“Keamanan
Informasi”
Banyak perusahaan mencari keamanan sistem
informasi yang tidak menghambat ketersediaan informasi bagi pihak-pihak yang memilik torisasi untuk
mendapatkannya. Pemerintah mencari keamanan sistem yang tidak melanggar hak
pribadi perorangan. Karena hal ini adalah keseimbangan yang sulit untuk
didapat. Fokus awal dari keamanan sistem
komputer dan basis data telah diperluas agar mencakup bukan hanya semua jenis
sumber daya informasi, namun juga media nonkomputer seperti :
- Dokumen kertas
- Aktivitas (Keamanan Informasi)
Sedangkan
tiga tujuan keamanan informasi adalah:
Tujuan
ini dipenuhi dengan cara menjalankan
program manajemen keamanan informasi (Information Security Management_ISM)
setiap hari dan manajemen keberlangsungan bisnis agar operasional perusahaan
terus berjalan setelah bencana atau pelanggaran keamanan terjadi. Pemikiran yang
ada saat ini menyatakan bahwa aktivitas
keamanan ini harus dikelola oleh
direktur pengawas informasi perusahaan (CIAO) yang memimpin fasilitas keamanan yang terpisah dan melapor
langsung ke CEO.
Manajemen
risiko melibatkan identifikasi ancaman, pendefinisian risiko, penetapan
kebijakan keamanan informasi, dan penerapan pengendalian. Ancaman yang paling
berbahaya adalah virus, yang hanya merupakan salah satu contoh peranti lunak
yang berbahaya, selain worm, trojan, spyware, dan adware. Resiko adalah
tindakan yang tidak teroterisasi yang dilakukan oleh ancaman ini. Tidakan ini
dapat menghasilkan :
- pencurian dan pengungkapan
- penggunan
- penghancuran dan penolakan layanan
- modifikasi yang tidak terotorisasi
Ketika
melaksanakan manajemen risiko, tingkat dampak dan derajat kerentanan dapat
didefinisikan secara sistematis. Dampak yang parah atau signifiksn mengharuskan
analisis kerentanan.
Kebijakan
keamanan informasi dapat diimplementasikan dengan mengikuti rencana lima tahap.
Proyek ini melibatkan tim proyek dan mungkin juga komite pengawas khusus. Tim ini
berkerja dengan pihak manajemen dan pihak yang terkait dalam menyusun kebijakan
tersebut, yang kemudian disebarluaskan
ke unit-unit organisasi setelah memberikan program pelatihan dan edukasi. Kebijakan terpisah dapat disusun untuk
mengambarkan sistem informasi, personel, komunikasi data lingkungan fisik.
Ada
tiga jenis pengendalian yaitu:
- Teknis, pengendalian teknis menggunakan peranti keras dan lunak. Pengendalian akses memberikan akses hanya setelah para pengguna dapat melewati layar untuk mengidentifikasi , autentikasi, dan otorisasi pengguna. Sistem deteksi pengguna mencakup paket antivirus dan model yang dapat mengidentifikasi ancaman dari dalam. firewall ditujukan untuk melindungin jaringan perusahaan dari gangguan lewat internet. Pengendalian kriptografis dianggap sangat efektifkarena jenis pengendalian ini tidak bergantung pada pencegahan akses, melainkan membuat data dan informasi menjadi tidak berguna jika didapatkan secara tidak bertanggung jawab. Pengendalian fisik mengamankan fisilitas komputer dengan cara membatasi atau menghalangi akses yang tidak diotorisasi.
- Formal, pengendalian formal mengambil upaya atas bahwa,seperti cara berperilaku, prosedur, dan praktik.
- Dan Informal, pengendalian informal terutama berfokus pada pemberian informasi yang dibutuhkan kepada karyawan untuk melaksanakan pengendalian.
Banyak
hal yang telah dicapai di wilayah standar keamanan. Baik pemerintah maupun
asosiasi industri telah
mengeluarkan standar atau
memberikan bantuan dalam menentukan apa
saja yang harus dimasukkan ke dalam program-program keamanan. Pemerintah juga
telah mengeluarkan undang-undang yang mengharuskan suatu standar diikuti atau membuat perusahaan
mampu menyediakan informasi mengenai
ancaman potensial dari teroris atau organisasi kejahatan tanpa harus
takut mendapatkan hukuman.bersama dengan dukungan industri juga tersedia
berbagai program sertifikat keamanan, yang membahas wilayah yang luas seperti
praktik-praktik manajemen dan yang lebih sempit seperti kriptografi. Saat
ini telah tersedia berbagai pilihan bagi perusahaan yang berminat untuk
meningkatkan keamanan informasinya.
Daftar pustaka :
McLeod, Raymond, Jr & schell, George P, 2008, Sistem Informasi Manajemen,
Edisi 10, Terjemahan oleh Ali Akbar Yulianto dan Afia R. Fitriati, Salemba
Empat, Jakarta
Dirangkum oleh:
Tri Meli Heridah
3DA01
48213960
Tidak ada komentar :
Posting Komentar