Keamanan Sistem Informasi Pertemuan 5

4. Risk Keamanan informasi di peroleh dengan mengimplementasikan bermacam alat kontrol dan juga kebijakan atau prosedur-prosedur. Untuk mencapai suatu kebijakan keamanan, melalui perjalanan yang berliku dan banyak tantangan. Contoh Komentar; wah, dahulu tidak seperti ini cara kerjanya.

Jenis informasi, akan menyangkut : Langkah awal perusahaan harus mempelajari dan mengevaluasi dahulu semua resiko yang akan dihadapi dengan adanya komputerisasi di perusahaan. Jenis informasi, akan menyangkut : Arsip elektronik Dokumen dalam bentuk kertas Rekaman Komunikasi

Untuk menentukan tingkat keamanan dan kontrol yang akan diterapkan dan berkaitan dengan sistem komputer, terlebih dahulu harus ditentukan tingkat resikonya (business risk). Setiap sistem akan berhadapan dengan keamanan pengamanan dan akan ditimbang setaraf dengan resikonya.

Risk Merupakan kombinasi dari komponen kejadian ynag menyangkut ancaman (threat), vulnerability dan impact. Kelemahan kemanan sistem sebagai penunjang bisnis perusahaanyang dapat dimanfaatkanoleh pihak lain untuk menguasai sistem bersangkutan dapat di mengerti sebagai vulnerability. Sedangkan impact merupakan penilaian atas pengaruh ancaman yang dilakukan terhadap baik aset maupun tujuan organisasi, dengan memanfaatkan kelemahan sistem.

Jenis-jenis impact Kerugian atas revenue Kerugian atas modal organisasi Kerugian mengenai reputasi pasar Menghilangnya kesempatan bisnis Kerugian pasar modal Kehilangan kepercayaan pelanggan Kehilangan kepercayaan karyawan Kehilangan kepercayaan pemegang saham Melanggar regulasi Melanggar syarat-syarat hukum/legal Tercemarnya nama baik organisasi

Analysis resiko/risk analysis Merupakan cikal bakal pembuatan kebijakan keamanan sistem dari setiap organisasi. Meskipun banyak informasi yang diterima mengenai peringatan dari luar/external, jangan melupakan ancaman terselubung dari dalam/internal yang lebih banyak dilakukan. Sebagai contoh menurut computer security institute (CSI) di san francisco diperkirakan 60– 80 persen penyalahgunaan jaringan dilakukan oleh orang dalam.

Risk analysis melibatkan penentuan Apa yang harus diproteksi dan dikontrol oleh organisasi. Apa yang dibutuhkan untuk memproteksinya Bagaimana cara memproteksi dan mengontrolnya Prioritas Tujuan utama pada saat risk assesment adalah mengindentifikasikan proteksi dan kontrol terhadap informasi. Pada saat risk assesment akan ditemukan banyak bagian abu-abu atau bidang yang tidak jelas kontrol apa yang cocok diterapkan.

Pengelompokan resiko, faktor penentunya adalah; Tujuan utama dari proteksi terhadap informasi adalah menciptakan lingkungan yang aman dan terjamin bagi manajemen untuk melakukan tugasnya.. Pengelompokan resiko, faktor penentunya adalah; Perkiraan resiko kehilangan sumberdaya (dengan sengaja atau secara tidak sengaja) Perkiraan pentingnya sumber daya (apa impactnya)

Kategori sumberdaya yang harus dipertimbangkan untuk mengestimasikan ancaman terhadap keamanan sistem: Hardware Software Data Manusia Dokumentasi Persediaan

5.Tanggung jawab personel Tangungjawab karyawan memiliki kaitan erat dengan job description. Tanggungjawab yang secara jelas disusun merupakan syarat utama untuk keamanan sistem informasi yang efektif. Oleh karena itu keberhasilan pengimplementasian keamanan sistem informasi sanagat tergantung orangnya sendiri.

Tanggung jawab secara umum yang berkaitan dengan pemakaian dan keamanan sistem informasi dapat dibedakan atas kategori berikut. Tanggungjawab karyawan Tanggungjawab manajer.

Secara spesifik personel yang memiliki kaitan dengan sistem komputerisasi dapat dijabarkan lebihlanjut: Personel yang telah ditunjuk sebagai pemilik sistem Personel lainyang dikategorikan sebagai pemakai Pengembang sistem(pimpinan proyek, sistem analisa, programmer) Spesialis database Spesialis jaringan komunikasi Spesialis PABX Organisasi data processing (operator) Auditor (EDP) Administrator sistem keamanan Personel administrasi. Seseorang dapat termasuk lebih dari satu kategori diatas.

6. Logical security dan kontrol password Masih bersambung…..