No Faktor Penjelasan
1. Kerawanan Sistem Informasi 1. Aksesibilitas jaringan
Melalui komunikasi jaringan, sistem informasi di
lokasi yang berbeda saling berhubungan. Potensi
akses yang tidak sah, penyalahgunaan, atau
penipuan tidak terbatas pada satu lokasi tetapi
dapat terjadi pada setiap titik akses dalam
jaringan
4. Bencana
Perangkat keras komputer, program-program,
file-file data, dan peralatan-peralatan
komputer lain dapat dengan seketika hancur oleh
karena adanya bencana, seperti:
kebakaran, hubungan arus pendek (listrik),
tsunami, dan bencana-bencana lainnya. Jika
bencana inimenimpa, mungkin perlu waktu
bertahun-tahun dan biaya yang cukup besar
(jutaan dan bahkan mungkin milyaran rupiah)
untuk merekonstruksi file data dan program
komputer yang hancur. 5. Penggunaan jaringan /
komputer di luar kendali perusahaan
Internet di kantor menggunkan wifi, dengan
password pada SSID. Akan tetapi tidak
dibatasi alamat internet yang bisa diakses dan
tidak di batasi akses kemana pun. Sehingga
karyawan bisa mengakses web kemanapun,
misalkan: web pornografi, web software
bajakan, dan lain-lain. Dimana web-web tersebut
rentan terhadap malware.
Bukti elektronik
Bukti kejahatan kerah putih sering dalam bentuk
digital. Data komputer, e-mail, transaksi e-
commerce pesan instan. Kontrol data yang tepat
dapat menghemat waktu dan uang saat menanggapi
permintaan penemuan hukum
Komputer forensik:
Koleksi ilmiah, pemeriksaan, otentikasi, pelestarian,
dan analisis data dari media penyimpanan komputer
untuk digunakan sebagai bukti di pengadilan.
Termasuk pemulihan data ambien dan tersembunyi
Data laten, juga dikenal sebagai data ambien, adalah
informasi dalam penyimpanan komputer yang tidak
dirujuk dalam tabel alokasi file dan umumnya tidak
dapat dilihat melalui sistem operasi (OS) atau
aplikasi standar.
2. Kontrol umum
- Mengatur desain, keamanan, dan penggunaan
program komputer dan keamanan file data secara
umum di seluruh infrastruktur teknologi informasi
perusahaan
- Terapkan untuk semua aplikasi terkomputerisasi
- Kombinasi perangkat keras, perangkat lunak, dan
prosedur manual untuk menciptakan lingkungan
pengendalian keseluruhan
Kebijakan keamanan
Beri peringkat risiko informasi, identifikasi tujuan
keamanan yang dapat diterima, dan identifikasi
mekanisme untuk mencapai tujuan ini
Mendorong kebijakan lainnya
Kebijakan penggunaan yang dapat diterima (AUP)
Mendefinisikan penggunaan sumber informasi
perusahaan dan peralatan komputasi yang dapat
diterima
Kebijakan otorisasi
Tentukan tingkat akses pengguna yang berbeda
terhadap aset informasi
melihat kebutuhan perusahaan untuk menetapkan
kebijakan keamanan untuk melindungi aset
perusahaan, serta kebijakan perusahaan lain yang
didorong oleh kebijakan keamanan, dan bagaimana
sistem informasi mendukung hal ini. Teks tersebut
memberi contoh kebijakan keamanan di Unilever,
perusahaan barang konsumsi multinasional, yang
mengharuskan setiap karyawan laptop atau
handheld genggam untuk menggunakan perangkat
yang disetujui dan menggunakan kata sandi atau
metode identifikasi lainnya saat masuk ke jaringan
perusahaan. Tanyakan kepada siswa jenis masalah
apa yang tercakup dalam AUP. (Privasi, tanggung
jawab pengguna, dan penggunaan pribadi peralatan
dan jaringan perusahaan, tindakan yang tidak dapat
diterima dan dapat diterima untuk setiap pengguna,
dan konsekuensi untuk ketidakpatuhan.)
Pengelolaan identitas
Proses dan alat bisnis untuk mengidentifikasi
pengguna sistem dan akses kontrol yang valid
Mengidentifikasi dan mengotorisasi kategori
pengguna yang berbeda
Menentukan bagian pengguna sistem mana yang
dapat diakses
Mengotentikasi pengguna dan melindungi identitas
Sistem manajemen identitas
Menangkap aturan akses untuk berbagai tingkat
pengguna
melihat area kebijakan keamanan yang terlibat
dalam pengelolaan identitas pengguna sistem.
Tanyakan kepada siswa mengapa bisnis menganggap
penting untuk menentukan bagian mana dari sistem
informasi yang dimiliki pengguna? Informasi macam
apa yang memerlukan tingkat akses keamanan yang
sangat tinggi? Aturan apa yang bisa digunakan untuk
menentukan aturan akses? Satu aturan adalah
"perlu diketahui."
Audit SIM
Memeriksa lingkungan keamanan keseluruhan
perusahaan serta kontrol yang mengatur sistem
informasi individu
Meninjau teknologi, prosedur, dokumentasi,
pelatihan, dan personil.
Mungkin bahkan mensimulasikan bencana untuk
menguji respon teknologi, staf IS, karyawan lainnya
Daftar dan peringkat semua kelemahan kontrol dan
perkiraan kemungkinan kejadiannya
Menilai dampak finansial dan organisasi dari setiap
ancaman
Audit MIS memungkinkan perusahaan menentukan
apakah tindakan dan pengendalian keamanan yang
ada efektif.