Pretest Manajemen Kontrol Keamanan :
Untuk mengamankan suatu Sistem
Informasi menurut anda apa saja yang perlu dilindungi?
Pentingnya keamanan sangat
mempengaruhi untuk suatu sistem
informasi di era globalisasi pada sebuah organisasi atau perusahaan untuk
menjaga fasilitas terpenting perusahaan.
Pada dasarnya fasilitas dan asset perusahaan yang ingin dijaga adalah berkaitan
dengan lima komponen dasar sistem informasi yaitu perangkat keras, perangkat
lunak, pengguna, data dan prosedur.
Empat karakteristik dasar yang dapat
diketahui apabila perusahaan ingin menerapkan solusi pengamanan sistem
informasi di perusahaan :
1. Perusahaan yang bersangkutan harus memiliki sebuah
sistem komputerisasi yang harus dilindungi seperti misalnya mempunyai
komputer diperusahaannya, memiliki jaringan komputer ( local area network )
atau jaringan yang lebih luas lagi ataupun internet yang pada kenyataannya
digunakan untuk kegiatan bisnis perusahaan.
2. Perusahaan yang dimaksud harus memiliki sebuah
divisi teknologi informasi yang menangani berbagai kegiatan penunjang untuk
berbagai aplikasi bisnis perusahaan di bidang teknologi. Divisi teknologi
diperusahaan bisaanya disebut dengan EDP (Entry Data Processing ). Kejahatan
komputer dapat dilakukan dan berawal dari bagian ini , seperti dikatakan oleh
Thomas porter dalam bukunya “ Elektronik Data Processing ( EDP ) control and
auditing “ ( Porter ,1974 ), beliau mengatakan bahwa kejahatan yang berhubungan
dengan personal terutama dalam perusahaan dapat dikategorikan dalam komputer
abuse ( penyalahgunaan komputer ) , computer crime ( kejahatan komputer ) dan
computer related crime ( kejahatan yang berhubungan dengan komputer ).
3. Mempunyai data, informasi dan sistem jaringan yang berharga yang
layak untuk di jaga, dan dapat menyebabkan kerugian yang besar apabila data,
informasi dan sistem jaringan tersebut dapat keluar dari perusahaan atau dapat
menyebabkan perusahaan tidak dapat beroperasi. Karakteristik ini sangat
berhubungan dengan materi risk manajemen. Pihak peruhaan dapat menghitung
kerugian material ataupun non material yang disebabkan kejahatan dari sisi
teknologi ini sehingga dapat diketahui apakah sudah layak mereka
mengimplementasikan pengamanan sistem informasi dalam setiap kegiatan bisnis
mereka.
4. Karakteristik berikutnya adalah perusahaan yang
bersangkutan belum mempunyai kebijakan mengenai tata kelola teknologi informasi
terutama yang berkaitan dengan kebijakan tentang pengelolaan keamanan sistem
informasi (Information technology security policy). Atau mereka sudah
menerapkan beberapa prosedur kebijakan tentang keamanan sistem informasi namun
belum mengikuti standarisasi dari beberapa organisasi standar yang ada ( akan
dipelajari lebih lanjut pada bab selanjutnya ).
Empat tipe keamanan komputer berdasarkan
lubang keamanannya menurut David Icove :
1. Keamanan yang bersifat fisik ( physical security )
Termasuk akses
orang ke gedung, peralatan, atau media yang digunakan. Beberapa contoh
kejahatan jenis ini adalah sebagai berikut :
a.
Berkas-berkas dokumen yang telah dibuang ke tempat sampah yang mungkin memuat
informasi password dan username.
b. Pencurian
komputer dan laptop
c. Serangan
yang disebut dengan DDos Attack / denial of service
d. Pemutusan
jalur listrik sehingga tidak berfungsi secara fisik.
e. Pembajakan
pesawat pada saat tragedy world trade centre.
2. Keamanan yang berhubungan dengan orang ( personal
security ).
Tipe keamanan
jenis ini termasuk kepada identifikasi, profile resiko dari pekerja di sebuah
perusahaan. Dalam dunia keamanan informasi salah satu factor terlemah adalah
dari tipe jenis ini. Hal ini disebabkan manusia bukanlah mesin sehingga
kadangkala pekerjaannya tidak terstruktur dan dapat di kelabui. Kejahatan jenis
ini sering menggunakan metode yang disebut dengan social engineering .
3. Keamanan dari data dan media serta teknik komunikasi
(Communication security).
Tipe keamanan
jenis ini banyak menggunakan kelemahan yang ada pada perangkat lunak, baik
perangkat lunak aplikasi ataupun perangkat lunak yang diugunakan dalam
mengelola sebuah database.
4. Keamanan dalam operasi ( management security )
Kebijakan atau
policy adalah hal terpenting yang harus di perhatikan sebuah perusahaan dalam
memelihara asset teknologi dan bisnis mereka apabila ingin aman dari serangan
hacker. Kebijakan digunakan untuk mengelola sistem keamanan , prosedur sebelum
maupun setelah serangan terjadi, mempelajari manajemen resiko seperti dampak
dan akibat dari sebuah serangan.Banyak perusahaan terutama di Indonesia tidak
memiliki standard prosedur bagi keamanan sistem informasi. Untuk itu beberapa
bagian dari buku ini akan banyak membahas tentang implementasi dari standard
pelaksanaan keamanan sistem informasi bagi perusahaan yang diambil dari ISO
27001.
Sumber :