Informasi adalah asset perusahaan, seperti halnya asset business perusahaan lainnya, informasi mempunyai nilai kepada korporasi dan sebagai konsekuensinya, memerlukan suatu perlindungan yang memadai. Standar keamanan informasi melindungi informasi dari segala ancaman agar kesinambungan bisnis tetap terjamin dan meminimalkan kerusakan bisnis. Keamanan informasi bisa dicapai dengan cara mengimplementasikan suatu kontrol dalam bentuk policy, procedure, struktur organisasi, sistem dan fungsi untuk menjamin bahwa objektivtas keamanan dari organisasi bisa tercapai.
Standar keamanan informasi berhubungan banyak dengan beberapa konsep penting, yang konsen dengan jaminan keamanan informasi dari segala informasi dan system, proses dan procedure yang berhubungan dengan managemen dan penggunaan dari informasi. Informasi bisa berupa cetakan (hard copy), atau soft copy yang tersimpan pada berbagai bentuk media seperti USB flashdisk, CD, tape backup, ataupun dalam sistem jaringan komputer.
Informasi mempunyai tingkat sensitivitas dan criticality yang berbeda. Banyak juga informasi yang tidak memerlukan suatu tingkat pengamanan yang kritis atau cukup dengan standard keamanan minimal saja. Akan tetapi beberapa informasi secara komersil mempunyai tingkat sensitivitas yang tinggi dan memerlukan tingkat keamanan yang lebih tinggi. Asset informasi haruslah diklasifikasikan dan di manage menurut kebutuhan keamanan yang memadai dan menjamin bahwa kontrol keamanan sebanding dengan resiko keamanannya.
Ada keterkaitan antara system informasi dan pertukaran informasi antara business unit dengan pihak ketiga – business partner, yang menjurus kepada naiknya tingkat exposure kepada ancaman keamanan. Semua user / karyawan haruslah mempunyai rasa tanggung jawab masing-masing kepada informasi yang mereka gunakan, sementara fihak manajemen memastikan bahwa control keamanan informasi diimplementasikan dengan tepat. Keamanan informasi tidak menjamin keamanan dari informasi itu sendiri, akan tetapi sistem keamanan informasi memberikan framework dan rujukan manajemen untuk mengimplementasikan control keamanan yang memadai, dan meningkatkan rasa ikut menjaga keamanan bagi semua elemen karyawan untuk ikut bertanggungjawab terhadap keamanan informasi perusahaan agar tidak terjadi suatu kebocoran yang menjurus kepada kerugian.
Sebagai konsekuensi dari bocornya informasi perusahaan dapat mengakibatkan kerugian meliputi yang berikut ini.
- Kehilangan jiwa dan kecelakaan
- Kehilangan kepercayaan para pemegang saham
- Gangguan proses business
- Kehilangan financial
- Kehilangan kepercayaan clients
- Ancaman criminal
- Kerusakan nama dan reputasi
Pernyataan umum dari policy keamanan informasi
Informasi dan segala hal yang menyertainya termasuk proses, sistem, dan jaringan infrastruktur haruslah tersedia kepada authorized user (dan juga authrorized party) agar bisa mengoptimalkan performa. Informasi sangat tergantung pada tingkat control yang memadai untuk melindungi dari segala kehilangan, manipulasi fihak yang tidak bertanggung jawab, ataupun kebocoran rahasia.
Objective dari standard policy keamanan informasi:
- Availability: untuk menjamin bahwa fihak yang mendapatkan authorisasi terhadap informasi tersebut termasuk system yang mendukungnya bisa mengaksesnya dengan mudah dan tanpa kendala.
- Integrity: untuk menjaga keakuratan dan kelengkapan dari informasi dan metoda proses yang berkaitan.
- Confidentiality: untuk menjamin bahwa informasi tersebut hanyalah diperuntukkan bagi mereka yang berhak saja.
Area apa saja yag memerlukan guideline policy keamanan? Berikut ini adalah daftar yang memerlukan suatu policy demi keamanan system informasi. Jika anda bertanggungjawab terhadap suatu kebijakan atau policy dalam bidang information technology yang anda pimpin, maka ada baiknya mempertimbangkan point-point berikut untuk dibuatkan suatu policy buat seluruh elemen karyawan dalam corporate anda.
1. Omongan yang ceroboh (Careless Talk)
Yang dimaksudkan omongan yang ceroboh adalah:
- Membicarakan segala macam masalah bisnis, masalah kantor, masalah rahasia bisnis yang bisa dikuping oleh orang lain yang tidak seharusnya berhak mendengar.
- Membicarakan masalah bisnis perusahaan dengan orang yang tidak sepatutnya menerima atau mendengarkan informasi bisnis ini
Careless talk juga berarti memberikan informasi yang sensitive kepada seseorang yang menginginkannya dengan maksud tertentu misalkan ingin masuk ke area atau kantor perusahaan atau masuk ke sistem infrastruktur jaringan komputer. hal ini juga lazim disebut sebagai social engineering.
2. Petunjuk keamanan masalah Email
Email merupakan komponen yang sangat kritis bagi system komunikasi perusahaan dan diberikan sebagai alat bisnis. Keamanan, kerahasiaan, dan integritas dari email tidak dapat dijamin dan tentunya tidak dianggap sebagai private. Untuk itu segenap elemen corporate haruslah memperlakukan pemakaian email ini secara professional dan memadai sepanjang waktu.
3. Guideline tentang instant messaging
Instant Messaging (IM) bisa digunakan untuk alat komunikasi bisnis dua arah dengan real time. Agar terjadi komunikasi dua arah, kedua belah fihak haruslah menggunakan alat yang sama misal ICQ, YM, atau MSN. Apakah sebagai alat Instant messaging ini bisa diandalkan dan aman sebagai alat komunikasi bisnis anda? Perlu diketahui bahwa jika kita melakukan contact dengan seseorang lewat IM, maka sesungguhnya kita melakukan koneksi lewat jaringan public – internet.
4. Guideline policy Internet
Tidak semua karyawan seharusnya mempunyai akses internet ini dan kalau toch diberikan akses, maka haruslah dipergunakan dengan cara yang sangat professional dan memadai. Apa yang dibrowsing bisa dimonitor secara internal dan external dan tindakan kita bisa di trace back ke komputer yang kita gunakan.
5. Guideline keamanan laptop
Laptop merupakan asset perusahaan yang sangat berharga, bukan hanya sekedar harga laptopnya akan tetapi informasi asset yang tersimpan didalamnya. Untuk itu haruslah ada suatu policy tentang keamanan laptop ini, karena jika terjadi pencurian maka informasi perusahaan yang bersifat kritispun ikut raib dan bisa merupakan kebocoran informasi.
6. Guideline keamanan kantor
Gedung atau kantor peusahaan haruslah mempunyai control keamanan yang memadai secara fisik, akan tetapi seluruh karyawan haruslah juga mempunyai rasa tanggung-jawab terhadap keamanan kantor sepanjang waktu.
7. Guideline keamanan password
Account dan password atau Token (one time password) memberikan akses ke informasi perusahaan dalam system jaringan komputer company dimana tersimpan informasi corporate. Dan sebagai karyawan yang mempunyai akses ini haruslah bertanggungjawab terhadap account dan password mereka berdasarkan prinsip “Need to Know Principle”, mendapatkan akses sesuai kebutuhan saja.
8. Penanganan media dengan aman
Penghancuran media yang berisi informasi sensitive seperti disket, CD, dan tape backup rusak, haruslah dilakukan secara baik dan aman dengan agar media tersebut (yang bisa berisi informasi yang sangat kritis) tidak sampai bocor. Technology memungkinkan merekayasa suatu disk yang rusak untuk bisa di recovery.
9. Guideline keamanan Spam
Hampir semua kita sering mendapatkan brosur, iklan, dan informasi lainnya didalam kotak surat dirumah. Spam mirip dengan iklan, brosur diatas akan tetapi dalam bentuk elektronik. Akan tetapi ada perbedaan versi junk email dan surat diatas. Perlu dibuat suatu guiline agar dampak dari spam ini bisa diminimalkan.
10. Guideline masalah keamanan terhadap virus
Jika kita berfikir bahwa komputer kita aman dari serangan virus karena sudah terlindungi oleh system antivirus dari system IT kita, maka kita harus berfikir ulang. Perlunya penanganan masalah virus ini sangat penting untuk dibuatkan suatu kebijakan agar membantu keamanan system informasi.
Membangun suatu jaringan corporasi yang berskala besar tidak segampang membuat jaringan wireless untuk di rumah, banyak yang harus diberikan perhatian extra keras terutama masalah keamanan jaringan. Untuk itu suatu manajemen dan kebijakan masalah keamanan informasi sangat diperlukan.
sorry kalo kata-katanya terlalu teknis. hihihi....
feel free to contact me :)
No comments:
Post a Comment