Bab 8 Sekuriti/Keselamatan Teknologi Maklumat

Bab 8 Sekuriti/Keselamatan Teknologi Maklumat
Puan Siti Norul Huda Sheikh Abdullah Prof Dr. Abdul Razak Hamdan Amna Abdul Rahman

Sekuriti strategik: Takrifan:
proses yang direkabentuk untuk melindungi kesediaan(availibility), integriti dan kerahsiaan(confidentiality) data dan program daripada capaian, perubahan dan penghancuran / penghapusan tak dibenarkan.

Proses sekuriti strategik langkah 1
Kenalpasti penaja eksekutif Memberikan halatuju pengurusan, Memilih pemilik proses sekuriti Menyokong program sekuriti strategik

Pilih pemilik proses Pemilik mengurus aktiviti harian sekuriti. Membentuk pasukan merentas fungsian. Membentuk, melaksana pelan polisi sekuriti bersama ahli pasukan. Seorang yang berpengetahuan tinggi dalam pengetahuan aplikasi, perisian dan komponennya, perisian rangkaian dan komponennya, menganalisis metrik.

Menakrifkan matlamat/gol sekuriti strategik(SS) Takrifkan dan tentukan keutamaan matlamat tertentu SS 3 ciri yg penting: kesediaan (availibility), integriti dan kerahsiaan

lantik/tubuhkan lembaga kajian semula (review board) penilaian tentang polisi, hala tuju dan matlamat SS dalam organisasi: dilakukan lembaga yang terdiri drpd semua pengawai utama IT dan beberapa unit bisnes lain. Menilai kesauran teknikal polisi sekuriti: menentukan piawai dan tatacara yang boleh dilaksana (enforceable): dijalankan oleh lembaga kedua yg terdiri drpd pegawai IT kanan dan pakar berkaitan.

Kenalpasti, kategorikan dan utamakan keperluan Ahli yang terlibat: wakil kedua-dua lembaga(dlm langkah 4) dan pakar bidang Kenalpasti keperluan sekuriti, kategorikan menurut bidang utama sekuriti dan seterusnya setkan keutamaan.

…langkah 5…Contohnya: Bidang pelayan/pelanggan: isu sekuriti – antivirus, perisian PC, e-mel Rangkaian/internet: tembok api/firewall, pengesan pencerobohan/instrusion, capaian jauh, penyulitan(encryption) Pusat data: capaian fizikal, pangkalan data, perisian aplikasi, OS Polisi sekuriti: cadangan eksekutif, penilaian teknikal, kelulusan dan perlaksanaan, sebaran dan kuatkuasa(enforcement)

Inventori keadaan semasa sekuriti Melihat sama ada butiran/item sekuriti telah ada/wujud, perlu beli, ataupun perlu dibangunkan. Contohnya Polisi sekuriti: telah diluluskan, telah diubahsuai, telah dikuatkuasa Polisi sekuriti; telah diluluskan tapi boleh dikuatkuasa Tembok api: diluluskan tapi belum beli Metrik sekuriti semasa: bilangan virus yang menyerang, kekerapan pertukaran kata laluan, …

Tubuhkan organisasi sekuriti Berasaskan langkah 4(input lembaga kajian semula), senarai keperluan, inventori sekuriti Bentuk suatu organisasi sekuriti (diketui pengurus sekuriti) Lokasi, tanggungjawab dan kuasa organisasi ini ditentukan oleh lembaga kajian semula dan unit yang berkaitan/bersesuaian

Bangunkan polisi sekuriti Dibangunkan berasaskan inventori sekuriti semasa, tinggalkan polisi lapuk/tak berkesan, ubahsuai polisi yang berkaitan, bangunkan polisi baru yang perlu. Contohnya penggunaan internet;

Himpun pasukan perancangan Untuk membangunkan pelan pelaksanaan polisi baru, tatacara baru, initiatif baru,…baru (yang dicadang oleh lembaga kajian semula) Keahlian juga merentas fungsian

Kaji semula dan lulus pelan/perancangan Ekesekutif sekuriti akan mengkaji semula pelan pelaksanaan berdasarkan polisi, belanjawan, skedul dan keutamaan

Nilai kesauran teknikal pelan Menilai semula kesauran teknikal dan kepatuhan kepada piawai Dijalankan oleh lembaga kajian semula teknikal sekuriti

Umpuk, skedul dan jalankan pelaksanaan pelan Umpukan tugas/tanggung jawab kepada individu/pasukan untuk mereka mengskedul dan menjalankan pelaksanaan pelan.

Pemulihan bencana (disaster recovery)
Takrifan: suatu metodologi untuk memastikan operasi kritikal bisnes berterusan(tanpa gangguan/tanpa hentian) apabila berlaku bencana kepada persekitaran prasarana.

Langkah pembangunan proses pemulihan bencana yang berkesan
1. Peroleh sokongan eksekutif Perlu penaja eksekutif Pilih pemilik proses

Langkah pembangunan proses pemulihan bencana yang berkesan…samb
2. Lantik/pilih pemilik proses Mengetuai pasukan merentas fungsian Menyediakan impak/kesan kepada bisnes (analisis impak); kenalpasti, dan setkan keutamaan keperluan, membangunkan strategi kesinambungan bisnes, memilih pembekal khidmat luaran, dan menguji keutuhan proses.

3. Diharapkan memiliki ciri yang baik dalam Kebolehan menilai dokumen Berkomunikasi berkesan dgn eksekutif IT Pengetahuan perisian rangkaian dan komponen Pengetahuan sistem sandaran Kebolehan berfikir dan merancang secara strategik

4. Himpunkan pasukan merentas fungsian Ahli/staf dari jabatan/unit operasi komputer, pembangunan aplikasi, pengguna/pelanggan utama, kemudahan/fasiliti, sekuriti data, sekuriti fizikal, operasi rangkaian, pentadbir pelayan dan sistem; dan pentabdir PD Pasukan akan menentukan keperluan, menjalankan analisis impak bisnes, memilih pembekal luar, merekabentuk proses pemulihan, mengenalpasti pasukan pemulihan, menjalankan ujian proses pemulihan dan mendokumenkan pelan.

5. Jalankan analisis impak bisnes: Ambil kira (inventori) semua proses bisnes kritikal serta tentukan keutamaan. Ajak pengguna IT utama untuk memastikan semua proses bisnes kritikal telah di ambil kira Tentukan tempoh dan keutamaan proses yang hendak dipulihkan, contohnya: Keutamaan A: dlm tempoh 24 jam Keutamaan B; dlm tempoh 72 jam Keutamaan C: >72 jam

5. Kenalpasti dan tentukan keutamaan keperluan Tugas utama pasukan ialah untuk mengenalpasti keperluan untuk proses, seperti keperluan bisnes, teknikal dan logistik Keperluan bisnes: spt menentukan proses pengisytiharan bencana (kritikal, bila patut isytihar,..), apa yang perlu di pulihkan, tempoh pemulihan Keperluan teknikal: spt pelantar/platform peranti pemulihan untuk pelayan, cakera, PC, dll; lebar jalur rangkaian/komunikasi

6. Taksir kemungkinan strategi kesinambungan bisnes Pasukan mencadang dan menaksir strategi kesinambungan bisnes alternatif berasaskan analisis impak bisnes senarai keutamaan keperluan contoh alternatif tapak jauh dalam syarikat tapak panas(hot sites) yang disediakan oleh pembekal luar

7. Bangun RFP untuk pembekal luar Sediakan RFP untuk pembekal luar menyediakan perkhidmatan pemulihan bencana Pilihan dalam RFP termasuk Kos berbilang tahun Jaminan masa minimum untuk beroperasi Kos pengujian Kesediaan untuk rangkaian setempat Jenis sokongan tapak yang disediakan

8. Nilai cadangan dan pilih tawaran terbaik kriteria penilaian ditentukan oleh pasukan

9. Pilih ahli dan jelaskan peranan mereka dalam pasukan pemulihan pasukan merentas fungsi akan memilih individu yang akan membentuk pasukan pemulihan bila diisytihar bencana. Ahli pasukan pemulihan spt pasukan merentas fungsi tetapi mesti tidak sama (ahli yang sama).{lihat langkah 3} wakil pembekal khidmat luaran pelanggan utama menurut keutamaan analisis impak bisnes penaja eksekutif setiap peranan dan tanggung jawab individu hendaklah jelas ditakrifkan, didokumentasi dan dimaklumkan.

10. Dokumenkan pelan pemulihan bencana pasukan merentas fungsian mendokumenkan pelan pemulihan bencana untuk kegunaan pasukan pemulihan seterusnya pasukan pemulihan akan bertanggung jawab untuk memastikan/menyenggara ketepatan(accuracy) kebolehcapaian(accesibility) agihan/edaran pelan dokumen mesti mengandungi gambar rajah konfigurasi terkini perkakasan, perisian, rangkaian yg terlibat dalam pemulihan

11. Pelan dan rancang pengujian pelan secara teratur sekurang-kurang 1X setahun pengujian pelan pemulihan (biasanya bertaraf dunia 2X setahun) semasa pengujian, rekod senarai semak dan tempoh tugas dijalankan untuk dibandingkan dengan pelan sebenar sebagai permulaan, pengujian dijalankan secara beransur-ansur. Misalan bermula dgn beberapa k/t, lakukan muat semula program & data, ujian pemprosesan dan cetakan, ujian keterkaitan rangkaian, dan akhirnya ujian keterkaitan rangkaian keseluruhan dan muatan komputer dan kefungsian sepenuhnya. Rancang ujian dengan hebahan yang sepenuhnya (spt fire drill). Kemudian sebenarnya dgn hanya 2 atau 3 orang shj mengetahuinya

12. Jalankan post-mortem selepas ujian untuk mengkaji keberkesanan ujian dan langkah yang boleh ditingkatkan

Senggara, kemaskini dan tingkatkan pelan secara berterusan perlu dijalankan secara berterusan kerana persekitaran baru, perkakasan baru, perisian baru, pangkalan data baru dan lain-lain yang baru dan telah berubah pertukaran k/t memerlukan latihan, dokumentasi, ujian dan juga belanjawan

Contoh “mimpi ngeri” semasa pemulihan bencana
Pengendalian Pita sandaran Pita tiada data Proses muat semula tidak pernah diuji dan didapati tidak berfungsi Pita disalah label Pita tidak dijumpai Yuran penyenggaran tidak dibayar menyebabkan tidak boleh menggunakan prasarana sandaran Tatacara bila berlaku bencana tidak dihebahkan: tidak tahu nak panggil siapa jika berlaku bencana Maklumat rahsia (classified) yang dikendalikan oleh k/t yg tidak dibenarkan (unclassified) Pertukaran bekas simpanan: dari segi bentuk dan warna

Bab 8 Sekuriti/Keselamatan Teknologi Maklumat

Presentasi serupa

Presentasi berjudul: "Bab 8 Sekuriti/Keselamatan Teknologi Maklumat"— Transcript presentasi:

Presentasi serupa

Tentang proyek

Tanggapan

Masuk

Otorisasi melalui jaringan sosial:

Bab 8 Sekuriti/Keselamatan Teknologi Maklumat

Presentasi serupa

Presentasi berjudul: "Bab 8 Sekuriti/Keselamatan Teknologi Maklumat"— Transcript presentasi:

Presentasi serupa

Tentang proyek

Tanggapan