4, BUKU CHAMPLAIN
1. Apakah yang dimaksud dengan kebijakan keamanan sistem informasi? Kenapa harus
hadir dalam suatu perusahaan yang menggunakan sistem informasi?
Jawab :
Kebijakan keamanan sistem informasi adalah pernyataan keseluruhan yang
menggambarkan tujuan umum organisasi berkaitan dengan pengendalian dan
keamanan lebih dari sistem informasinya. Kebijakan harus menentukan siapa yang
bertanggung jawab atas implementasinya. Kebijakan biasanya ditetapkan oleh
manajemen dan disetujui oleh jajaran direksi. Karena pertemuan komisaris hanya
sebulan sekali, perubahan kebijakan biasanya dilakukan beberapa bulan untuk
diresmikan. Jika perubahannya signifikan, komisaris dapat meminta informasi
tambahan atau penelitian sebelum memberikan suara untuk melakukan perubahan.
Jika perubahan itu relatif kecil, maka tidak cukup waktu dalam agenda mereka untuk
mengatasi perubahan kebijakan. Untuk alasan ini, penting bahwa kebijakan keamanan
sistem informasi tidak terlalu spesifik. Misalnya, kebijakan tersebut memerlukan
kontrol keamanan fisik dan logis yang memadai dari organisasi lebih dari perangkat
keras komputer, perangkat lunak, dan data untuk melindungi mereka terhadap akses
yang tidak sah dan kerusakan, kehancuran, atau perubahan yang disengaja atau tidak
disengaja .
Dengan adanya kebijakan ini, selain akan membantu organisasi dalam
mengamankan aset pentingya, juga menghindari adanya insiden atau tuntutan hukum
akibat organisasi terkait lalai dalam melakukan pengelolaan internal terhadap aset
informasi atau hal-hal terkait dengan tata kelola informasi yang berada dalam
lingkungannya.
2. Apakah yang dimaksud dengan standar keamanan sistem informasi? Apakah standar
ini berlaku untuk semua jenis perusahaan? Mengapa ?
Jawab:
Standar keamanan sistem informasi adalah kriteria minimal, aturan, dan
prosedur yang ditetapkan oleh manajemen senior yang harus dilaksanakan untuk
membantu memastikan pencapaian sistem informasi kebijakan keamanan. Standar
Keamana di implementasikan oleh staf (misalnya, administrator sistem keamanan
dan pengguna) di bawah arahan manajemen.
Standar keamanan sistem informasi berlaku untuk semua jenis perusahaan
supaya setiap perusahaan dapat dipercaya keamanannya oleh publik.
3. Lakukan review kritis anda terhadap kebijakan keamanan SI yang ada di Exhibit 4.1!
adakah yang dioptimalkan atau ditambahkan dari kebijakan tersebut?
Jawab :
Untuk tujuan kebijakan ini, sistem termin mengacu pada semua operasi
komputer dalam perusahaan, namun tidak terbatas pada mainframe, midranges, mini,
lokal-dan jaringan yang luas, desktop pribadi dan laptop komputer, telekomunikasi,
setiap teknologi baru sedang dalam pengembangan, dan komputer khusus lainnya
yang berada di daerah-daerah fungsional di mana data ditransmisikan atau diproses
melalui elektronik, telekomunikasi, satelit, microwave, atau media lainnya.
Jenis lain dari peralatan yang memungkinkan akses elektronik untuk data
dalam sebuah organisasi. Jaringan dimasukkan dalam definisi sistem dalam Bagian 1
dari kebijakan, bersama dengan semua jenis lain dari sistem komputasi. Sejak
keamanan jaringan dapat dianggap sebagai bagian dari lingkungan keamanan logis
keseluruhan organisasi, tidak harus secara spesifik disebutkan sebagai yang terpisah
dari kontrol menurut Pasal 4, ayat b.
Dalam referensi untuk keamanan akses lokal dalam butir iii, tidak jelas apa
yang istilah lokal mengacu pada. Akses ke sistem apapun dapat terjadi dari berbagai
lokasi, termasuk di mana unit pengolahan pusat (CPU) berada, pada end user
workstation, atau dari lokasi yang jauh melalui koneksi komunikasi dial-in.
Tergantung pada seseorang sudut pandang, semua ini lokasi bisa dianggap lokal. Oleh
karena itu, akan lebih baik untuk menggabungkan dua pernyataan kontrol di item i
dan iii menjadi, frase mencakup segala tunggal, seperti "kontrol akses logis atas
sistem operasi, sistem manajemen database, dan aplikasi semua perusahaan komputasi
dan sistem telekomunikasi. "
"Kontrak dengan organisasi biro jasa dan vendor perangkat lunak eksternal
harus menentukan bahwa kode sumber asli yang akan diselenggarakan di escrow oleh
independen pihak ketiga dan bahwa kode sumber akan dirilis kepada Perusahaan
dalam hal layanan biro atau vendor perangkat lunak tidak melanjutkan operasi,
berhenti dukungan perangkat lunak, atau melanggar persyaratan yang signifikan dari
kontrak" (Catatan.: Rincian lebih lanjut dari barang yang akan ditentukan dalam
kontrak dengan biro jasa dan luar vendor perangkat lunak harus dimasukkan dalam
sistem informasi standar keamanan. standar tersebut dibahas pada bagian berikutnya.)
Karena banyak dari risiko yang terkait dengan layanan biro juga berlaku untuk
program perangkat lunak yang dibeli dari luar terkena sebagai akibat dari program
perangkat lunak luar penjual. Daftar berikut merangkum konsep-konsep umum yang
termasuk dalam kebijakan keamanan sistem informasi exhibit4.1 serta koreksi dari
kekurangan mencatat. Masing-masing item dalam daftar harus dimasukkan dalam
kebijakan keamanan sistem informasi dari semua organisasi. Jika sebuah organisasi
tidak memanfaatkan biro jasa atau kustom program vendor perangkat lunak, mereka
dapat dikecualikan dari kebijakan tersebut. Namun, termasuk mereka membuat
kebijakan yang lebih fleksibel dengan mengurangi kebutuhan untuk memperbarui
atau merevisi ketika sebuah organisasi memutuskan untuk menggunakan jasa biro jasa
atau vendor perangkat lunak kustom. Item untuk memasukkan dalam kebijakan
keamanan sistem informasi:
Contingency dan Pemulihan (ini adalah bagian dari keamanan fisik, tetapi diterima
untuk memiliki bagian terpisah karena pentingnya.)
4. Bacalah case study 4.2 dan buatlah resume dan analisis tentang apa yang disampaikan
dalam case study 4.2 yang anda hubungkan dengan gambaran keamanan sistem
informasi perbankan di indonesia.
Jawab :
Bank adalah sebuah lembaga intermediasi keuangan umumnya didirikan
dengan kewenangan untuk menerima simpanan uang, meminjamkan uang, dan
menerbitkan promes atau yang dikenal sebagai banknote. Sistem perbankan
sebenarnya sudah cukup kuat untuk mencegah terjadinya pembobolan oleh kalangan
internal bank. Tapi, faktanya, memang tidak bisa menjamin 100 persen. Beberapa
kasus pembobolan bank disebabkan lemahnya pengawasan perbankan. Sebenarnya,
data perbankan menunjukkan kejahatan perbankan melalui saluran elektronik
mencapai 60 persen dan sisanya didominasi kejahatan pada pembobolan, pemalsuan
deposito, transaksi fiktif, cek palsu, vandalisme, atau merusak mesin Anjungan Tunai
Mandiri (ATM).
Bank sebagai lembaga keuangan memang memiliki kemampuan untuk
mendistribusikan dana dari masyarakat ke berbagai jenis aset, seperti kredit dan
investasi pada aset-aset keuangan di pasar keuangan (saham, komoditas, dan valas).
Secara ideal, seharusnya bank memiliki proporsi investasi kredit lebih besar
dibandingkan dengan investasi pada pasar keuangan.
Namun, fenomena yang terjadi saat ini, bank lebih agresif melakukan
penetrasi di pasar keuangan dibandingkan dengan yang lain. Kita berharap pihak
perbankan untuk terus memperbaiki diri dalam menjaga keamanan dana nasabah.
Dengan adanya kejadian pembobolan, memperlihatkan bahwa unsur kehati-hatian dan
ketaatan pada prosedur yang selama ini selalu dijadikan acuan perbankan, khususnya
asing, tidaklah sehebat seperti yang digembar-gemborkan selama ini.
Dalam studi kasus 4.2 menjelaskan bahwa keamanan sistem informasi standar
sebuah organisasi perbankan yang didasarkan pada jenis sistem komputasi yang ada
dalam organisasi harus memadai. Selanjutnya, kontrol umum tidak menetapkan
kontrol keamanan logis (password, enkripsi, sistem administrasi keamanan, dll) yang
bisa dibilang standar paling penting. Standar umum hanya menutupi hal-hal seperti
fisik keamanan dan pengadaan sistem. Sebagian besar informasi masuk ke dalam
kategori rahasia. Manajemen diperlukan untuk mengkomunikasikan klasifikasi
informasi kepada karyawan dan untuk melaksanakan sesuai kemampuan karyawan
dalam menguasai setiap jenis informasi. Standar sistem administrasi adalah semua
sistem administrator bisa dilakukan oleh karyawan termasuk sekitar 50 standar,
seperti: meninjau keamanan log peristiwa; Memastikan bahwa informasi rahasia
dibatasi atau dienkripsi saat sedang dikirim secara elektronik; melindungi perangkat
keras sistem kebakaran akibat lonjakan listrik, pencurian; sistem backup pelatihan
administrator; dan menginstal otomatis penscan virus. Beberapa standar tidak berlaku
tergantung pada risiko dan pentingnya sistem tersebut. Standar kemampuan sistem
adalah standar yang diinginkan dalam sistem, yaitu sekitar 50 standar, seperti
kemampuan untuk: membatasi akses ke informasi dan memisahkan tugas;
menegakkan sandi minimal delapan karakter panjang dan 60 hari sandi kadaluarsa;
menyimpan password dalam format terenkripsi; mengubah password perdananya pada
sistem baru; dan menciptakan jejak audit.
Manajer masing-masing departemen diperlukan untuk meninjau sertifikasi
checklist standar departemen dengan staf. checklist digunakan oleh manajer untuk
menentukan "ya," "tidak," atau "tidak berlaku" untuk setiap standar. Ruang untuk
komentar singkat di samping setiap respon. Manajer harus menandatangani sertifikasi
yang menunjukkan bahwa standar yang dikomunikasikan dan dibahas dengan staf
disetujui manajer divisi. Demikian pula, admin setiap sistem yang unik dalam
organisasi diperlukan untuk melengkapi sistem administrasi dan daftar penilaian
kemampuan sistem. Semua checklist sertifikasi selesai dikirim ke petugas keamanan
yang memastikan bahwa semua departemen dan administrator sistem telah
diselesaikan. Sekitar satu bulan sebelum sertifikasi, tim organisasi, termasuk manajer
audit sistem informasi, bersap untuk meninjau dan memperbarui standar IP dan
prosedur terkait. Untuk beberapa sistem, terutama aplikasi yang kurang canggih, tidak
semua sistem administrasi dan standar kemampuan sistem dapat dipenuhi.