This post is the same as "BAGAIMANAKAH MEMPERKUKUHKAN SISTEM PENGURUSAN MAKLUMAT PENDIDIKAN (EMIS) DARI SEGI ASPEK KESELAMATAN" in power point slide but this one is in ms word format.
2. 1
Pengenalan
Pembangunan ICT (Information and Communications Technology) yang semakin pesat banyak
menyumbang kepada peningkatan tahap produktiviti kebanyakan organisasi dari segi pengurusan
maklumat-maklumat yang berskala besar. Pada masa kini, banyak organisasi berlumba-lumba
untuk mendigitalkan dokumen-dokumen yang dahulu hanya dilakukan dengan menggunakan
kertas. Hasilnya, masa capaian dokumen dapat dikurangkan dan penjimatan kos dari segi
penggunaan kertas juga dapat dikurangkan.
ICT Dalam Pendidikan
ICT dalam pendidikan juga tidak ketinggalan di mana banyak sistem pengurusan
maklumat pendidikan di sekolah-sekolah sudah mula dibangunkan dan telah diguna pakai bagi
tujuan meningkatkan produktiviti pengurusan pentadbiran dan juga pembelajaran di sekolah.
Kerja–kerja yang dahulunya dilakukan secara manual kini mengalami proses evolusi di mana
ICT telah mentransformasikan proses kerja ini dengan sistem perkomputeran yang lebih canggih.
Menurut artikel yang ditulis oleh moirdarulikram – ICT dalam Pendidikan
(http//:www.ppdmanjung.edu.my, 06 Julai 2010), Kementerian Pelajaran Malaysia telah
mengariskan tiga dasar utama ICT dalam pendidikan :
1) Literasi ICT untuk semua pelajar, bermaksud pelajar memperoleh kemahiran
menggunakan kemudahan ICT.
2) Mengutamakan peranan dan fungsi ICT dalam pendidikan sebagai kurikulum dan alat
Pembelajaran dan pengajaran. ICT sebagai kurikulum bermaksud pelajar mempelajari
3. 2
ICT sebagai matapelajaran seperti matapelajaran Teknologi Maklumat bagi peringkat
SPM dan matapelajaran pengkomputeran bagi peringkat STPM. ICT dalam penggunaan
perisian kursus, internet, dan aplikasi generik yang lain (contohnya, perisian CAD dalam
matapelajaran rekacipta dan lukisan kejuruteraan).
3) Menekankan penggunaan ICT untuk meningkatkan produktiviti, kecekapan, dan
keberkesanan sistem pengurusan. Ini terhasil daripada pengautomasian pejabat dan
pelaksanaan sistem aplikasi pengurusan yang membawa kepada penambahbaikan proses
kerja.
Dengan pengarisan tiga dasar yang dibuat oleh Kementerian Pelajaran Malaysia ini, masa
depan pendidikan di Malaysia akan terbentuk seiring dengan arus pembangunan ICT yang
semakin pesat dan canggih.
Ancaman Keselamatan Data dalam ICT
Kebanyakan organisasi pada masa kini membangunkan sistem secara on-line dan ada
juga yang masih menbangunkan sistem secara stand-alone. Dalam keghairahan mendigitalkan
dokumen, aspek keselamatan juga perlu diambil kira semasa membangunkan sistem dan
langkah pengawasan berterusan perlu dilakukan bagi memastikan keselamatan data. Dalam
dunia ICT yang semakin moden ini, perkongsian maklumat secara on-line semakin mendapat
perhatian dunia dan secara tidak langsung ancaman terhadap keselamatan data juga meningkat
seiring dengan arus pembangunan ICT masa kini.
Menurut Verizon’s 2009 data breach investigations report , POS system adalah yang
tertinggi sebanyak 32 peratus kebocoran data dikuti oleh Database Server sebanyak 30 peratus.
4. 3
Walaupun POS system adalah yang tertinggi, tahap kritikal kebocoran data pada Database
Server adalah yang tertinggi iaitu sebanyak 75 peratus. Ini kerana, kebanyakan data-data penting
seperti nombor kad kredit, nama, nombor kad pengenalan dan banyak lagi disimpan ke dalam
Database Server. Ini membuktikan bahawa pendigitalan dokumen-dokumen penting juga
menghadapi ancaman keselamatan data kerana dokumen tersebut akan disimpan ke dalam
Database Server. Oleh yang demikian, langkah-langkah keselamatan ICT bagi melindungi data
daripada ancaman ini perlu diambil kira dan dilaksanakan bagi memastikan tahap keselamatan
data terjamin.
Terdapat tiga faktor yang menyumbang kepada aspek keselamatan data iaitu :
1) Technical issue
Rekabentuk sistem secara teknikal juga menyumbang kepada faktor ancaman
keselamatan data. Pengaturcaraan login page yang tidak mementingkan rekabentuk yang
baik dari segi keselamatan boleh menyebabkan sistem tersebut terdedah kepada serangan
SQL injection. Selain itu, terdapat ramai pengaturcara yang tidak menggunakan proses
encryption bagi melindungi data-data sulit dalam database sebagai perlindungan terakhir.
2) Internal Attackers
Menurut laporan yang dikeluarkan oleh U.S. Secret Service (USSS) & Computer
Emergency Response Team Coordination Centre (CERT/CC), bedasarkan kes-kes
daripada tahun 1996 dan 2002 menunjukan kes tertinggi membabitkan orang dalam
adalah kes sabotage dikuti oleh kes penipuan dan kecurian data banyak melibatkan
industri perbankan dan sektor kewangan. Ancaman daripada orang dalam merupakan satu
ancaman yang sukar dikawal berbanding isu-isu yang melibatkan teknikal. Ini disebabkan
5. 4
oleh sifat manusia itu sendiri yang sentiasa berubah-ubah dan sukar untuk dijangka
berbanding isu teknikal.
3) External Attackers
Kebiasaannya, External Attackers mengambil peluang terhadap kelemahan-kelemahan
sistem yang ada dari segi teknikal. Ancaman seperti ini lebih mudah dikawal berbanding
Internal Attackers.
Oleh yang demikian, bagi melindungi keselamatan data-data penting dalam sesebuah organisasi,
strategi keselamatan ICT perlu dibentuk untuk memastikan keselamatan data-data tersebut.
Strategi Keselamatan ICT
Pembangunan ICT yang semakin pesat dan peningkatan kebergantungan terhadap ICT
menimbulkan kesukaran untuk melindungi data-data yang sulit dan kritikal. Dengan ancaman
keselamatan data semakin meningkat, strategi keselamatan ICT perlu dirangka bagi melindungi
data penting. Langkah-langkah yang boleh diambil bagi memperkukuhkan lagi keselamatan ICT
khususnya di sekolah-sekolah yang menggunakan Sistem Pengurusan Maklumat Pendidikan
(EMIS) boleh dilakukan secara pengurusan aktiviti-aktiviti organisasi seperti berikut :
1) Jawatankuasa pengurusan keselamatan/Security management committee
Dengan mewujudkan jawatankuasa keselamatan, wakil daripada setiap bahagian
organisasi seperti pentadbiran,akademik,kewangan dan sebagainya boleh mengenal pasti
data-data yang sulit dan memerlukan perlindungan. Ahli jawatankuasa juga boleh
memantau tahap keselamatan data unit masing-masing dari masa kesemasa.
6. 5
2) Mewujudkan budaya keselamatan ICT di kalangan pengguna/Creating ICT security
culture amongst users
Budaya seperti ini perlu diwujudkan di sekolah-sekolah bagi memastikan setiap
pengguna sistem (EMIS) sedar akan kepentingan keselamatan data dan mengikuti
perkembangan teknologi terkini bagi memastikan sistem keselamatan seiring dengan arus
pembangunan ICT.
3) Memperkenalkan subjek etika dalam pengkomputeran diperingkat sekolah
menengah/Introducing subject on computer ethic in secondary school
Dengan memperkenalkan subjek etika dalam pengkomputeran di peringkat sekolah
menengah, generasi akan datang akan lebih beretika dalam pengkomputeran dan
mempraktikan amalan tersebut. Langkah ini boleh mengurangkan ancaman pada masa
akan datang kerana ancaman keselamatan data itu sebenarnya berpunca daripada sifat dan
niat manusia itu sendiri.
4) Mencontohi polisi keselamatan data badan koporat dari sudut pengurusan kerja
yang berkaitan dengan maklumat/Follow corporate data security policies in term of
work-related informations
Dengan mengambil contoh-contoh polisi keselematan data yang baik daripada badan
koporat, tahap keselamatan data akan dapat ditingkatkan tanpa perlu melantik penasihat
dari luar organisasi yang mana mendedahkan kelemahan organisasi pada pihak luar.
7. 6
5) Pengurusan akaun pengguna dan password/Password and account management
Pengurusan yang baik akan menjamin keselamatan id pengguna sistem. Sebaiknya,
maklumat id pengguna dan password melalui proses encryption sebelum disimpan ke
dalam database bagi melindungi data tersebut.
6) Latihan kesedaran keselamatan/Security awareness training
Latihan kesedaran perlu diadakan bagi memastikan setiap pengguna yang terlibat dengan
sistem (EMIS) sedar akan isu-isu keselamatan data yang ada dan tahu akan langkah-
langkah pencegahan yang boleh diambil dari segi pengurusan ataupun teknikal.
7) Backup and recovery
Langkah ini boleh diambil bagi memastikan keselamatan data. Sekiranya data telah
dirosakan, proses backup ini boleh memulihkan kembali data kepada keadaan asal dan
boleh mengelakkan kehilangan data kritikal.
Manakala langkah-langkah keselamatan dari segi teknikal boleh dilakukan seperti berikut:
1) Access control
Dengan membuat kawalan terhadap capaian data, langkah ini boleh melindungi data
daripada serangan luar dan juga dalaman. Dengan membahagikan pengguna sistem
kepada administrator dan juga end user kawalan dapat dilakukan terhadap capaian
kepada data-data sulit.
8. 7
2) Encryption
Langkah ini boleh dianggap sebagai perlindungan terakhir terhadap data sulit. Walaupun
data berjaya dicuri daripada database, pencuri data tidak akan dapat membaca data
sebenar disebabkan data tersebut perlu melalui proses decryption untuk mengembalikan
data kepada bentuk asal. Ini boleh meningkatkan tahap keselamatan data-data penting di
dalam database.
3) Auditing
Langkah ini membolehkan setiap aktiviti-aktiviti pengguna sistem direkodkan. Sebarang
penyelewengan atau bentuk serangan akan dapat dikenal pasti dengan segera dengan
hanya merujuk log aktiviti pengguna dalam sistem.
4) Separation of environments
Dengan memisahkan persekitaran sistem contohnya development environments, test
enviroments dan production environments, langkah ini dapat melindungi data daripada
pembangun sistem itu sendiri. Ini kerana , pembangun sistem mempunyai capaian penuh
terhadap data-data dalam database semasa membangunkan sistem. Dengan hanya
memberikan dummy data kepada development environments dan test enviroments, data
sebenar yang digunakan untuk production environments dapat dilindungi.
5) Secure configuration
Langkah ini perlu diambil dan melihat ketetapan ciri-ciri keselamatan yang ada pada
database itu sendiri. Kesilapan menetapkan ciri-ciri keselamatan ini boleh
9. 8
membahayakan keselamatan data. Contohnya, jika membenarkan remote access terhadap
database akan menyebabkan database terdedah kepada serangan daripada luar.
Walaupun ciri-ciri database itu sendiri membenarkan remote access tetapi adalah lebih
baik remote access tidak diaplikasikan kepada database bagi melindungi database
daripada serangan luar.
Kesimpulan/ringkasan
Secara kesimpulan, langkah-langkah keselamatan ICT bukan saja boleh dilakukan secara
teknikal yang melibatkan kepakaran dalam bahagian-bahagian tertentu. Ini kerana, bagi isu yang
melibatkan orang dalam, sifat atau sikap pengguna itu sendiri juga merupakan satu ancaman
besar kepada keselamatan data dalam sesebuah organisasi. Oleh yang demikian, langkah-
langkah dari segi pengurusan yang tidak melibatkan teknikal juga perlu dilakukan bagi
memastikan keselamatan data daripada ancaman dalaman organisasi itu sendiri.
10. 9
Rujukan
Rafidah Abdul Hamid, Http://cybersecurity.my. The Importance of Setting up an Information
Security Management Committee in Organization.
Siti Suharti Abu Sujak & Zahri Yunos. National ICT Security and Emergency Response Centre
(NISER). This article was published in The Star Intech on 23 March 2006. Dealing With
Dangers From Within.
Ahmad Nasir Mohd Zin & Zahri Yunos. National ICT Security and Emergency Response Centre
(NISER). This article was published in The Star Intech on 28 february 2006. Beware the hidden
Danger.
Yati Yassin & Zahri Yunos. This article was published in NST Tech on 20 November 2006.
Ethics in Information Security.
Miordarulikram. http://www.ppdmanjung.edu.my, 06 Julai 2010. ICT Dalam Pendidikan.
Tanya Baccam. A SANS Whitepaper, November 2009. Making Database Security an IT Security
Priority.