Pendahuluan dan Jangkauan
Keamanan data dan informasi adalah suatu
kepentingan bagi banyak organisasi dan keputusan bisnis, seperti informasi apa
yang harus dilindungi dan dalam tingkat yang seperti apa. Pendekatan bisnis
pada perlindungan dan penggunan data harus ditempatkan di dalam kebijakan
keamanan yang dimana semua orang di dalam organisasi harus mempunyai akses dan
isi yang disadari oleh setiap orang itu.
Manajemen kemanan informasi dan
manajemen akses adalah proses terpisah dalam ITIL, dalam bagian lain dari siklus
hidup pelayanan tapi akan tercakup dalam bab ini karena kegunaan umumnya.
Maksud dan Tujuan
Manajemen keamanan informasi dan
manajemen akses mempunyai tujuan umum yang masing-masing dipusatkan dalam
memastikan bahwa hanya orang yang benar lah yang dapat melihat informasi,
tetapi manajemen keamanan informasi, yang menjadi bagian penting dalam kerangka
penguasaan, mempunyai pengiriman yang lebih luas.
Tujuan dari manajemen keamanan
informasi adalah untuk memasitikan bahwa keamanan IT konsisten dengan keamanan
bisnis, memastikan bahwa keamanan informasi telah diatur di semua pelayanan dan
aktivitas manajemen pelayanan secara efektif dan sumber daya informasi
mempunyai pengurus yang efektif dan digunakan dengan baik. Ini termasuk
identifikasi dan manajemen resiko keamanan informasi.
Manajemen keamanan informasi adalah
yang utamanya menjadi titik fokus untuk semua aktivitas manajemen yang menitik
beratkan pada kamanan informasi. Ini tidak hanya tentang melindungi sumber daya
informasi sekarang.
Manajemen akses memusatkan dengan
manajemen hak orang dalam mengakses informasi, dan mempunyai kegunaan umu yyang
sama tak hanya dengan menajemen keamanan informasi namun juga dengan manajemen
pengadaan, memberikan efek praktis ke kebijakan dan syarat dari kedua proses.
Kegunaannya untuk memastikan bahwa kerahasiaan, integritas, dan pengadaan
informasi telah ditangani secara efektif di organisasi. Data dan informasti
tidak hanya harus dilindungi tergadap akses yang tidak dikenali dan peluang
untuk dicuri atau diubah. Tapi juga harus dapat diakses oleh orang yang
berwenang.
Kunci dari akses manajemen adalah
manajemen hak orang untuk mengakses layanan dan informasi. Orang yang berhak,
dalam hal kebijakan bisnis dan kebutuhan, untuk mengakses informasi harus
mempunyai hak yang diimplementasikan melalui akses kontrol. Hak-hak ini harus
konsisten dengan legislasi yang relevan sepertu legislasi proteksi data, dan
harus di simpan dibawah pengawasan dan diubah atau dicabut ketika status orang
itu berubag dalam organisasi atau resiko material terdeteksi.
Contoh :
Seorang dokter harus mengakses catatan pasien untuk membantu mendiagnosa
penyebab yang memungkinkan dari seuatu penyakin dan menentukan pengobatan yang
benar, tapi kerahasiaan catatan ini harus terlindungi dari akses pengguna yang
tidak berwenang. Tetapi, pasien mempunyai hak legal untuk untuk menerima
sedikit informasi yang telah ditentukan (contoh status HIV, aborsi, penyakit
jiwa dan lainnya).
Untuk membuat hak akses mempunyai
efek dan nilai yang tepat, manajemen akses harus memastikan bahwa orang dapat
diidentifikasi dengan tepat: bahwa setiap orang mempunyai identitas yang unik
yang dimana hak mereka dapat disisip dan yang mana aktivitas, keabsahan, atau
sebaliknya dapat ditelusuri. Manajemen identitas sangat penting dalam manajemen
akses yang efektif, mencegah.
Contoh :
Dalam suatu organisasi, akses ke informasi gaji sangat dikontrol ketat,
namun para pengembang software membetulkan kesalahan yang ternyata adalah
software yang sangat tua yang mempunyai akses penuh ke seluruh bagian sistem,
dengan kemampuan mengubah dan membuat record.
Tujuan keamanan :
1. Ketersediaan: Informasi
dapat diakses dan dapat digunakan ketika dibutuhkan dan sistem yang
bersangkutan dapat bertahan dari serangan dan membaik dari atau mencegah
kesalahan
2. Kerahasiaan: Informasi
diamati oleh atau dibuka hanya untuk orang yang berhak.
3. Integritas: Informasi
tuntas, akurat, dan terlindungi dari modifikasi yang tidak berwenang,
4. Kewenangan: Kewenangan
memusatkan labelling yang benar atau atribusi dari inforasi yang dicegah,
contohnya, originator email membuat email tersebut tampak seperti email yang
dari orang laon. Kewenangan adalah tentang memastikan bahwa transaksi bisnis,
juga pertukaran informasi antar perusahaan atau rekan, dapat dipercaya.
5. Non-repudiasi:
Mekanisme yang mencegah originator transaksi yang menolak bahwa mereka
mengorijinasi atau mencegah penerima menolak menerimanya.
Kebijakan Keamanan Informasi
Dalam Kebijakan keamanan informasi
harus didukung dan disejajarkan ke kebijakan keamanan bisnis. Ini harus
termasuk kebijakan yang mencaku penggunaan aset IT, email, internet, dokumen
penting, remote access, akses menggunakan pihak ketiga (seperti supplier), dan
aset sekali pakai. Dengan tambahan, ini menjelaskan pendekatan untuk mereset
password, mengatur kontrol anti-virus dan mengklasifikasi informasi. Kebijakan
ini harus tersedia untuk semua konsumen danpengguna juga untuk para staf IT,
dan pemenuhan kebijakan ini harus direferensikan dalam semua persetujuan
internal dan kontrak eksternal. Kebijakan ini juga harus ditinjau ulang dan
direvisi minimal setahun sekali.
Sistem Manajemen Keamanan Informasi
Sistem Manajemen Keamanan Informasi
(information security management system [ISMS] – juga disebut sebagai kerangka
keamanan) membantu membangun program keamanan dengan harga terjangkau untuk
mendukung tujuan bisnis.
Tujuan ISMS adalah untuk memastikan
kontrol yang tepat, peralatan, dan prosedut yang dibangun untuk mendukung
kebijakan keamanan informasi.
Manajemen Akses
Manajemen akses adalah proses untuk
mengontrol akses ke data dan informasi untuk memastikan bahwa pengguna yang
berwenanglah yang mempunyai akses sekaligus mencegah akses oleh pengguna tak dikenali.
Proses manajemen akses boleh dijadikan tanggung jawab fungsi yang didedikasikan
tapi terkadang dikeluarkan oleh fungsi teknikal dan manajemen aplikasi.
Proses manajemen akses harus termasuk
memonitori akses untuk mengamankan informasi jadi jika ada kejadian yang
berhubungan dengan keamanan muncul, penyebabnya dapat terlacak dan berbagai
resiko keamanan dapat diketahui dan dihapus. Memonitor juga akan
mengidentifikasi akses tak dikenal dan contoh password yang error yang akan
menjadi acuan kemingkinan ancaman keamanan.
Manajemen Fasilitas – Kontrol Akses
Fisik
Manajemen fasilitas bertanggung jawab untuk menjalankan
kebijakan ini. Komponen utama kontrol akses fisik adalah:
ü Instalasi, pemeliharaan, dan
manajemen keamanan akses kontrol fisik seperti kuci dan penghalang dan alat
pengintai;
ü Memonitori akses fisik ke daerah yang terlindungi;
ü Merekrut staf keamanan fisik;
ü Pemeliharaan denah yang menunjukkan area dengan akses terbatas kontrol keamanan yang relevan.
ü Memonitori akses fisik ke daerah yang terlindungi;
ü Merekrut staf keamanan fisik;
ü Pemeliharaan denah yang menunjukkan area dengan akses terbatas kontrol keamanan yang relevan.
Metriks
Metriks manajemen keamanan dibutuhkan
untuk memastikan bahwa organisasi dapat memenuhi syarat keamanan baik internal
maupun eksternal dalam SLA, kontrak, legislasi, dan penguasaan. Metriks dapat
digunakan untuk kegunaan ini termasuk:
- Banyaknya kejadian yang berhubungan dengan keamanan waktu per unit;
- Persentase kejadian yang berhubungan dengan keamanan yang berdampak pada pelayanan pengguna;
- Banyaknya masalah audit keamanan dan resiko yang diidentifikasi;
- Persentase masalah audit keamanan dan resiko yang diperbaiki;
- Banyaknya prubahan dan perilisan back-out karena masalah keamanan;
- Waktu rata-rata untuk menginstal patches keamanan.
Peran
Manajer keamanan IT bertanggung jawab untuk menegaskan
kebijakan keamanan informasi dan menjalankan ISMS. Setelah semuanya telah
ditetapkan, pekerjaan manajer keamanan IT-lah untuk memastikan bahwa semua
kontrol yang dibutuhkan sudah ada pada tempatnya, orang-orang menyadari
kebijakan itu dan tanggung jawab mereka dan sistem keamanan telah berfungsi
dengan baik. Manajer keamanan IT adalah titik fokus untuk segala masalah
keamanan.
Peran operasional termasuk:
- Menjaga ketertiban dan melaporkan;
- Menyediakan dukungan dan bantuan teknis;
- Mengatur kontrol keamanan;
- Penyaringan individual;
- Menyediakan pelatihan dan kesadaran;
- Memastikan bahwa kontrol keamanan sudah dijadikan acuan pada dokumentasi operasional.
Manajer fasilitas bertanggung jawab
untuk keamanan fisik dalam situs organisasi dan fasilitas komputer.
Refrensi :
E-Book
: IT Service Management: A guide for ITIL Foundation Exam candidates 2nd
Edition, Kindle Editionby Ernest
Brewster (Author), Richard
Griffiths (Author), Aidan Lawes (Author), John Sansbury (Author)
Tidak ada komentar:
Posting Komentar