3.

Membangun Kerangka Kerja Manajemen untuk Keamanan dan Kontrol

Perlindungan sumber daya informasi membutuhkan sistem keamanan yang baik dan
serangkaian kontrol. ISO 17799, seperangkat standar internasional untuk keamanan dan
kontrol, menetapkan praktik terbaik dalam keamanan dan kontrol sistem informasi.
Penilaian risiko menentukan tingkat risiko bagi perusahaan jika aktivitas atau proses tertentu
tidak dikontrol dengan baik. Manajer bisnis yang bekerja dengan spesialis sistem informasi
menentukan nilai aset informasi, titik kerentanan, frekuensi kemungkinan masalah, dan
potensi kerusakan. Setelah risiko dinilai, pembangun sistem dapat berkonsentrasi pada titik
kontrol dengan kerentanan dan potensi kerugian terbesar untuk meminimalkan biaya
keseluruhan dan memaksimalkan pertahanan.
Perusahaan besar biasanya memiliki fungsi keamanan perusahaan formal yang dikepalai oleh
chief security officer (CSO). Grup keamanan mendidik dan melatih pengguna, menjaga
manajemen sadar akan ancaman dan gangguan keamanan, dan memelihara alat yang dipilih
untuk menerapkan keamanan. Chief security officer bertanggung jawab untuk menegakkan
kebijakan keamanan perusahaan. Kebijakan keamanan terdiri dari pernyataan risiko peringkat
informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi
mekanisme untuk mencapai tujuan ini. Organisasi keamanan biasanya mengelola kebijakan
penggunaan yang dapat diterima dan kebijakan otorisasi. Kebijakan penggunaan yang dapat
diterima (AUP) mendefinisikan penggunaan sumber daya informasi dan peralatan komputasi
perusahaan yang dapat diterima, termasuk komputer desktop dan laptop, perangkat nirkabel,
telepon, dan Internet. Kebijakan otorisasi menentukan berbagai tingkat akses ke aset
informasi untuk berbagai tingkat pengguna. Sistem manajemen otorisasi menetapkan di mana
dan kapan pengguna diizinkan untuk mengakses bagian tertentu dari situs Web atau database
perusahaan.
Gambar 8.3
GAMBAR 8-3 PROFIL KEAMANAN UNTUK SISTEM PERSONIL
Dua contoh ini mewakili dua profil keamanan atau pola keamanan data yang mungkin
ditemukan dalam sistem personalia. Bergantung pada profil keamanan, pengguna akan
memiliki batasan tertentu pada akses ke berbagai sistem, lokasi, atau data dalam suatu
organisasi.

Karena perusahaan semakin bergantung pada jaringan digital untuk pendapatan dan operasi
mereka, mereka perlu mengambil langkah-langkah tambahan untuk memastikan bahwa
sistem dan aplikasi mereka selalu tersedia. Downtime mengacu pada periode waktu di mana
suatu sistem tidak beroperasi. Beberapa teknik dapat digunakan oleh perusahaan untuk
mengurangi downtime.
Sistem komputer yang toleran terhadap kesalahan menggunakan perangkat keras atau
perangkat lunak untuk mendeteksi kegagalan perangkat keras dan secara otomatis beralih ke
sistem cadangan. Lingkungan komputasi dengan ketersediaan tinggi menggunakan server
cadangan, mendistribusikan pemrosesan di antara beberapa server, penyimpanan berkapasitas
tinggi, dan perencanaan pemulihan bencana dan perencanaan kesinambungan bisnis untuk
pulih dengan cepat dari kerusakan sistem.
Dalam komputasi berorientasi pemulihan, sistem dirancang untuk pulih dengan cepat, dan
menerapkan kemampuan dan alat untuk membantu operator menentukan sumber kesalahan
dalam sistem multikomponen dan dengan mudah memperbaiki kesalahan mereka.
Perencanaan pemulihan bencana merancang rencana untuk memulihkan layanan komputasi
dan komunikasi setelah mereka terganggu oleh peristiwa seperti gempa bumi, banjir, atau
serangan teroris.
Perencanaan kelangsungan bisnis berfokus pada bagaimana perusahaan dapat memulihkan
operasi bisnis setelah bencana terjadi. Beberapa perusahaan mengalihdayakan fungsi
keamanan ke penyedia layanan keamanan terkelola (MSSP) yang memantau aktivitas
jaringan dan melakukan pengujian kerentanan dan deteksi intrusi.
Audit MIS memeriksa lingkungan keamanan perusahaan secara keseluruhan serta
mengendalikan sistem informasi individu. Audit keamanan meninjau teknologi, prosedur,
dokumentasi, pelatihan, dan personel. Audit mencantumkan dan memberi peringkat semua
kelemahan kontrol dan memperkirakan kemungkinan terjadinya. Kemudian menilai dampak
keuangan dan organisasi dari setiap ancaman.
Gambar 8-3

GAMBAR 8-3 DAFTAR CONTOH KELEMBABAN AUDITOR CONTOH AUDITOR

Bagan ini adalah halaman sampel dari daftar kelemahan kontrol yang mungkin ditemukan
auditor dalam sistem pinjaman di bank komersial lokal. Formulir ini membantu auditor
mencatat dan mengevaluasi kelemahan kontrol dan menunjukkan hasil dari mendiskusikan
kelemahan tersebut dengan manajemen, serta setiap tindakan korektif yang diambil oleh
manajemen.
4. Membangun Kerangka Kerja Manajemen untuk Keamanan dan Kontrol
Perlindungan sumber daya informasi membutuhkan serangkaian kontrol yang dirancang
dengan baik. Sistem komputer dikendalikan oleh kombinasi kontrol umum dan kontrol
aplikasi.
Kontrol umum mengatur desain, keamanan, dan penggunaan program komputer dan
keamanan file data secara umum di seluruh infrastruktur TI organisasi. Kontrol umum
meliputi kontrol perangkat lunak, kontrol perangkat keras fisik, kontrol operasi komputer,
kontrol keamanan data, kontrol atas proses implementasi sistem, dan kontrol administratif.
Kontrol perangkat keras memastikan bahwa perangkat keras komputer aman secara fisik dan
operasional. Kontrol perangkat lunak memantau penggunaan perangkat lunak dan mencegah
akses tidak sah terhadap perangkat lunak sistem dan program perangkat lunak. Kontrol
pengoperasian komputer memastikan bahwa departemen komputer menjalankan setiap
pekerjaan dengan benar dan memiliki prosedur khusus untuk mencegah dan memperbaiki
kesalahan. Kontrol implementasi mengaudit proses pengembangan sistem di berbagai titik
untuk memastikan bahwa itu didokumentasikan dan dikelola dengan baik. Kontrol keamanan
data memastikan bahwa file data tidak dikenakan akses, perubahan, atau penghancuran yang
tidak sah. Semua kontrol ini memerlukan kontrol administratif untuk memastikan bahwa
kontrol tersebut dijalankan dan ditegakkan dengan benar. Kontrol administrasi utama adalah
pengawasan, kebijakan dan prosedur tertulis, dan pemisahan fungsi pekerjaan.

Kontrol aplikasi adalah kontrol khusus yang unik untuk setiap aplikasi yang
terkomputerisasi, seperti penggajian atau pemrosesan pesanan. Kontrol aplikasi mencakup
prosedur otomatis dan manual yang memastikan bahwa hanya data yang diotorisasi yang
diproses secara lengkap dan akurat oleh aplikasi tersebut. Kontrol aplikasi dapat
diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan, dan (3) kontrol output.
Kontrol input memeriksa data untuk akurasi dan kelengkapan ketika mereka memasuki
sistem. Kontrol pemrosesan menetapkan bahwa data lengkap dan akurat selama pembaruan.
Kontrol output memastikan bahwa hasil pemrosesan komputer akurat, lengkap, dan
didistribusikan dengan benar.
Penilaian risiko menentukan tingkat risiko bagi perusahaan jika aktivitas atau proses
tertentu tidak dikontrol dengan baik. Manajer bisnis yang bekerja dengan spesialis sistem
informasi menentukan nilai aset informasi, titik kerentanan, frekuensi kemungkinan masalah,
dan potensi kerusakan. Setelah risiko dinilai, pembangun sistem dapat berkonsentrasi pada
titik kontrol dengan kerentanan dan potensi kerugian terbesar untuk meminimalkan biaya
keseluruhan dan memaksimalkan pertahanan.
Semakin banyak perusahaan membentuk fungsi keamanan perusahaan formal yang
dipimpin oleh seorang kepala petugas keamanan (CSO). Grup keamanan mendidik dan
melatih pengguna, menjaga manajemen sadar akan ancaman dan gangguan keamanan, dan
memelihara alat yang dipilih untuk menerapkan keamanan. Kepala petugas keamanan
bertanggung jawab untuk menegakkan kebijakan keamanan perusahaan. Kebijakan keamanan
terdiri dari pernyataan risiko peringkat informasi, mengidentifikasi tujuan keamanan yang
dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan ini. Organisasi
keamanan biasanya mengelola kebijakan penggunaan yang dapat diterima dan kebijakan
otorisasi.
Kebijakan penggunaan yang dapat diterima (AUP) mendefinisikan penggunaan sumber daya
informasi dan peralatan komputasi perusahaan yang dapat diterima, termasuk komputer
desktop dan laptop, perangkat nirkabel, telepon, dan Internet. Kebijakan otorisasi
menentukan berbagai tingkat akses ke aset informasi untuk berbagai tingkat pengguna.
Sistem manajemen otorisasi menetapkan di mana dan kapan pengguna diizinkan untuk
mengakses bagian tertentu dari situs Web atau database perusahaan.
[Gambar 8-5]

GAMBAR 8-5 Profil keamanan untuk sistem personalia

Dua contoh ini mewakili dua profil keamanan atau pola keamanan data yang mungkin
ditemukan dalam sistem personalia. Bergantung pada profil keamanan, pengguna akan
memiliki batasan tertentu pada akses ke berbagai sistem, lokasi, atau data dalam suatu
organisasi.
Karena perusahaan semakin bergantung pada jaringan digital untuk pendapatan dan
operasi mereka, mereka perlu mengambil langkah-langkah tambahan untuk memastikan
bahwa sistem dan aplikasi mereka selalu tersedia. Downtime mengacu pada periode waktu di
mana suatu sistem tidak beroperasi. Perusahaan dapat menggunakan sistem komputer yang
toleran terhadap kesalahan atau menciptakan lingkungan komputasi dengan ketersediaan
tinggi untuk memastikan bahwa sistem informasi mereka selalu tersedia dan berkinerja tanpa
gangguan. Semua perusahaan harus menggunakan perencanaan pemulihan bencana dan
perencanaan kesinambungan bisnis untuk menetapkan prosedur organisasi dan kemampuan
pemrosesan cadangan, penyimpanan, dan basis data untuk menjaga agar bisnis tetap berjalan
jika komputer padam.