7 Oktober 2011

Pengendalian Sistem Informasi Keamanan Perusahaan

Perusahaan Infrastruktur Teknologi Informasi (ITI) modern seperti yang kita kenal sekarang telah berkembang selama bertahun-tahun sejak pertengahan 1940-an. Beberapa Perusahaan ITI sekarang ini telah memiliki prosesor komputer tinggi dengan banyak ruang penyimpanan dengan kecepatan. Perkembangan IT telah membuat pergeseran fokus dari sentralisasi menjadi desentralisasi, distribusi komputasi, jaringan dalam perusahaan.

Semua perkembangan yang semakin kompleks telah membawa segudang permasalahan pada keamanan jaringan perusahaan.
Pengendalian atas perusahaan keamanan mampu meminimalisir pada efek masalah infrastruktur keamanan perusahaan. Beberapa tindakan Pengendalian Sistem Informasi Keamanan Perusahaan (SIKP) dapat dilakukan dengan :

1. Melakukan pendekatan holistik untuk keamanan
Keamanan perusahaan yang sukses memerlukan perencanaan yang baik dan strategi keamanan dengan pendekatan holistik yang mempertimbangkan segala sesuatu dalam organisasi, mulai dari proses bisnis dengan orang-orang secara berkelanjutan. Solusi teknis sebagai reaksi atas pelanggaran keamanan dapat ditekan bila elemen dalam struktur organisasi telah merencanakan pengendalian eksternal dengan menerapkan prosedur tetap.

2. Mengembangkan program/Kebijakan Keamanan Perusahaan keamanan
Perusahaan perlu mengembangkan program keamanan yang menguraikan tugas pokok, fungsi, kebijakan, prosedur, standar dan pedoman untuk keamanan perusahaan.
Peran: Pemberian tanggung jawab atas informasi data perusahaan kepada petugas yang membidangi, misalnya Kepala Jaringan Keamanan Jaringan Internet mempunyai tanggung jawab untuk memastikan prosedur tetap keamanan yang baik bagi perusahaan.

Kebijakan: Ini merupakan kebijakan secara umum yang menetapkan persyaratan wajib untuk memastikan tingkat keamanan minimum. Contoh : Penggunaan Kebijaksanaan atas e-mail yang diterima, kebijakan penggunaan internet, kebijakan menggunakan perangkat Mobile dan lainnya.

Standar: ini tindak lanjut atas kebijakan, meletakkan langkah-langkah tertentu atau proses yang diperlukan untuk memenuhi persyaratan tertentu. Misalnya persyaratan bahwa semua komunikasi email sudah dienkripsi.

3. Manajemen Risiko - Secara terus menerus
Manajemen risiko adalah proses identifikasi risiko, penilaian risiko, dan mengambil langkah-langkah untuk mengurangi risiko ke tingkat yang dapat diterima. Hal ini melibatkan identifikasi aset dalam perusahaan yang Anda butuhkan untuk mengamankannya, hal ini dapat mencakup sumber daya manusia, teknologi, rahasia dagang, paten, hak cipta dan lain-lain.
Selanjutnya mengidentifikasi semua risiko yang mungkin yang dapat mempengaruhi kondisi perusahaan, kerahasiaan dan integritas dari aset-aset ini. Manajemen kemudian dapat memutuskan apa yang harus dilakukan dengan risiko yang teridentifikasi; risiko dapat dikurangi atau dipindahkan ke pihak ketiga seperti perusahaan asuransi. Resiko selalu ada setiap saat sehingga penerapan manajemen resiko harus dilakukan secara terus menerus.

4. Standar Praktek Industri terbaik
Selain kebutuhan untuk mengelola TI, kebutuhan perusahaan lainnya adalah membangun dan menerapkan standar praktik terbaik dan proses untuk mengoptimalkan layanan TI serta memberikan kepercayaan keprofesionalan. Sejumlah standar yang diakui secara internasional dapat diajukan untuk menggambarkan proses infrastruktur pengelolaan teknologi keamanan perusahaan.
Contoh termasuk:
COBIT - Control Objective for Information and related Technology
ITIL - Information Technology Infrastructure Library
ISO/IEC 27001

5. Memperhatikan keamanan lingkungan
Keamanan lingkungan sekitar perusahaan sangat penting untuk diperhatikan dalam perlindungan aset informasi dan Infrastruktur Sistem Informasi Keamanan Perusahaan. Memperhatikan Keamanan lingkungan dan meminimalisir dampak lingkungan perusahaan dapat dilakukan dengan beberapa cara seperti penjaga pengawas keamanan atau tersedia alat deteksi keamanan misalnya, alarm, CCTV. Tindakan lainnya seperti pembuatan pagar, pencahayaan yang terang, Biometrics kontrol dan lain-lain. Lingkungan dan desain, suhu ruang server, kelembaban, AC, listrik statis, pencegah kebakaran dan deteksi kebakaran, genset dan cadangan listrik (baterai), semuanya juga membantu dalam Sistem Informasi Keamanan Perusahaan.

6. Penyaringan dan Inpeksi untuk solusi Penyebaran konten perusahaan
Sebagai konten, (email, traffik internet dan lain-lain) bergerak masuk dan keluar dari perusahaan, ada kebutuhan untuk hal itu yang harus dikelola dengan baik untuk menghindari gangguan keamanan apapun dan serangan. Pengendalian dapat mencakup:

  1. Web filter untuk menegakkan kebijakan organiasasi penggunaan Internet melalui penyaringan konten, memblokir aplikasi, dan perlindungan terbaik pada spyware.
  2. Spam filter / Firewall untuk melindungi server email Anda dari serangan spam, virus, spoofing, phishing dan spyware.
  3. Solusi Manajemen Ancaman Terpusat : Beberapa perusahaan memilih untuk menyebarkan solusi Manajemen Ancaman Terpusat yang menawarkan fungsionalitas industri terkemuka dalam satu paket termasuk Intrusion Prevention System; Antivirus dengan antispam, Web Filtering, AntiSpam, Firewall, SSL - VPN, Traffic Shaping dan banyak lagi.


7. Manajeman Jaringan Perusahaan
Seperti yang kita ketahui bahwa ada peningkatan terhadap gangguan keamanan yang berasal dari dalam perusahaan; oleh karena itu sangatlah penting untuk melakukan manajemen pada bagian-bagian dalam jaringan perusahaan dengan baik. Manajemen Jaringan di dalam perusahaan dapat dilakukan dengan :

  • Mengambil inventarisasi dari semua software resmi dan tidak sah dan perangkat lain pada jaringan.
  • Pemeliharaan, Pemantauan, dan Analisis Audit Log
  • Penilaian Kerentanan kontinyu, manajemen patch dan Remediasi
  • Pembatasan dan Pengendalian Terminal Jaringan, Protokol, dan Service.


8. Memiliki Manajemen Identitas dan Sistem Hak
Manajemen identitas sangat vital dan penting untuk menghindari pelanggaran hak identitas pengguna dan rights issue yang berlebihan. Membuat prosedur tetap, pedoman dan sistem untuk manajemen identitas, yang melibatkan pendaftaran pengguna, perubahan hak pengguna, penghapusan hak-hak, reset user password yang hilang. Hal ini juga berlaku pada Penggunaan Akses Administrasi Khusus. Apakah ada akses tertentu di perusahaan berdasarkan prioritas atas kebutuhan administrasi? Misalnya haruskah setiap orang dalam perusahaan memiliki akses ke database penggajian, laporan keuangan?!

9. Perhatian pada Data Loss Prevention (DLP).
Pencegahan kehilangan data memberikan pertimbanan atas keamanan data, baik dalam tetap maupun tidak tetap. Dengan banyaknya perangkat portabel dan memori stick yang memiliki banyak ruang penyimpanan seperti flash disk, HD eksternal, sangat mudah bagi seseorang untuk mencopy banyak data perusahaan pada media removable hanya dalam hitungan detik. Banyak cerita seorang karyawan menjual database penting perusahaan pada perusahaan pesaing.

Data Loss Prevention atau Pencegahan hilangnya data meliputi alat-alat yang mencegah kebocoran data yang disengaja, termasuk perangkat dan port control, enkripsi (baik hard drive dan removable enkripsi-media). Juga bagaimana perusahaan Anda menangani hard disk yang memiliki informasi sensitif dan perlu untuk dimusnahkan?

Bagaimana dengan dokumen kertas? Saya yakin, orang bisa mendapatkan banyak informasi dengan menggunakan tempat sampah di tempat sampah perusahaan mencari informasi penting perusahaan. Tidak ada alasan bagi perusahaan untuk tidak menghancurkan dokumen kertas penting, mengingat alat penghancur kertas, CD, plastik banyak tersedia di pasaran.

10. Menggunakan bantuan pihak lain
Mengamankan aset informasi menjadi lebih penting setiap hari, sayangnya banyak perusahaan tidak menganggap hal itu penting bila belum ada kejadian terhadap gangguan keamanan perusahaan.
Anda dapat membayangkan biaya langsung bila tidak proaktif pada keamanan informasi tersebut, yang dapat mencakup, biaya untuk memulihkan data yang hilang atau data telah diubah oleh pelaku, biaya untuk memberitahu pelanggan bila gangguan keamanan, denda untuk biaya pelanggaran kesepakatan. Dampak lainnya adalah kehilangan pelanggan, kehilangan produktivitas, waktu yang dihabiskan menyelidiki / penyelesaian pelanggaran dan pemalsuan, dan masih banyak lagi.

Oleh karena itu sangatlah penting untuk mencari bantuan pihak lain dari sebuah perusahaan konsultan eksternal atau jika perlu, untuk membantu dalam bidang seperti:

  • Melakukan audit, Pengujian TI, Penetrasi alias "hacking" pada jaringan infrastruktur perusahaan.
  • Membantu pelatihan kesadaran keamanan informasi untuk staf Anda dan lain-lain.

Sangat penting untuk dicatat bahwa mengamankan aset informasi dalam suatu perusahaan bukan satu kali saja, tetapi adalah proses berkelanjutan yang membutuhkan upaya berkesinambungan dan dukungan dari manajemen puncak, hal ini karena ancaman terhadap sistem informasi terus berkembang dan berubah setiap hari.

Jika anda membutuhkan keamanan sistem infrastruktur jaringan informasi pada perusahaan atau bisnis anda untuk meningkatkan kepercayaan pelanggan dan membuat lebih banyak pelanggan anda, silahkan klik disini!!

1 komentar:

Pengamanan informasi dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI. Dengan ISO/IEC 27001:2005 adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. hubungi isokonsultindo untuk info lebih lanjut

Posting Komentar