How To Secure Information Perspective from System, Technology And Process

How To Secure Information

Perspective from System, Technology And Process

Chintiya Zein Sakti – 321110009

Seperti yang sudah kita ketahui, prinsip dasar dari keamanan informasi sendiri terdiri dari 3 aspek. Yaitu :

      Confidentiality

Menjaga kerahasiaan informasi

      Integrity

Menjaga keutuhan informasi dan menjaga agara informasi yang diberikan valid

      Availability

Memastikan ketersediaan informasi dan memastikan agar informasi dapat di akses

Sedangkan Information Security Management sendiri terdiri dari 3 aspek. Yaitu :

      People

                Banyak sekali organisasi yang tidak efektif terhadap monitoring karyawan, ataupun pihak-pihak yang berhubungan dengan dokumen/data-data rahasia milik organisasi. User yang memiliki akses data merupakan akar dari penyebab kehilangan data itu sendiri. Contohnya saja dengan karyawan yang membuka email berbahaya, mengirimkan data melalui email, dan membuka website yang memiliki kode-kode bahkan virus berbahaya, semua ini dapat menjadi penyebab hilangnya atau bocornya data-data rahasia milik organisasi. Terlihat bahwa manusia merupakan aspek utama dalam keamanan data yang terlebih dulu harus diatur sebelum teknologi dan proses.

                Pihak karyawan yang berada di dalam suatu organisasi memiliki hak akses terhadap sumber data pada jaringan perusahaan. Karyawan memiliki akses ke gedung, printer, mesin fax, mail dan juga database. CERT telah mengidentifikasi tiga kategori utama insider IT sabotage, insider theft of intellectual property, and insider fraud . Dan juga kategori keempat yang disebut dengan human error.

ü  Insider IT Sabotage

Karyawan yang memiliki hak untuk sistem dianggap sangat berbahaya bagi suatu organisasi. Orang-orang ini memiliki kemampuan untuk menghapus informasi bisnis, menghancurkan disk cadangan, menginstal virus, membuat modifikasi ke situs web, dan mematikan sistem.

ü  Insider Theft of Intellectual Property

Karyawan yang bekerja di dalam organisasi sering memiliki kesempatan untuk menggunakan sistem informasi untuk mencuri kekayaan intelektual. Kategori ini meliputi pengintaian industri yang melibatkan orang dalam. Informasi yang dicuri sering termasuk desain teknik atau desain bisnis, formula ilmiah, source code, dan informasi pelanggan yang bersifat rahasia. Pencurian ini dapat merugikan organisasi secara finansial dan dari sisi kompetitif di pasar atau customer.

ü  Insider Fraud

Kecurangan pihak dalam dapat didefinisikan sebagai karyawan mengakses sistem informasi dengan maksud untuk mengubah atau menghapus data untuk keuntungan finansial. Ancaman ini sulit  diketahui dalam jangka waktu yang lama tergantung pada seberapa pintar pelakunya. Perubahan kecil yang terjadi akan sulit ditemukan sampai proses audit.

ü  Human Error

Seringkali karyawan cukup membuat kesalahan kecil yang mengakibatkan hilangnya data perusahaan. Karyawan tidak sengaja mengirim email yang bersifat sensitif ke alamat email yang salah, kehilangan laptop, flash disk, smartphone, print out, atau backup tape.

Faktor utama untuk menjaga keamanan data pada bagian ini adalah:

  1. Roles & responsibilities
  2. Controls
  3. Key Performance Measurement

      Process

                Proses mengatasi kesenjangan antara manusia dan teknologi dan termasuk kebijakan dan prosedur. Ini perlu dimasukkan ke dalam program pelatihan dan kesadaran untuk tidak hanya meningkatkan kesadaran tetapi juga menyediakan petunjuk pengguna harus mengikuti didasarkan pada keadaan tertentu. Proses harus ditinjau secara tahunan, agar efektif dalam mengatasi berbagai ancaman terhadap keamanan data.

Faktor utama untuk menjaga keamanan data pada bagian ini adalah:

  1. Business Proccess Understanding
  2. Business Proccess Reengineering
  3. Policies, Procedures & Reporting

      Technology

Faktor utama untuk menjaga keamanan data pada bagian ini adalah:

  1. System Audit & Review
  2. System Implementation
  3. System Identification, Evaluation & Selection

Menjaga keamanan informasi

  1. People

      Management Commitment

      Technical Capability

      Security Awareness

      Corporate Culture

      Communication

Diatas merupakan cara-cara menjaga keamanan informasi dari sudut pandang manusia. Dari 5 bagian diatas dilakukan dengan banyak cara, contohnya seperti di bawah ini :

  • Cek Latar Belakang

Sebelum memberikan lencana, user id, dan laptop untuk karyawan baru, pemeriksaan latar belakang yang menyeluruh harus dilakukan oleh HR untuk memvalidasi informasi resume. Pendidikan, jabatan, dan riwayat pekerjaan semua perlu verifikasi. Keamanan Perusahaan juga menjadi faktor utama dalam melakukan pemeriksaan latar belakang kriminal. Dengan melakukan kegiatan ini secara efektif HR dapat mengidentifikasi bendera merah dan secara signifikan mengurangi risiko ancaman dari dalam.

  • Training and Awareness

Training and Awareness adalah elemen yang diperlukan dari untuk mengurangi kehilangan data. Umumnya hal ini menangani ancaman kehilangan data seperti phishing, email, web browsing, jaringan sosial, Wi-Fi, dan perlindungan informasi. Karyawan harus dididik bagaimana memanfaatkan aset perusahaan dengan cara yang aman misalnya dengan menggunakan corporate VPN, enkripsi, dan komunikasi yang aman. Selain itu, karyawan membutuhkan pelatihan tentang kebijakan keamanan informasi perusahaan, prosedur, dan pedoman yang perlu diikuti.

  1. Process

      Regular Monitoring

      Security Hardening

      Effective Incident Management

      Patching Management

      Usere Awareness Program

      Information Classification

      IT Risk Assessment

      Internal Audit

      Penetration Testing

      Change Management

      Security News Update

Diatas merupakan cara-cara menjaga keamanan informasi dari sudut pandang Process. Dari bagian diatas dilakukan dengan banyak cara, contohnya seperti di bawah ini :

  • Insident Response Process

Menentukan rencana yang komprehensif untuk mengatasi kejadian ketika keamanan data terganggu. Organisasi harus memiliki proses penanganan insiden dan individu atau karyawan yang telah dilatih pada berbagai ancaman yang mungkin terjadi. Contoh ancaman yang dapat digunakan dalam pelatihan adalah Denial of Service, Worm, Advanced Persistent Threat (APT), Botnet, dan IT sabotase.

  • Governance Process

Proses yang digunakan untuk monitoring dan mengontrol stakeholder.  Memastikan bahwa CIA berjalan dengan baik. Manfaat bisnis menangani keamanan data harus dipertimbangkan dalam rangka untuk mempertahankan keunggulan kompetitif dan eksistensi organisasi.

  • Investigation Process

Setiap kejadian yang mengganggu keamanan datda harus ditinjau ulang dan diarahkan kepada pihak yang bertanggung jawab untuk tindakan dan analisis akar penyebab. Pihak yang bertanggung jawab dalam kasus terganggunya keamanan data dapat Corporate Legal, HR, CISO, Data Privacy Officer, atau Corporate Security. Masing-masing memiliki peran tersendiri dalam menangani keamanan data.

  • Policy

Kebijakan adalah dasar dari setiap program keamanan informasi dan dimiliki oleh para pemimpin senior dalam sebuah organisasi. Kebijakan yang efektif memberikan pernyataan yang meliputi apa yang dapat diterima, tidak dapat diterima, dan konsekuensi untuk pelanggaran kebijakan seperti kehilangan pekerjaan atau tindakan hukum. Ini adalah item yang karyawan “harus” mengikuti.

  • Data Classification

Klasifikasi data adalah elemen penting dalam menegakkan perlindungan data. Tujuan klasifikasi adalah untuk mengatasi tiga pertanyaan “Apakah itu rahasia? Siapa yang akan menerima informasi itu? Apa jenis perlindungan yang harus saya terapkan ? Kebijakan perlindungan data mengharuskan semua dokumen diklasifikasikan. Ini harus mencakup sistem klasifikasi yang akan digunakan juga sehingga pengguna tahu apa, bagaimana, dan mengapa mereka perlu mengklasifikasikan dokumen.

  • Data Retention and Destruction

Membuat jadwal penyimpanan data yang memenuhi kebutuhan organisasi. Pemusnahan data juga harus dicakup dalam kebijakan sehingga pengguna tahu bagaimana untuk menghancurkan data dengan tepat.

Contoh pemusnahan data :

Material Teknik
Kertas Cross- cut shredder

DibakarHard DriveDOD software to overwrite data repeatedly

DibakarBackup TypeDibakar

  • Procedures

Prosedur merupakan petunjuk langkah demi langkah yang ditulis dalam rangka untuk menyelesaikan tugas tertentu seperti bagaimana cara yang  benar dalam menandai dokumen rahasia di Microsoft Word, Excel atau Power point. Karyawan perlu instruksi ini untuk secara efektif menyelesaikan tugas-tugas penting dan juga untuk keamanan data.

  1. Technology

      Antivirus

      Firewall

      Intrusion Detection System

      Security Patches

      Security Logging

Diatas merupakan cara-cara menjaga keamanan informasi dari sudut pandang Technology. Dari bagian diatas dilakukan dengan banyak cara, contohnya seperti di bawah ini :

  • Monitoring the Network

Pemantauan data pada jaringan dan melaporkan setiap insiden di mana data penting atau pribadi sedang dikirim di luar jaringan perusahaan. Email dapat dimonitor untuk konten atau lampiran yang meliputi data rahasia atau pribadi.

  • Discover Confidential Stored Data

Salah satu isu yang dihadapi organisasi adalah mengidentifikasi dimana letak data sensitif pada jaringan. Untuk melindungi informasi, organisasi perlu tahu di mana ia berada, siapa pemilik yang tepat dan ketika terakhir diakses.

  • Protect Data

Kunci untuk setiap pencegahan gangguan keamanan data adalah kemampuan untuk melindungi data dari yang dikirim dari eksternal. Ini membahas komponen human error dan user jahat yang mencoba untuk mengirim data penting di luar jaringan perusahaan. Contohnya email prevention, web prevention, dan endpoint prevent.

  • Encryption
  • Secure Web Gateway
  • Mengakses situs web internet sering mengakibatkan kode berbahaya yang dikerahkan ke mesin lokal yang dapat menyebabkan kehilangan data tergantung. Untuk mengurangi risiko organisasi menggunakan Secure Web Gateway. Minimal URL filtering, malicious code detection and filtering.

Daftar Pustaka

https://www.owasp.org/index.php/CISO_AppSec_Guide:_Application_Security_Program

http://technet.microsoft.com/id-id/magazine/2009.04.securitywatch(en-us).aspx

https://www.owasp.org/index.php/CISO_AppSec_Guide:_Application_Security_Program

http://maxintech.co.id/information_technology.html

http://www.hkstcc.org.hk/zh_CN/consulting_services.php?c=information-security-management-system-iso-27001-implementation

Tagged: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: