Wednesday, 4 February 2015

Perlindungan Terhadap Aset Informasi

Banyak perusahaan yang sudah menggunakan media informasi sebagai pelengkap kebutuhan dalam melakukan proses bisnis. Informasi ini kemudian menjadi salah satu aset milik perusahaan. Maka perlindungan akan aset informasi sudah mulai diperlukan. Pertama, mengidentifikasi ancaman yang memungkinkan suatu aset informasi menjadi rentan dan memberikan resiko terhadap perusahaan. Ancaman tersebut dapat dihasilkan dari bencana alam maupun faktor manusia.
Ancaman oleh manusia dapat disengaja ataupun tidak disengaja. Ancaman yang disengaja antaran lain, sabotase, data modifying, dan pencurian data. Sedangkan ancaman yang tidak disengaja diantarannya adalah ketidaksengajaan oleh user yang dapat mengaktifkan bug dalam aset informasi tersebut. Oleh karena itu, perlu membatasi orang-orang dalam mengakses aset informasi tersebut, instalasi software proteksi seperti antivirus, merekam setiap jejak orang yang mengkases aset informasi tersebut serta menyediakan tempat untuk back-up data.
Bencana alam yang dapat terjadi berupa banjir, power outrage, kebakaran, mati lampu, petir, gempa bumi, dan lain sebagainya. Pertama yang perlu dilihat adalah letak geografis lokasi aset informasi milik perusahaan. Kemudian mengidentifikasi dengan membuat daftar bencana alam yang berpeluang paling tinggi di daerah tersebut. Setelah itu, menentukan skala prioritas aset informasi  dengan dampak yang akan diberikan kepada perusahaan.  
Setelah mengidentifikasi ancaman selanjutnya membentuk set perlindungan terhadap aset informasi tersebut. Set tersebut harus memenuhi 3 kriteria penting yang menentukan proses keamanan terhadap aset informasi.  Kriteria tersebut adalah proses keamanan yang simpel, logika yang mudah dipahami dan proses keamanan yang mengikuti standar.
Proses keamanan harus mudah dijalankan agar user yang bertanggungjawab atas keamanan tidak mengalami kesulitan. Dengan adannya kesulitan dalam proses keamanan maka kinerja user akan menurun dan dapat berdampak kepada menurunya produktifitas perusahaan.
Logika proses keamanan harus disesuaikan dengan critical level pada dampak kerugian yang akan diterima oleh perusahaan. Semakin rumit logika proses keamanan untuk aset informasi maka aset tersebut memiliki dampak yang critical bagi perusahaan.
Proses keamanan harus mengikuti standar untuk memudahkan proses evaluasi. Standar ini diperlukan agar tim audit dapat memeriksa apakah keseluruhan aset informasi yang dimiliki perusahaan sudah mengikuti standar international dan nasional.
Setelah itu, memperhatikan dan mengidentifikasi ancaman untuk melindungi aset informasi perusahaan. Selanjutnya perlu diperhatikan teknik-tehnik dalam pemberian control terhadap perlindungan aset informasi dalam perusahaan. Control yang diberikan diantaranya berupa pembuatan restricted zone, back-up media, logical security control, dan controlling access.
Restricted zone ini ditujukan untuk pengamanan infomasi aset yang bersifat sensitif dan yang memerlukan pengamanan dengan kriteria terbaik bagi perusahaan. Untuk memasuki restricted zone diperlukan controlling access berupa Technical Security Standart for Information (TSSIT).
Back-up media adalah pra sarana untuk penyimpanan data yang memiliki tujuan untuk mencegah atau menghidari kemungkinan terburuk dari human error atau natural disaster dengan membuat cadangan data di tempat-tempat yang berbeda. Jika terjadi kejadian yang tidak diinginkan maka perusahaan atau organisasi memiliki data recovery.
Monitoring access yang melibatkan security guards, electronic intrusion detection system, dan electronic access control system yang memiliki kemampuan merekam gerak gerik kegiatan dalam restricted zone.
Controlling access memerlukan authorizing access untuk keamanan aset informasi. Authorizing access diberikan kepada orang-orang dipercaya dalam pengelolaan informasi yang sensitif. Authorizing access memudahkan pemantauan orang-orang tersebut pada setiap kegiatan yang terjadi dalam restricted zone. Karena tidak semua orang dapat masuk ke dalam restricted zone.
Logical security control adalah satu set logic control terhadap suatu aset informasion. Tujuan utamannya yaitu mengontrol computer hardware dan software dari ancaman kejadian yang tidak diinginkan. Tujuan lainnya yaitu:

  • Mengidentifikasi user atau komputer yang memilik authorize access kepada network, data ataupun resources.
  • Membatasi akses kepada specific data atau resources.
  • Menciptakan audit trails system dan user activity. 
  • Mengambil langkah defensif dari gangguan
Langkah defensif dapat berupa access control software, antivirus software, smart cards, passwords, encryptions, serta audit trails.
  • Access control software: Pemberian batas kepada user dalam mengaksess resources pada computer system.
  • Antivirus software: Pemberian antivirus kepada software sensitive tujuannya tidak lain untuk mencegah virus masuk ke dalam sensitif information.
  • Passwords:  pemberian password tidak lain untuk memastikan bahwa orang tersbut adalah orang yang memiliki wewenang dalam mengakses software tersebut.
  • Smart cards: kartu yang berisikan keoriginalitas user tersebut. Apakah user tersebut memiliki autoritas dalam kegunaanya atau tidak.
  •  Encryption: adalah teknik dimana plaintext diacak sedemikian rupa yang mengakibatkan plaintext tersebut susah dikenali. Tujuannnya untuk melindungi data.
  • Audit Trails: adalah visible trail dimana fakta-fakta dapat diungkap dan dapat dianalisis. Tujuannya yaitu untuk menjejak setiap kegiatan.
Jika suatu set keamanan sudah terbentuk maka proses selanjutnya adalah pembentukan perancangan mitigasi. Perancagan mitigasi ditujukan untuk user yang memiliki wewenang dan akses kepada aset informasi.


Sumber: Institute, SANS. "SANS Institute InfoSec Reading Room." Protection Information Asets 1.3 (2002): 15. Protection Information Asets. Sans Institute. Web. 4 Feb. 2015. <https://www.sans.org/reading-room/whitepapers/basics/protection-information-asets-594>.
Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)