Karena perusahaan semakin bergantung pada jaringan digital untuk pendapatan dan operasi
mereka, mereka perlu mengambil langkah-langkah tambahan untuk memastikan bahwa
sistem dan aplikasi mereka selalu tersedia. Downtime mengacu pada periode waktu di mana
suatu sistem tidak beroperasi. Beberapa teknik dapat digunakan oleh perusahaan untuk
mengurangi downtime.
Sistem komputer yang toleran terhadap kesalahan menggunakan perangkat keras atau
perangkat lunak untuk mendeteksi kegagalan perangkat keras dan secara otomatis beralih ke
sistem cadangan. Lingkungan komputasi dengan ketersediaan tinggi menggunakan server
cadangan, mendistribusikan pemrosesan di antara beberapa server, penyimpanan berkapasitas
tinggi, dan perencanaan pemulihan bencana dan perencanaan kesinambungan bisnis untuk
pulih dengan cepat dari kerusakan sistem.
Dalam komputasi berorientasi pemulihan, sistem dirancang untuk pulih dengan cepat, dan
menerapkan kemampuan dan alat untuk membantu operator menentukan sumber kesalahan
dalam sistem multikomponen dan dengan mudah memperbaiki kesalahan mereka.
Perencanaan pemulihan bencana merancang rencana untuk memulihkan layanan komputasi
dan komunikasi setelah mereka terganggu oleh peristiwa seperti gempa bumi, banjir, atau
serangan teroris.
Perencanaan kelangsungan bisnis berfokus pada bagaimana perusahaan dapat memulihkan
operasi bisnis setelah bencana terjadi. Beberapa perusahaan mengalihdayakan fungsi
keamanan ke penyedia layanan keamanan terkelola (MSSP) yang memantau aktivitas
jaringan dan melakukan pengujian kerentanan dan deteksi intrusi.
Audit MIS memeriksa lingkungan keamanan perusahaan secara keseluruhan serta
mengendalikan sistem informasi individu. Audit keamanan meninjau teknologi, prosedur,
dokumentasi, pelatihan, dan personel. Audit mencantumkan dan memberi peringkat semua
kelemahan kontrol dan memperkirakan kemungkinan terjadinya. Kemudian menilai dampak
keuangan dan organisasi dari setiap ancaman.
Gambar 8-3
Kontrol aplikasi adalah kontrol khusus yang unik untuk setiap aplikasi yang
terkomputerisasi, seperti penggajian atau pemrosesan pesanan. Kontrol aplikasi mencakup
prosedur otomatis dan manual yang memastikan bahwa hanya data yang diotorisasi yang
diproses secara lengkap dan akurat oleh aplikasi tersebut. Kontrol aplikasi dapat
diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan, dan (3) kontrol output.
Kontrol input memeriksa data untuk akurasi dan kelengkapan ketika mereka memasuki
sistem. Kontrol pemrosesan menetapkan bahwa data lengkap dan akurat selama pembaruan.
Kontrol output memastikan bahwa hasil pemrosesan komputer akurat, lengkap, dan
didistribusikan dengan benar.
Penilaian risiko menentukan tingkat risiko bagi perusahaan jika aktivitas atau proses
tertentu tidak dikontrol dengan baik. Manajer bisnis yang bekerja dengan spesialis sistem
informasi menentukan nilai aset informasi, titik kerentanan, frekuensi kemungkinan masalah,
dan potensi kerusakan. Setelah risiko dinilai, pembangun sistem dapat berkonsentrasi pada
titik kontrol dengan kerentanan dan potensi kerugian terbesar untuk meminimalkan biaya
keseluruhan dan memaksimalkan pertahanan.
Semakin banyak perusahaan membentuk fungsi keamanan perusahaan formal yang
dipimpin oleh seorang kepala petugas keamanan (CSO). Grup keamanan mendidik dan
melatih pengguna, menjaga manajemen sadar akan ancaman dan gangguan keamanan, dan
memelihara alat yang dipilih untuk menerapkan keamanan. Kepala petugas keamanan
bertanggung jawab untuk menegakkan kebijakan keamanan perusahaan. Kebijakan keamanan
terdiri dari pernyataan risiko peringkat informasi, mengidentifikasi tujuan keamanan yang
dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan ini. Organisasi
keamanan biasanya mengelola kebijakan penggunaan yang dapat diterima dan kebijakan
otorisasi.
Kebijakan penggunaan yang dapat diterima (AUP) mendefinisikan penggunaan sumber daya
informasi dan peralatan komputasi perusahaan yang dapat diterima, termasuk komputer
desktop dan laptop, perangkat nirkabel, telepon, dan Internet. Kebijakan otorisasi
menentukan berbagai tingkat akses ke aset informasi untuk berbagai tingkat pengguna.
Sistem manajemen otorisasi menetapkan di mana dan kapan pengguna diizinkan untuk
mengakses bagian tertentu dari situs Web atau database perusahaan.
[Gambar 8-5]