Manajemen informasi adalah kunci dari kesuksesan yang kompetitif
dalam semua sektor ekonomi.Karena kelangsungan sebuah bisnis
dipengaruhi oleh informasi
yang termanajemen dengan baik. Informasi ini disajikan dalam berbagai
format seperti : catatan, lisan, elektronik, pos,maupun audio visual.
Pengontrolan ditujukan untuk memastikan bahwa CBIS telah
diimplementasikan seperti yang direncanakan, system beroperasi seperti
yang dikehendaki, dan operasi tetap dalam keadaan aman dari
penyalahgunaan atau gangguan. Properti Sistem Yang Memberikan Keamanan Sebuah system harus mempunyai tiga property (sifat), yaitu :
- Integritas, system akan mempunyai integritas bila ia berjalan menurut spesifikasinya. Perancang system berusaha untuk mengembangkan system yang mempunyai integritas fungsional, yaitu kemampuan untuk melanjutkan operasi, apabila salah satu atau lebih dari komponennya tidak berjalan.
- Audibilitas, ia akan bersifat audible jika ia memiliki visibilitas dan accountability (daya perhitungan). Bila system memiliki audibilitas maka mudah bagi seseorang untuk memeriksa, memverifikasi atau menunjukkan penampilannya.
- Daya kontrol, daya kontrol memungkinan manajer untuk menangani pengerahan atau penghambatan pengaruh terhadap system. Teknik yang efektif untuk mendapatkan daya kontrol system ini adalah dengan membagi system menjadi subsistem yang menangani transaksi secara terpisah.
Tujuan manajemen informasi adalah untuk melindungi kerahasiaan,
integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai
penipuan, spionase, virus, dan hackers mengancam informasi bisnis
manajemen, hal ini disebabkan keterbukaan informasi dan kurangnya
kendali/control yang dilakukan melalui teknologi informasi modern.
Sebagai konsekuensinya
-People
Manusia adalah penghubung utama dalam program keamanan informasi.
Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja
dalam program keamanan informasi. Aspek ini meliputi personil keamanan
dan keamanan personil dalam organisasi.
Copy the BEST Traders and Make Money : http://bit.ly/fxzulu
Physical Security yang memfokuskan strategi untuk mengamankan pekerja
atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai
ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana
alam. Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi. Operation Security yang memfokuskan strategi untuk mengamankan kemampuan
organisasi atau perusahaan untuk bekerja tanpa gangguan.Copy the BEST Traders and Make Money : http://bit.ly/fxzulu
Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
A. PENTINGNYA KONTROL
* untuk memastikan bahwa CBIS telah diimplementasikan seperti yang direncanakan, system beroperasi seperti yang dikehendaki, dan operasi tetap dalam keadaan aman dari penyalahgunaan atau gangguan.
* untuk memberi dukungan kepada manajer dalam
mengontrol area operasinya
B. TUGAS KONTROL CBIS
Mencakup semua fase siklus hidup, selama siklus hidup dibagi menjadi kontrol-kontrol yang berhubungan dengan pengembangan sistem, desain dan operasi
* Metode Untuk Mendapatkan dan Memelihara Kontrol CBIS
1. Manajemen dapat melakukan kontrol langsung
2. Manajemen mengontrol CBIS secara tidak langsung dengan terus menerus melalui CIO.
3. Manajemen mengontrol CBIS secara tidak langsung berkenaan dengan proyeknya melalui pihak ketiga
AREA PENGONTROLAN CBIS
KONTROL PROSES PENGEMBANGAN
Untuk memastikan bahwa CBIS yg diimplementasikan dapat memenuhi kebutuhan pemakai atau berjalan sesuai rencana harus menjalani tahapan/fase yang antara lain :
* Fase Perencanaan
Mendefinisikan tujuan dan kendala
* Fase Analisis & Disain
> Mengidentifikasi kebutuhan informasi
> Menentukan kriteria penampilan
> Menyusun disain dan standar operasi CBIS
* Fase Implementasi
> Mendefinisikan program pengujian yang dapat diterima
> Memastikan apakah memenuhi criteria penampilan
> Menetapkan prosedur utk memelihara CBIS
* Fase Operasi & Kontrol
> Mengontrol CBIS selagi berevolusi selama fase SLC
> Memastikan bahwa CBIS yang diimplementasikan dapat memenuhi kebutuhan
Yang termasuk dalam kontrol proses pengembangan, yaitu :
- Manajemen puncak menetapkan kontrol proyek secara keseluruhan selama fase perencanaan dengan cara membentuk komite MIS
- Manajemen memberitahu pemakai mengenai orientasi CBIS
- Manajemen menentukan kriteria penampilan yang digunakan dalam mengevaluasi operasi CBIS.
- Manajemen dan bagian pelayanan informasi menyusun disain dan standar CBIS
- Manajemen dan pelayanan informasi secara bersama-sama mendefinisikan program pengujian yang dapat diterima
- Manajemen melakukan peninjauan sebelum instalasi yang dilakukan tepat setelah penggantian dan secara berkala meninjau CBIS untuk memastikan apakah ia memenuhi kriteria penampilan.
- Bagian pelayanan informasi menetapkan prosedur untuk memelihara dan memodifikasi CBIS dan prosedur yang disetujui oleh manajemen.
* Tujuan untuk memastikan bahwa disainnya bisa meminimalkan kesalahan, mendeteksi kesalahan dan mengoreksinya.
* Kontrol tidak boleh diterapkan jika biayanya lebih besar dari manfaatnya. Nilai atau manfaat adalah tingkat pengurangan resiko.
* Selama fase disain dan analisis dari siklus hidup system, Analis System, DBA dan Manajer Jaringan membangun fasilitas kontrol tertentu dalam disain system. Selama fase implementasi, programmer menggabungkan kontrol tersebut ke dalam system. Disain system dikontrol dengan cara menggabungkan kontrol software menjadi lima bagian pokok, yaitu :
Permulaan Transaksi (Transaction Origination)
* Tahap-tahap yang harus dilakukan pada permulaan transaksi :
1. Permulaan Dokumentasi Sumber
> Perancangan dokumentasi
> Pemerolehan dokumentasi
> Kepastian keamanan dokumen
1. Permulaan Dokumentasi Sumber
> Perancangan dokumentasi
> Pemerolehan dokumentasi
> Kepastian keamanan dokumen
2. Kewenangan
> Bagaimana entry data akan dibuat menjadi dokumen dan oleh siapa
3. Pembuatan Input Komputer
> Mengidentifikasi record input yang salah dan memastikan semua data input
diproses
4. Penanganan Kesalahan
> Mengoreksi kesalahan yang telah dideteksi dan menggabungkan record yg telah dikoreksi ke record entry
5. Penyimpanan Dokumen Sumber
> Menentukan bagaimana dokumen akan disimpan dan dalam kondisi
bagaimana dapat dikeluarkan
Manfaat manajemen
kontrol keamanan pada sistem :
1. Mencegah kesalahan dalam penyediaan sumber daya, perencanaan, dan
control yang tidka cukup di tingkat manajemen.
2. dalam employee : mencegah eror, pencurian, penipuan, sabotase, dan
penggunaan yang tidak sah.
dan sebagainya.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program
khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam
manajemen keamanan informasi dikenal sebagai 6P yaitu :
- Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga
tahapannya yaitu:
1) Strategic planning yang dilakukan oleh tingkatan tertinggi dalam
organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
2) Tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam
periode yang lebih singkat, misalnya satu atau dua tahunan,
3) Operational planning memfokuskan diri pada kinerja harian organisasi.
Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah
aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan
implementasi strategi keamanan informasi supaya diterapkan dalam
lingkungan teknologi informasi.
Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
* Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi,
mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan
yang membahayakan sumberdaya informasi dan aset organisasi, ketika
insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak
aset informasi. Insiden merupakan ancaman yang telah terjadi dan
menyerang aset informasi, dan mengancam confidentiality, integrity atau
availbility sumberdaya informasi. Insident Response Planning meliputi
incident detection, incident response, dan incident recovery.
* Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang
dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya
sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan
efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat
kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan
yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk
melakukan pemulihan.
* Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi
tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis
organisasi dan sumberdaya pendukungnya merupakan tugas utama business
continuity planning. Jika terjadi bencana, BCP bertugas menjamin
kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang
diperhitungkan dalam BCP adalah biaya.
- Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise Information Security Policy (EISP) menentukan kebijakan
departemen keamanan informasi dan menciptakan kondisi keamanan informasi
di setiap bagian organisasi.
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang
menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari
segi keamanan informasi pada setiap teknologi yang digunakan, misalnya
e-mail atau penggunaan internet.
System Spesific Policy (SSP) pengendali konfigurasi penggunaan
perangkat atau teknologi secara teknis atau manajerial.
- Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus
diatur dalam beberapa bagian. Salah satu contohnya adalah program
security education training and awareness. Program ini bertujuan untuk
memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan
meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai
peningkatan keamanan informasi organisasi.
- Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen
resiko, meliputi perkiraan resiko (risk assessment) dan pengendali,
termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi
baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan
aplikasi dari aspek-aspek dalam rencana keamanan informasi.
-People
Manusia adalah penghubung utama dalam program keamanan informasi.
Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja
dalam program keamanan informasi. Aspek ini meliputi personil keamanan
dan keamanan personil dalam organisasi.
Copy the BEST Traders and Make Money : http://bit.ly/fxzulu
Copy the BEST Traders and Make Money : http://bit.ly/fxzulu
Manfaat manajemen
kontrol keamanan pada sistem :
1. Mencegah kesalahan dalam penyediaan sumber daya, perencanaan, dan
control yang tidka cukup di tingkat manajemen.
2. dalam employee : mencegah eror, pencurian, penipuan, sabotase, dan
penggunaan yang tidak sah.
dan sebagainya.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program
khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam
manajemen keamanan informasi dikenal sebagai 6P yaitu :
- Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga
tahapannya yaitu:
1) Strategic planning yang dilakukan oleh tingkatan tertinggi dalam
organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
2) Tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam
periode yang lebih singkat, misalnya satu atau dua tahunan,
3) Operational planning memfokuskan diri pada kinerja harian organisasi.
Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah
aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan
implementasi strategi keamanan informasi supaya diterapkan dalam
lingkungan teknologi informasi.
Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
* Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi,
mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan
yang membahayakan sumberdaya informasi dan aset organisasi, ketika
insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak
aset informasi. Insiden merupakan ancaman yang telah terjadi dan
menyerang aset informasi, dan mengancam confidentiality, integrity atau
availbility sumberdaya informasi. Insident Response Planning meliputi
incident detection, incident response, dan incident recovery.
* Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang
dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya
sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan
efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat
kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan
yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk
melakukan pemulihan.
* Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi
tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis
organisasi dan sumberdaya pendukungnya merupakan tugas utama business
continuity planning. Jika terjadi bencana, BCP bertugas menjamin
kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang
diperhitungkan dalam BCP adalah biaya.
- Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise Information Security Policy (EISP) menentukan kebijakan
departemen keamanan informasi dan menciptakan kondisi keamanan informasi
di setiap bagian organisasi.
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang
menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari
segi keamanan informasi pada setiap teknologi yang digunakan, misalnya
e-mail atau penggunaan internet.
System Spesific Policy (SSP) pengendali konfigurasi penggunaan
perangkat atau teknologi secara teknis atau manajerial.
- Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus
diatur dalam beberapa bagian. Salah satu contohnya adalah program
security education training and awareness. Program ini bertujuan untuk
memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan
meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai
peningkatan keamanan informasi organisasi.
- Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen
resiko, meliputi perkiraan resiko (risk assessment) dan pengendali,
termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi
baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan
aplikasi dari aspek-aspek dalam rencana keamanan informasi.
-People
Manusia adalah penghubung utama dalam program keamanan informasi.
Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja
dalam program keamanan informasi. Aspek ini meliputi personil keamanan
dan keamanan personil dalam organisasi.
Copy the BEST Traders and Make Money : http://bit.ly/fxzulu
Copy the BEST Traders and Make Money : http://bit.ly/fxzulu
SUMBER:
Tidak ada komentar:
Posting Komentar