PENGAMANAN ALIRAN KERJA

Presentasi berjudul: "PENGAMANAN ALIRAN KERJA"— Transcript presentasi:

1 PENGAMANAN ALIRAN KERJA

2 Pengamanan Aliran Kerja
Apa yang harus dimasukkan dalam perencanaan keamanan TI Anda ? Sebuah analisis menyeluruh, analisis yang sesuai dengan rencana bisnis Anda, dapat membantu membangun sebuah fondasi untuk sebuah strategi keamanan yang efektif dan efisien biaya.

3 Pengamanan Aliran Kerja
Bagaimana cara menyusun anggaran untuk keamanan? Masalah fundamental dengan anggaran keamanan adalah bahwa tidak ada tabel penafsiran yang mengkalkulasi resiko Untuk memulainya, hindari melihat keamanan sebagai sebuah variabel statis. Alih-alih, penuhi kebutuhan keamanan seperti Anda akan memenuhi area lain didalam anggaran TI Anda: Berikan sekian persentase untuk pemeliharaan sistem keseluruhan, kemudian anggarkan untuk proyek satuan

4 Pengamanan Aliran Kerja
Keamanan Pabrikasi berarti melindungi teknologi dan bangunan dan orang Dugaan keamanan dalam pabrikasi telah berubah secara radikal selama beberapa tahun terakhir. Globalisasi telah memperluas rantai pasok, yang membuat pabrikasi menjadi rawan terhadap gangguan potensial diluar kendali mereka. Untuk beberapa perusahaan terdepan, pabrikasi yang dialihluarkan berarti pencurian yang potensial atas desain produk.

5 Pengamanan Aliran Kerja
Penggunaan sumber daya dari luar untuk keamanan dapat membantu staf TI Anda yang sedikit Pengalihluaran keamanan (kadangkala disebut layanan keamanan terkelola) adalah sebuah latihan berkembang yang membantu organisasi menangani proteksi jaringan, menyusun biaya tetap, mengakses teknologi terbaru, dan memperoleh keahlian yang tidak tersedia secara internal. Sebagai contoh, dengan biaya keamanan yang tetap, Anda dapat meningkatkan anggaran dan arus kas TI. Pengalihluaran juga mengeliminasi kebutuhan perbaikan dan upgrade internal yang sering untuk memelihara tingkat perlindungan yang dibutuhkan. Menurut Yankee Group, perusahaan akan mengalihluarkan 90 persen tugas manajemen keamanan pada tahun 2010.

6 Pengamanan Aliran Kerja
Enam kesalahan umum pada keamanan TI dan bagaimana cara menghindarinya 1. Kegagalan untuk memprioritaskan keamanan. Solution: Tanggapi ancaman keamanan dengan serius, dan berikan waktu dan uang yang cukup untuk mengamankan lingkungan TI Anda. 2. Strategi respon yang tidak memadai Solusi: Perencanaan tingkat lanjut harus melibatkan grup lintas operasional dan memanfaatkan konsultan dari luar dan layanan intelegensi keamanan yang memonitor ancaman-ancaman terbaru dan menyebarkan informasi tersebut kepada klien.

7 3. Sistem keamanan yang terintegrasi dengan buruk.
Solusi: Sebuah teknik yang solid melibatkan evaluasi ulang atas lingkungan TI Anda setidaknya setahun sekali, dan kemudian mengintegrasi, memperkuat, dan menguji sistem secara teratur. 4. Kurangnya pelatihan pekerja. Solusi: Pelatihan dasar tentang teknik-teknik manajemen password, meramban Web yang aman, pesan instan, dan bisa mengarah ke penguncian sistem.

8 5. Aturan dan Prosedur yang tidak efektif.
Solusi: Coba seimbangkan keamanan dan produktivitas. Adalah kebutuhan yang mendesak untuk memliki proteksi yang kuat—katakan, wajibkan enkripsi untuk data sensitif pada komputer-komputer laptop—sederhana dan mudah bagi pengguna yang sah untuk mengakses sistem perusahaan. Sebagai contoh, beberapa komputer kini memiliki fitur pemindaian sidik jari biometris terintegrasi yang secara otomatis mencatat seorang pengguna atau mendekripsi sebuah berkas. Akhirnya, jangan mengesampingkan kebijakan dan prosedur agar lekas memenuhi deadline. Dibutuhkan konsistensi dan hukuman bagi yang melanggar. 6. Ancaman dari Orang Dalam. Solusi: Sementara tidak ada cara untuk memiliki proteksi yang lengkap, ada langkah-langkah yang dapat Anda lakukan untuk meminimalkan resiko. Pertama, distribusikan sistem dan hak khusus sehingga tak ada seorangpun yang memiliki terlalu banyak kontrol. Kedua, ketahui dimana backup, arsip, dan salinan basis data yang digunakan untuk menguji dan memperbaiki perangkat lunak berada. Ketiga, pelihara rekaman yang akurat tentang siapa saja yang menggunakan perangkat komputasi mobile, dan pastikan bahwa para karyawan memahami bagaimana cara memproteksi perangkat dan data selama bepergian. Akhirnya, jangan ijinkan orang luar untuk berkeliaran tanpa pendamping dilingkungan kantor Anda.

9 Pengamanan Aliran Kerja
Apa yang sesungguhnya dibutuhkan oleh bisnis dalam teknologi keamanan? SI7C Kebanyakan perusahaan memperkuat batasan jaringan mereka dahulu, kemudian mengamankan aplikasi dan mengunci data aktual—walaupun proteksi data adalah alasan untuk keamanan jaringan. Itulah sebabnya Zolot, yang merancang arsitektur keamanan Internet dasar yang masih digunakan oleh banyak industri layanan keuangan global, mengatakan bahwa inilah waktunya untuk "mengumumkan kekalahan di sekitar batasan" dan "berfokus untuk melindungi informasi kunci" sebagai gantinya. Sebagai contoh, perangkat lunak yang melacak dan membuat laporan berdasarkan rekaman akses level basis data dapat menghalangi usaha untuk masuk dari luar. Ini juga sah kecuali penggunaan data yang tidak biasa yang menandakan pelanggaran keamanan internal, seperti seorang karyawan yang menjual data perusahaan.

10 Pengamanan Aliran Kerja
Bagaimana cara membangun staf keamanan dengan anggaran yang terbatas Ukur pengetahuan keamanan dari staf TI Anda "Langkah pertama adalah mengidentifikasi area dimana organisasi tidak efisien," kata Shaun McAravey, presiden dan direktur teknologi dari SoftSource Consulting, Microsoft Gold Certified Partner dan sebuah firma konsultasi keamanan dan TI yang berbasis di Portland, Ore.

11 Mengembangkan atau merekrut seorang pemimpin senior untuk mengatur kebutuhan keamanan
Idealnya, sebuah perusahaan akan merekrut seorang direktur keamanan untuk mengelola tugas-tugas keamanan, teknologi, strategi, pelatihan keterampilan, dan penjajaran bisnis. Sayangnya, niat baik dan kenyataan seringkali bertubrukan. Namun tidak berarti bahwa Anda tidak bisa menugaskan seorang eksekutif untuk mengatur keamanan sebagai tambahan dalam tanggung jawab bisnisnya yang lain. (Dalam banyak kasus, perusahaan menengah mengharapkan direktur informasi atau direktur TI untuk mengelola keamanan.)

12 Lakukan perekrutan secara selektif dan bangunlah bidang pengetahuan dan keahlian
Walaupun perusahaan kecil biasanya mempekerjakan generalis TI yang membagi tugas-tugas keamanan, organisasi besar harus merekrut dan mengembangkan karyawan untuk memenuhi peran keamanan terspesialisasi. Sebagai contoh, sebuah organisasi mungkin mendapati sesorang yang memiliki pengetahuan tentang teknik keamanan aplikasi dan orang lain yang benar-benar dikenal dalam deteksi gangguan atau forensik komputer. Pertimbangkan menggunakan sebuah agen penstafan sementara atau firma perekrutan khusus untuk membantu menemukan kandidat berkualitas. Pendekatan ini dapat menawarkan fleksibilitas dan seringkali menyederhanakan proyek jangka pendek.

13 Berikan pelatihan yang berkelanjutan dan peroleh sertifikasi
Bisnis menengah menghadapi tantangan yang sangat besar dalam mengembangkan pengetahuan dan keterampilan yang tepat, khususnya dalam bidang keamanan informasi yang selalu berubah. Menambah kemalangan mereka, mereka ada dibawah tekanan perusahaan besar yang seringkali membujuk para IT-pro yang berbakat untuk berpindah dari perusahaan kecil, kata Christian Byrnes, wakil presiden dan manajer tim untuk firma konsultasi TI Gartner. Meskipun demikian, penting untuk memberikan pelatihan reguler sehingga staf TI Anda dapat memperbarui keterampilan keamanan mereka. Sertifikasi dapat memainkan peranan penting dalam strategi pendidikan Anda. Anda dapat menemukan sumber daya sertifikasi yang ditawarkan oleh pelatihan dan perusahaan sertifikasi. Microsoft menawarkan berbagai sumber daya sertifikasi juga. Banyak Microsoft Gold Certified Partners menawarkan kursus dengan banyak topik keamanan. Temukan Rekanan Microsoft di daerah Anda.

14 Kembangkan sebuah strategi pengalihan
Bahkan dengan anggaran yang besar, keterampilan TI tingkat lanjut, biasanya dalam permintaan tinggi seperti keamanan, bisa menjadi sulit ditemukan. Sebagai hasilnya, pengalihluaran keamanan (dalam bentuk konsultan atau layanan yang dihos) adalah sebuah area yang tumbuh dengan cepat. Menurut McAravey dari SoftSource, tugas yang paling sesuai untuk pengalihluaran mencakup penilaian keamanan, pelatihan, audit eksternal, pengujian, dan implementasi dari infrastruktur fisik. Echols merekomendasikan untuk menangkap setidaknya beberapa pengetahuan dari tenga ahli domain ini dan membangunnya kedalam basis pengetahuan dan perencanaan keamanan Anda.

15 Pengamanan Aliran Kerja
Arahkan karyawan Anda untuk menjaga keamanan dengan serius Buat keamanan menjadi bagian dari percakapan Anda Edarkan memo yang berkaitan dengan keamanan atau memasang kebijakan keamanan Anda adalah langkah yang bagus. Namun bagus juga untuk berbicara tentang keamanan secara terbuka dengan karyawan Anda. Sebagai contoh, di akhir rapat, periksa semua orang untuk mengkonfirmasi mereka yang sedang menggunakan layanan Microsoft Update untuk menginstal Windows and Office updates yang dibutuhkan untuk mencegah serangan perangkat lunak. Ini mendemonstrasikan bahwa keamanan komputer sangat penting bagi Anda. Juga berbicaralah kepada karyawan baru tentang keamanan komputer bahkan sebelum mereka duduk didepan PC. Lakukan diskusi ini sebelum Anda memberikan sebuah password kepada karyawan baru untuk masuk ke komputer mereka.

16 2. Ciptakan sebuah kebijakan penggunaan yang bisa diterima
Sebuah "kebijakan penggunaan yang bisa diterima" adalah sebuah dokumen yang mengijinkan karyawan Anda mengetahui apa yang bisa dan tidak bisa mereka lakukan pada perlengkapan komputer perusahaan. Tuliskan apa yang Anda harapkan. Ini dapat mencakup kebijakan Anda dalam penciptaan password, frekuensi pengubahan password dan pembukaan lampiran dari pengirim yang tidak dikenal. Ini bisa juga mencakup larangan untuk menginstal perangkat lunak bajakan pada komputer mereka. Dokumen ini harus menyatakan hukuman untuk pelanggaran kebijakan, yang bisa berupa pemberhentian, dan juga harus ditandatangani oleh setiap karyawan. Sebagai manajer atau pemilik bisnis, Anda juga harus menandatangani kebijakan tersebut. Jika kebijakan Anda panjang dan rinci, bantu karyawan Anda mengingat poin-poin utama dengan menciptakan sebuah ringkasan satu halaman yang dapat Anda sebarkan dan dapat dipasang di dekat area kerja mereka. Anda dapat mengubah contoh selebaran ini untuk bisnis Anda.

17 3. Diskusikan bagaimana cara menangani informasi yang sensitif
Sebagai tambahan untuk memiliki Kebijakan Penggunaan yang Bisa Diterima, pertimbangkan penciptaan sebuah selebaran tentang bagaimana informasi sensitif ditangani. Kebijakan ini harus mencakup jenis atau dokumen yang boleh dialihkan oleh karyawan ke orang lain diluar perusahaan, bagaimana cara menangani material berhak cipta, dan bagaimana dan jenis informasi pelanggan apa yang bisa dibagi. Kebijakan ini bisa juga memuat peringatan kepada karyawan yang mencoba mengakses berkas-berkas dimana mereka tidak memiliki ijin untuk melihat atau mengubahnya dan jenis apa yang harus disimpan atau dihapus oleh karyawan. Lagi, edarkan kebijakan tersebut kepada para karyawan Anda dan minta mereka membaca dan menandatanganinya.

18 4. Identifikasi ahli keamanan untuk bisnis Anda
Tugaskan seseorang didalam bisnis Anda sebagai "ahli keamanan" Anda dan beritahu kepada semua orang bahwa orang ini tersedia untuk merespon atau menjawab pertanyaan seputar keamanan. Jika bisnis Anda memiliki personil TI, ahli keamanan Anda mungkin akan datang dari kelompok ini. Meskipun demikian, jika Anda atau seorang karyawan teknis yang mengelola sistem komputer Anda, maka salah satu dari Anda atau karyawan tersebut yang akan menjadi ahli keamanan. Jika mungkin, minta ahli keamanan Anda untuk melakukan tinjauan keamanan secara periodik dengan karyawan lain di tempat kerja mereka. Menciptakan sebuah tempat kerja yang sadar keamanan membutuhkan usaha tim yang dimulai dengan pertahian yang berkesinambungan pada bagian persaudaraan yang menjalankan bisnis. Keamanan informasi tidak akan terjadi kecuali pemilik dan manajer membuatnya terjadi.