DUA
KONSEP KEAMANAN INFORMASI FUNDAMENTAL
SECURITY IS A MANAGEMENT ISSUE, NOT A TECHNOLOGY ISSUE
SECURITY IS A MANAGEMENT ISSUE, NOT A TECHNOLOGY ISSUE
(KEAMANAN MERUPAKAN MASALAH MANAJEMEN, BUKAN
HANYA MASALAH TEKNOLOGI)
Walaupun keamanan informasi yang
efektif mensyaratkan penggunaan alat-alat berteknologi seperti firewall,
antivirus dan enkripsi, keterlibatan serta dukungan manajemen senior juga jelas
menjadi dasar untuk keberhasilan. Para professional keamanan informasi memiliki
keahlian untuk mengidentifikasi ancaman potensial dan mengestimasikan
kemungkinan serta dampaknya.
Manajer senior harus berpartisipasi dalam pengembangan kebijakan karena mereka harus memutuskan sanksi yang akan diberikan terhadap tindakan ketidakpatuahn. Sebagai tambahan, dukungan dan keterlibatan aktif dari manajemen puncak diperlukan untuk memastikan bahwa pelatihan dan komunikasi keamanan informasi dilakukan dengan serius.
Manajer senior harus berpartisipasi dalam pengembangan kebijakan karena mereka harus memutuskan sanksi yang akan diberikan terhadap tindakan ketidakpatuahn. Sebagai tambahan, dukungan dan keterlibatan aktif dari manajemen puncak diperlukan untuk memastikan bahwa pelatihan dan komunikasi keamanan informasi dilakukan dengan serius.
DEFENSE-IN DEPTH AND TIME BASED MODEL OF INFORMATION SECURITY
Gagasan defense-in depth adalah menerapkan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. Defense-in depth secara khusus melibatkan penggunaan sebuah kombinasi dari pengendalian preventif, detektif dan korektif. Peran pengendalian preventif adalah untuk membatasi individu tertentu agar sesuai dengan kebijakan keamanan organisasi. Meskipun , auditor menyadari bahwa pengendalian preventif tidak pernah memberikan perlindungan secara penuh. Oleh karena itu, perlu untuk melengkapi pengendalian preventif dengan metode-metode untuk mendeteksi insiden dan prosedur untuk melakukan tindakan perbaikan korektif.
Mendeteksi penerobosan keamanan dan penetapan tindakan perbaikan korektif harus tepat waktu karena segera setelah pengendalian preventif diterobos maka dengan cepat menghancurkan, membahayakan atau mencuri sumberdaya ekonomi dan informasi organisasi. oleh karena itu, tujuan dari model keamanan berbasis waktu (time based model of security) adalah menggunakan kombinasi perlindungan preventif, detektif, korektif yang melindungi asset informasi cukup lama agar memungkinkan organisasi untuk menggagalkannya sebelum informasi dirumah atau hilang. Tujuan ini dapat ditunjuan dengan sebuah formula yang menggunakan tiga variabel berikut :
MEMAHAMI
SERANGAN YANG DITARGETKAN
Meskipun
banyak ancaman keamanan informasi seperti virus, wor, bencana alam, kegagalan perangkat
keras dan kesalahan manusia yang seringnnya merupakan kejadian acak (tidak
ditargetkan) , organisasi seringkali juga menjadi sasaran dari serangan yang
disengaja. Dibawah ini merupakan
langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem
informasi suatu perusahaan.
Tidak ada komentar:
Posting Komentar