2. Empat Komponen Dokumentasi Keamanan
Kebijakan (Policies),
Standar (Standards),
Prosedur (Procedures), dan
Pedoman (Guidelines)
2
3. Kebijakan Keamanan (Security policy)
Kebijakan adalah pernyataan persyaratan tingkat
tinggi.
Kebijakan keamanan adalah cara menyatakan
harapan keamanan dari manajemen untuk
pengembang, pemelihara, dan pengguna sistem
informasi.
3
4. Kebijakan Keamanan (Security policy)
adalah dokumen yang menjelaskan persyaratan
keamanan organisasi.
menentukan apa yang harus dilakukan, bukan
bagaimana; juga tidak menentukan teknologi atau
solusi spesifik.
Kebijakan keamanan menentukan niat dan ketentuan
khusus yang akan membantu melindungi aset
organisasi dan kemampuannya untuk menjalankan
bisnis.
4
5. Kebijakan Keamanan (Security policy)
Untuk manajer, kebijakan keamanan mengidentifikasi
ekspektasi manajemen senior tentang peran, tanggung jawab,
dan tindakan yang harus diambil oleh manajemen terkait
dengan kontrol keamanan.
Untuk staf teknis, kebijakan keamanan mengklarifikasi kontrol
keamanan mana yang harus digunakan di jaringan, di fasilitas
fisik, dan di sistem komputer.
Untuk semua karyawan, kebijakan keamanan menjelaskan
bagaimana mereka harus berperilaku saat menggunakan
sistem komputer, email, telepon, dan pesan suara.
5
6. Pengembangan Kebijakan Keamanan
Saat mengembangkan kebijakan keamanan, salah
satu pendekatan yang dapat digunakan adalah
berfokus pada:
Tujuan (Purpose)
Tanggung jawab (Responsibilities)
Cakupan (Scope)
Isi (Content)
6
14. Security Standards
Standar lebih rinci dari pada kebijakan.
Standar menggambarkan bagaimana cara mematuhi kebijakan
Standar adalah perluasan kebijakan ke dunia nyata, standar menentukan
pengaturan, platform, atau perilaku teknologi.
menentukan cara mengonfigurasi perangkat, cara menginstal dan
mengonfigurasi perangkat lunak, cara menggunakan sistem komputer dan
aset organisasi lainnya agar sesuai dengan maksud kebijakan
Manajer keamanan yang bertanggung jawab atas infrastruktur TI biasanya
akan mengeluarkan biaya lebih banyak waktu menulis standar dari pada
kebijakan.
14
19. Security Procedures
Prosedur adalah instruksi langkah demi langkah untuk
melakukan tugas tertentu sesuai dengan kebijakan dan
standar.
Lebih detail dan lebih spesifik dari pada kebijakan dan
standar.
Jenis informasi khusus yang ditemukan dalam prosedur
biasanya sangat spesifik untuk pekerjaan tertentu.
19
24. Security Guidelines
Guidelines adalah saran (bukan aturan)tentang cara
mencapai tujuan kebijakan keamanan
sebagai alat komunikasi yang penting untuk
memberi tahu orang bagaimana mengikuti petunjuk
kebijakan.
menyampaikan best practices untuk menggunakan
sistem teknologi atau berperilaku sesuai dengan
preferensi manajemen.
24
25. Contoh Security Guidelines
Dalam contoh ini, aturan kompleksitas password dari
kebijakan kata sandi diterjemahkan ke dalam serangkaian
saran yang mudah diikuti.
Mungkin ada cara lain untuk memilih password agar
sesuai dengan kebijakan tersebut, namun pedoman ini
dimaksudkan untuk menyederhanakan proses bagi end
user.
Isinya lebih mudah dibaca dan dipahami semua orang,
tidak seperti standar dan prosedur.
25
30. Security Awareness
Manusia adalah elemen yang paling tidak dapat diprediksi
dan paling mudah untuk dieksploitasi
Karena tingginya tingkat kepercayaan yang diberikan kepada
karyawan, mereka adalah mata rantai terlemah dalam rantai
keamanan.
Penyerang akan sering “menambang” informasi dari karyawan
baik melalui telepon, komputer,atau cara lainnya.
30
31. Security Awareness (cont..)
Salah satu strategi paling efektif untuk memerangi pemaparan informasi
oleh staf/karyawan adalah dengan pendidikan.
Ketika karyawan memahami bahwa mereka tidak boleh memberikan
informasi pribadi, mengetahui alasannya, dan mengetahui bahwa mereka
akan dimintai pertanggungjawaban, mereka tidak akan dengan mudah
memberikan informasi tersebut.
Program kesadaran keamanan (Security Awareness) yang baik harus
mencakup komunikasi dan pengingat berkala kepada karyawan tentang
apa yang harus dan tidak boleh mereka ungkapkan kepada pihak luar.
Pelatihan dan pendidikan membantu mengurangi ancaman rekayasa sosial
(social engineering) dan kebocoran informasi.
31
32. Security Awareness (cont..)
Program Security Awareness yang berkelanjutan harus diterapkan
untuk semua karyawan.
Karyawan sering kali dengan sengaja atau tidak sengaja merusak
infrastruktur keamanan.
Karyawan diizinkan mengakses sumber daya informasi untuk
melakukan pekerjaan mereka.
End user memiliki akun sistem dan kata sandi yang diperlukan
untuk menyalin, mengubah, menghapus, dan mencetak informasi
rahasia, mengubah tingkat integritas informasi, atau mencegah
informasi tersedia untuk pengguna.
32
33. Security Awareness (cont..)
Membirkan pintu terbuka, memberikan informasi akun dan kata sandi
mereka, dan membuang kertas sensitif adalah praktik umum di sebagian
besar organisas.
Praktik inilah yang membahayakan program keamanan informasi.
Praktik-praktik tersebut yang ingin diubah dan dicegah oleh program
Security Awareness.
Staf yang sadar akan masalah keamanan dapat mencegah insiden dan
mengurangi kerusakan saat insiden benar-benar terjadi.
Karyawan adalah komponen yang berguna dari strategi keamanan yang
komprehensif.
33
34. Security Awareness (cont..)
Membirkan pintu terbuka, memberikan informasi akun dan kata sandi mereka,
dan membuang kertas sensitif adalah praktik umum di sebagian besar
organisas.
Praktik inilah yang membahayakan program keamanan informasi.
Praktik-praktik tersebut yang ingin diubah dan dicegah oleh program Security
Awareness.
Program Security Awareness dimaksudkan untuk mengubah perilaku,
kebiasaan, dan sikap.
Staf yang sadar akan masalah keamanan dapat mencegah insiden dan
mengurangi kerusakan saat insiden benar-benar terjadi.
Karyawan adalah komponen yang berguna dari strategi keamanan yang
komprehensif.
34
35. Penerapan Program Security Awareness
Setelah karyawan memahami masalah keamanan, mereka dapat berpikir
bagaimana dapat melakukan pekerjaan sesuai dengan kebijakan
keamanan, dan bagaimana mereka harus bereaksi terhadap insiden
keamanan. Misal:
Bagaimana menggunakan sistem teknologi informasi dengan aman.
Cara membuat dan mengelola kata sandi, cara melakukan transfer dan
pengunduhan file dengan aman, dan cara menangani lampiran email.
Cara melaporkan insiden keamanan, termasuk siapa yang harus diberi tahu
dan apa yang harus dilakukan selama dan setelah insiden, jangka waktu
pelaporan tersebut, dan apa yang harus dilakukan terkait aktivitas yang
tidak sah atau mencurigakan.
35
36. Penerapan Program Security Awareness
(cont..)
Program kesadaran keamanan harus menekankan bahwa
keamanan adalah prioritas utama manajemen.
Praktik keamanan harus diperlihatkan sebagai tanggung
jawab setiap orang dalam organisasi, mulai dari manajemen
eksekutif hingga setiap karyawan.
36
37. Penegakan Keamanan
Penegakan keamanan merupakan komponen yang sangat penting.
Menegakkan kebijakan keamanan memastikan kepatuhan dengan
prinsip dan praktik yang dimaksudkan perancang keamanan.
Tugas menegakkan kebijakan keamanan ini biasanya dibagi antara
departemen operasi keamanan dan SDM.
Departemen operasi keamanan bertanggung jawab untuk
mendeteksi dan melaporkan pelanggaran serta investigasi
selanjutnya, sedangkan SDM bertanggung jawab untuk mengambil
tindakan terhadap para pelanggar.
37