Selasa, 07 Mei 2019

Manajemen Keamanan Informasi dan Manajemen Akses ( CHAPTER 18)

Mei 07, 2019 0 Comments



Pendahuluan dan Jangkauan
Keamanan data dan informasi adalah suatu kepentingan bagi banyak organisasi dan keputusan bisnis, seperti informasi apa yang harus dilindungi dan dalam tingkat yang seperti apa. Pendekatan bisnis pada perlindungan dan penggunan data harus ditempatkan di dalam kebijakan keamanan yang dimana semua orang di dalam organisasi harus mempunyai akses dan isi yang disadari oleh setiap orang itu.
Manajemen kemanan informasi dan manajemen akses adalah proses terpisah dalam ITIL, dalam bagian lain dari siklus hidup pelayanan tapi akan tercakup dalam bab ini karena kegunaan umumnya.
Maksud dan Tujuan
Manajemen keamanan informasi dan manajemen akses mempunyai tujuan umum yang masing-masing dipusatkan dalam memastikan bahwa hanya orang yang benar lah yang dapat melihat informasi, tetapi manajemen keamanan informasi, yang menjadi bagian penting dalam kerangka penguasaan, mempunyai pengiriman yang lebih luas.
Tujuan dari manajemen keamanan informasi adalah untuk memasitikan bahwa keamanan IT konsisten dengan keamanan bisnis, memastikan bahwa keamanan informasi telah diatur di semua pelayanan dan aktivitas manajemen pelayanan secara efektif dan sumber daya informasi mempunyai pengurus yang efektif dan digunakan dengan baik. Ini termasuk identifikasi dan manajemen resiko keamanan informasi.
Manajemen keamanan informasi adalah yang utamanya menjadi titik fokus untuk semua aktivitas manajemen yang menitik beratkan pada kamanan informasi. Ini tidak hanya tentang melindungi sumber daya informasi sekarang.
Manajemen akses memusatkan dengan manajemen hak orang dalam mengakses informasi, dan mempunyai kegunaan umu yyang sama tak hanya dengan menajemen keamanan informasi namun juga dengan manajemen pengadaan, memberikan efek praktis ke kebijakan dan syarat dari kedua proses. Kegunaannya untuk memastikan bahwa kerahasiaan, integritas, dan pengadaan informasi telah ditangani secara efektif di organisasi. Data dan informasti tidak hanya harus dilindungi tergadap akses yang tidak dikenali dan peluang untuk dicuri atau diubah. Tapi juga harus dapat diakses oleh orang yang berwenang.
Kunci dari akses manajemen adalah manajemen hak orang untuk mengakses layanan dan informasi. Orang yang berhak, dalam hal kebijakan bisnis dan kebutuhan, untuk mengakses informasi harus mempunyai hak yang diimplementasikan melalui akses kontrol. Hak-hak ini harus konsisten dengan legislasi yang relevan sepertu legislasi proteksi data, dan harus di simpan dibawah pengawasan dan diubah atau dicabut ketika status orang itu berubag dalam organisasi atau resiko material terdeteksi.
Contoh :
Seorang dokter harus mengakses catatan pasien untuk membantu mendiagnosa penyebab yang memungkinkan dari seuatu penyakin dan menentukan pengobatan yang benar, tapi kerahasiaan catatan ini harus terlindungi dari akses pengguna yang tidak berwenang. Tetapi, pasien mempunyai hak legal untuk untuk menerima sedikit informasi yang telah ditentukan (contoh status HIV, aborsi, penyakit jiwa dan lainnya).

Untuk membuat hak akses mempunyai efek dan nilai yang tepat, manajemen akses harus memastikan bahwa orang dapat diidentifikasi dengan tepat: bahwa setiap orang mempunyai identitas yang unik yang dimana hak mereka dapat disisip dan yang mana aktivitas, keabsahan, atau sebaliknya dapat ditelusuri. Manajemen identitas sangat penting dalam manajemen akses yang efektif, mencegah.
Contoh :
Dalam suatu organisasi, akses ke informasi gaji sangat dikontrol ketat, namun para pengembang software membetulkan kesalahan yang ternyata adalah software yang sangat tua yang mempunyai akses penuh ke seluruh bagian sistem, dengan kemampuan mengubah dan membuat record.

Tujuan keamanan :
1.      Ketersediaan: Informasi dapat diakses dan dapat digunakan ketika dibutuhkan dan sistem yang bersangkutan dapat bertahan dari serangan dan membaik dari atau mencegah kesalahan
2.      Kerahasiaan: Informasi diamati oleh atau dibuka hanya untuk orang yang berhak.
3.      Integritas: Informasi tuntas, akurat, dan terlindungi dari modifikasi yang tidak berwenang,
4.      Kewenangan: Kewenangan memusatkan labelling yang benar atau atribusi dari inforasi yang dicegah, contohnya, originator email membuat email tersebut tampak seperti email yang dari orang laon. Kewenangan adalah tentang memastikan bahwa transaksi bisnis, juga pertukaran informasi antar perusahaan atau rekan, dapat dipercaya.
5.      Non-repudiasi: Mekanisme yang mencegah originator transaksi yang menolak bahwa mereka mengorijinasi atau mencegah penerima menolak menerimanya.

Kebijakan Keamanan Informasi
Dalam Kebijakan keamanan informasi harus didukung dan disejajarkan ke kebijakan keamanan bisnis. Ini harus termasuk kebijakan yang mencaku penggunaan aset IT, email, internet, dokumen penting, remote access, akses menggunakan pihak ketiga (seperti supplier), dan aset sekali pakai. Dengan tambahan, ini menjelaskan pendekatan untuk mereset password, mengatur kontrol anti-virus dan mengklasifikasi informasi. Kebijakan ini harus tersedia untuk semua konsumen danpengguna juga untuk para staf IT, dan pemenuhan kebijakan ini harus direferensikan dalam semua persetujuan internal dan kontrak eksternal. Kebijakan ini juga harus ditinjau ulang dan direvisi minimal setahun sekali.

Sistem Manajemen Keamanan Informasi
Sistem Manajemen Keamanan Informasi (information security management system [ISMS] – juga disebut sebagai kerangka keamanan) membantu membangun program keamanan dengan harga terjangkau untuk mendukung tujuan bisnis.
Tujuan ISMS adalah untuk memastikan kontrol yang tepat, peralatan, dan prosedut yang dibangun untuk mendukung kebijakan keamanan informasi.


Manajemen Akses
Manajemen akses adalah proses untuk mengontrol akses ke data dan informasi untuk memastikan bahwa pengguna yang berwenanglah yang mempunyai akses sekaligus mencegah akses oleh pengguna tak dikenali. Proses manajemen akses boleh dijadikan tanggung jawab fungsi yang didedikasikan tapi terkadang dikeluarkan oleh fungsi teknikal dan manajemen aplikasi.
Proses manajemen akses harus termasuk memonitori akses untuk mengamankan informasi jadi jika ada kejadian yang berhubungan dengan keamanan muncul, penyebabnya dapat terlacak dan berbagai resiko keamanan dapat diketahui dan dihapus. Memonitor juga akan mengidentifikasi akses tak dikenal dan contoh password yang error yang akan menjadi acuan kemingkinan ancaman keamanan.

Manajemen Fasilitas – Kontrol Akses Fisik
Manajemen fasilitas bertanggung jawab untuk menjalankan kebijakan ini. Komponen utama kontrol akses fisik adalah:
ü  Instalasi, pemeliharaan, dan manajemen keamanan akses kontrol fisik seperti kuci dan penghalang dan alat pengintai;
ü  Memonitori akses fisik ke daerah yang terlindungi;
ü  Merekrut staf keamanan fisik;
ü  Pemeliharaan denah yang menunjukkan area dengan akses terbatas kontrol keamanan yang relevan.

Metriks
Metriks manajemen keamanan dibutuhkan untuk memastikan bahwa organisasi dapat memenuhi syarat keamanan baik internal maupun eksternal dalam SLA, kontrak, legislasi, dan penguasaan. Metriks dapat digunakan untuk kegunaan ini termasuk:

  • Banyaknya kejadian yang berhubungan dengan keamanan waktu per unit;
  • Persentase kejadian yang berhubungan dengan keamanan yang berdampak pada pelayanan pengguna;
  •  Banyaknya masalah audit keamanan dan resiko yang diidentifikasi;
  • Persentase masalah audit keamanan dan resiko yang diperbaiki;
  • Banyaknya prubahan dan perilisan back-out karena masalah keamanan;
  •  Waktu rata-rata untuk menginstal patches keamanan.

Peran
Manajer keamanan IT bertanggung jawab untuk menegaskan kebijakan keamanan informasi dan menjalankan ISMS. Setelah semuanya telah ditetapkan, pekerjaan manajer keamanan IT-lah untuk memastikan bahwa semua kontrol yang dibutuhkan sudah ada pada tempatnya, orang-orang menyadari kebijakan itu dan tanggung jawab mereka dan sistem keamanan telah berfungsi dengan baik. Manajer keamanan IT adalah titik fokus untuk segala masalah keamanan.
Peran operasional termasuk:

  • Menjaga ketertiban dan melaporkan;
  • Menyediakan dukungan dan bantuan teknis;
  • Mengatur kontrol keamanan;
  •   Penyaringan individual;
  •  Menyediakan pelatihan dan kesadaran;
  •  Memastikan bahwa kontrol keamanan sudah dijadikan acuan pada dokumentasi operasional.
Manajer fasilitas bertanggung jawab untuk keamanan fisik dalam situs organisasi dan fasilitas komputer.




Refrensi :
E-Book : IT Service Management: A guide for ITIL Foundation Exam candidates 2nd Edition, Kindle Editionby Ernest Brewster (Author), Richard Griffiths (Author), Aidan Lawes (Author), John Sansbury (Author)

Letter Of Apology

  November 14 th , 2020   à Date   Mr. Lee Suho Ciracas, Jakarta 13870                         à Address   Dear Mr. Suho        ...