Di
masa sekarang, banyak perusahaan mencari keamanan sistem informasi yang tidak
menghambat ketersediaan informasi bagi pihak-pihak yang memiliki otorisasi
untuk mendapatkannya. Pemerintah mencari keamanan sistem yang tidak melanggar
hak pribadi perorangan. Hal-hal ini adalah keseimbangan yang sulit untuk
didapat.
Fokus
awal dari keamanan sistem komputer dan basis data telah diperluas agar mencakup
bukan hanya semua jenis sumber daya informasi, namun juga media nonkomputer
seperti dokumen kertas, dan aktivitas ini disebut dengan keamanan informasi. Tiga tujuan keamanan informasi adalah
kerahasiaan, ketersediaan, dan integritas. Tujuan ini dipenuhi dengan cara
menjalankan program manajemen keamanan informasi (Information Security Management – ISM) setiap hari dan manajemen
keberlangsungan bisnis agar operasional perusahaan terus berjalan setelah
bencana dan pelanggaran terjadi. Pemikiran yang ada saat ini menyatakan bahwa
aktivitas keamanan ini harus dikelola oleh direktur pengawas informasi
perusahaan (CIAO) yang memimpin fasilitas keamanan yang terpisah dan melapor
langsung ke CEO.
Dua
pendekatan dapat dilakukan untuk menerapkan ISM. Manajemen risiko melibatkan
identifikasi ancaman, pendefinisian risiko, penetapan kebijakan keamanan
informasi, dan penerapan pengendalian. Kepatuhan terhadap tolok ukur
menggantikan pertimbangan ancaman dan risiko dengan tolok ukur keamanan
informasi yang baik, yang biasanya disediakan pemerintah atau asosiasi
industri.
Tantangan
dapat bersifat internal atau external, tidak disengaja atau disengaja. Banyak
perhatian telah ditujukan pada ancaman internal dan external, dengan
pengendalian internal yang biasanya berbentuk perangkat deteksi gangguan dan
prediksi gangguan sebelum gangguan tersebut terjadi. Ancaman yang paling
berbahaya adalah virus, yang hanya merupakan salah satu contoh piranti lunak
yang berbahaya, selain worm, trojan,
spyware, dan adware. Risiko
adalah tindakan yang tidak terotorisasi yang dilakukan oleh ancaman ini.
Tindakan ini dapat menghasilkan 1) pencurian dan pengungkapan, 2) penggunaan,
3) penghancuran dan penolakan layanan, dan 4) modifikasi yang tidak
terotorisasi. E-commerce meningkatkan
ancaman pemalsuan kartu kredit, yang dapat diminimalkan jika pelaku menggunakan
angka yang tergenerasi secara acak untuk melakukan transaksi dan bukannya nomor
kartu kredit tradisional.
Ketika
melaksanakan manajemen risiko, tingkat dampak dan derajat kerentanan dapat didefinisikan
secara sistematis. Dampak yang parah atau signifikan mengharuskan analisis
kerentanan. Pengendalian harus diimplementasikan untuk dampak yang parah dan
sebaiknya diimplementasikan untuk dampak yang signifikan.
Kebijakan
keamanan informasi dapat diimplementasikan dengan mengikuti rencana lima tahap.
Proyek ini melibatkan tim proyek dan mungkin juga komite pengawas khusus. Tim
ini bekerja dengan pihak manajemen dan pihak yang terkait dalam menyusun
kebiajakantersebut, yang kemudian disebarluaskan ke unit-unit organisasi
setelah memberikan program pelatihan dan edukasi. Kebijakan terpisah dapat
disusun untuk mengamankan sistem informasi, personel, komunikasi data, dan
lingkungan fisik.
Terdapat
tiga jenis pengendalian , yaitu teknis, formal, dan informal. Pengendalian
teknis menggunakan piranti keras dan lunak. Pengendalian akses memberikan akses
hanya setelah para pengguna dapat melewati layar untuk mengidentifikasi,
autentifikasi, dan otorisasi pengguna. Sistem deteksi gangguan mencakup paket
anitvirus dan model yang dapat mengidentifikasi ancaman dari dalam. Firewall ditujukan untuk melindungi
jaringan perusahaan dari gangguan lewat internet. Pengendalian kriptografis
dianggap sangat efektif karena jenis pengendalian ini tidak bergantung pada pencegahan
akse, melainkan membuat data dan informasi menjadi tidak berguna jika
didapatkan secara tidak bertanggung jawab. Pengendalian fisik mengamankan
fasilitas komputer dengan cara membatasi atau menghalangi akses yang tidak diotorisasi. Pengendalian formal mengambil
upaya atas-bawah, seperti cara berprilaku (codes
of conduct), prosedur, dan praktik. Pengendalian informal terutama berfokus
pada pemberian informasi yang dibutuhkan kepada karyawan untuk melaksanakan
pengendalian.
Banyak
hal yang telah dicapai di wilayah standar keamanan. Baik pemerintah maupun
asosiasi industri teah mengeluarkan standar atau memberikan bantuan dalam
menentukan apa saja yang harus dimasukan ke dalam program-program keamanan.
Pemerintah juga telah mengeluarkan undang-undang yang mengharuskan suatu
standar diikuti atau membuat perusahaan mampu menyediakan informasi mengenai
ancaman potensial dari teroris atau organisasi kejahatan tanpa harus takut
mendapatkan hukuman. Bersama dengan dukungan industri juga tersedia berbagai program
sertifikasi keamanan, yang membahas wilayah yang luas seperti praktik-praktik
manajemen dan yang lebih sempit seperti kriptografi.
Manajemen
keberlangsungan bisnis dicapai melalui rencana kontijensi, yang biasanya dibagi
ke dalam subrencana. Rencana darurat (emergency
plans) melindungi para karyawan, rencana cadangan membuat organisasi mampu
melanjutkan operasinya bahkan setelah hilangnya kemampuan komputer, rencana
catatan penting menjaga agar tidak ada data berharga yang hilang.
Saat
ini telah tersedia berbagai pilihan bagi perusahaan yang berniat untuk
meningkatkan keamanan informasinya. Ini merupakan satu wilayah aktivitas
komputerisasi, dimana jalan yang tepat sudah jelas.
0 komentar:
Posting Komentar