MANAJEMEN KONTROL KEAMANAN
Berikut
ini adalah jawaban dari soal v-class POSTTEST mata kuliah Analisis Kinerja
Sistem oleh Bu Yulia Chalri.
Langkah-langkah utama pelaksanaan program keamanan untuk
melindungi aset sistem informasi terdiri dari :
Gambar 1. Langkah Utama Program Keamanan |
1. Persiapan Rencana Pekerjaan
(Preparation of a Project Plan)
Perencanaan
proyek untuk tinjauan keamanan mengikuti item sebagai berikut:
- Tujuan review
- Ruang lingkup review
- Tugas yang harus dipenuhi
- Organisasi dari tim proyek
- Sumber anggaran (pendanaan)
- Jadwal untuk menyelesaikan tugas
2. Identifikasi Kekayaan
(Identification of Asset)
Kategori
asset:
- Personel (pengguna akhir, analis, programmer, operator, pegawai, security)
- Harsware (mainframe, minicomputer, microcomputer, disk, printer, communication lines, concentrator, terminal)
- Dokumentasi (sistem dan program, basis data, rencana dasar, insuransi, kontrak)
- Persediaan (alat-alat yang dapat dicairkan, kertas, tape, kaset)
- Data/informasi (file asli, file transaksi, file arsip)
- Software aplikasi (debitor, creditor, sales, inventory)
- Sistem Software (compilers, utilitas, DBMS, sistem operasi, software komunikasi, spreadsheets)
3. Penilaian Kekayaan (Valuation
of Asset)
Mengukur
penilaian kekayaan dengan cara penilaian kekayaan yang hilang (lost), waktu
periode untuk perhitungan atas hilangnya kekayaan, dan umur asset.
Gambar 2. Penilaian Kekayaan. |
4. Identifikasi Ancaman-ancaman
(Threats Identification)
Gambar 3. Ancaman. |
Sumber ancaman Eksternal:
- Kejadian alami (Nature / acts of god)
- h/w suppliers
- s/w suppliers
- kontaktor
- suppliers sumber daya lainnya
- competitor (sabotase, pengintaian, perkara hokum, masalah finansial secara wajar ataupun tidak terhadap competitor)
- hutang dan hak pemilik
- perpaduan (pelanggaran, sabotase, gangguan)
- pemerintahan
- lingkungan (gangguan, publisitas yang kurang baik)
- criminal/hackers (pencurian, sabotase, pengintaian, pemerasan)
Sumber ancaman Internal:
- manajemen (kesalahan dalam penyediaan sumber daya, perencanaan dan control yang tidak cukup)
- pegawai (kesalahan pemakai, pencurian, penipuan, sabotase, pemerasan, penggunaan layanan yang tidak sah)
- sistem yang tidak stabil (kesalahan hardware, kesalahan software, kesalahan fasilitas)
5. Penilaian Kemungkinan Ancaman (Threats Likelihood Assessments)
Sebagai contoh, perusahaan asuransi dapat menyediakan
informasi tentang kemungkinan terjadinya kebakaran api dalam satu waktu periode
tertentu.
6. Analisis Expose (Exposures
Analysis)
Tahap
analisis expose terdiri dari 4 tugas, yaitu:
- Identifikasi control ditempat
- Penilaian keandalan control ditempat
- Evaluasi kemungkinan bahwa insiden ancaman akan berhasil
- Menilai kerugian yang dihasilkan dari ancaman
7. Mengatur Kontrol (Adjust
Controls)
Cukupannya meliputi cara mengelola resiko, termasuk
kebijakan, prosedur, pedoman, praktek atau struktur organisasi yang dapat di
administrasikan, secara teknis, manajemen, atau sifat hukum.
8. Persiapan Laporan Keamanan (Prepare of Security Report)
Insiden keamanan informasi akan dikomunikasikan dengan cara yang memungkinkan tindakan korektif yang tepat waktu yang akan diambil. Pelaporan insiden formal dan prosedur tambahan akan dibentuk dan dikomunikasikan kepada semua pengguna. Tanggung jawab dan prosedur akan dibentuk untuk menangani insiden keamanan informasi setelah pelaporan.