21
KEAMANAN INFORMASI Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka istilah keamanan sistem (system security) pun digunakan. Kemudian diperluas, sehingga mencakup juga peranti lunak, fasilitas computer, dan personel. Kini, cakupannya telah meluas hingga mencakup semua jenis data bukan hanya data di dalam komputer.Keamanan informasi (information security) digunakan untuk mendiskripsikan perlindungan baik peralatan computer, fasilitas, data, dan informasi dari penyalahgunaan pihak – pihak yang tidak berwenang. 1. Tujuan Keamanan Informasi Keamanan informasi ditujukan untuk mencapai tiga tujuan utama : a. Kerahasiaan Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang – orang yang tidak berwenang.System informasi eksekutif, system informasi sumber daya manusia, dan system pemrosesan transaksi seperti penggajian, piutang dagang, pembelian, dan utang dagang amat penting dalam hal ini. b. Ketersediaan Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dari informasi sedia bagi pihak – pihak yang memiliki wewenang untuk menggunakannya.Tujuan ini penting, khususnya bagi system berorientasi informasi

SIM Klompok

Embed Size (px)

Citation preview

KEAMANAN INFORMASISaat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka istilah keamanan sistem (system security) pun digunakan. Kemudian diperluas, sehingga mencakup juga peranti lunak, fasilitas computer, dan personel. Kini, cakupannya telah meluas hingga mencakup semua jenis data bukan hanya data di dalam komputer.Keamanan informasi (information security) digunakan untuk mendiskripsikan perlindungan baik peralatan computer, fasilitas, data, dan informasi dari penyalahgunaan pihak pihak yang tidak berwenang.1. Tujuan Keamanan InformasiKeamanan informasi ditujukan untuk mencapai tiga tujuan utama :a. Kerahasiaan Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang orang yang tidak berwenang.System informasi eksekutif, system informasi sumber daya manusia, dan system pemrosesan transaksi seperti penggajian, piutang dagang, pembelian, dan utang dagang amat penting dalam hal ini.b. KetersediaanTujuan dari infrastruktur informasi perusahaan adalah menyediakan data dari informasi sedia bagi pihak pihak yang memiliki wewenang untuk menggunakannya.Tujuan ini penting, khususnya bagi system berorientasi informasi seperti system informasi sumber daya manusia dan system informasi eksekutif.c. IntegritasSemua system informasi harus memberikan representasi akurat atas system fisik yang direpresentasikannya.2. Manajemen Keamanan InformasiManajemen tidak hanya diharapkan untuk menjaga agar sumber daya informasi aman, namun juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya system keamanan. Aktivitas untuk menjaga agar sumberdaya informasi tetap aman disebut manajemen keamanan informasi (information security management), sedangakan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (Business Continuity Management).CIO adalah orang yang tepat untuk memikul tanggungjawab atas keamanan informasi, namun kebanyakan organisasi mulai menunjuk orang orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini. Saat ini, perubahan sedang dibuat untuk mencapai tingkat informasi yang lebih tinggi lagi di dalam suatu perusahaan dengan cara menunjuk seorang direktur assurance informasi perusahaan (corporate information assurance officer CIAO) yang akan mmelapor kepada CEO dan mengelola unit penjagaan informasi. Seorang CIAO harus mendapatkan serangkaian sertifikasi keamanan dan memiliki pengalaman minimum 10 tahun dalam mengelola suatu fasilitas keamanan informasi. Manajemen keamanan informasi terdiri atas empat tahap :1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan.2. Mendefinisikan risiko yang dapat disebabkan oleh ancaman ancaman tersebut.3. Menentukan kebijakan keamanan informasi.4. Serta mengimplementasikan pengendalian untuk mengatasi risiko risiko tersebut.

Strategi Manajemen Keamanan Informasi (ISM) Manajemen Resiko Kepatuhan Terhadap Tolok UkurAncaman menghasilkan risiko yang harus dikendalikan, istilah manajemen resiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan resiko yang dihadapinya.

Mengidentifikasi ancamanTolok ukur

Mendefinisikan resiko

Menentukan kebijakan keamanan informasi

Menentukan kebijakan keamanan informasi

Mengimplementasikan pengendalian

Mengimplementasikan pengendalian

Tolok ukur (benchmark)adalah tingkat kinerja yang disarankan.Tolok ukur keamanan informasi (information security benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.Standar dan tolok ukur semacam ini ditentukan oleh pemerintah dan asosiasi industry serta mencerminkan komponen komponen program keamanan informasi yang baik menurut otoritas otoritas tersebut.Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolok ukur (benchmark compliance), dapat diasumsikan bahwa pemerintah dan otoritas industry telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta resiko dan tolok ukur tersebut menawarkan perlindungan yang baik.3. Ancaman Dan Jenis AncamanAncaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu yang alami jika kita membayangkan beberapa kelompok atau beberapa orang di luar perusahaan tersebut yang melakukan tindakan yang disengaja.Pada kenyataannya, ancaman dapat bersifat internal serta eksternal, dan dapat bersifat tidak disengaja maupun disengaja.a. Ancaman Internal Dan EksternalAncaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebig mendalam akan system tersebut.b. Tindakan Kecelakaan Dan DisengajaTidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai.Beberapa merupakan kecelakaan, yang disebabkan oleh orang orang di dalam ataupun di luar perusahaan.Sama halnya di mana keamanan informasi harus ditujukan untuk mencegah ancaman yang disengaja, sistem keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.Semua orang pernah mendengar mengenai virus komputer. Sebenarnya, virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software). Malicious software, atau malware terdiri atas program program lengkap atau segmen segmen kode yang dapat menyerang suatu system dan melakukan fungsi fungsi yang tidak diharapkan oleh pemilik system.Fungsi fungsi tersebut dapat menghapus file atau menyebabkan system tersebut berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya selain virus, yaitu worm, Trojan horse, adware, dan spyware.Virus adalah program computer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program program dan boot sector lain. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri di dalam system, tapi dapat menyebarkan salinannya melalui e-mail. Torjan horse (kuda troya) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri, si pengguna menyebarkannya sebagai suatu perangkat. Pada saat perangkat tersebut digunakan, perangkat itu menghasilkan perubahan perubahan yang tidak diinginkan dalam fungsionalitas system tersebut.Adware memunculkan pesan pesan iklan yang mengganggu, dan spyware mengumpulkan data dari mesin pengguna.Dari beragam jenis malware ini, adware dan spyware merupakan yang terkini.Baru pada awal 2005, setelah menyadari besarnya masalah ini, Microsoft memutuskan untuk memasuki perang antispyware. Situs Web MNSkorea selatan diserang pada juni 2005, dan seragam ini tidak ditemukan selama berhari hari.Program antispyware sering kali menyerang cookies, yaitu file teks kecil yang diletakkan perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di kalangan beberapa pemasar. Solusi yang paling efektif yang memungkinkan adalah menghalangi antispyware untuk menghapus cookies pihak pertama yang disimpan perusahaan untuk para pelangganya, tapi hanya menghapus cookies pihak ketiga yang diletakkan oleh perusahaan lain.4. Risiko Keamanan InformasiRisiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua resiko mewakili tindakan yang tidak terotoritas. Risiko risiko seperti ini dibagi menjadi empat jenis, yaitu :a. Pengungkapan Informasi Yang Tidak Terotoritas Dan PencurianKetika suatu basis data dan perpustakaan peranti lunak tersedia bagiorang orang yang seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi atau uang. Sebagai contoh, mata mata industri dapat memperoleh informasi mengenai kompetisi yang berharga dan criminal computer dapat menyelundupkan dana perusahaan.b. Penggunaan Yang Tidak TerotoritasPenggunaan Yang Tidak Terotoritas terjadi karena orang orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.Contoh kejahatan computer type ini adalah hacker yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi.Hacker, misalnya, dapat memasuki jaringan computer sebuah perusahaan, mendapatkan akses ke dalam system telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi.c. Penghancuran Yang Tidak Terotoritas Dan Penolakan LayananSeseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional computer perusahaan tersebut tidak berfungsi.Dalam hal ini penjahat computer bahkan tidak harus berada di lokasi fisik tersebut.Mereka dapat memasuki jaringan computer perusahaan dan menggunakan sumber daya perusahaan (seperti e-mail) hingga tingkatan tertentu sehingga operasional bisnis normal tidak berlangsung.d. Modifikasi Yang Tidak TerotoritasPerubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output system tersebut mengambil keputusan yang salah. Salah satu contoh adalah perubahan nilai pada catatan akademis seorang siswa.5. Manajemen Risiko Keamanan InformasiManajemen resiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi, pendefinisian resiko terdiri atas 4 angkah:1. Identifikasi aset-aset bisnis yang harus dilindungai dari resiko2. Menyadari resikonya3. Menentukan tingakatan dampak pada perusahaan jika resiko benar-benar terjadi4. Menganalisis kelamahan perusahaan tersebut.Tingkatan keparahan dampak dapat diklasifikasikan menjadi :1. Dampak yang parah (severe Impact)Mambuat perusahaan bangkrut atau sangant membatasi kemampuan perusahaan tersebut untuk berfungsi2. Dampak signifikan (Significant Impact)Menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahan tersebut akan selamat3. Dampak Minor (Minor Impact)Menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari.Ketika analisis tersebut mengindikasikan kelemahan tingkat tinggi (terdapat kelemahan substansial di dalam sistem), maka pengendalaian harus diimplementasikan untuk mengeliminasi atau mengurangi kelemahan tersebut. Jika kelemahan itu bersifat menengah (terdapat beberapa kelemahan), maka pengendalaian sebaiknya diimplementasikan. Jika kelemahan bersifat rendah (sistem tersebut terkontruksi dengan baik dan beoperasi dengan benar), pengendalian yang ada harus tetap dijaga. Isi dari laporan analasis resiko ini sebaiknya mencakup informasi berikut ini, menegnai tipa-tiap resiko:1. Deskripsi resiko2. Sumber resiko3. Tingginya tingkat resiko4. Pengendalian yang diterapkan pada resiko tesebut5. Para pemilik resiko tersebut6. Tindakan yang direkomendasikan untuk mengatasi resiko7. Jangka waktu yang direkomendasikan untuk mengatasi resikojika perusahaan telah mengatasi resiko tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir)8. Apa yang telah dilaksanakan untuk mengatasi resiko tersebut.

6. Kebijakan Keamanan InformasiSuatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang bertahap, diantaranya :a. Fase 1 Inisiasi proyek. Tim yang menyusun kebijakan keamanan dibentuk jika komite pengawas perusahaan tidak dapat melaksanakan tanggung jawab untuk mengawasi proyek kebijakan keamanan tersebut. Jika komite khusus telah terbentuk, komite tersebut akan mencakup manajer dari wilayah-wilayah diman kebijakan tersebut akan diterapkan.b. Fase 2 Penyusunan kebijakan. Tim proyek berkonsultasi dengan semua pihak yang berminat dan terpengaruh oleh proyek ini untuk menentukan kebutuhan kebijakan baru tersebutc. Fase 3 Konsultasi dan persetujuan. Tim proyek berkonsultasi dengan manajemen untuk memberitahukan temuannya sampai saat itu, serta untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.d. Fase 4 Kesadaran dan edukasi. Program pelatihan kesadaran dan edukasi kebijakan dilaksanakan dalam unit-unit organisasi. Peserta pelatihan dapat terdiri atas anggota proyek, perwakilan internal lain seperti orang-orang dari TI dan SDM, atau konsultan luar. Ini merupakan salah satu contoh manajemen pengetahuan.e. Fase 5 Penyebarluasan kebijakan. Kebijakan keamanan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan. Idealnya, para manajer unit melaksanakan pertemuan dengan karyawan untuk meyakinkan bahwa mereka memahami kebijakan tersebut dan berkomitmen untuk mengikutinya.Kebijakan terpisah dikembangkan untuk :(1) Keamanan system informasi(2) pengendalian akses system(3) keamanan personel(4) Keamanan lingkungan dan fisik(5) Keamanan komunikasi data(6) Klasifikasi informasi(7) Perencanaan kelangsungan usaha(8) Akuntabilitas manajemenKebijakan ini diberitahukan kepada karyawan, sebaiknya dalam bentuk tulisan , dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan, pengendalian dapat di implementasikan.7. PengendalianPengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi tiga kategori, yaitu teknis, formal dan informal.a. Pengendalian TeknisPengendalian teknis (technical control) adlah pengendalian yang menjadi satu didalam system dan dibuat oleh para penyusun system selama masa siklus penyusunan system. Melibatkan seorang auditor internal didalam tim proyek merupakan satu car yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi piranti keras dan lunak. 1. Pengendalian AksesPengendalian Akses dilakukan melalui proses tiga tahap yaitu :a) Indentifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.b) Otentikasi pengguna. Para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. Selain itu pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas diri seperti tanda tangan atau pola suara.c) Otorisasi pengguna. Setelah pemeriksaan identifikasi dan otentikasi dilalui, seseorang kemudian mendapatkan otorisasi untuk memasuki tingkat atau derajat pengguna tertentu. Sebagai contoh seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.Identifikasi dan autentikasi memanfaatkan profil pengguna atau user profile, atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (access control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna. Setelah para pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka dapat menggunakan sumber daya informasi yang terdapat didalam batasan file pengendalian akses. 2. System Deteksi GangguanLogika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui email. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan pengguna.Contoh deteksi penggangu yang lain adalah peranti lunak yang ditujukan untuk mengidentifikasi calon pengganggu sebelum memiliki kesempatan untuk membahayakan. Peralatan prediksi ancaman dari dalam (insider threat predicton tool) telah disusun sedemikian sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang didalam perusahaan, akses kedalalm data yang sensitive, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimiliki dan pengguna protocol jaringan tertentu. Hasil pembuatan profilan seperti ini dapat mengklasifikasikan ancaman internal kedalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.3. FirewallSumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkanya memasuki jaringan internal dari enternet. Pendekatan ketiga adalah membangun dinding pelindung, atau firewall.Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet. Konsep dibalik firewall adalah dibuatnya suatu pengamanan untuk semua komputer ada jaringan perusahaan dan bukanya pengamanan terpisah untuk masing-masing komputer. Beberapa perusahaan yang menawarkan penganti lunak anti virus (seperti McAfee di www.mcafee.com dan www.norton.com). Tiga jenis firewaal adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.1. Firewall penyaring paketRouther adalah alat jarigan yang mengarahkan aliran lalu lintas jaringan. Jika routher dipossiskan antara internet dan jarinagan internet, routher tersebut dapat berlaku sebagai firewall. Routher itu dilengkapi dengan tabel data alamat-alamat IP yang mengambarkan kebijakan penyaringan. Salah satu keterbatasan routher adalah routher hanya merupakan titik tungal keamana, sehingga jika hacker dapat melampauianya perusahhan tersebut bisa mndapatkan masalah.2. Firewall tingkat sirkuitSalah satu peningkatan dari routher adalah firewall tingkat sirkuit yang terpasang antara internet dan jaringan persahaan tapi lebih dekat dengan mediumkomunikasi (sirkuit) daripada riuther. Routher ini memungkinkan tingkat otetintasi dan penyarinagan yang tinggi, jauh lebih tinggi dibandinkan routher. Namun, keterbatasan dati titik tungal keamanan tetap berlaku.3. Firewall tingkat aplikasiFirewall ini berlokasia antara routher dan komputer yang menjalankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diontentikasi sebagai permintaan yang bersala dari jarinan yang diotorisasi (tingkat sirkuit) dan dari komputer yang diotorisasi (penyakit paket), aplikasi tersbut dapat meminta informasi otentika yang lebih jauh searti menanyakan kata sandi sekunder, mengomfirmasikan identitas, atau bahkan memeriksa apakah permintaan tersebut berlangsung selama jam-jam kerja.Masalah lain adalah seorang programer jaringan harus menulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika aplikasiditambahkan , dihapus atau dimodifikasi.4. Pengendalian KriptografiData dan infoermasi yang tersimpan dan ditranmisi dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu pengunaan kode yang mengunakan proses-proses matematika. Jika seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimahsudkan tidak berarti apa-apa dan mencegah kesalahan pengunaan.Popularitas kriptografi semakin meningkat karena e-commerse, dan produk khusus yang ditujukan untuk meningkatkan keamanan e-commerse telah dirancang. Salah satunya adalah SET (secure electrinic transanctions) , yang melakukan pemiriksaan keamana mengunakan tanda tangan digital. Dengan meningkatya popularitas e-commerse dan perkembangan teknologi enkripsi yang berkelanjutan, pengunaanya diharapkan untuk meningkatkan di dalam batasan peraturan pemerintahan.5. Pengendalian FisikPeringatan pertama terhadap ganguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih cangih yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga tahap tertinggi dengan cara menepatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitif terhadap bencana alam.b. Pengendalian FormalPengendalian formal mencangkup penentuan berprilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencengahan prilaku yang berbeda dari panduan yang berlaku. Pengendatian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunya, mendokumentasinya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.c. Pengendalian InformalPengendalian informal mencangkup program-program peltihan dan edukasi serta program pembangunan manajemen. Penegndalian ini ditunjukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.8. Mencapai Tingkat Pengendalian Yang TepatKetika jenis pengendalian tekis, formal, dan informal mengharuskan biaya. Kerena bukanlah merupakan praktek bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai. Misalnya, dalam dunia perbankan, ketika melkukan manajemen resiko untuk ATM, pengendalian harus membuat sistem aman tanpa mengurangi penyamanan pelanggan, selainitu, dalam pelayanan kesehatan pertanyaan-pertanyaan mengenai kesehatan pasien dan hak untuk mendapatkan privasi harus dipertimbangkan. Sistem tersebut harus tidak dibuat terlalu aman sehingga mengurangi jumlah informasi psien yang tersedia bagi rumah sakit dan dokter yang bertanggung jawab atas kesehatan pasien.9. Standar IndustriThe Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna computer guna membuat system mereka lebih aman. Bantuan diberikan melalui dua produk, yaitu CIS Benchmarks dan CIS Scoring Tools. CIS Benchmarks membantu para pengguna untuk mengamankan system informasi mereka dengan cara menerapkan pengendalian khusus teknologi. CIS Scoring Tools member kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolok ukur, dan menyiapkan laporan yang mengarahkan pengguna dan administrator system untuk mengamankan system.

10. Sertifikasi ProfesionalMulai tahun 1960-an, profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.a. .Asosiasi Audit Sistem dan PengendalianProgram sertifikasi keamanan yang pertama adalah Certified Information System Auditor, yang ditawarkan oleh Information System Audit dan Control Association (ISACA). Kemudian ISACA membrikan gelar Certified Information Security Manager. Untuk mendapatkan sertifikasi ini, pendaftar harus mengikuti suatu ujian, mengikuti kode etika, dan memberikan bukti pengalaman kerja dalam bidang keamanan informasi. Informasi mengenai ISACA dapat ditemukan di www.isaca.orgb. Konsorsium Sertifikasi Keamanan Sistem Informasi InternasionalThe Certification Information System Security Professional (CISSP) ditawarkan oleh International Information System Security Certification Consortium (ISC). Sertifikasi CISSP memberi bukti bahwa pemegangnya memiliki keahlian dalam kemanan informasi yang mencakup topic seperti pengendalian akses, kriptografi, arsitektur keamanan, keamanan internet, dan praktik manajemen keamanan. Sertifikasi didasarkan oleh kinerja pada ujian berisikan 250 pertanyaan pilihan ganda. Informasi lebih banyak dapat ditemukan di www.isc2.orgc. Institut SANS Institut SANS (SysAdmin, Audit, Network, Security) menawarkan sertifikasi melalui Global Information Assurance Certification Program miliknya, yang mencakup mata kuliah seperti Audit Keamanan IT dan Intisari Pengendalian, serta Penulisan dan Pemeriksaan Kebijakan Keamanan. Informasi mengenai SANS dapat didapatkan dari WWW.SANS.ORG

11. Meletakkan Manajemen Keamanan Informasi Pada TempatnyaPerusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian. Kebijakan ini dapat dibuat bererdasarkan identifikasi ancaman dan resiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industry. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk menawarkan tingkat keamanan yang diinginkan pada batasan yang telah ditentukan dan disesuaikan dengan pertimbangan lain yang membuat perusahaan dan sistemnya mampu berfungsi secara efektif.

12. Manajemen Keberlangsungan BisnisAktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan system informasi disebut dengan Manajemen keberlangsungan bisnis (business continuity management-BCM). Pada tahun-tahun awal penggunaan computer, aktivitas ini disebut Perencanan Bencana (disaster planning), namun istilah yang lebih positif, perencanaan kontinjensi (contingency plan). Elemen penting dalam perencanaan kontinjensi adalah rencana kontinjensi yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan atau ancaman gangguan pada operasi komputasi perusahaan. Pendekatan yang terbaik bagi perusahaan adalah merancang beberapa subrencana yang menjawab beberapa kontinjensi yang spesifik.a. Rencana DaruratMenyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup system alarm, prosedur evakuasi, dan system pemadaman api.b. Rencana CadanganPerusahaan harus mengatur agar fasilitas computer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak dapat digunakan. Pengaturan ini merupakan bagian dari rencana cadangan (backup plan). Cadangan dapat diperoleh melalui kombinasi redundansi yang berupa Peranti keras, peranti lunak, dan data diduplikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses. Keberagaman meliputi sumber daya informasi tidak dipasang pada tempat yang sama. Perusahaan besar biasanya membuat pusat computer yang terpisah untuk wilayah-wilayah operasi yang berbeda-beda. Mobilitas yang berupa Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahaan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak dengan jasa pelayanan cadangan di hot site dan cold site.Hot site adalah fasilitas computer lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat. Sedangkan cold site hanya mencakup fasilitas bangunan, namun tidak mencakup fasilitas computer. Perusahaan dapat mendapatkan cold site dari pemasok atau membangun fasilitasnya sendiri.c. Rencana Catatan PentingCatatan penting (vital records) perusahaan adalah dokumen kertas, microform, dan media penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan) menentukan cara bagaimana catatan penting tersebut harus dilindungi. Selain menjaga catatan disitus computer, salinan cadangan harus disimpan dilokasi yang terpencil. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi terpencil, namun catatn computer dapat ditransmisikan secara elektronik.13. Meletakkan Manajemen Keberlangsungan Bisnis Pada TempatnyaManajemen keberlangsungan bisnis merupakan salah satu bidang penggunaan computer dimana kita dapat melihat perkembangan besar. Pada akhir tahun 1980-an, hanya beberapa perusahaan yang memiliki rencana seperti itu dan perusahaan jarang mengujinya. Sejak itu, banyak upaya dilaksanakan untuk mengembangkan perencanaan kontinjensi, dan banyak informasi serta bnatuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya kedalam kebutuhan khususnya.