Strategi untuk mengelola risiko keamanan informasi

pengantar

Informasi keamanan memainkan peran penting dalam dunia usaha karena ketergantungan pada arus informasi. Memastikan kepercayaan terhadap integritas dan keakuratan informasi adalah sama pentingnya dengan mencegah akses tidak sah dan gangguan akses ke data. Banyak pelanggaran keamanan informasi dan kerugian berasal dari karyawan internal, spionase industri oleh pesaing, hacker, kejahatan terorganisir, dan bahkan pemerintah asing. Keamanan informasi tidak hanya berarti akses komputer pengendali, tetapi juga akses fisik ke daerah aman seperti pusat data. Keamanan informasi juga mencakup perlindungan dari bahaya fisik, yaitu kebakaran dan banjir dan kehilangan atau pencurian portabel aset TI, seperti komputer laptop, kaset dan perangkat lainnya.

Biaya yang berkaitan dengan pelanggaran keamanan informasi meningkat setiap tahunnya. Biaya berasal dari beberapa faktor utama: jumlah data / catatan yang terlibat, biaya pemberitahuan pelanggan pemeriksaan atau biaya hukum, biaya panggilan center, dan layanan restorasi / pemantauan kredit gratis atau diskon. Ini hanya biaya langsung. Biaya tidak langsung mencakup hilangnya kepercayaan publik yang mempengaruhi reputasi merek dan mengurangi produktivitas. Mungkin juga ada potensi tanggung jawab hukum dan litigasi mahal. Berikut adalah beberapa tren kunci dan pengamatan yang menunjukkan besarnya dampak potensial dari risiko ini. Rata-rata biaya keseluruhan untuk sebuah perusahaan pada tahun 2006 adalah $ 5 juta, naik 30% dari tahun 2005. (Sumber: http://www.networkworld.com/news/2006/110206-data-breach-cost.html

Biaya rata-rata per record dilanggar meningkat dari $ 138 sampai $ 182 menurut survei pada bulan November 2006. (Sumber: http://www.computerworld.com/pdfs/PGP_Annual_Study_PDF.pdf) Biaya per record berkisar dari $ 90 sampai $ 305 tergantung pada jenis data. (Sumber:? Http://www.informationweek.com/news/security/showArticle .jhtml; jsessionid = J5EHBXTW13NKUQSNDLP SKHSCJUNN2JVN ArticleID = 199.000.222 & _requestid = 861.305)

 Jika Anda memiliki pelanggaran, Anda dapat menghitung perkiraan biaya total pelanggaran dengan menggunakan alat-alat seperti yang ditemukan di sini: http://www.informationshield.com/privacybreachcalc.html Mengingat dampak keuangan yang serius dari pelanggaran keamanan pada bisnis, sangat penting bahwa perusahaan memiliki strategi manajemen risiko di tempat untuk mengatasi risiko ini. Kerangka kerja manajemen risiko identifikasi risiko, penilaian risiko, mitigasi memeriksa dan pilihan kontrol, implementasi dan monitoring, dapat diterapkan untuk mengelola teknologi informasi dan risiko keamanan. Dalam kasus sistem informasi, mengidentifikasi ancaman dan kerentanan memainkan bagian penting dari penilaian risiko. Ancaman dan kerentanan dapat baik internal maupun eksternal. Pemilihan kontrol akan tergantung pada jenis risiko, persyaratan hukum, kewajiban kontrak, dan

industri praktek terbaik. Ada banyak isu kepatuhan hukum dan peraturan yang telah datang selama bertahun-tahun. Sebuah program keamanan informasi yang efektif memerlukan kebijakan perusahaan yang kuat ditentukan oleh model keamanan matang, pertimbangan berbagai masalah kepatuhan hukum dan peraturan dan aplikasi teknologi yang tepat.

Karena pentingnya dan sifat kritis keamanan informasi perusahaan, bantuan profesional untuk melengkapi di-rumah keahlian harus diperoleh sesuai untuk organisasi Anda. Kebijakan / pemerintahan

Teknologi informasi (TI) perlu menjadi topik terlihat untuk manajemen atas untuk membuat langkah nyata dalam keamanan. Selain pilihan teknologi, perusahaan memiliki beberapa pilihan untuk membatasi risiko orang-orang mereka dalam keamanan informasi: karyawan dan kontraktor pelatihan, peraturan internal dan inisiatif kepatuhan dan tata kelola dan akuntabilitas.

Pelatihan karyawan merupakan bagian penting dan tidak terpisahkan dari meningkatkan kesadaran risiko informasi untuk perusahaan. Karyawan perlu belajar bahwa keamanan itu penting dan bahwa mereka dapat melakukan sesuatu tentang hal itu. Mereka dapat melaporkan perilaku yang mencurigakan di tempat kerja atau perilaku yang bertentangan dengan kebijakan perusahaan, seperti orang Tailgating melalui keamanan. Pelatihan harus mencakup risiko "rekayasa sosial 'dan belajar mengapa mereka tidak harus mengungkapkan Pelatihan mereka log-informasi untuk sistem komputer untuk orang yang tidak berhak dan orang asing. Harus memberitahu karyawan apa informasi bersifat rahasia dan informasi apa yang publik. Ada juga harus beberapa pelatihan tentang risiko keamanan informasi dari penggunaan perangkat mobile dan portable seperti flash drive dan ponsel pintar. Hal ini akan membantu mengurangi masalah pencurian data.

Peraturan internal dan inisiatif kepatuhan harus terlihat dan jelas dan harus dikomunikasikan secara efektif kepada seluruh karyawan. Peraturan ini perlu menyeimbangkan keamanan dengan kebutuhan organisasi. Kebijakan Terlalu ketat mencegah organisasi dari operasi lancar dan efisien. Selain itu, hal itu akan menyebabkan karyawan untuk mengembangkan "jalan pintas" untuk menghindari kebijakan.

Inisiatif kepatuhan internal memerlukan penilaian risiko untuk memperoleh pemahaman tentang di mana data penting disimpan dan seberapa aman sistem tersebut berada. Karyawan dan kontraktor perlu diberikan akses ke sistem seperti hanya ketika ada kebutuhan bisnis yang dibenarkan dengan periodic review. Ini akan mencegah akses ke sistem bahwa seseorang tidak harus memiliki akses ke dalam kasus-kasus pemutusan atau penugasan. Ketika kebutuhan bisnis menghilang, menghapus akses mereka. Sistem ini perlu diaudit secara teratur untuk memastikan integritas dan untuk mendeteksi penggunaan yang tidak sah dan kelainan lainnya.

Pemerintahan dan akuntabilitas berurusan dengan penegakan peraturan internal. Banyak pelanggaran terjadi secara internal sehingga orang perlu melaporkan perilaku aneh dan perilaku yang melawan peraturan perusahaan. Keamanan adalah tugas semua orang. Perusahaan harus memiliki proses untuk mengidentifikasi catatan kritis dan dokumen. Beberapa catatan penting karena persyaratan peraturan dan hukum tertentu. Contohnya termasuk catatan pribadi identitas, seperti tanggal lahir, nomor telepon, nomor jaminan sosial, nomor bank dan kartu kredit, dan alamat / nomor kode pos. Catatan pribadi pribadi juga bisa berhubungan dengan pengobatan medis seseorang, catatan kesehatan dan profil genetik. Catatan bisa kritis untuk alasan bisnis. Contohnya termasuk pelanggan yang bersifat rahasia dan informasi kontrak, produk eksklusif dan harga data, dll Harus ada proses terdokumentasi untuk penyimpanan, pengarsipan, transmisi, dan penghancuran dokumen-dokumen yang dilindungi. Ada perusahaan seperti Iron Mountain yang menyediakan layanan ini untuk aman penyimpanan off-site. Pemusnahan dokumen dijamin dapat berarti pembakaran atau merobek-robek. Mungkin ada alasan hukum untuk menyimpan dan melindungi dokumen off-site seperti tuntutan hukum. Prosedur pemusnahan dokumen adalah penting untuk mencegah "penyelam tempat sampah" dari mengakses informasi rahasia. "Dumpster penyelam" akan melalui dumpsters untuk menemukan informasi seperti nomor rekening, password, atau data non-publik pribadi lainnya. Menerapkan proses ini juga dapat mengurangi kemungkinan pencurian identitas pelanggan yang dapat menyebabkan rasa malu dan litigasi potensial. Outsourcing layanan TI, termasuk keamanan, merupakan isu yang sangat kontroversial yang harus mempertimbangkan banyak aspek lain yang relevan selain harganya hanya. Beberapa fungsi keamanan diskrit yang terbatas dapat outsourcing, tapi besar outsourcing skala keamanan informasi membawa banyak implikasi negatif bisnis. masalah hukum

Insiden yang melibatkan skandal akuntansi dipublikasikan, kebocoran data dan pelanggaran telah menghasilkan beberapa peraturan. Tergantung pada segmen industri Anda, apakah Anda adalah bagian dari sebuah organisasi publik atau swasta dan jenis data yang Anda menangani, satu atau lebih dari persyaratan peraturan mungkin berlaku untuk Anda. Dengan peningkatan transaksi kartu kredit bisnis on-line, dan banyak bisnis secara rutin mengumpulkan dan pergudangan kredit pribadi yang sensitif dan informasi identitas tentang pelanggan mereka. Di AS, ada kecenderungan yang lebih besar dan penerimaan publik untuk meminta informasi sensitif seperti untuk pertambangan dan konsumen ini data untuk riset pasar dan pemasaran target. Di banyak negara di Eropa, direktif perlindungan data 1995 menyediakan kerangka kerja terpusat peraturan, yang menetapkan pembatasan pengumpulan, perlindungan dan penggunaan data pribadi seperti untuk penggunaan komersial. Di Eropa, satu set prinsip privasi yang komprehensif berlaku untuk pemerintah dan bisnis. Bahkan ada sebuah piagam hakhak fundamental di Eropa. Hal ini kontras dengan tambal sulam desentralisasi badan hukum dan peraturan negara bagian dan federal di AS Kecenderungan hukum pengungkapan pelanggaran ketat menetapkan hak privasi dan perlindungan identitas pribadi dan data keuangan kesehatan dan terlihat di banyak negara bagian AS. Meskipun undang-undang di Amerika Serikat dan Eropa memiliki hukuman kaku bagi pelanggar, penegakan sebenarnya pemerintah terbatas, tapi mereka umumnya menciptakan hak pribadi tindakan. Risiko pelanggaran serius data dan kewajiban litigasi berikutnya jauh lebih besar di AS daripada di banyak negara Eropa. (Sumber: http://www.iht.com/articles/2005/08/07/news/data.php)

persyaratan peraturan ISO 17799 Ini merupakan standar internasional yang berhubungan dengan manajemen risiko informasi. Ini mencakup topik-topik seperti fisik, lingkungan, dan keamanan sumber daya manusia. Hal ini juga mempertimbangkan perencanaan bisnis kontinuitas, manajemen keamanan respon insiden informasi, dan organisasi keamanan informasi. Tujuannya adalah untuk mengembangkan standar keamanan organisasi dan praktek manajemen keamanan yang efektif, dan membantu membangun kepercayaan dalam kegiatan antar-organisasi. Standar internasional ini menjadi praktek yang diterima secara global terbaik karena fokus yang luas. Sarbanes-Oxley Act (SOX) Hukum ini AS disahkan dalam menanggapi skandal akuntansi seperti Enron dan Global Crossing untuk meningkatkan kepercayaan publik dalam praktik akuntansi dan keuangan. Persyaratan keamanan informasi yang tidak eksplisit, tetapi tidak meningkatkan standar untuk tata kelola perusahaan di samping keandalan dan perlindungan informasi yang mempengaruhi pelaporan keuangan perusahaan publik.

 Gramm-Leach-Bliley Act (GLBA) Hukum ini AS mengharuskan bank dan lembaga keuangan lainnya untuk mengontrol akses dan penyebaran informasi non-publik pelanggan.

Adil dan Akurat Kredit Transaksi Act (FACTA) Hukum ini AS adalah sebuah amandemen terhadap Fair Credit Reporting Act (FCRA). Bisnis harus mengambil langkah-langkah untuk menghancurkan semua laporan konsumen ke titik bahwa mereka tidak akan direkonstruksi atau membaca. Aturan ini bertujuan untuk mencegah apapun pencurian identitas. Hukum ini juga rincian metode yang tepat untuk pemusnahan dokumen. Salah satu ketentuan utama dari undang-undang mewajibkan pemotongan dari nomor kartu kredit dan tidak mencetak tanggal kadaluwarsa pada tanda terima untuk transaksi kartu kredit. Informasi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA) HIPAA adalah hukum AS yang menjamin informasi kesehatan pasien tetap pribadi. Hal ini juga mencoba untuk memastikan bahwa informasi pasien adalah portable sehingga dapat diakses jika pasien membutuhkan perhatian medis sementara jauh dari penyedia layanan kesehatan normal mereka. Hukum ini berlaku untuk setiap entitas yang menangani / memproses informasi non-publik kesehatan swasta. Kartu Pembayaran Industri-Keamanan Data Spesifikasi (PCI DSS): http://pcidssfaq.org/forum/ Hal ini berlaku untuk pihak bahwa data kartu kredit proses atau toko. Ini adalah standar yang telah datang dari merek kartu utama seperti Visa, Master Card, Discover Jaringan, Jepang Commerce Bank, dan American Express. Ada dua belas persyaratan utama bagi pihak untuk memastikan bahwa mereka menangani data kartu kredit secara bertanggung jawab. California Senat Bill 1386 (CA-SB1386)

Hukum California ini telah menjadi hukum perintis dan panggilan untuk pemberitahuan kepada warga jika ada pelanggaran menempatkan informasi pribadi pribadi mereka beresiko. Informasi pribadi pribadi meliputi Nomor Jaminan Sosial, nomor rekening, dan data sensitif lainnya. Pada saat ini, setidaknya 30 negara telah mengeluarkan sejenis

hukum dan banyak lagi mempertimbangkan undang-undang serupa. Sebagai hasil data persyaratan pengungkapan pelanggaran dalam undang-undang negara, ada peningkatan signifikan dalam aktivitas pemberitahuan. Ada juga beberapa pertimbangan peraturan serupa di tingkat federal. sistem teknologi

Teknologi untuk beberapa organisasi telah menjadi satu-satunya bagian dari teka-teki keamanan, tetapi dalam kenyataannya itu hanya salah satu dari banyak. Teknologi dengan sendirinya tidak dapat menjamin keamanan informasi. Ada solusi teknis yang membantu paparan batas seperti penggunaan kriptografi, otentikasi, VPN, Intrusion Detection / Sistem Pencegahan, Pengembangan Aplikasi Aman, Perlindungan Virus, dan Patch Manajemen.

Kriptografi mengacu pada proses encoding (oleh pengirim) dan decoding (oleh penerima) data untuk mengaburkan untuk mencegah orang pemantauan lalu lintas dari membaca data Anda dengan menggunakan jenis enkripsi yang umum digunakan seperti: DES, 3DES, RSA, dan AES. 3DES jauh lebih lambat karena teknik 3-pass yang digunakan dalam pelaksanaannya. Otentikasi digunakan untuk memastikan seseorang memiliki mandat untuk mengakses data, lokasi, dan sistem. Ada berbagai cara untuk mengotentikasi sesi atau orang. Salah satu cara adalah dengan menggunakan nama pengguna yang unik dan password yang kompleks. Sebuah password yang kompleks adalah sandi dengan angka, huruf kecil dan huruf besar, karakter khusus (misalnya @ dan%) dan biasanya lebih besar dari delapan karakter. Beberapa perusahaan memerlukan periodik reset password, tetapi password yang kompleks memberikan perlindungan yang lebih baik daripada password sederhana yang dapat ditebak oleh penyerang. Metode lain otentikasi menggunakan biometrik. Biometrik menggunakan fitur biologis yang tidak bisa berubah seperti sidik jari, urat, iris, suara-print, dan wajah. Biometrik sebagai metode otentikasi juga memiliki masalah dengan positif palsu dan manusia di tengah serangan. "Manusia di tengah" serangan adalah metode serangan dimana data aktif dicegat dan menciptakan hubungan dengan baik pengguna dan server untuk mengelabui kedua belah pihak. Seluruh koneksi dikendalikan oleh penyerang. Selama serangan ini, penyerang dapat memperoleh data biometrik dan berusaha untuk mengalahkan perlindungan keamanan. Metode ketiga disebut otentikasi dua faktor. Metode ini menggunakan parameter kedua selain password untuk mengotorisasi pengguna. Umumnya parameter berasal dari token yang dimasukkan ke dalam komputer atau kartu yang menampilkan angka. Angka-angka pada perubahan kartu pada interval reguler seperti codebook a. Keuntungan dari metode ini adalah bahwa bahkan jika username dan password keduanya entah bagaimana dicegat, calon penyusup akan masih memerlukan token atau kartu.

Virtual Private Networks (VPN) campuran Kriptografi dan Otentikasi untuk akses jarak jauh yang aman bagi karyawan yang bekerja di rumah atau di lapangan. Intrusion Detection System (IDS) dan Intrusion Prevention Systems (IPS) menyediakan sarana untuk mengingatkan petugas atau mencegah penyusupan. IDS bekerja dengan logging aktivitas pengguna normal. IPS bekerja berdasarkan aturan atau tanda tangan tergantung pada implementasi. Perlindungan dari sistem ini harus diperbarui secara berkala dengan menginstal patch ketika kelemahan keamanan ditemukan. Audit file log secara teratur.

Aturan sistem berbasis membandingkan berlangsung sistem informasi dengan sistem informasi yang khas untuk melihat apakah ada anomali.teIPS berbasis signature bekerja berdasarkan off diketahui pola serangan. Oleh karena itu, untuk pola serangan yang tidak diketahui, jenis sistem tidak akan membantu. Virus adalah penyebab lain dari sakit untuk organisasi. Virus seperti Blaster dapat menempatkan seluruh organisasi keluar dari bisnis. Hal ini penting untuk memiliki perlindungan virus pada semua sistem dan memindai kedua pesan e-mail lampiran masuk dan keluar. Ahli keamanan komputer memperingatkan bahwa virus tertentu dapat digunakan untuk mengendalikan sejumlah besar komputer untuk membuat jaringan "zombie" dalam "botnet" untuk menyerang komputer lain dan server untuk melakukan tindakan kriminal yang serius, penipuan, spam e-mail , didistribusikan penolakan serangan layanan (DDoS), dan tindakan berbahaya lainnya.

Bagi perusahaan yang mengembangkan aplikasi, keamanan perlu dipertimbangkan dimuka sementara sistem sedang membayangkan dan dikembangkan. Batas ini eksposur dan mengurangi biaya karena harus sistem Patch. Biaya menggunakan proses pembangunan yang aman lebih murah dengan faktor 40 sampai 50. Kerentanan baru ditemukan setiap saat. Oleh karena itu, patch keamanan harus diluncurkan dalam secara tepat waktu untuk memastikan tingkat keamanan yang tinggi sehingga eksposur yang tidak tetap terbuka lebih lama dari yang diperlukan. kesimpulan

Teknologi informasi adalah pedang bermata dua. Kebanyakan bisnis di zaman sekarang ini sepenuhnya tergantung pada teknologi informasi. Oleh karena itu, risiko TI tidak dapat dihindari atau dihilangkan sama sekali, sehingga sangat penting untuk mengurangi eksposur sebanyak mungkin dengan mengembangkan rencana keamanan informasi. Ada banyak cara untuk pergi tentang mengembangkan rencana tersebut. Manajer risiko dan pakar keamanan harus sadar bahwa risiko informasi tidak hanya datang dari server yang Anda miliki di sebuah pusat data atau operasional kantor Anda, tetapi juga dari orang-orang yang mempekerjakan dan kontrak. Mereka bisa berada di kantor atau bekerja jarak jauh. Mereka bisa Anda pelanggan Anda, karyawan atau kontraktor untuk jasa outsourcing. Rencana keamanan informasi Anda perlu dikembangkan dan dilaksanakan sesuai. Sebuah rencana keamanan informasi yang efektif menganggap orang, kebijakan, dan teknologi dalam mengembangkan dan melaksanakan rencana. Rencana itu sendiri harus realistis dan fleksibel untuk mengakomodasi kebutuhan berbagai unit bisnis. Untuk informasi lebih lanjut

"ISO / IEC 17799:2005 Teknologi informasi - Teknik keamanan - Kode praktek untuk manajemen keamanan informasi". ity.htm

CSO Pengungkapan Seri: Pelanggaran Data Hukum Pemberitahuan, State Oleh Negara http://www.csoonline.com/article/221322

Jaringan dan Informasi Badan Keamanan Eropa (ENISA) http://europa.eu/agencies/community_agencies/enisa/index_en.htm

Jaringan Eropa dan Badan Keamanan Informasi (ENISA): Informasi Sertifikasi Keamanan, A Primer: Produk, Orang, Proses http://www.enisa.europa.eu/doc/pdf/deliverables/inf_sec_certification_2008.pdf

Microsoft: Zombies dan botnet: Membantu menjaga komputer Anda di bawah kendali Anda http://www.microsoft.com/protect/computer/viruses/zombies.mspx

Taft, Darryl K, "menekankan IBM keamanan aplikasi," eWeek (18 April 2005). http://www.eweek.com/article2/0, 1759,1787115,00. asp

Wade, Jared, "Lemahnya Link in IT Security," Majalah Manajemen Risiko (Januari 2003). http://jobfunctions.bnet.com/whitepaper.aspx?docid=95681 Forristal, Jeff, "Ulasan: Alat Penilaian Sumber-Code" Bunuh Bugs Mati, "Secure Enterprise (1 Desember 2005). http://www.ouncelabs.com/secure_enterprise.html

Roberts Paul F. "Mengakhiri Game Menyalahkan," eWeek (tanggal 17 Nopember 2005) http://www.eweek.com/article2/0, 1759,1888711,00. asp

"Accenture dan InformationWeek Probe Keamanan Informasi di AS," Business Wire (29 Agustus 2005). http://www.findarticles.com/p/articles/mi_m0EIN/is_2005_August_29/ai_n14934096 - 34K

Crume, Jeff, dalam Internet Security (New York: Addison-Wesley, 2000). Tannenbaum, Andrew S., Jaringan Komputer, 4th ed. (Upper Saddle River: Prentice Hall PTR, 2003).

Rapoza, Jim, "Manners Keamanan Pikiran," eWeek (28 Februari 2005). http://www.eweek.com/article2/0, 1895,1768909,00. asp

Mandla, Edward, "Tangan yang menuntun tikus ancaman keamanan utama," The Australian (tanggal 1 November 2005). Louis, Caroline, "Alat untuk mengelola ancaman internal," New Straits Times Tekan (3 Oktober 2005). http://www.highbeam.com/doc/1P1-113749069.html

Kemp, Ted, "Goyah Keamanan Negara itu," Informasi Minggu (1 November, 2005). http://www.informationweek.com/management/compliance/173400790

Sistem Enterprise, "Dasar-Dasar Keamanan: New Keamanan Data Hukum Carry Konsekuensi lebih besar" (3 Maret 2006). http://www.itcinstitute.com/display.aspx?id=3

Fontana, John. "Rata-rata pelanggaran data yang biaya perusahaan $ 5 juta," (2 November 2006). http://www.networkworld.com/news/2006/110206-data-breach-cost.html