ª Apa tujuan dari informasi perlu diamankan ? Jelaskan dan berikan contoh jawaban anda
Tujuan informasi perlu diamankan ada 3, yaitu:
1. Kerahasiaan
Cara perusahaan untuk melindungi data dan informasi dari pengguna / orang2 yang tidak memiliki otoritas. Ini menetapkan komitmen perusahaan untuk melindungi informasi pribadi yang dikumpulkan atau digunakan oleh peusahaan dalam pelaksanaan kegiatan usaha yang dilakukan perusahaan. Lingkup ini mencakup pengumpulan serta penggunaan informasi pribadi milik karyawan, pelanggan, pemasok atau supplier serta pihak ketiga lainnya. Secara global, perusahaan akan memastikan para afiliasinya untuk, membuat, menetapkan, serta menerapkan prosedur-prosedur resmi yang konsisten dan sesuai dengan kebijakan ini.
Contoh: di setiap perusahaan pasti ada database yang berisikan rahasia perusahaan yang mungkin jika saja dipublishkan akan menjadi ancaman perusahaan tersebut. Seperti contoh: akhir-akhir ini Cafe X memiliki omset yang turun drastis karena pelanggan tamu yang kurang dilakukan sopan. Jika hal ini diketahui pesaingnya, maka bisa saja cafe tersebut gulung tikar. Untuk itu pihak dari Cafe X harus merahasiakan hal ini.
2. Ketersediaan
Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memilki wewenang untuk menggunakannnya. Availability yang dimaksud adalah ketersediaan sumber informasi. Jika sebuah sumber informasi tidak tersedia ketika dibutuhkan, bahkan bisa lebih buruk lagi. Ketersediaan ini bisa terpengaruh oleh faktor teknis, faktor alam maupun karena faktor manusia. Meskipun ada tiga faktor yang berpengaruh, tetapi umumnya manusia adalah link paling lemahnya. Karenanya, wajar jika Anda perlu memperhatikan perlunya menggunakan tools untuk data security, misalnya sistem backup atau anti virus.
Contoh: Antivirus yang tersedia juga harus up to date, misalnya jika ada virus masuk ke dalam system dapat dikendalikan dengan otomatis. Dengan demikian informasi yang sudah ada dapat terjaga dengan baik.
3. Integritas
Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem secara keseluruhan.
Tiga prinsip dasar yang digunakan untuk menerapkan pengendalian integritas :
1. Memberikan akses dalam rangka need-to-know-basis. Akses berdasarkan kerangka need-to-know-basis ini harus memungkinkan terjadinya control maksimal dengan pembatasan seminimal mungkin terhadap user.
2.Pemisahan tugas (Separation of duties). Untuk memastikan bahwa tidak ada satu orang karyawan pun yang mengendalikan sebuah transaksi dari awal sampai akhir, dua atau lebih orang harus bertanggung jawab untuk melakukanya.
3.Rotasi Tugas. Penugasan suatu pekerjaan harus diubah secara periodic sehingga mempersulit user dalam berkolaborasi untuk mengendalikan sepenuhnya sebuah transaksi dan mengalihkanya untuk tujuan terlarang.
Contohnya sebuah perusahaan harus memiliki orang terpercaya agar kerahasiaan perusahaan tetap terjaga, tidak ada penyisipan, pensubstitusian dan penghapusan data perusahaan oleh orang luar
ª Apa yang dilakukan oleh manager apabila informasi tidak akurat, tidak aman dan tidak relevan ?
Yang harus dilakukan oleh seorang manajer jika informasi tidak akurat, tidak aman dan tidak relevan adalah manajer tersebut harus bias merevisi kembali apakah informasi tersebut bisa dipakai dalam mengambil sebuah keputusan, jika tidak maka para manajer harus mencari informasi yang lebih akurat, aman dan relevan.
ª Bagaimana tahapan2 dalam mengamankan informasi ? Jelaskan
- keamanan Fisik.
Amankah hardware kita? Perlu dipikirkan bahwa komputer server atau desktop kita adalah pintu untuk masuk-ke dan keluar-dari system informasi kita. Bayangkan kalau seseorang yang tidak berhak tiba-tiba berada di depan komputer server. Entah apa yang terlintas dalam benaknya dan apa yang dapat dia lakukan terhadap server tersebut. Bagaimana kalau dia iseng? Atau memang ada niat jahat? Kalau sekedar memadamkan server sih masih mending. Tetapi kalau sudah sampai membawa lari server tersebut? Yang jelas, harus diperhatikan keamanan hardware system informasi kita. Keamanan secara fisik umumnya diberikan pada komputer server. Tetapi tidak menutup kemungkinan juga diterapkan pada komputer client/workstation. Misalnya diberikan ruang khusus dengan kondisi ruang yang terjaga (misalnya suhunya, kelembabannya, penerangan, dan lain-lain ), penerapan system keamanan (dengan sensor gerak, sensor cahaya, dan lain-lain), system pemadam kebakaran yang canggih ( Bukan dengan air, bisa korslet! Tetapi dengan memvakumkan atau menghampa-udarakan ruangan ), dan lain-lain.
- keamanan Personal.
Dalam sebuah buku yang dikarang oleh seorang hacker, ternyata salah satu cara agar hacker tersebut dapat menembus keamanan system informasi dan komunikasi adalah dengan pendekatan personal atau sosialisasi yang baik dengan karyawan/operator pengguna sistem. Ada metode pendekatan sang hacker/cracker agar dapat memperoleh cara (biasanya berupa prosedur dan password) dari "orang-dalam" dari pengguna sistem. Bisa saja hacker tersebut dekat dengan wanita operator sebuah sistem, dan si hacker tadi berhasil mengorek password sistem. Atau juga ada hacker yang berpura-pura sebagai karyawan suatu perusahaan dan meminta System Administrator untuk mengubah password seorang operator. Dengan demikian hacker tersebut dapat memperoleh password dari operator tadi. Banyak cara yang dilakukan oleh hacker dan cracker untuk membobol system dari pendekatan personal, baik dengan cara halus, dan lain-lain.
- Data, media dan teknik, pada tahapan ini menitikberatkan kepada keamaman teknis bagaimana data tersebut disimpan dan media yang digunakan untuk mengirim data tersebut ke tempat lain. Dalam hal ini kita biasanya menggunakan teknik keamanan seperti enkripsi data, penggunaan ssh untuk mentransfer informasi tersebut melalui internet dan berbagai teknik lain yang bisa kita gunakan. Nah, biasanya tahapan ini dipelajari di kampus-kampus melalui mata kuliah keamanan data dan jaringan.
- Kebijakan dan Prosedur. Nah pada tahapan ini adalah cenderung kearah pembuatan standar operasional prosedur dari instansi atau perusahaan dalam menggunakan sistem tersebut. Biasanya bagian divisi IT mengembangkan SOP dalam penggunaan sistem informasi dan harus dijalankan oleh seluruh karyawan agar sistem tersebut aman. Seaman apapun sistem informasi dengan teknik enkripsi 512bit sekalipun jika tidak didukung oleh SOP yang baik maka sistem tersebut masih dikatakan ada hole-nya yang bisa dimasuki oleh hacker.
Tidak ada komentar:
Posting Komentar