Ada lima faktor yang dapat berkontribusi untuk meningkatkan kerentanan sumber daya
informasi organisasi sehingga lebih sulit untuk diamankan.
Human Error
Ada dua poin penting yang harus dibuat tentang karyawan. Pertama, semakin
tinggi level karyawan, semakin besar ancaman yang ditimbulkannya terhadap informasi
keamanan. Kedua, karyawan di dua area organisasi menimbulkan ancaman yang sangat
signifikan terhadap keamanan informasi sumber daya manusia dan sistem informasi.
Rekayasa Sosial
Rekayasa sosial adalah serangan di mana pelaku menggunakan keterampilan
sosial untuk mengelabui atau memanipulasi karyawan yang sah untuk memberikan
informasi rahasia perusahaan seperti kata sandi. Dua teknik rekayasa sosial lainnya
adalah tailgating dan shoulder surfing.
Organisasi menghabiskan banyak waktu dan uang untuk melindungi sumber daya informasi
mereka. Sebelum melakukannya, mereka melakukan manajemen risiko. Risiko adalah
kemungkinan bahwa ancaman akan berdampak pada sumber daya informasi. Tujuan dari risiko
manajemen adalah untuk mengidentifikasi, mengendalikan, dan meminimalkan dampak
ancaman. Manajemen risiko terdiri dari tiga proses: analisis risiko, mitigasi risiko, dan evaluasi
pengendalian
Penerimaan risiko: Terima potensi risiko, terus beroperasi tanpa kendali, dan serap setiap
kerusakan yang terjadi.
Batasan risiko: Batasi risiko dengan menerapkan kontrol yang meminimalkan dampak dari
ancaman.
Pengalihan risiko: Pengalihan risiko dengan menggunakan cara lain untuk mengganti kerugian,
seperti: seperti dengan membeli asuransi.
1. Kontrol Fisik
Kontrol fisik mencegah individu yang tidak berwenang mendapatkan akses ke
fasilitas perusahaan. Kontrol fisik umum termasuk dinding, pintu, pagar, gerbang,
kunci, lencana, penjaga, dan sistem alarm. Sensor tekanan, suhu sensor, dan detektor
gerakan termasuk kontrol fisik yang lebih canggih. Salah satu kelemahan dari kontrol
fisik adalah bahwa mereka dapat merepotkan karyawan. Organisasi juga menerapkan
langkah-langkah keamanan fisik yang membatasi pengguna komputer untuk waktu
dan lokasi login yang dapat diterima. Kontrol ini juga membatasi jumlah kegagalan
upaya login, dan mereka mengharuskan semua karyawan untuk logout dari komputer
mereka saat mereka berangkat hari. Selain itu, mereka mengatur komputer karyawan
untuk secara otomatis log off pengguna setelah periode tertentu tidak digunakan.
2. Kontrol Akses
Kontrol akses membatasi individu yang tidak berwenang untuk menggunakan sumber
daya informasi.
3. Kontrol Komunikasi
Kontrol komunikasi (juga disebut kontrol jaringan) mengamankan pergerakan data di
seluruh jaringan. Kontrol komunikasi terdiri dari firewall, sistem anti-malware, daftar
putih dan daftar hitam, enkripsi, jaringan pribadi virtual (VPN), keamanan lapisan
transport, dan sistem pemantauan karyawan.
Firewall adalah sistem yang mencegah perpindahan jenis informasi tertentu
antara jaringan tidak tepercaya, seperti Internet, dan jaringan pribadi, seperti
jaringan perusahaan.
Sistem anti-malware, juga disebut antivirus, atau AV, perangkat lunak, adalah
paket perangkat lunak yang mencoba mengidentifikasi dan menghilangkan
virus dan worm, dan perangkat lunak berbahaya lainnya
Whitelisting adalah proses di mana sebuah perusahaan mengidentifikasi
perangkat lunak yang akan diizinkan untuk dijalankan di komputernya. daftar
hitam memungkinkan semuanya berjalan kecuali ada di daftar hitam. Daftar
hitam, kemudian, mencakup jenis perangkat lunak tertentu yang tidak
diizinkan untuk berjalan di lingkungan perusahaan.
Enkripsi adalah proses mengubah suatu pesan asli ke dalam bentuk yang tidak
dapat dibaca oleh siapa pun kecuali penerima yang dituju
VPN (A Virtual Private Network) Jaringan pribadi virtual adalah jaringan
pribadi yang menggunakan jaringan publik (biasanya Internet) untuk
menghubungkan pengguna.
Keamanan lapisan transport, sebelumnya disebut lapisan soket aman, adalah
standar enkripsi yang digunakan untuk transaksi aman seperti pembelian kartu
kredit dan online perbankan
sistem pemantauan karyawan, yang meneliti komputer karyawan mereka,
aktivitas email, dan aktivitas berselancar di Internet.