http://blog.sivitas.lipi.go.id/blog.cgi?

isiblog&1148447674&&&1036006072&&1281595
364&ikut001&1274695284&1
Data merupakan komponen pekerjaan yang paling penting, tanpa tersedianya data mu
stahil suatu pekerjaan akan dapat dimulai dan diselesaikan. Data terdiri dari be
rbagai macam jenis (visual, fisik, elektronik, dan mungkin audio), setiap jenis
data mempunyai karakteristik penyimpanan yang berbeda-beda. Dan teknologi penyim
panan data dari masa ke masa mengalami peningkatan yang sangat tinggi. Jika anda
saat ini menilai bahwa data merupakan faktor utama dalam pekerjaan anda, maka a
nda harus bersiap diri untuk menyediakan fasilitas keamanan bagi data anda agar
tidak hilang.
Bagi perusahaan-perusahaan besar, keberadaan data merupakan kebutuhan yang sanga
t pokok bagi usaha mereka. Tak heran jika suatu perusahaan akan mengeluarkan ber
miliar-miliar uangnya untuk memberikan jaminan keamanan pada data perusahaannya,
atau sebaliknya perusahaan dengan kondisi data yang amburadul tanpa ditunjang d
engan keamanan datanya hanya akan mengantarkan perusahaan tersebut berada pada p
intu gerbang kebangkrutan.
Berikut ini adalah langkah-langkah yang dapat dilakukan untuk memulai mencegah k
ehilangan data:
1. Pahami jenis data yang paling sensitif bagi pekerjaan anda
Dari sudut pandang sekuritas, tidak semua data mempunyai kedudukan yang se
tara. Langkah awal yang dapat dilakukan untuk menghindari hilangnya data adalah
dengan menentukan data apa yang paling sensitif bagi pekerjaan atau perusahaan a
nda (atau yang mempunyai resiko yang paling tinggi bagi pekerjaan anda). Selanju
tnya, anda dapat membuat prioritas-prioritas usaha anda dalam menjaganya dan men
entukan kebijakan dalam pemrosesan data tersebut. Pertanyaan yang sering muncul
adalah; data apakah yang benar-benar paling sensitif bagi pekerjaan saya?
Untuk menjawab pertanyaan di atas anda perlu memahami struktur pekerjaan a
nda, periksalah dari berbagai departemen-departemen di perusahaan anda dan alur
bisnis yang ada di dalam organisasi anda, dan identifikasi pihak-pihak yang berk
epentingan dan yang tidak berkepentingan untuk mengatur driver-driver keamanan d
ata dari setiap departemen.
Setelah kebijakan keamanan dan pemenuhan kebutuhan perusahaan telah dipaha
mi, anda dapat memprioritaskan data anda dengan mengelompokkan informasinya ke d
alam berbagai kelas (classes). Sebagai contoh, anda dapat membuat tiga kelas infor
masi dari yang paling terlarang dan sensitif (misalnya data yang berhubungan den
gan laporan finansial perusahaan yang bersifat rahasia) hingga kepada data yang
tidak sensitif (misalnya data yang berhubungan dengan tingkat pengiriman kepada
vendor).
Langkah selanjutnya adalah menentukan kategori-kategori, elemen-elemen, da
n pemilik-pemilik dari setiap kelas informasi. Langkah terakhir setelah anda sel
esai mengklasifikasi data, selanjutnya anda harus menentukan kebijakan hak pengg
unaan data yaitu aturan yang berperan untuk penanganan yang sesuai dengan kebutu
han data, termasuk menentukan pegawai dan aplikasi apa yang diizinkan untuk meng
akses data tersebut dan bagaimana cara, kapan, dan dari mana mengaksesnya.
2. Kenali tempat penyimpanan data anda yang sensitif
Pada uraian di awal, jawaban dari pertanyaan Dimanakah data yang benar-bena
r paling sensitif bagi pekerjaan saya harus disimpan? sepertinya menjadi jelas. K
ebanyakan akan menjawab tentu saja di dalam database. Namun database sebenarnya aw
al dari munculnya masalah gunung es, khususnya pada masa teknologi mobile sekara
ng ini yang menggunakan kolaborasi perangkat-perangkat teknologi tingkat tinggi.
Jika data disimpan di database, maka data tersebut juga tersimpan di hardisk, y
ang biasanya diback-up pada hardisk atau media penyimpanan yang lain. Dan sebaga
i tambahannya, data anda biasa diakses melalui berbagai jenis aplikasi dan dari
berbagai macam perangkat, dirubah-rubah di desktop, laptop, dan perangkat gengga
m nirkabel, di-email-kan ke pengguna yang lain, dan selanjutnya disimpan pada ko
mputer server penampung file atau portal-portal kolaborasi.
Jawaban terhadap pertanyaan tersebut sebenarnya tidak begitu jelas, yang s
ebelumnya dimaksudkan untuk menunjukkan betapa pentingnya untuk mencegah hilangn
ya data. Sebagian besar perusahaan-perusahaan, bagaimanapun juga, tidak akan sem
pat untuk memilah-milah data, yang akhirnya membuat mereka harus memilih dari ti
ga pilihan berikut (yang sebenarnya tidak dapat bertahan lama):
1. Memberikan keamanan pada semua data. Hal ini akan menghabiskan biaya
sangat mahal dan hanya dapat diselesaikan dengan biaya sekuritas yang tidak ter
batas yang merupakan hal yang sangat tidak realistis.
2. Data tidak usah diberikan keamanan. Peraturan yang dibuat pemerintah
pada sebagian besar industri mengatur beberapa bentuk perlindungan/proteksi unt
uk beberapa kelas data tertentu. Resiko-resiko lainnya termasuk kerugian, menuru
nnya kepercayaan konsumen dan rusaknya nama perusahaan merupakan hal yang paling
tidak diinginkan oleh semua perusahaan.
3. Hanya mengamankan beberapa data. Cara ini sering dilakukan dengan ca
ra sembarangan, bagi institusi perusahaan-perusahaan yang penting cukup; sehingg
a membuat mereka terjerumus dalam pandangan bahwa data mereka aman sembari menga
baikan resiko-resikonya yang signifikan.
Untuk mencegah hilangnya data dan menemukan pentingnya keseimbangan antara
biaya dan resiko, anda harus lebih paham dalam menentukan tempat data yang pali
ng penting yang berada di database anda. Sebaiknya anda melakukan proses pencari
an data yang membutuhkan beberapa jawaban untuk beberapa pertanyaan-pertanyaan d
asar tentang infrastruktur data termasuk:
1. Apakah anda mempunyai data yang sensitif dalam database? Jika iya, d
i tabel mana? Berada di kolom atau fields yang mana?
2. Apakah anda mempunyai data yang sensitif di situs SharePoint, berbagi
file-file dan penyimpanan konten lainnya? Jika iya, di folder mana? Di file apa
?
3. Apakah anda mempunyai data beresiko tinggi di laptop? Jika iya, di l
aptop siapa?
Berikutnya, anda juga harus menjawab beberapa pertanyaan tentang tipe data
dan penggunaannya misalnya:
1. Apakah intelektual yang anda miliki secara tidak sengaja mengekspose
nya melalui aplikasi tertentu yang sedang dikembangkan?
2. Apakah laporan rahasia finansial perusahaan anda tiba-tiba berada di
laptop, PDA, dan perangkat USB?
3. Apakah informasi nasabah kartu kredit anda telah ditransfer dari dat
abase melalui file servers yang tidak aman sehingga pengguna-penggunanya dapat m
embuat SpreadSheet dan laporan-laporan?
4. Apakah media duplikasi yang memuat informasi nasabah dijamin akan sa
mpai ke tempat tujuannya tanpa gangguan atau kerusakan?
Dengan proses penemuan data, perusahaan anda dapat membuat pemetaaan dari
data sensitif dan penting yang akan berperan sebagai pondasi bagi strategi kebij
akan keamanan dan kontrol data. Tapi untuk membuatnya efektif, penemuan data har
us tercakup sebagai proses yang bekelanjutan, tidak hanya satu kali kegiatan, se
bagaimana data organisasi anda atau penggunaannya yang tidak statis.
3 Pahami resiko-resiko yang dapat muncul dari asal muasal dan hal-hal yang dapa
t membuat data anda hilang
Sebagai tambahan untuk mengetahui dimana letak data yang penting atau sensitif d
an bagaimana data tersebut digunakan, anda perlu memahami resiko anda. Bagaimana
data anda bisa dirusak atau dicuri? Oleh siapa? Dan seberapa besar resiko yang
akan perusahaan anda asumsikan dengan dibukanya data-data tersebut?
Jawaban-jawaban dari pertanyaan-pertanyaan ini dapat ditemukan dari dua sisi yai
tu dari dalam dan dari luar organisasi anda. Penyelewengan dalam proses bisnis d
an kesalahan yang tidak disengaja dalam bagian pengguna sebenarnya menjadi hal y
ang biasa dibandingkan sebuah serangan kejahatan dari luar organisasi anda (misa
lnya ada seseorang yang dengan sengaja mengirimkan virus ke dalam jaringan perus
ahaan anda melalui jaringan atau internet). Untuk mendukung mengatasi masalah in
i, studi terbaru oleh Phonemon Institute menunjukkan bahwa ancaman dari internal
dari karyawan, rekanan, dan kontraktor yang lalai atau jahat dan dari gangguan
proses terhitung untuk 88 persen data rusak dalam tahun 2008. Setiap waktu kejah
atan dari setiap ancaman ini akan berubah-ubah dalam organisasi anda, hal ini me
negaskan bahwa kejahatan ini merupakan hal penting untuk menentukan resiko. Jawa
ban-jawaban untuk semua pertanyaan ini sangatlah penting dalam mengembangkan pem
odelan resiko anda.
Beberapa dari resiko-resiko yang lebih umum yang telah diberitakan dalam kurun 2
4 bulan ini termasuk:
1. Kerusakan atau pencurian media pita penggandaan atau disk drives sering se
kali hilang atau dicuri dari data center atau dari lokasi arsip pada jaringan. M
edia penyimpanan ini memuat informasi nasabah atau karyawan yang penting dan dap
at dijual di pasar gelap dengan harga yang tinggi, hal inilah yang mengantarkan
pada aktivitas kriminal seperti pencurian identitas.
2. Pelanggaran hak akses pengguna hak akses pengguna, misalnya seorang admini
strator database atau file server, ditemukan menjual data sensitif perusahaan da
lam pasar gelap. Sebagai contoh, satu dari perusahaan pelayanan finansial nasion
al terkemuka ditemukan bahwa salah seorang administrator database-nya yang berta
nggung jawab untuk mengatur akses data hak pengunanya dalam perusahaan berusaha
untuk menjual informasi yang bersifat personal lebih dari dua juta nasabah dalam
pasar gelap untuk penghasilan tambahannya.
3. Ketidaksengajaan distribusi data data sensitif yang dikirim keluar melalui
email publik, yang ditampilkan di portal publik, atau sebaliknya didistribusika
n kepada pengguna yang tidak berwenang.
4. Application hack seorang hacker (yang seringkali adalah orang dalam) melan
ggar kontrol otorisasi aplikasi untuk mengakses data yang sangat sensitif melalu
i aplikasi akuntansi, aplikasi bagian kepegawaian, sistem penjualan, dan aplikas
i bisnis penting lainnya. Sebagai contoh aplikasi pengembangan sering menggunaka
n data produksi untuk menguji aplikasi yang baru, yang melanggar banyak regulasi
dan menciptakan resiko yang besar.
5. Pencurian atau kehilangan secara fisik sebuah laptop atau perangkat portab
le yang sering memuat data yang sensitif dicuri atau hilang, bersamaan dengan da
ta nasabah yang penting dan properti intelektual perusahaan yang tersimpan didal
amnya.
Menurut studi terkini yang dilakukan Forester Consulting yang menjadi bagian dar
i RSA, permintaan lebih besar untuk akses data karyawan mobile, kolaborasi, dan
rekanan pertukaran data menjadi tantangan terbesar pada keamanan data sekarang d
an dalam prakiraan masa depannya.
Membuat sebuah model resiko yang mencakup perhitungan semua cara-cara yang berpo
tensi data anda mungkin akan dirusak atau dicuri dapat menyediakan konteks yang
anda butuhkan untuk mengimplementasikan strategi kontrol yang sesuai, yang mengu
raikan tipe mekanisme kontrol (bagaimana untuk mengamankan data) dan juga poin-p
oin kontrol (dimana lokasi untuk mengamankan data).
4 Pilih kontrol yang sesuai berdasarkan kebijakan, resiko, dan dimana letak data
sensitifnya
Setelah anda memahami kebijakan-kebijakan anda, dimana letak data anda, dan resi
ko pada lokasi tersebut di dalam infrastruktur anda, selanjutnya anda dapat meng
embangkan sebuah strategi kontrol yang sesuai dengan kebutuhan. Strategi tersebu
t sepertinya akan memasukkan proses dan teknologi.
Strategi kontrol secara fisik terdiri dari dua komponen, yaitu mekanisme kontrol
(tipe-tipe kontrol) dan poin-poin kontrol (letak dari data di dalam infrastrukt
ur seperti dalam penyimpanan, database, file server, aplikasi, jaringan, atau en
d point). Strategi kontrol yang komprehensif akan memasukkan sebuah kombinasi ko
ntrol-kontrol dari seluruh ketiga kategori yang dijelaskan di bawah ini, yang di
implementasikan pada banyak bagian dalam kumpulan IT:
1. Kontrol akses yang berhubungan dengan autentikasi (pengguna yang berwenang
) dan otorisasi (hak-hak yang dapat digunakan pengguna dalam mengakses data). P
roduk-produk dengan jangkauan yang luas tercakup dalam kategori ini termasuk man
ajemen akses web, dua faktor autentikasi, dan autentikasi berbasis pengetahuan.
2. Kontrol-kontrol data mengontrol data sendiri. Kontrol-kontrol data termasu
k produk-produk dan teknologi-teknologi seperti enkripsi dan pengaturan kata kun
ci, data loss prevention (DLP) dan enterprise right management (ERM).
3. Kontrol-kontrol audit menyediakan mekanisme imbal balik untuk memastikan w
ewenang dan kontrol-kontrolnya bekerja sebagaimana tugasnya. Sering disebut secu
rity information and event management (SIEM).
Hampir beberapa tahun terakhir ini, lebih banyak perusahaan memfokuskan pada imp
elementasi kontrol data, khususnya solusi-solusi enkripsi dan sistem DLP selama
meningkatnya jumlah perusakan data dan perkembangan peraturan keamanan privasi d
ata dan masalah integritas.
Mengapa? Karena enkripsi dan sistem DLP sangat efektif dalam lingkungan yang kol
aboratif dimana data bisa mobile, dibagikan, dan diubah-ubah. Kedua tipe kontrol
data ini menunjukkan dugaan untuk dapat melindungi datanya sendiri. Maka dari i
tu, keduanya membuat data anda untuk mampu melindungi dirinya sendiri.
Sebagai contoh misalnya terdapat seseorang yang mampu mencuri data anda, namun j
ika data tersebut terinkripsi maka data tersebut tidak akan ada artinya bagi si
pencuri data tersebut. Seperti halnya, jika data yang sangat sensitif menjadi su
byek dalam peraturan privasi diubah atau di-email-kan keluar dari organisasi, su
atu sistem DLP dapat bereaksi dan melindungi data tersebut. Penggunaan kolaboras
i teknologi mobile yang sangat tinggi saat ini, kontrol-kontrol ini sangat diper
lukan.
Dimamakah enkripsi harus dilakukan?
Berbagai jenis solusi-solusi enkripsi yang berbeda-beda telah banyak tersedia sa
at ini. Menerapkan enkripsi data pada berbagai level virtualisasi dalam bidang I
T: media penyimpanan, database dan file server, aplikasi, endpoint, dan bagian-b
agian jaringan. Sebagai contoh, suatu organisasi biasanya mengenkripsi media pen
yimpanan (CD/hardisk) dan endpoints (komputer/laptop). Ketika mengenkripsi di ti
ngkat ini tidak membahayakan terhadap aplikasi yang berjalan di atasnya, hal ini
hanya akan mengarahkan pada pencurian yang bersifat fisik atau hilangnya media
yang digunakan, boleh dikatakan sebuah spektrum kecil dari pemodelan resiko.
Peningkatan jumlah perusahaan yang mengimplementasikan enkripsi pada tingkat-tin
gkat database dan file server karena hal ini tetap tidak membahayakan untuk apli
kasi dan menyediakan perlindungan terhadap ancaman yang lebih luas, termasuk pel
anggaran/perusakan hak akses pengguna dan distribusi yang tidak disengaja.
Mengenkripsi data pada bagian aplikasi memberikan organisasi perlindungan lebih
luas, mengamankan data sepanjang alurnya seperti memindahkannya dari endpoint pe
ngguna ke aplikasi, lalu ke database, dan akhirnya ke penyimpanan terakhir dan i
nfrastruktur penggandaannya. Bagaimanapun teknik untuk tingkat tambahan ini tida
k dibuat dengan gratis. Enkripsi aplikasi mengharuskan organisasi menambahkan pe
rintah sistem enkripsi dari dalam pengkodean aplikasi yang digunakan. Walaupun m
emahirkan dalam solusi ini sangat mempermudah prosesnya, namun langkah ini masih
tetap belum sepenuhnya aman. Aplikasi yang memeroses data yang sangat sensitif
atau sangat penting, seperti sistem-sistem point-of-sale, merupakan kandidat uta
ma yang sesuai untuk menggunakan tipe kontrol seperti ini.
Jawaban yang benar untuk pertanyaan, Dimana saya harus mengenkripsi data saya? aka
n hampir selalu terjawab Dalam sebuah kombinasi dari poin-poin kontrol ini. Dan pe
nggabungan yang tepat akan tergantung pada sifat data dan infrastruktur pemroses
an data tersebut.
3 Pahami resiko-resiko yang dapat muncul dari asal muasal dan hal-hal yang dapat
membuat data anda hilang
Sebagai tambahan untuk mengetahui dimana letak data yang penting atau sensitif d
an bagaimana data tersebut digunakan, anda perlu memahami resiko anda. Bagaimana
data anda bisa dirusak atau dicuri? Oleh siapa? Dan seberapa besar resiko yang
akan perusahaan anda asumsikan dengan dibukanya data-data tersebut?
Jawaban-jawaban dari pertanyaan-pertanyaan ini dapat ditemukan dari dua sisi yai
tu dari dalam dan dari luar organisasi anda. Penyelewengan dalam proses bisnis d
an kesalahan yang tidak disengaja dalam bagian pengguna sebenarnya menjadi hal y
ang biasa dibandingkan sebuah serangan kejahatan dari luar organisasi anda (misa
lnya ada seseorang yang dengan sengaja mengirimkan virus ke dalam jaringan perus
ahaan anda melalui jaringan atau internet). Untuk mendukung mengatasi masalah in
i, studi terbaru oleh Phonemon Institute menunjukkan bahwa ancaman dari internal
dari karyawan, rekanan, dan kontraktor yang lalai atau jahat dan dari gangguan
proses terhitung untuk 88 persen data rusak dalam tahun 2008. Setiap waktu kejah
atan dari setiap ancaman ini akan berubah-ubah dalam organisasi anda, hal ini me
negaskan bahwa kejahatan ini merupakan hal penting untuk menentukan resiko. Jawa
ban-jawaban untuk semua pertanyaan ini sangatlah penting dalam mengembangkan pem
odelan resiko anda.
Beberapa dari resiko-resiko yang lebih umum yang telah diberitakan dalam kurun 2
4 bulan ini termasuk:
1. Kerusakan atau pencurian media pita penggandaan atau disk drives sering se
kali hilang atau dicuri dari data center atau dari lokasi arsip pada jaringan. M
edia penyimpanan ini memuat informasi nasabah atau karyawan yang penting dan dap
at dijual di pasar gelap dengan harga yang tinggi, hal inilah yang mengantarkan
pada aktivitas kriminal seperti pencurian identitas.
2. Pelanggaran hak akses pengguna hak akses pengguna, misalnya seorang admini
strator database atau file server, ditemukan menjual data sensitif perusahaan da
lam pasar gelap. Sebagai contoh, satu dari perusahaan pelayanan finansial nasion
al terkemuka ditemukan bahwa salah seorang administrator database-nya yang berta
nggung jawab untuk mengatur akses data hak pengunanya dalam perusahaan berusaha
untuk menjual informasi yang bersifat personal lebih dari dua juta nasabah dalam
pasar gelap untuk penghasilan tambahannya.
3. Ketidaksengajaan distribusi data data sensitif yang dikirim keluar melalui
email publik, yang ditampilkan di portal publik, atau sebaliknya didistribusika
n kepada pengguna yang tidak berwenang.
4. Application hack seorang hacker (yang seringkali adalah orang dalam) melan
ggar kontrol otorisasi aplikasi untuk mengakses data yang sangat sensitif melalu
i aplikasi akuntansi, aplikasi bagian kepegawaian, sistem penjualan, dan aplikas
i bisnis penting lainnya. Sebagai contoh aplikasi pengembangan sering menggunaka
n data produksi untuk menguji aplikasi yang baru, yang melanggar banyak regulasi
dan menciptakan resiko yang besar.
5. Pencurian atau kehilangan secara fisik sebuah laptop atau perangkat portab
le yang sering memuat data yang sensitif dicuri atau hilang, bersamaan dengan da
ta nasabah yang penting dan properti intelektual perusahaan yang tersimpan didal
amnya.
Menurut studi terkini yang dilakukan Forester Consulting yang menjadi bagian dar
i RSA, permintaan lebih besar untuk akses data karyawan mobile, kolaborasi, dan
rekanan pertukaran data menjadi tantangan terbesar pada keamanan data sekarang d
an dalam prakiraan masa depannya.
Membuat sebuah model resiko yang mencakup perhitungan semua cara-cara yang berpo
tensi data anda mungkin akan dirusak atau dicuri dapat menyediakan konteks yang
anda butuhkan untuk mengimplementasikan strategi kontrol yang sesuai, yang mengu
raikan tipe mekanisme kontrol (bagaimana untuk mengamankan data) dan juga poin-p
oin kontrol (dimana lokasi untuk mengamankan data).
4 Pilih kontrol yang sesuai berdasarkan kebijakan, resiko, dan dimana letak data
sensitifnya
Setelah anda memahami kebijakan-kebijakan anda, dimana letak data anda, dan resi
ko pada lokasi tersebut di dalam infrastruktur anda, selanjutnya anda dapat meng
embangkan sebuah strategi kontrol yang sesuai dengan kebutuhan. Strategi tersebu
t sepertinya akan memasukkan proses dan teknologi.
Strategi kontrol secara fisik terdiri dari dua komponen, yaitu mekanisme kontrol
(tipe-tipe kontrol) dan poin-poin kontrol (letak dari data di dalam infrastrukt
ur seperti dalam penyimpanan, database, file server, aplikasi, jaringan, atau en
d point). Strategi kontrol yang komprehensif akan memasukkan sebuah kombinasi ko
ntrol-kontrol dari seluruh ketiga kategori yang dijelaskan di bawah ini, yang di
implementasikan pada banyak bagian dalam kumpulan IT:
1. Kontrol akses yang berhubungan dengan autentikasi (pengguna yang berwenang
) dan otorisasi (hak-hak yang dapat digunakan pengguna dalam mengakses data). P
roduk-produk dengan jangkauan yang luas tercakup dalam kategori ini termasuk man
ajemen akses web, dua faktor autentikasi, dan autentikasi berbasis pengetahuan.
2. Kontrol-kontrol data mengontrol data sendiri. Kontrol-kontrol data termasu
k produk-produk dan teknologi-teknologi seperti enkripsi dan pengaturan kata kun
ci, data loss prevention (DLP) dan enterprise right management (ERM).
3. Kontrol-kontrol audit menyediakan mekanisme imbal balik untuk memastikan w
ewenang dan kontrol-kontrolnya bekerja sebagaimana tugasnya. Sering disebut secu
rity information and event management (SIEM).
Hampir beberapa tahun terakhir ini, lebih banyak perusahaan memfokuskan pada imp
elementasi kontrol data, khususnya solusi-solusi enkripsi dan sistem DLP selama
meningkatnya jumlah perusakan data dan perkembangan peraturan keamanan privasi d
ata dan masalah integritas.
Mengapa? Karena enkripsi dan sistem DLP sangat efektif dalam lingkungan yang kol
aboratif dimana data bisa mobile, dibagikan, dan diubah-ubah. Kedua tipe kontrol
data ini menunjukkan dugaan untuk dapat melindungi datanya sendiri. Maka dari i
tu, keduanya membuat data anda untuk mampu melindungi dirinya sendiri.
Sebagai contoh misalnya terdapat seseorang yang mampu mencuri data anda, namun j
ika data tersebut terinkripsi maka data tersebut tidak akan ada artinya bagi si
pencuri data tersebut. Seperti halnya, jika data yang sangat sensitif menjadi su
byek dalam peraturan privasi diubah atau di-email-kan keluar dari organisasi, su
atu sistem DLP dapat bereaksi dan melindungi data tersebut. Penggunaan kolaboras
i teknologi mobile yang sangat tinggi saat ini, kontrol-kontrol ini sangat diper
lukan.
Dimamakah enkripsi harus dilakukan?
Berbagai jenis solusi-solusi enkripsi yang berbeda-beda telah banyak tersedia sa
at ini. Menerapkan enkripsi data pada berbagai level virtualisasi dalam bidang I
T: media penyimpanan, database dan file server, aplikasi, endpoint, dan bagian-b
agian jaringan. Sebagai contoh, suatu organisasi biasanya mengenkripsi media pen
yimpanan (CD/hardisk) dan endpoints (komputer/laptop). Ketika mengenkripsi di ti
ngkat ini tidak membahayakan terhadap aplikasi yang berjalan di atasnya, hal ini
hanya akan mengarahkan pada pencurian yang bersifat fisik atau hilangnya media
yang digunakan, boleh dikatakan sebuah spektrum kecil dari pemodelan resiko.
Peningkatan jumlah perusahaan yang mengimplementasikan enkripsi pada tingkat-tin
gkat database dan file server karena hal ini tetap tidak membahayakan untuk apli
kasi dan menyediakan perlindungan terhadap ancaman yang lebih luas, termasuk pel
anggaran/perusakan hak akses pengguna dan distribusi yang tidak disengaja.
Mengenkripsi data pada bagian aplikasi memberikan organisasi perlindungan lebih
luas, mengamankan data sepanjang alurnya seperti memindahkannya dari endpoint pe
ngguna ke aplikasi, lalu ke database, dan akhirnya ke penyimpanan terakhir dan i
nfrastruktur penggandaannya. Bagaimanapun teknik untuk tingkat tambahan ini tida
k dibuat dengan gratis. Enkripsi aplikasi mengharuskan organisasi menambahkan pe
rintah sistem enkripsi dari dalam pengkodean aplikasi yang digunakan. Walaupun m
emahirkan dalam solusi ini sangat mempermudah prosesnya, namun langkah ini masih
tetap belum sepenuhnya aman. Aplikasi yang memeroses data yang sangat sensitif
atau sangat penting, seperti sistem-sistem point-of-sale, merupakan kandidat uta
ma yang sesuai untuk menggunakan tipe kontrol seperti ini.
Jawaban yang benar untuk pertanyaan, Dimana saya harus mengenkripsi data saya? aka
n hampir selalu terjawab Dalam sebuah kombinasi dari poin-poin kontrol ini. Dan pe
nggabungan yang tepat akan tergantung pada sifat data dan infrastruktur pemroses
an data tersebut.

5. Mengatur dengan sistem keamanan terpusat
Lebih dari faktor-faktor apapun yang ada, manajemen mekanisme kontrol tela
h memberikan dampak yang besar pada keefektifan kontrol dan total biaya dari kep
emilikan data para pengusaha. Organisasi atau instansi sering membuat kesalahan
dengan memanajemen setiap mekanisme kontrol secara terpisah, tingginya biaya man
ajemen, dan kekurangan keterlanjutan proses bisnis.
Untuk menghindari masalah ini, perusahaan harus mengatur kebijakan keamana
n mereka dan mekanisme kontrol terpusat. Memusatkan administrasi kebijakan keman
an memastikan bahwa poin-poin kontrol secara konsisten akan memperkuat aturan ke
amanan dan membuatnya proaktif dalam memonitor aktifitas-aktifitas yang dapat me
ngakibatkan pelanggaran keamanan akan lebih mudah diotomasi. Sebagai tambahan, s
entralisasi atau pemusatan membantu memastikan bahwa pengguna secara konsisten a
kan mengikuti aturan-aturan pemakaian yang benar dalam menggunakan data untuk me
nghindari kelalailan yang tidak disengaja.
Bagian kedua dari sentralisasi manajemen keamanan memerlukan kunci enkrips
i. Dengan memusatkan kunci manajemen, kontrol-kontrol enkripsi dapat diimplement
asikan secara efektif dan konsisten disepanjang seluruh mekanisme kontrol, melin
dungi perusahaan dari pelanggaran terhadap data yang disebabkan oleh kesalahan m
anusia, kehilangan kunci sekuritas, atau ketidak-kompatibel-an dan konfliknya ke
bijakan enkripsi. Sebagai contoh, ketika semua produk-produk enkripsi bekerja d
engan beberapa bentuk konsol manajemen, konsol ini sering rusak pada tingkat tin
ggi, kegagalan berdasarkan akses. Dan karena setiap produk enkripsi terdapat ber
sama dengan konsol yang terpisah, hal ini menjadi hampir tidak mungkin untuk men
yamakan konfigurasinya dan operasi dari sistem dengan kebijakan keamanan bisnis
yang berlaku. Lebih jauh lagi, karyawan-karyawan yang berbeda-beda, yang seringk
ali bukan staf khusus keamanan data, ditugaskan dengan memanajemen produk-produk
enkripsi yang sangat banyak, hal ini akan membuat biaya manajemen membengkak. A
khirnya, ketika enkripsi data harus dibuat saling berbagi antara aplikasi-aplika
si, grup-grup, atau infrastruktur-infrastruktur, kekurangan dari manajemen terpu
sat untuk saling berbagi kunci keamanan data berarti sama saja dengan data harus
didekripsi sebelum dikirim dari satu poin ke poin yang lain dan baru dienkripsi
setelah sampai pada tujuannya, menyebabkan kinerja yang berlebih dan rawan terh
adap gangguan. Tanpa memusatkan manajemen dari segi kebijakan keamanan dan kunci
enkripsi, pemerosesan data dapat saja rusak selamanya, yang mengantarkan kepada
terganggunya bisnis.

Perusahaan yang tidak memanajemen keamanan datanya secara terpusat akan me
nghadapi tiga permasalahan yang cukup signifikan:
1. Kebijakan yang salah. Mengatur mekanisme ini secara individu membuat
manajemen keamanannya menjadi rumit jika tidak mungkin untuk memastikan bahwa k
ebijakan kemanan data organisasi secara menyeluruh dan terimplementasi secara ko
nsisten didalam seluruh mekanisme-mekanisme kontrol.
2. Biaya manajemen yang tinggi. Biaya kepemilikan akan berkali-kali lip
at ketika memanajemen mekanisme ini secara individu, karena kebanyakan karyawan
(yang sering kali bukan personil keamanan data) harus mengatur konsol-konsol man
ajemen yang banyak sekali dari vendor-vendor yang berbeda. Biasanya, konsol-kons
ol ini merupakan paket-paket perangkat yang belum sempurna dengan mekanisme kont
rol dan kekurangan beberapa kemampuan memanajemen berbasis kebijakan, maka dari
itu memaksakan pengguna untuk berinteraksi dengan sistem-sistem pada teknis yang
tinggi, sungguh keputusan yang sangat ceroboh.
3. Kelemahan pada keterlanjutan proses bisnis. Keseluruhan proses-prose
s bisnis bergantung pada sharing data antar aplikasi, pengguna, infratruktur, da
n terkadang organisasi. Mekanisme keamanan data yang ada seharusnya memfasilitas
i, bukan menghalangi, prosesnya, tapi kekurangan dari manajemen terpusat sering
membuat penghalang antara komponen-komponennya dan bahkan dapat menggagalkan sel
uruh proses.
6. Audit dan update sistem keamanan untuk meningkatkan kemampuan perlindungan
nya secara konstan
Sebagaimana dengan proses korporasi manapun, suatu sistem keamanan harus m
empunyai mekanisme imbal balik yang mengijinkan organisasi untuk menilai pemenuh
an proses dengan kebijakannya dan menyediakan imbal balik dalam kefektifan kontr
ol data. Bisnis tidak statis tidak juga mekanisme keamanan yang bertugas melindu
ngi data. Anda membutuhkan pelacakan secara real-time dan keterhubungan dari keg
iatan pengamanan dengan tujuan untuk merespon perubahan dengan cepat.
Sistem SIEM (Security Information and Event Management) dapat membantu and
a untuk menganalisa dan melaporkan tentang catatan-catatan sekuritas dan kegiata
n-kegiatan real-time di seluruh perusahaan anda. Untuk memfungsikan pengauditan
infrastruktur keamanan data yang tepat, anda membutuhkan sistem SIEM yang secara
otomatis mengumpulkan, mengatur, dan menganalisa catatan-catatan kegiatan yang
diproduksi oleh setiap sistem sekuritas, perangkat jaringan, sistem-sistem opera
si, aplikasi-aplikasi, dan platform penyimpanan yang tersebar di seluruh perusah
aan anda. Catatan-catatan tersebut memonitor sistem anda dan menyimpan sebuah re
kaman dari kegiatan pengamanan/sekuritas, informasi-informasi akses, dan aktifit
as-aktifitas pengguna secara real-time dan peruntukan analisis forensik.
Dengan menghubungkan kegiatan-kegiatan tersebut dalam sistem kontrol data
anda seperti enkripsi dan pencegah kehilangan secara real-time, anda dapat mener
ima respon dengan cepat untuk kejadian seketika munculnya, sehingga menanggulang
i potensi kehilangan. Seperti manajemen pencatatan secara proaktif menyediakan s
uatu pondasi untuk strategi pengauditan secara komprehensif. Sebuah sistem SIEM
membantu anda dalam meninjau infrastruktur keamanan untuk:
1. Investigasi kejadian dan forensik-forensiknya
2. Respon dan remediasi/penanggulangan kejadian
3. Pemenuhan terhadap regulasi dan standarisasi
4. Barang bukti untuk kasus hukum
5. Pengauditan dan pelaksanaan peraturan keamanan data
Dengan menggunakan penerapan audit yang baik dan implementasi sistem SIEM
yang efektif, anda dapat menekan biaya dan meningkatkan efisiensi dari pemenuhan
, manajemen resiko, dan forensik. Sama pentingnya, pengauditan menyediakan sebua
h kesempatan untuk pengembangan berkelanjutan. Keamanan seharusnya selalu diangg
ap sebagai sebuah proses dari pada sebuah peristiwa.