Penilaian otomatis berkaitan dengan pembuatan laporan audit yang dijalankan oleh suatu
perangkat lunak terhadap perubahan status file dalam komputer: create, modify, delete, dll.
Penilaian non-otomatis berhubungan dengan kegiatan wawancara kepada staf yang menangani
komputer, evaluasi kerawanan dan keamanan komputer, pengamatan terhadap semua akses ke
sistem operasi dan software aplikasinya, serta analisis semua akses fisik terhadap sistem
komputer secara menyeluruh.
Sistem yang dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC,
server, mainframe, jaringan komputer, router, saklar data, serta segala macam software yang
dipakai oleh organisasi atau perusahaan yang bersangkutan.
Selain itu, mencakup kebijakan BYOD (Bring Your Own Device) dan perangkat keras yang
terhubung dengan IoT, visiting guests, segmen audit yang tidak dikelola harus diposisikan untuk
terus memperbarui visibilitas yang terhubung. Ruang lingkup harus mencakup semua lapisan
akses: koneksi kabel, nirkabel dan VPN sehingga dapat ditentukan perimeter keamanan bagi
perusahaan.
Cyber security trends – bekerja dengan network access control system dan menjadi faktor
ancaman paling umum saat ini.
Compliance – termasuk jenis data yang harus ditangani, apakah perusahaan menyimpan/
mentransmisikan informasi keuangan yang bersifat sensitive dan memiliki akses ke
dalam sistem organisasi.
Organization history – Apakah organisasi pernah mengalami pelanggaran data atau
serangan cyber di masa lalu.
Industry trends – memahami jenis-jenis pelanggaran, hacks, dan serangan yang spesifik
dalam industri. Hal tersebut harus diperhitungkan ketika membuat sistem penilaian.
Pada langkah ini organisasi harus mulai memiliki initial security untuk setiap proses yang
termasuk dalam ruang lingkup dengan mengakses sistem kontrol yang tepat. Selain itu,
memastikan bahwa semua perangkat yang terhubung memiliki patch keamanan terbaru,
perlindungan terhadap firewall dan malware sehingga membutuhkan akurasi lebih dalam
penilaian.
Jika organisasi telah menyelesaikan langkah-langkah penting tersebut, berarti organisasi telah
menyelesaikan audit keamanan internal. Selanjutnya organisasi dapat melanjutkan untuk
membuat penilaian, pengelolaan, dan kontrol risiko yang berkelanjutan untuk mengamankan aset
organsiasi untuk jangka pendek, menengah dan panjang.
Memantau semua perangkat, perangkat keras maupun lunak dari waktu ke waktu adalah cara
terbaik untuk mengendalikan risiko. Penyempurnaan terus-menerus dari kontrol dan proses akan
mempertahankan visibilitas yang sedang berlangsung serta kemampuan untuk menilai secara
tepat kesiap siagaan terhadapt segala bentuk ancaman cyber bersamaan dengan kemampuan
untuk memulihkan serangan.
Bagaimana, apakah atasan dsn rekan kerja Anda yang lain, atau bahkan Anda sendiri sudah
meningkatkan kesadaran mengenai pengamanan informasi?
Karena bercermin pada sejarah, celah paling rentan dan lemah terhadap keamanan informasi
adalah aspek manusia (People)