KEAMANAN INFORMASISaat pemerintah dan kalangan industri mulai
menyadari kebutuhan untuk mengamankan sumber daya informasi mereka,
perhatian nyaris terfokus secara eksklusif pada perlindungan
peranti keras dan data, maka istilah keamanan sistem (system
security) pun digunakan. Kemudian diperluas, sehingga mencakup juga
peranti lunak, fasilitas computer, dan personel. Kini, cakupannya
telah meluas hingga mencakup semua jenis data bukan hanya data di
dalam komputer.Keamanan informasi (information security) digunakan
untuk mendiskripsikan perlindungan baik peralatan computer,
fasilitas, data, dan informasi dari penyalahgunaan pihak pihak yang
tidak berwenang.1. Tujuan Keamanan InformasiKeamanan informasi
ditujukan untuk mencapai tiga tujuan utama :a. Kerahasiaan
Perusahaan berusaha untuk melindungi data dan informasinya dari
pengungkapan kepada orang orang yang tidak berwenang.System
informasi eksekutif, system informasi sumber daya manusia, dan
system pemrosesan transaksi seperti penggajian, piutang dagang,
pembelian, dan utang dagang amat penting dalam hal ini.b.
KetersediaanTujuan dari infrastruktur informasi perusahaan adalah
menyediakan data dari informasi sedia bagi pihak pihak yang
memiliki wewenang untuk menggunakannya.Tujuan ini penting,
khususnya bagi system berorientasi informasi seperti system
informasi sumber daya manusia dan system informasi eksekutif.c.
IntegritasSemua system informasi harus memberikan representasi
akurat atas system fisik yang direpresentasikannya.2. Manajemen
Keamanan InformasiManajemen tidak hanya diharapkan untuk menjaga
agar sumber daya informasi aman, namun juga diharapkan untuk
menjaga perusahaan tersebut agar tetap berfungsi setelah suatu
bencana atau jebolnya system keamanan. Aktivitas untuk menjaga agar
sumberdaya informasi tetap aman disebut manajemen keamanan
informasi (information security management), sedangakan aktivitas
untuk menjaga agar perusahaan dan sumber daya informasinya tetap
berfungsi setelah adanya bencana disebut manajemen keberlangsungan
bisnis (Business Continuity Management).CIO adalah orang yang tepat
untuk memikul tanggungjawab atas keamanan informasi, namun
kebanyakan organisasi mulai menunjuk orang orang tertentu yang
dapat mencurahkan perhatian penuh terhadap aktivitas ini. Saat ini,
perubahan sedang dibuat untuk mencapai tingkat informasi yang lebih
tinggi lagi di dalam suatu perusahaan dengan cara menunjuk seorang
direktur assurance informasi perusahaan (corporate information
assurance officer CIAO) yang akan mmelapor kepada CEO dan mengelola
unit penjagaan informasi. Seorang CIAO harus mendapatkan
serangkaian sertifikasi keamanan dan memiliki pengalaman minimum 10
tahun dalam mengelola suatu fasilitas keamanan informasi. Manajemen
keamanan informasi terdiri atas empat tahap :1. Mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan.2.
Mendefinisikan risiko yang dapat disebabkan oleh ancaman ancaman
tersebut.3. Menentukan kebijakan keamanan informasi.4. Serta
mengimplementasikan pengendalian untuk mengatasi risiko risiko
tersebut.
Strategi Manajemen Keamanan Informasi (ISM) Manajemen Resiko
Kepatuhan Terhadap Tolok UkurAncaman menghasilkan risiko yang harus
dikendalikan, istilah manajemen resiko (risk management) dibuat
untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber
daya informasi perusahaan dibandingkan dengan resiko yang
dihadapinya.
Mengidentifikasi ancamanTolok ukur
Mendefinisikan resiko
Menentukan kebijakan keamanan informasi
Menentukan kebijakan keamanan informasi
Mengimplementasikan pengendalian
Mengimplementasikan pengendalian
Tolok ukur (benchmark)adalah tingkat kinerja yang
disarankan.Tolok ukur keamanan informasi (information security
benchmark) adalah tingkat keamanan yang disarankan yang dalam
keadaan normal harus menawarkan perlindungan yang cukup terhadap
gangguan yang tidak terotorisasi.Standar dan tolok ukur semacam ini
ditentukan oleh pemerintah dan asosiasi industry serta mencerminkan
komponen komponen program keamanan informasi yang baik menurut
otoritas otoritas tersebut.Ketika perusahaan mengikuti pendekatan
ini, yang disebut kepatuhan terhadap tolok ukur (benchmark
compliance), dapat diasumsikan bahwa pemerintah dan otoritas
industry telah melakukan pekerjaan yang baik dalam mempertimbangkan
berbagai ancaman serta resiko dan tolok ukur tersebut menawarkan
perlindungan yang baik.3. Ancaman Dan Jenis AncamanAncaman keamanan
informasi (information security threat) adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan.Ketika kita membayangkan ancaman
keamanan informasi, adalah sesuatu yang alami jika kita
membayangkan beberapa kelompok atau beberapa orang di luar
perusahaan tersebut yang melakukan tindakan yang disengaja.Pada
kenyataannya, ancaman dapat bersifat internal serta eksternal, dan
dapat bersifat tidak disengaja maupun disengaja.a. Ancaman Internal
Dan EksternalAncaman internal mencakup bukan hanya karyawan
perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor,
dan bahkan mitra bisnis perusahaan tersebut. Ancaman internal
diperkirakan menghasilkan kerusakan yang secara potensi lebih
serius jika dibandingkan dengan ancaman eksternal, dikarenakan
pengetahuan ancaman internal yang lebig mendalam akan system
tersebut.b. Tindakan Kecelakaan Dan DisengajaTidak semua ancaman
merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai.Beberapa merupakan kecelakaan, yang disebabkan oleh
orang orang di dalam ataupun di luar perusahaan.Sama halnya di mana
keamanan informasi harus ditujukan untuk mencegah ancaman yang
disengaja, sistem keamanan juga harus mengeliminasi atau mengurangi
kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.Semua
orang pernah mendengar mengenai virus komputer. Sebenarnya, virus
hanyalah salah satu contoh jenis peranti lunak yang menyandang nama
peranti lunak yang berbahaya (malicious software). Malicious
software, atau malware terdiri atas program program lengkap atau
segmen segmen kode yang dapat menyerang suatu system dan melakukan
fungsi fungsi yang tidak diharapkan oleh pemilik system.Fungsi
fungsi tersebut dapat menghapus file atau menyebabkan system
tersebut berhenti. Terdapat beberapa jenis peranti lunak yang
berbahaya selain virus, yaitu worm, Trojan horse, adware, dan
spyware.Virus adalah program computer yang dapat mereplikasi
dirinya sendiri tanpa dapat diamati oleh si pengguna dan
menempelkan salinan dirinya pada program program dan boot sector
lain. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi
dirinya sendiri di dalam system, tapi dapat menyebarkan salinannya
melalui e-mail. Torjan horse (kuda troya) tidak dapat mereplikasi
ataupun mendistribusikan dirinya sendiri, si pengguna
menyebarkannya sebagai suatu perangkat. Pada saat perangkat
tersebut digunakan, perangkat itu menghasilkan perubahan perubahan
yang tidak diinginkan dalam fungsionalitas system tersebut.Adware
memunculkan pesan pesan iklan yang mengganggu, dan spyware
mengumpulkan data dari mesin pengguna.Dari beragam jenis malware
ini, adware dan spyware merupakan yang terkini.Baru pada awal 2005,
setelah menyadari besarnya masalah ini, Microsoft memutuskan untuk
memasuki perang antispyware. Situs Web MNSkorea selatan diserang
pada juni 2005, dan seragam ini tidak ditemukan selama berhari
hari.Program antispyware sering kali menyerang cookies, yaitu file
teks kecil yang diletakkan perusahaan di hard drive pelanggan untuk
mencatat minat belanja pelanggan mereka. Menghapus cookies
menggunakan program antispyware menciptakan kekhawatiran di
kalangan beberapa pemasar. Solusi yang paling efektif yang
memungkinkan adalah menghalangi antispyware untuk menghapus cookies
pihak pertama yang disimpan perusahaan untuk para pelangganya, tapi
hanya menghapus cookies pihak ketiga yang diletakkan oleh
perusahaan lain.4. Risiko Keamanan InformasiRisiko keamanan
informasi (information security risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggaran keamanan informasi
oleh ancaman keamanan informasi. Semua resiko mewakili tindakan
yang tidak terotoritas. Risiko risiko seperti ini dibagi menjadi
empat jenis, yaitu :a. Pengungkapan Informasi Yang Tidak
Terotoritas Dan PencurianKetika suatu basis data dan perpustakaan
peranti lunak tersedia bagiorang orang yang seharusnya tidak berhak
memiliki akses, hasilnya adalah hilangnya informasi atau uang.
Sebagai contoh, mata mata industri dapat memperoleh informasi
mengenai kompetisi yang berharga dan criminal computer dapat
menyelundupkan dana perusahaan.b. Penggunaan Yang Tidak
TerotoritasPenggunaan Yang Tidak Terotoritas terjadi karena orang
orang yang biasanya tidak berhak menggunakan sumber daya perusahaan
mampu melakukan hal tersebut.Contoh kejahatan computer type ini
adalah hacker yang memandang keamanan informasi sebagai suatu
tantangan yang harus diatasi.Hacker, misalnya, dapat memasuki
jaringan computer sebuah perusahaan, mendapatkan akses ke dalam
system telepon, dan melakukan sambungan telepon jarak jauh tanpa
otorisasi.c. Penghancuran Yang Tidak Terotoritas Dan Penolakan
LayananSeseorang dapat merusak atau menghancurkan peranti keras
atau peranti lunak, sehingga menyebabkan operasional computer
perusahaan tersebut tidak berfungsi.Dalam hal ini penjahat computer
bahkan tidak harus berada di lokasi fisik tersebut.Mereka dapat
memasuki jaringan computer perusahaan dan menggunakan sumber daya
perusahaan (seperti e-mail) hingga tingkatan tertentu sehingga
operasional bisnis normal tidak berlangsung.d. Modifikasi Yang
Tidak TerotoritasPerubahan dapat dilakukan pada data, informasi,
dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung
tanpa disadari dan menyebabkan para pengguna output system tersebut
mengambil keputusan yang salah. Salah satu contoh adalah perubahan
nilai pada catatan akademis seorang siswa.5. Manajemen Risiko
Keamanan InformasiManajemen resiko diidentifikasi sebagai satu dari
dua strategi untuk mencapai keamanan informasi, pendefinisian
resiko terdiri atas 4 angkah:1. Identifikasi aset-aset bisnis yang
harus dilindungai dari resiko2. Menyadari resikonya3. Menentukan
tingakatan dampak pada perusahaan jika resiko benar-benar terjadi4.
Menganalisis kelamahan perusahaan tersebut.Tingkatan keparahan
dampak dapat diklasifikasikan menjadi :1. Dampak yang parah (severe
Impact)Mambuat perusahaan bangkrut atau sangant membatasi kemampuan
perusahaan tersebut untuk berfungsi2. Dampak signifikan
(Significant Impact)Menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahan tersebut akan selamat3. Dampak Minor
(Minor Impact)Menyebabkan kerusakan yang mirip dengan yang terjadi
dalam operasional sehari-hari.Ketika analisis tersebut
mengindikasikan kelemahan tingkat tinggi (terdapat kelemahan
substansial di dalam sistem), maka pengendalaian harus
diimplementasikan untuk mengeliminasi atau mengurangi kelemahan
tersebut. Jika kelemahan itu bersifat menengah (terdapat beberapa
kelemahan), maka pengendalaian sebaiknya diimplementasikan. Jika
kelemahan bersifat rendah (sistem tersebut terkontruksi dengan baik
dan beoperasi dengan benar), pengendalian yang ada harus tetap
dijaga. Isi dari laporan analasis resiko ini sebaiknya mencakup
informasi berikut ini, menegnai tipa-tiap resiko:1. Deskripsi
resiko2. Sumber resiko3. Tingginya tingkat resiko4. Pengendalian
yang diterapkan pada resiko tesebut5. Para pemilik resiko
tersebut6. Tindakan yang direkomendasikan untuk mengatasi resiko7.
Jangka waktu yang direkomendasikan untuk mengatasi resikojika
perusahaan telah mengatasi resiko tersebut, laporan harus
diselesaikan dengan cara menambahkan bagian akhir)8. Apa yang telah
dilaksanakan untuk mengatasi resiko tersebut.
6. Kebijakan Keamanan InformasiSuatu kebijakan keamanan harus
diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat
menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang
bertahap, diantaranya :a. Fase 1 Inisiasi proyek. Tim yang menyusun
kebijakan keamanan dibentuk jika komite pengawas perusahaan tidak
dapat melaksanakan tanggung jawab untuk mengawasi proyek kebijakan
keamanan tersebut. Jika komite khusus telah terbentuk, komite
tersebut akan mencakup manajer dari wilayah-wilayah diman kebijakan
tersebut akan diterapkan.b. Fase 2 Penyusunan kebijakan. Tim proyek
berkonsultasi dengan semua pihak yang berminat dan terpengaruh oleh
proyek ini untuk menentukan kebutuhan kebijakan baru tersebutc.
Fase 3 Konsultasi dan persetujuan. Tim proyek berkonsultasi dengan
manajemen untuk memberitahukan temuannya sampai saat itu, serta
untuk mendapatkan pandangan mengenai berbagai persyaratan
kebijakan.d. Fase 4 Kesadaran dan edukasi. Program pelatihan
kesadaran dan edukasi kebijakan dilaksanakan dalam unit-unit
organisasi. Peserta pelatihan dapat terdiri atas anggota proyek,
perwakilan internal lain seperti orang-orang dari TI dan SDM, atau
konsultan luar. Ini merupakan salah satu contoh manajemen
pengetahuan.e. Fase 5 Penyebarluasan kebijakan. Kebijakan keamanan
ini disebarluaskan ke seluruh unit organisasi dimana kebijakan
tersebut dapat diterapkan. Idealnya, para manajer unit melaksanakan
pertemuan dengan karyawan untuk meyakinkan bahwa mereka memahami
kebijakan tersebut dan berkomitmen untuk mengikutinya.Kebijakan
terpisah dikembangkan untuk :(1) Keamanan system informasi(2)
pengendalian akses system(3) keamanan personel(4) Keamanan
lingkungan dan fisik(5) Keamanan komunikasi data(6) Klasifikasi
informasi(7) Perencanaan kelangsungan usaha(8) Akuntabilitas
manajemenKebijakan ini diberitahukan kepada karyawan, sebaiknya
dalam bentuk tulisan , dan melalui program pelatihan dan edukasi.
Setelah kebijakan ini ditetapkan, pengendalian dapat di
implementasikan.7. PengendalianPengendalian (control) adalah
mekanisme yang diterapkan baik untuk melindungi perusahaan dari
resiko atau untuk meminimalkan dampak resiko tersebut pada
perusahaan jika resiko tersebut terjadi. Pengendalian dibagi
menjadi tiga kategori, yaitu teknis, formal dan informal.a.
Pengendalian TeknisPengendalian teknis (technical control) adlah
pengendalian yang menjadi satu didalam system dan dibuat oleh para
penyusun system selama masa siklus penyusunan system. Melibatkan
seorang auditor internal didalam tim proyek merupakan satu car yang
amat baik untuk menjaga agar pengendalian semacam ini menjadi
bagian dari desain system. Kebanyakan pengendalian keamanan dibuat
berdasarkan teknologi piranti keras dan lunak. 1. Pengendalian
AksesPengendalian Akses dilakukan melalui proses tiga tahap yaitu
:a) Indentifikasi pengguna. Para pengguna pertama-tama
mengidentifikasi diri mereka dengan cara memberikan sesuatu yang
mereka ketahui, misalnya kata sandi. Identifikasi dapat pula
mencakup lokasi pengguna, seperti nomor telepon atau titik masuk
jaringan.b) Otentikasi pengguna. Para pengguna memverifikasi hak
akses dengan cara memberikan sesuatu yang mereka miliki, seperti
smart card atau tanda tertentu atau chip identifikasi. Selain itu
pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu
yang menjadi identitas diri seperti tanda tangan atau pola suara.c)
Otorisasi pengguna. Setelah pemeriksaan identifikasi dan otentikasi
dilalui, seseorang kemudian mendapatkan otorisasi untuk memasuki
tingkat atau derajat pengguna tertentu. Sebagai contoh seorang
pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah
rekaman dari suatu file, sementara pengguna yang lain dapat saja
memiliki otorisasi untuk melakukan perubahan pada file
tersebut.Identifikasi dan autentikasi memanfaatkan profil pengguna
atau user profile, atau deskripsi pengguna yang terotorisasi.
Otorisasi memanfaatkan file pengendalian akses (access control
file) yang menentukan tingkat akses yang tersedia bagi tiap
pengguna. Setelah para pengguna memenuhi syarat tiga fungsi
pengendalian akses, mereka dapat menggunakan sumber daya informasi
yang terdapat didalam batasan file pengendalian akses. 2. System
Deteksi GangguanLogika dasar dari system deteksi gangguan adalah
mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan
untuk melakukan perusakan. Salah satu contoh yang baik adalah
peranti lunak proteksi virus (virus protection software) yang telah
terbukti efektif melawan virus yang terkirim melalui email. Peranti
lunak tersebut mengidentifikasi pesan pembawa virus dan
memperingatkan pengguna.Contoh deteksi penggangu yang lain adalah
peranti lunak yang ditujukan untuk mengidentifikasi calon
pengganggu sebelum memiliki kesempatan untuk membahayakan.
Peralatan prediksi ancaman dari dalam (insider threat predicton
tool) telah disusun sedemikian sehingga dapat mempertimbangkan
karakteristik seperti posisi seseorang didalam perusahaan, akses
kedalalm data yang sensitive, kemampuan untuk mengubah komponen
peranti keras, jenis aplikasi yang digunakan, file yang dimiliki
dan pengguna protocol jaringan tertentu. Hasil pembuatan profilan
seperti ini dapat mengklasifikasikan ancaman internal kedalam
kategori seperti ancaman yang disengaja, potensi ancaman
kecelakaan, mencurigakan, dan tidak berbahaya.3. FirewallSumber
daya komputer selalu berada dalam resiko jika terhubung ke
jaringan. Salah satu pendekatan keamanan adalah secara fisik
memisahkan situs web perusahaan dengan jaringan internal perusahaan
yang berisikan data sensitif dan sistem informasi. Cara lain adalah
menyediakan kata sandi kepada mitra dagang yang memungkinkanya
memasuki jaringan internal dari enternet. Pendekatan ketiga adalah
membangun dinding pelindung, atau firewall.Firewall berfungsi
sebagai penyaring dan penghalang yang membatasi aliran data ke dan
dari perusahaan tersebut dan internet. Konsep dibalik firewall
adalah dibuatnya suatu pengamanan untuk semua komputer ada jaringan
perusahaan dan bukanya pengamanan terpisah untuk masing-masing
komputer. Beberapa perusahaan yang menawarkan penganti lunak anti
virus (seperti McAfee di www.mcafee.com dan www.norton.com). Tiga
jenis firewaal adalah penyaring paket, tingkat sirkuit, dan tingkat
aplikasi.1. Firewall penyaring paketRouther adalah alat jarigan
yang mengarahkan aliran lalu lintas jaringan. Jika routher
dipossiskan antara internet dan jarinagan internet, routher
tersebut dapat berlaku sebagai firewall. Routher itu dilengkapi
dengan tabel data alamat-alamat IP yang mengambarkan kebijakan
penyaringan. Salah satu keterbatasan routher adalah routher hanya
merupakan titik tungal keamana, sehingga jika hacker dapat
melampauianya perusahhan tersebut bisa mndapatkan masalah.2.
Firewall tingkat sirkuitSalah satu peningkatan dari routher adalah
firewall tingkat sirkuit yang terpasang antara internet dan
jaringan persahaan tapi lebih dekat dengan mediumkomunikasi
(sirkuit) daripada riuther. Routher ini memungkinkan tingkat
otetintasi dan penyarinagan yang tinggi, jauh lebih tinggi
dibandinkan routher. Namun, keterbatasan dati titik tungal keamanan
tetap berlaku.3. Firewall tingkat aplikasiFirewall ini berlokasia
antara routher dan komputer yang menjalankan aplikasi tersebut.
Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.
Setelah permintaan diontentikasi sebagai permintaan yang bersala
dari jarinan yang diotorisasi (tingkat sirkuit) dan dari komputer
yang diotorisasi (penyakit paket), aplikasi tersbut dapat meminta
informasi otentika yang lebih jauh searti menanyakan kata sandi
sekunder, mengomfirmasikan identitas, atau bahkan memeriksa apakah
permintaan tersebut berlangsung selama jam-jam kerja.Masalah lain
adalah seorang programer jaringan harus menulis kode program yang
spesifik untuk masing-masing aplikasi dan mengubah kode tersebut
ketika aplikasiditambahkan , dihapus atau dimodifikasi.4.
Pengendalian KriptografiData dan infoermasi yang tersimpan dan
ditranmisi dapat dilindungi dari pengungkapan yang tidak
terotorisasi dengan kriptografi, yaitu pengunaan kode yang
mengunakan proses-proses matematika. Jika seseorang yang tidak
memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat
data dan informasi yang dimahsudkan tidak berarti apa-apa dan
mencegah kesalahan pengunaan.Popularitas kriptografi semakin
meningkat karena e-commerse, dan produk khusus yang ditujukan untuk
meningkatkan keamanan e-commerse telah dirancang. Salah satunya
adalah SET (secure electrinic transanctions) , yang melakukan
pemiriksaan keamana mengunakan tanda tangan digital. Dengan
meningkatya popularitas e-commerse dan perkembangan teknologi
enkripsi yang berkelanjutan, pengunaanya diharapkan untuk
meningkatkan di dalam batasan peraturan pemerintahan.5.
Pengendalian FisikPeringatan pertama terhadap ganguan yang tidak
terotorisasi adalah mengunci pintu ruangan komputer. Perkembangan
seterusnya menghasilkan kunci-kunci yang lebih cangih yang dibuka
dengan cetakan telapak tangan dan cetakan suara, serta kamera
pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan
pengendalian fisik hingga tahap tertinggi dengan cara menepatkan
pusat komputernya ditempat terpencil yang jauh dari kota dan jauh
dari wilayah yang sensitif terhadap bencana alam.b. Pengendalian
FormalPengendalian formal mencangkup penentuan berprilaku,
dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan
serta pencengahan prilaku yang berbeda dari panduan yang berlaku.
Pengendatian ini bersifat formal karena manajemen menghabiskan
banyak waktu untuk menyusunya, mendokumentasinya dalam bentuk
tulisan, dan diharapkan untuk berlaku dalam jangka panjang.c.
Pengendalian InformalPengendalian informal mencangkup
program-program peltihan dan edukasi serta program pembangunan
manajemen. Penegndalian ini ditunjukan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung program keamanan
tersebut.8. Mencapai Tingkat Pengendalian Yang TepatKetika jenis
pengendalian tekis, formal, dan informal mengharuskan biaya. Kerena
bukanlah merupakan praktek bisnis yang baik untuk menghabiskan
lebih banyak uang pada pengendalian dibandingkan biaya yang
diharapkan dari resiko yang akan terjadi, maka pengendalian harus
ditetapkan pada tingkat yang sesuai. Misalnya, dalam dunia
perbankan, ketika melkukan manajemen resiko untuk ATM, pengendalian
harus membuat sistem aman tanpa mengurangi penyamanan pelanggan,
selainitu, dalam pelayanan kesehatan pertanyaan-pertanyaan mengenai
kesehatan pasien dan hak untuk mendapatkan privasi harus
dipertimbangkan. Sistem tersebut harus tidak dibuat terlalu aman
sehingga mengurangi jumlah informasi psien yang tersedia bagi rumah
sakit dan dokter yang bertanggung jawab atas kesehatan pasien.9.
Standar IndustriThe Center for Internet Security (CIS) adalah
organisasi nirlaba yang didedikasikan untuk membantu para pengguna
computer guna membuat system mereka lebih aman. Bantuan diberikan
melalui dua produk, yaitu CIS Benchmarks dan CIS Scoring Tools. CIS
Benchmarks membantu para pengguna untuk mengamankan system
informasi mereka dengan cara menerapkan pengendalian khusus
teknologi. CIS Scoring Tools member kemampuan bagi pengguna untuk
menghitung tingkat keamanan, membandingkannya dengan tolok ukur,
dan menyiapkan laporan yang mengarahkan pengguna dan administrator
system untuk mengamankan system.
10. Sertifikasi ProfesionalMulai tahun 1960-an, profesi TI mulai
menawarkan program sertifikasi. Tiga contoh berikut
mengilustrasikan cakupan dari program-program ini.a. .Asosiasi
Audit Sistem dan PengendalianProgram sertifikasi keamanan yang
pertama adalah Certified Information System Auditor, yang
ditawarkan oleh Information System Audit dan Control Association
(ISACA). Kemudian ISACA membrikan gelar Certified Information
Security Manager. Untuk mendapatkan sertifikasi ini, pendaftar
harus mengikuti suatu ujian, mengikuti kode etika, dan memberikan
bukti pengalaman kerja dalam bidang keamanan informasi. Informasi
mengenai ISACA dapat ditemukan di www.isaca.orgb. Konsorsium
Sertifikasi Keamanan Sistem Informasi InternasionalThe
Certification Information System Security Professional (CISSP)
ditawarkan oleh International Information System Security
Certification Consortium (ISC). Sertifikasi CISSP memberi bukti
bahwa pemegangnya memiliki keahlian dalam kemanan informasi yang
mencakup topic seperti pengendalian akses, kriptografi, arsitektur
keamanan, keamanan internet, dan praktik manajemen keamanan.
Sertifikasi didasarkan oleh kinerja pada ujian berisikan 250
pertanyaan pilihan ganda. Informasi lebih banyak dapat ditemukan di
www.isc2.orgc. Institut SANS Institut SANS (SysAdmin, Audit,
Network, Security) menawarkan sertifikasi melalui Global
Information Assurance Certification Program miliknya, yang mencakup
mata kuliah seperti Audit Keamanan IT dan Intisari Pengendalian,
serta Penulisan dan Pemeriksaan Kebijakan Keamanan. Informasi
mengenai SANS dapat didapatkan dari WWW.SANS.ORG
11. Meletakkan Manajemen Keamanan Informasi Pada
TempatnyaPerusahaan harus mencanangkan kebijakan manajemen keamanan
informasi sebelum menempatkan pengendalian. Kebijakan ini dapat
dibuat bererdasarkan identifikasi ancaman dan resiko ataupun
berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi
industry. Perusahaan harus mengimplementasikan gabungan dari
pengendalian teknis, formal, dan informal yang diharapkan untuk
menawarkan tingkat keamanan yang diinginkan pada batasan yang telah
ditentukan dan disesuaikan dengan pertimbangan lain yang membuat
perusahaan dan sistemnya mampu berfungsi secara efektif.
12. Manajemen Keberlangsungan BisnisAktivitas yang ditujukan
untuk menentukan operasional setelah terjadi gangguan system
informasi disebut dengan Manajemen keberlangsungan bisnis (business
continuity management-BCM). Pada tahun-tahun awal penggunaan
computer, aktivitas ini disebut Perencanan Bencana (disaster
planning), namun istilah yang lebih positif, perencanaan
kontinjensi (contingency plan). Elemen penting dalam perencanaan
kontinjensi adalah rencana kontinjensi yang merupakan dokumen
tertulis formal yang menyebutkan secara detail tindakan-tindakan
yang harus dilakukan jika terjadi gangguan atau ancaman gangguan
pada operasi komputasi perusahaan. Pendekatan yang terbaik bagi
perusahaan adalah merancang beberapa subrencana yang menjawab
beberapa kontinjensi yang spesifik.a. Rencana DaruratMenyebutkan
cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi.
Cara-cara ini mencakup system alarm, prosedur evakuasi, dan system
pemadaman api.b. Rencana CadanganPerusahaan harus mengatur agar
fasilitas computer cadangan tersedia seandainya fasilitas yang
biasa hancur atau rusak sehingga tidak dapat digunakan. Pengaturan
ini merupakan bagian dari rencana cadangan (backup plan). Cadangan
dapat diperoleh melalui kombinasi redundansi yang berupa Peranti
keras, peranti lunak, dan data diduplikasikan sehingga jika satu
set tidak dapat dioperasikan, set cadangannya dapat meneruskan
proses. Keberagaman meliputi sumber daya informasi tidak dipasang
pada tempat yang sama. Perusahaan besar biasanya membuat pusat
computer yang terpisah untuk wilayah-wilayah operasi yang
berbeda-beda. Mobilitas yang berupa Perusahaan dapat membuat
perjanjian dengan para pengguna peralatan yang sama sehingga
masing-masing perusahaan dapat menyediakan cadangan kepada yang
lain jika terjadi bencana besar. Pendekatan yang lebih detail
adalah membuat kontrak dengan jasa pelayanan cadangan di hot site
dan cold site.Hot site adalah fasilitas computer lengkap yang
disediakan oleh pemasok untuk pelanggannya untuk digunakan jika
terdapat situasi darurat. Sedangkan cold site hanya mencakup
fasilitas bangunan, namun tidak mencakup fasilitas computer.
Perusahaan dapat mendapatkan cold site dari pemasok atau membangun
fasilitasnya sendiri.c. Rencana Catatan PentingCatatan penting
(vital records) perusahaan adalah dokumen kertas, microform, dan
media penyimpanan optis dan magnetis yang penting untuk meneruskan
bisnis perusahaan tersebut. Rencana catatan penting (vital records
plan) menentukan cara bagaimana catatan penting tersebut harus
dilindungi. Selain menjaga catatan disitus computer, salinan
cadangan harus disimpan dilokasi yang terpencil. Semua jenis
catatan dapat secara fisik dipindahkan ke lokasi terpencil, namun
catatn computer dapat ditransmisikan secara elektronik.13.
Meletakkan Manajemen Keberlangsungan Bisnis Pada TempatnyaManajemen
keberlangsungan bisnis merupakan salah satu bidang penggunaan
computer dimana kita dapat melihat perkembangan besar. Pada akhir
tahun 1980-an, hanya beberapa perusahaan yang memiliki rencana
seperti itu dan perusahaan jarang mengujinya. Sejak itu, banyak
upaya dilaksanakan untuk mengembangkan perencanaan kontinjensi, dan
banyak informasi serta bnatuan telah tersedia. Tersedia pula
rencana dalam paket sehingga perusahaan dapat mengadaptasinya
kedalam kebutuhan khususnya.