanan komunikasi data
· Klasifikasi informasi
PENGENDALIAN
Adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko-resiko atau meminimalkan dampak resiko tersebut pada perusahan, jika resiko tersebut terjadi.
PENGENDALIAN TEKNIS
Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyusun system selama masa siklus penyusun system melibatkan seorang auditor internal di dalam proyek tersebut.
PENGENDALIAN AKSES
Pengendalian akses dilakukan melalui prose 3 tahapan yang mencakup identifikasi pengguna, autentikasi pengguna, dan otorisasi pengguna.
· Identifikasi pengguna
· Otentifikasi pengguna
· Otorisasi pengguna
Identifikasi dan outentifikasi memanfaatkan profil pengguna atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkaan file pengendali akses yang menentukan tingkat akses bagi tiap pengguna.
SISTEM DETEKSI GANGGUAN
System deteksi gangguan adalah meengenai upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus yang telah terbukti melawan virus yang terkirim melalui email.
FIREWALL
Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data dari perusahaan ke internet. Tiga jenis firewall :
· Penyaring paket
· Tingkat sirkuit
· Tingkat aplikasi
PENGGENDALIAN KRIPTOGRAFIS
Yaitu pengguna yang menggunakan proses-proses matematika dan data tersebut dapat di enkripsi dalam penyimpanan dan juga di transmisikan kedalam jaringan. Dengan meningkatnya popularits ekomerse dan perkembangan teknologi enkripsi yang berkelanjutan pengguna diharap kanuntuk meningkat didalam batasan peraturan pemerintah.
PENGENDALIAN FISIK
Perusahaan dapat melaksanakan pengendalian fisik hingga tahap tertinggi dengan cara meneempataakan pusat komputernya di tempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitif terhadap bencana alam.
MENCAPAI TINGGKAT PENGENDALIAN YANG TEPAT
Dari ketika pengendalian ini merupakan praktek bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian uang di bandingkan yang di harapkan dari resiko yang akan terjadi. Dengan demikian keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industri terdapat pula pertimbangan-pertimbangan lain.ad conglimboo
DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintah dan internasional telah menentukan standar-stansar yang di tunjukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan informasi. Contoh standar inggris menentukan satu set pengendalian dasar bagi para pengadopsi potensial secara online pada tahun 2003.
PERATURAN PEMERINTAH
Pemerintah inggris maupun amerika serikat telah menentukan standar di antaranya :
· Standar keamanan computer pemerintah amerika serikat
· Undang-undang anti terorisme, kejahatan dan keamanan inggris (ATCSA) 2001
MENEJEMEN KEBERLANGSUNGAN BISNIS
Pada tahun-tahun awal penggunaan computer aktifitas ini disebut perencanaan berencana namun lebih positif dig anti perencanaan kontinjensi.
RANCANGAN CADANGAN DAN RENCANA CATATAN TERPENTING
Rancangan cadangan diperoleh melalui kombinasi, redundansi, keberagaman, mobilitas. Sedangkan rencana catatan penting perusahaan adalah kertas, microphone, media penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut.
By conglimboo
