BAB 9 KEAMANAN INFORMASI
Nama
:
Deni
Islamiati (51415021)
Fitriana
Dwi L (51415031)
Putri
Dewi I (51415047)
M.
Affan (51415042)
A.
PENDAHULUAN
Semua
organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka
aman. Kalangan industry telah lama menyadari kebutuhan untuk menjaga keamanan
dari para criminal computer, dan sekarang pemerintah telah mempertinggi tingkat
keamanan sebagai salah satu cara untuk memerangi terorisme. Ketika organisasi
organisasi ini
Keamanan
informasi ditujukan untuk mendapat kan kerahasiaan ketersediaan, serta
intergritas pada semua sumber daya informasi perusahaan bukan hanya peranti
keras dan data. Manajemen keamanan informasi terdiri atas perlindungan harian,
yang disebut manajemen keamanan informasi (information security – ism)
dan persiapan persiapan operasional setelah suatu bencana, yang
disebut dengan manajemen keberlangsungan bisnis (business continuity management
– BCM).
Ada
tiga jenis pengendalian yang tersedia. Pengendalian teknis terdiri atas pembatasan
akses, firewall, cryptography, dan pengendalian fisik. Pengendalian formal
bersifat tertulis dan memiliki harapan hidup jangka panjang. Pengendalian
informal di tujukan untuk menjaga agar para karyawan perusahaan memahami dan
mendukung kebijakan kebijakan keamanan. Sejumlah pihak pemerintahan telah
menentukan standard an menetapkan peraturan yang mempengaruhi keamanan
informasi. Asosiasi-asosiasi industry juga telah menyediakan berbagai standard
an sertifikasi professional. Perushaaan-perusahaan yang ingin mengembangkan
rencana kontijensi baru tidak harus memulai dari awal ; beberapa model berbasis
peranti lunak tersedia, seperti halnya garis besar dan panduan dari
pemerintahan.
B.
PEMBAHASAN
Ø KEBUTUHAN
ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Dalam
dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga
seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman
dari ancaman baik dalam dan luar.
Pemerintah
federal amerika serikat sekarang menerapkan pencegahan dan pengadilan yang
serupa, melalui otoritas patriot Act (undang undang patriot) dan office of
homeland security (dinas keamanan dalam negri).
Ø MANAJEMEN
KEAMANAN INFORMASI
Pada
bentuknya yang paling dasar, manajemen kemanan informasi terdiri atas empat
tahap : mengidentifikasi ancaman yang dapat menyerang sumber daya informasi
perusahaan; mendefinisikan resiko yang dapat disebabkan oleh ancaman ancaman
tersebut; menentukan kebijakan keamanan informasi; serta mengimplementasikan
pengendalian untuk mengatasi resiko resiko tersebut.Tolak ukur (benchmark)
adalah tingkat kinerja yang disarankan.Seperti halnya cakupan keamanan informasi telah
meluas demikian juga pandangan akan tanggung jawab manajemen tidak hanya di
harapkan untuk menjaga agar sumber daya informasi aman, namun juga di harapkan
untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana
atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya
informasi tetap aman disebut manajemen keamanan informasi ( informatian
security management – ISM ).
Ø ANCAMAN
Ancaman
keamanan informasi (information security threat) adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahagiakan sumber daya
informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi,
adalah sesuatu yang alami jika kita membayangkan beberapa kelompok atau
beberapa orang diluar perusahaan tersebut yang melakukan tindakan yang
disengaja. Pada kenyataanya, ancaman dapat bersifat internal serta eksternal,
dan dapat bersifat tidak disengaja maupun disengaja.
·
Ancaman Internal dan
Eksternal
Ancaman
internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut.
Survey yang dilakukan oleh computer security institute menemukan bahwa 49%
koresponden menghadapi insiden keamanan yang disebabkan oleh tindakan para
pengguna yang sah; proporsi kejahatan computer yang dilakukan oleh karyawan
diperkirakan mencapai 81%.
·
Tindakan Kecelakaan dan
Disengaja
Tidak
semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang orang
didalam ataupun diluar perusahaan. Sama halnya dimana keamanan informasi harus
ditujukan untuk mencegah ancaman yang disengaja, sistem keamanan harus
mengeliminasi atau mengurangi kemungkinan terjadi nya kerusakan yang disebabkan
terjadinya kecelakaan.
Ø RISIKO
Risiko keamanan
informasi (Information Security Risk)
didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran
keamanan informasi oleh ancaman keamanan informasi. Semua resiko mewakili
tindakan yang tidak terotorisasi. Resiko-resiko seperti ini dibagi menjadi
empat jenis, yaitu :
1. Pengungkapan
informasi yang tidak terotorisasi dan pencurian
Ketika suatu basis data dan perpustakaan
peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memiliki
akses hasilnya adalah hilangnya informasi atau uang.
2. Penggunaan
yang tidak terotorisasi
Penggunaan yang tidak terotorisasi terjadi
ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya
perusahaan mampu melakukan hal tersebut.
3. Penghancuran
yang tidak terotorisasi dan penolakan layanan
Seseorang dapat merusak atau
menghancurkan perani keras atau peranti lunak sehingga menyebabkan operasional
komputer perusahaan tersebut tidak berfungsi.
4. Modifikasi
yang tidak terotorisasi
Perubahan dapat dilakukan pada data,
informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung
tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil
keputusan yang salah.
Ø PERSOALAN E-COMMERCE
E-commerce
atau perdagangan elektronik telah memperkenalkan suatu permasalahan keamanan
baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tetapi
perlindungan dari pemalsuan kartu kredit. Untuk mengatasi masalah ini,
perusahaan-perusahaan kartu kredit yang utama telah mengimplementasikan program
yang ditujukan secara khusus untuk keamanan kartu kredit e-commerce.
1. Kartu
kredit “sekali pakai”
Kartu kredit sekali
pakai ini bekerja dengan cara saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang
acak dari situs web perusahaan kartu kredit tersebut. Angka ini bukan nomor
kartu kredit pelanggan, namun angka inilah yang diberikan kepada pelanggan e-commerce yang kemudian melaporkannya
ke perusahaan kartu kredit untuk pembayaran.
2. Praktik
keamanan yang diwajibkan oleh visa
Selain alternatif kartu
kredit “sekali pakai”, perusahaan di Amerika, Visa mempraktekkan 10 metode terkait
keamanan yang diharapkan oleh perusahaan ini serta mewajibkan peritel atau toko
reseller mereka untuk menggunakan ke sepuluh praktek keamanan tersebut.
Reseller yang memilih untuk tidak mengikuti praktek ini akan dikenakan denda,
kehilangan keanggotaan Visa atau pembatasan penjualan dengan Visa. 10 program
keamanan tersebut adalah :
a. Memasang
dan memelihara firewall
b. Memperbarui
keamanan
c. Melakukan
enkripsi pada data yang disimpan
d. Melakukan
enkripsi pada data yang dikirimkan
e. Menggunakan
dan memperbarui peranti lunak antivirus
f. Membatasi
akses data kepada orang-orang yang ingin tahu
g. Memberikan
ID unik kepada setiap orang yang memiliki kemudahan mengakses data
h. Memantau
akses data dengan ID unik
i.
Tidak menggunakan kata sandi default
yang disediakan oleh vendor
j.
Secara teratur menguji sistem keamanan
Selain
yang berhubungan dengan e-commerce,
Visa juga mengidentifikasi tiga praktek umum yang harus diikuti oleh para
resellernya dalam mendapatkan keamanan informasi untuk semua aktifitasnya,
ketiga praktek umum tersebut adalah :
a. Menyaring
karyawan yang memiliki akses terhadap data.
b. Tidak
meninggalkan data atau komputer dalam keadaan tidak aman.
c. Menghancurkan
data apabila sudah tidak dibutuhkan lagi.
Praktik-praktik
keamanan yang diwajibkan ini telah ditingkatkan lagi Melalui Program Pengamanan
Informasi Pemegang Kartu atau Cardholder
Information Security Program (CISP). CISP ditujukan pada para reseller
dengan tujuan untuk menjaga data pemegang kartu. Tujuan ini dicapai melalui
penempatan pembatasan-pembatasan pada reseller mengenai data yang dapat
disimpan setelah Visa menyetujui suatu transaksi. Satu-satunya data yang dapat
disimpan adalah nomor rekening pemegang kartu serta nama dan tanggal
kadaluwarsa kartu tersebut. Semua tindakan yang diambil oleh perusahaan kartu
kredit ini ditujukan untuk menciptakan lingkungan yang aman bagi konsumen untuk
berbelanja secara online.
Ø MANAJEMEN RESIKO
Merupakan
satu dari dua strategi untuk mencapai keamanan informasi. Resiko dapat
dikeldengan cara mengendalikan atau menghilangkan risiko atau mengurangi
dampaknya. Pendefinisian resiko terdiri atas empat langkah yaitu:
1. Identifikasi
aset-aset bisnis yang harus dilindungi dari resiko.
2. Menyadari
risikonya.
3. Menentukan
tingkatan dampak pada perusahaan jika resiko benar-benar terjadi.
4. Menganalisis
kelemahan perusahaan tersebut.
Ø Pengendalian Teknis
Pengendalian
teknis (technical control) adalah pengendalian yang menjadi satu di dalanm
sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan
sistem. Melibatkan seorang auditor internal di dalam tim proyek merupakan satu
cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian
dari desain sistem kebanyakan pengendalian keamanan dibuat berdasarkan
teknologi peranti keras dan lunak.
Ø Pengendalian Akses
Dasar
untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak
diotorisasi adalah pengendalian akses. Alasannya sederhana: jika orang yang
tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya
informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian
akses dilakukan melalui proses tiga yaitu:
- Identifikasi
pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan
cara memberikan sesuatu yang mereka ketahui
- Otentikasi
pengguna. Setelan identifikasi awai telah dilakukan, para pengguna
memverifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki,
seperti smart card atau tanda tertentu atau chip identiiikasi. Autentikasi
pengguna dapat juga dilaksanakan dengan cara memberikan scsuatu' yang
menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
- Otorisasi
pengguna. Setelah pemeriksaan identifikasi dan autentikasi dilalui,
seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat afau
derajat penggunaan tertentu.
Ø Sistem Deteksi Gangguan
Logika
dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan
sebelum memiliki kesempatan untuk melakukan perusakan salah satu contoh yang
baik adalah peranti lunak proteksi virus (virus protection software) yang telah
terbukti efektif elawan virus yang terkirim melalului e-mail. Peranti lunak
tersebuk mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
Ø Firewall
Sumber
daya komputer selalu berada dalam risiko jika terhubung ke jaringan. Salah satu
pendekatan keamanan adalah secara iisik memisahkan situs Web perusahaan dengan
jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi.
Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data
ke dan dari perusahaan tersebut dan Internet. Konsep di balik firewall adalah dibuatnya
suatu pengaman untuk semua computer pada jaringan perusahaan dan bukannya
pengaman terpisah untuk masing-masing komputer. Beberapa perusahaan yang
menawarkan peranti lunak antivirus (seperti McAfee di WWW. MCAFEE. COM dan WWW.
NORTON COM) sekarang memberikan peranti lunak firewall tanpa biaya ekstra
dengan pembelian produk.
Ø Pengendalian Kriptografis
Data dan
informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan
yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang
menggunakan proses-proses matematika. Data dan informasi tersebut dapat
dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan. Jika
seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut
akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan
mencegah kesalahan penggunaan. Dengan meningkatnya popularitas e-commerce dan
perkembangan teknologi enkripsi yang berkelanjutan, penggunaannya diharapkan
untuk meningkat di dalam batasan peraturan pemerintah.
Ø Pengendalian Fisik
Peringatan
pertama: terhadap gangguan yang tidak terotorisasi adalah mengunci pintu
ruangan komputer. Perkembangan
seterusnya menghasilkan kunci-kunci yang lebih canggih, yang dibuka dengan
cetakan telapak tangan dan cetakan Suara. serta kamera pengintai dan alat
penjaga keamanan. Perusahaan dapat melaksanakan pengendalian flsik hingga pada
tahap tertinggi dengan cara menempatkan pusat komputernya di temapat terpencil
yang jauh dari kota dan jauh dari wilayah yang sensitif terhadap bencana alarq
seperti gempa bumi. banjir, dan badai.
Ø Pengendalian Formal
Pengendalian
formal mcncakup penentuan cara berperilaku, dokumentasi prosedur dan praktik
yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari
panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen
menghabiskan banyak waktu untuk menyusunnya.
Ø Pengendalan Informal
Pengendalian informal mencakup program pelatihan
dan edukasi serta program pembangunan manajemen, Pengendalian ditujukan untuk
menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan
Ø Manajemen Keberlangsungan Bisnis
Merupakan
aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan
sistem informasi yang disebut dengan manajemen keberlangsungan bisnis (business continuity management - BCM).
Pada tahun awal penggunaan komputer, aktivitas ini disebut perencanaab bencana
(disaster planning), namun istilah
yang lebih positif, perencanaan kontinjensi (contingency plan), yang merupakan dokumen tertulis formal yang
menyebut secara detail tindakan yang harus dilakukan jika terjadi gangguan atau
ancaman gangguan pada operasi komputasi perusahaan. Banyak perusahaan telah
menemukan bahwa, dibandingkan sekedar mengandalkan satu rencana kontinjensi
besar, pendekatan yang terbaik adalah merancang beberapa subrencana yang
menjawab beberapa kontinjensi yang spesifik. Subrencana yang umum mencakup
rencana darurat, rencana cadangan dan rencana catatan penting.
Ø Rencana Darurat
Rencana
darurat (emergency plan) menebutkan
cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara
itu mencakup sistem alarm, prosedur evakuasi dan sistem pemadaman api.
Ø Rencana Cadangan
Perusahaan
harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas
yang biasa hancur atau rusak sehingga tidak dapat digunakan. Pengaturan ini
merupakan bagian dari rencana cadangan (backup
plan). Cadangan dapat diperoleh melalui kombinasi redundansi, keberagaman
dan mobilitas.
·
Redundansi
Peranti
keras, peranti lunakdan data diduplikasikan sehingga jika satu set tidak dapat
dioperasikan, set cadangannya dapat meneruskan proses.
·
Keberagaman
Sumber
daya informasi tidak dipasang pada tempat yang sama. Perusahaan besar biasanya
membuat pusat komputer yang terpisah untuk wilayah-wilayah operasi yang
berbeda-beda.
·
Mobilitas
Perusahaan
dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga
masing-masing perusahaan dapat menyediakan cadangan kepada yang lain jika
terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak
dengan jasa pelayanan cadangan di hot
site dan cold site. Hot site adalah fasilitas komputer
lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan jika
terdapatsituasi darurat. Cold site
hanya mencakup fasilitas bangunan, namun tidak mencakup fasilitas komputer.
Perusahaan dapat mendapatkan cold site dari pemasok atau membangun fasilitasnya sendiri. Untuk pendekatan yang mana
pun, perusahaan tersebut harus menyediakan sumber daya komputernya. Penyedia hot site dan cold site yang terbesar adalah IBM dan SunGard.
Ø Rencana Catatan Penting
Catatan
penting (vital records) perusahaan
adalah dokumen kertas, mikroform dan media penyimpanan optis dan magnetis yang
penting untuk meneruskan bisnis perusahaan tersebut. Recana catatan penting (vital records plan) menentukan cara
bagaimana catatan penting tersebut harus dilindungi. Selain menjaga catatan
tersebut di situs komputer, salinan cadangan harus disimpan dilokasi yang
terpencil. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi
terpencil tersebut, namun catatan komputer dapat ditransmisikan secara
elektronik.
Ø Meletakan Manajemen Keberlangsungan Bisnis Pada Tempatnya
Manajemen
keberlangsungan bisnis merupakan salah satu bidang penggunaan komputer di mana
kita dapat melihat perkembangan besar. Pada akhir 1980-an, hanya beberapa
perusahaan yang memiliki rencana seperti itu, dan perusahaan jarang mengujinya.
Sejak itu banyak upaya telah dilaksanakan untuk mengembangkan perencanaan
kontinjensi dan banyak informasi serta bantuan telah tersedia. Tersedia pula
rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam
kebutuhan khususnya. Sistem komputer TAMP memasarkan Sisltem Pemulihan Bencana
(Disaster Recovery System -DRS) yang
mencakup sistem manajemen basis data, instruksidan perangkat yang dapat
digunakan untuk mempersiapkan rencana pemulihan. Panduan dan garis
besartersedia bagi perusahaan untuk digunakan sebagai titik awal atau tolak ukur.
C.
Kesimpulan
Di
masa sekarang banyak perusahaan mencari keamanan sistem informasi yang tidak
menghambat ketersediaan informasi bagi pihak-pihak yang memiliki otorisasi
untuk mendapatkannya. Pemerintah mencari keamanan sistem yang tidak melanggar
hak pribadi perorangan. Hal-hal ini adalah keseimbangan yang sulit untuk didapat.
Fokus awal dari keamanan sistem komputer dan basis data telah diperluas agar
mencakup bukan hanya semua jenis sumber daya informasi, namun juga media
nonkomputer sepert idokumen kertas dan aktivitas itu disebut dengan keamanan
informasi. Tiga tujuan keamanan informasi adalah kerahasiaan, ketersediaan dan
integritas. Tujuan ini dipenuhi dengan cara menjalankan program manajemen
keamanan informasi (Information Security
Management - ISM) setiap hari dan manajemen keberlangsungan bisnis agar
operasional perusahaan terus berjalan setelah bencana atau pelanggaran keamanan
terjadi. Pemikiran yang ada saat ini menyatakan bahwa aktivitas kemanan ini
harus dikelola oleh direktur pengawas informasi perusahaan (CIAO) yang
memimpin fasilitas keamanan yang
terpisah dan melapor langsung ke CEO.
Dua
pendekatan dapat dilakukan untuk menerapkan ISM. Manajemen risiko melibatkan
identifikasi ancaman, pendefinisian risiko, penetapan kebijakan keamanan
informasi, dan penerapan pengendalian. Kepatuhan terhadap tolok ukur menggantikan
pertimbangan ancaman dan risiko dengan tolok ukur keamanan informasi yang baik,
yang biasanya disediakan pemerintah atau asosiasi industri.
Tantangan
dapat bersifat internal atau eksternal, tidak disengaja atau disengaja. Banyak
perhatian telah ditujukan pada ancaman internal dan eksternal, dengan
pengendalian internal yang biasanya berbentuk perangkat deteksi gangguan dan
prediksi gangguan sebelum gangguan tersebut terjadi. Ancaman yang paling
berbahaya adalah virus, yang hanya merupakan salah satu contoh peranti lunak
yang berbahaya, selain worm, trojan, spy ware dan adware.
Risiko adalah tindakan yang tidak terotorisasi yang dilakukan oleh ancaman m.
Tindakan ini dapat menghasilkan (1) pencurian dan pengungkapan, (2) penggunaan,
(3) penghancuran dan penolakan layanan dan (4) modifikasi yang tidak
terotorisasi. E-commerce meningkatkan
ancaman pemalsuan kartu kredit, yang dapat diminimalkan jika pelaku menggunakan
angka yang tergenerasi secara acak untuk melakukan transaksi dan bukannya nomor
kartu kredit tradisional.
Ketika
melaksanakan manajemen risiko, tingkat dampak dan derajat kerentanan dapat
didefinisikan secara sistematis. Dampak yang parah atau signifikan mengharuskan
analisis kerentanan. Pengendalian harus diimplementasikanuntuk dampak yang
parah dan sebaiknya diimplementasikan untuk dampak yang signifikan. Kebijakan
keamanan Informasi dapat diimplementasikan dengan mengikuti rencana lima tahap.
Proyek ini melibatkan tim proyek dan mungkin juga komite pengawas khusus. Tim
ini bekerja dengan pihak manajemen dan pihak yang terkait dalam menyusun
kebijakan tersebut, yang kemudian disebarluaskan ke unit-unit organisasi
setelah memberikan program pelatihan dan edukasi. Kebijakan terpisah dapat
disusun untuk mengamankan sistem informasi, personel, komunikasi data, dan
lingkungan fisik. Terdapat tiga jenis
pengendalian yaitu teknis, formal, dan informal. Pengendalian teknis
menggunakan peranti keras dan lunak. Pengendalian akses memberikan akses hanya
setelah para pengguna dapat melewati layar untuk mengidentifikasi, autentikasi,
dan otorisasi pengguna. Sistem deteksi gangguan mencakup paket antivirus dan
model yang dapat mengidentifikasi ancaman dari dalam. Firewall ditujukan untuk melindungi jaringan perusahaan dari
gangguan lewat Internet. Pengendalian kriptografis dianggap sangat efektif
karena jenis pengendalian ini tidak bergantung pada pencegahan akses, melainkan
membuat data dan informasi menjadi tidak berguna jika didapatkan secara tidak
bertanggung jawab. Pengendalian fisik mengamankan fasilitas komputer dengan
cara membatasi atau menghalangi akses yang tidak diotorisasi. Pengendalian
formal mengambil upaya atasbawah seperti cara berperilaku (codes of conduct), prosedur, dan praktik. Pengendalian informal
terutama berfokus pada pemberian informasi yang dibutuhkan kepada karyawan
untuk melaksanakan pengendalian.
Banyak
hal telah dicapai di wilayah standar keamanan. Baik pemerintah maupun asosiasi
industri telah mengeluarkan standar atau memberikan bantuan dalam menentukan
apa saja yang harus dimasukkan ke dalam program-program keamanan. Pemerintah
juga telah mengeluarkan undang-undang yang mengharuskan suatu standar diikuti
atau membuat perusahaan mampu menyediakan informasi mengenai ancaman potensial
dari teroris atau organisasi kejahatan tanpa harus takut mendapatkan hukuman.
Bersama dengan dukungan industri juga tersedia berbagai program sertifikasi
keamanan. yang membahas wilayah yang luas seperti praktik-praktik manajemen dan
yang lebih sempit seperti kriptografi. Manajemen keberlangsungan bisnis dicapai
melalui rencana kontinjensi, yang biasanya dibagi ke dalam subrencana. Rencana
darurat (emergency plans) melindungi
para karyawan; rencana cadangan membuatorganisasi mampu melanjutkan
operasinyabahkan setelah hilangnya kemampuan komputer; rencana catatan penting
menjaga agar tidak ada data berharga yang hilang. Saat ini telah tersedia
berbagai pilihan Bagi perusahaan yang berniat untuk meningkatkan keamanan
informasinya. Ini merupakan satu wilayah aktivitas komputerisasi, di mana jalan yang tepat sudah
jelas.
D. Rekomendasi Manajerial
·
Perusahaan
harus dapat menjaga keamanan informasi yang dimilikinya dari ancaman yang ada,
dimana ancaman itu berupa orang, mekanisme atau peristiwa yang memiliki potensi
untuk membahayakan sumber daya informasi perusahaan.
·
Ancaman
yang paling ditakuti adalah virus komputer.
·
Semua
sistem informasi yang dimiliki harus membarikan representasi yang akurat atas
sistem fisik yang akan dipresentasikan.
·
Dimana
tujuan dari infrastruktur informasi perusahaan adalah untuk menyediakan data
serta informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakan data
serta informasi tersebut.
·
Kerahasian,
melindungi data dan informasi yang dimiliki perusahaan dari pengungkapan kepada
orang-orang yang tidak berwenang.
·
Pemerinyah
harus menentukan standarisasi dan juga menetapkan peraturan yang memengaruhi keamanan
informasi.
·
Risiko
dapat mencakup insiden pengungkapan, penggunaan dan modifikasi yang tidak
terotorisasi serta pencurian, penghancuran dan penolakan layanan.
0 komentar:
Posting Komentar