INFORMATION SECURITY – KEAMANAN INFORMASI – (1)
Januari 11, 2011 oleh arfiyah
INFORMATION SECURITY dimaksudkan untuk mencapai:
1. Confidentiality (kerahasiaan): melindungi data dan informasi perusahaan dari pengungkapan pihak-pihak yang tidak berwenang
2. Availability (ketersediaan): meyakinkan bahwa data dan informasi perusahaan hanya tersedia bagi pihak-pihak yang berwenang untuk menggunakannya
3. Integrity (kesatuan): sistem informasi seharusnya menyediakan representasi yang akurat dari sistem fisik yang mereka representasikan
INFORMATION SECURITY mendeskripsikan upaya untuk mellindungi komputer dan peralatan non komputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Termasuk juga alat pengganda (mesin fotokopi), mesin fax, dan seluruh media termasuk juga dokumen-dokumen perusahaan.
INFORMATION MANAGEMENT SECURITY (ISM)
Istilah dari Corporate Informaton Systems Security (CISSO) telah digunakan untuk bagian/ seseorang di suatu organisasi/perusahaan yang bertanggung jawab untuk sistem keamanan informasi di perusahaan
Skr terjadi perubahan dan dinamakan dengan Corporate Information Assurance Officer (CIAO) adalah yang mereport ke direktur dan pengaturan di unit jaminan informasi
ISM terdiri dari 4 langkah:
1. mengidentifikasi ancaman-ancaman yang dapat menyerang perusahaan dari sumber informasi
2. mendefinisikan resiko yang dapat mengancam
3. membuat kebijakan information security
4. mengimplementasikan kontrol yang dapat mengendalikan resiko
gambar ini adalah pendekatan dari manajemen resiko
benchmarks juga digunakan untuk menjamin kesatuan (integrity) dari resiko management system
ANCAMAN (THREATS)
Information Security Threats adalah seseorang, organisasi, mekanisme atau event yang dapat berpotensi menimbulkan bahaya atau kejahatan pada sumber informasi perusahaan
threats dapat berupa internal atau eksternal, accidental (kebetulan) atau intentional (disengaja).
gambar ini menunjukkan tujuan dari keamanan informasi dan bgaimana mereka dikenakan dari 4 tipe resiko: internal dan eksternal, accidental (kebetulan) dan deliberate (disengaja).
Risks (resiko)
aksi yang tidak berwenang yang menunjukkan resiko dapat dibagi dalam 4 tipe:
UNAUTHORIZED DISCLOSURE AND THEFT (pengunggkapan oleh pihak yang tidak berwenang dan pencurian)
1.UNAUTHORIZED USE
2.UNAUTHORIZED DESTRUCTION AND DENIAL OF SERVICE
3. UNAUTHORIZED MODIFICATION
ATAS ANCAMAN paling terkenal-”VIRUS”
virusadalah program komputer yang dapat mereplikasi dirinya tanpa sepengetahuan user
wormtidak dapat mereplikasi dirinya di dalam sistem tapi dapat menyebarkan dirinya sendiri lewat email
trojan horsetidak dapat mereplikasi dirinya dan menyebarkan (distibusi) dirinya sendiri. Distribusi dilakukan dengan pengguna yang mendistribusikannya sebagai utilitas yang ketika digunakan, menghasilkan perubahan yang tidak diinginkan dalam fungsionalitas suatu sistem.
E-COMMERCE CONSIDERATIONS
- E-commerce telah memperkenalkan a new security risk: penipuan kartu kredit. Baik American Express dan Visa telah menerapkan program yang ditujukan khusus di e-commerce
- American Express telah mengumumkan nomor kartu kredit “sekali pakai” (“disposable” credit card numbers). Angka-angka ini, bukan nomor kartu kredit pelanggan, disediakan untuk retailer e-commerce, yang mengajukan ke American Express untuk pembayaran
-Visa telah mengumumkan sepuluh praktik yang berhubungan dengan keamanan, mereka mengharapkan retailer mereka untuk mengikutinya, dan ditambah tiga praktik umum bahwa retailer harus mengikuti:
Retailer harus:
1. Menginstal dan memelihara firewall
2.Menjaga keamanan patch up to date
3. Mengenkripsi disimpan data dan data yang dikirimkan
4. mengGunakan dan memperbarui software antivirus
5. Membatasi akses data kepada pengguna dengan kebutuhan tertentu yang wajar untuk mengetahui
6.menetapkan ID yang unik untuk orang-orang dengan hak akses data
7.Track akses data dengan ID yang unik
8.Tidak menggunakan default password dari vendor
9.Teratur menguji sistem keamanan
Pengecer harus:
1.melindungi/menutupi karyawan yang memiliki akses ke data
2.Tidak meninggalkan data (disket, kertas, dan sebagainya) atau komputer tanpa keamanan (pasword)
3.Menghancurkan data ketika tidak lagi diperlukan
RISK MANAGEMENT
Empat sub langkah untuk mendefinisikan informasi risiko adalah:
1.Mengidentifikasi aset bisnis untuk dilindungi dari resiko
2.Kenali risiko
3.Menentukan level dampak pada perusahaan dari risiko yang akan terwujud
4.Menganalisis kerentanan perusahaan
Suatu pendekatan sistematis dapat diambil untuk langkah sub 3 dan 4 dengan menentukan dampak dan menganalisis kerentanan
Tabel 9.1 menggambarkan pilihan.
Risk Analysis Report
Temuan dari analisis risiko harus didokumentasikan dalam suatu laporan yang berisi informasi rinci, tentang:
1.Penjelasan mengenai risiko
2.Sumber risiko
3.Keparahan risiko
4.Kontrol yang sedang diterapkan untuk risiko
5. Pemilik risiko
6.Tindakan yang direkomendasikan untuk mengatasi risiko
7.Fitur jangka waktu untuk mengatasi risiko
8. Apa yang dilakukan untuk mengurangi risiko
No comments:
Post a Comment