2. Pembangunan ICT (Information and
Communications Technology) yang
semakin pesat banyak menyumbang
kepada peningkatan tahap
produktiviti kebanyakan organisasi
dari segi pengurusan maklumat-
maklumat yang berskala besar. Pada
masa kini, banyak organisasi
berlumba-lumba untuk
mendigitalkan dokumen-dokumen
yang dahulu hanya dilakukan dengan
menggunakan kertas. Hasilnya, masa
capaian dokumen dapat dikurangkan
dan penjimatan kos dari segi
penggunaan kertas juga dapat
dikurangkan
3. ICT dalam pendidikan juga tidak ketinggalan di mana banyak sistem
pengurusan maklumat pendidikan di sekolah-sekolah sudah mula
dibangunkan dan telah diguna pakai bagi tujuan meningkatkan
produktiviti pengurusan pentadbiran dan juga pembelajaran di sekolah.
Kerja–kerja yang dahulunya dilakukan secara manual kini mengalami
proses evolusi di mana ICT telah mentransformasikan proses kerja ini
dengan sistem perkomputeran yang lebih canggih.
Menurut artikel yang ditulis oleh moirdarulikram – ICT dalam
Pendidikan (http//:www.ppdmanjung.edu.my, 06 Julai 2010),
Kementerian Pelajaran Malaysia telah mengariskan tiga dasar utama ICT
dalam pendidikan :
Literasi ICT untuk semua pelajar, bermaksud pelajar memperoleh
kemahiran menggunakan kemudahan ICT.
Mengutamakan peranan dan fungsi ICT dalam pendidikan sebagai
kurikulum dan alat Pembelajaran dan pengajaran. ICT sebagai kurikulum
bermaksud pelajar mempelajari
4. ICT sebagai matapelajaran seperti matapelajaran Teknologi
Maklumat bagi peringkat SPM dan matapelajaran
pengkomputeran bagi peringkat STPM. ICT dalam penggunaan
perisian kursus, internet, dan aplikasi generik yang lain
(contohnya, perisian CAD dalam matapelajaran rekacipta dan
lukisan kejuruteraan).
Menekankan penggunaan ICT untuk meningkatkan produktiviti,
kecekapan, dan keberkesanan sistem pengurusan. Ini terhasil
daripada pengautomasian pejabat dan pelaksanaan sistem
aplikasi pengurusan yang membawa kepada penambahbaikan
proses kerja.
Dengan pengarisan tiga dasar yang dibuat oleh Kementerian
Pelajaran Malaysia ini, masa depan pendidikan di Malaysia akan
terbentuk seiring dengan arus pembangunan ICT yang semakin
pesat dan canggih.
5. Kebanyakan organisasi pada masa kini membangunkan sistem
secara on-line dan ada juga yang masih menbangunkan sistem
secara stand-alone. Dalam keghairahan mendigitalkan dokumen,
aspek keselamatan juga perlu diambil kira semasa
membangunkan sistem dan langkah pengawasan berterusan
perlu dilakukan bagi memastikan keselamatan data. Dalam dunia
ICT yang semakin moden ini, perkongsian maklumat secara on-
line semakin mendapat perhatian dunia dan secara tidak
langsung ancaman terhadap keselamatan data juga meningkat
seiring dengan arus pembangunan ICT masa kini.
Menurut Verizon’s 2009 data breach investigations report ,
POS system adalah yang tertinggi sebanyak 32 peratus
kebocoran data dikuti oleh Database Server sebanyak 30
peratus.
6. Walaupun POS system adalah yang tertinggi, tahap
kritikal kebocoran data pada Database Server adalah
yang tertinggi iaitu sebanyak 75 peratus. Ini kerana,
kebanyakan data-data penting seperti nombor kad
kredit, nama, nombor kad pengenalan dan banyak
lagi disimpan ke dalam Database Server. Ini
membuktikan bahawa pendigitalan dokumen-
dokumen penting juga menghadapi ancaman
keselamatan data kerana dokumen tersebut akan
disimpan ke dalam Database Server. Oleh yang
demikian, langkah-langkah keselamatan ICT bagi
melindungi data daripada ancaman ini perlu diambil
kira dan dilaksanakan bagi memastikan tahap
keselamatan data terjamin.
7. Technical issue
Rekabentuk sistem secara teknikal juga menyumbang kepada faktor
ancaman keselamatan data. Pengaturcaraan login page yang tidak
mementingkan rekabentuk yang baik dari segi keselamatan boleh
menyebabkan sistem tersebut terdedah kepada serangan SQL
injection. Selain itu, terdapat ramai pengaturcara yang tidak
menggunakan proses encryption bagi melindungi data-data sulit
dalam database sebagai perlindungan terakhir.
Internal Attackers
Menurut laporan yang dikeluarkan oleh U.S. Secret Service (USSS) &
Computer Emergency Response Team Coordination Centre (CERT/CC),
bedasarkan kes-kes daripada tahun 1996 dan 2002 menunjukan kes
tertinggi membabitkan orang dalam adalah kes sabotage dikuti oleh
kes penipuan dan kecurian data banyak melibatkan industri
perbankan dan sektor kewangan. Ancaman daripada orang dalam
merupakan satu ancaman yang sukar dikawal berbanding isu-isu yang
melibatkan teknikal. Ini disebabkan
oleh sifat manusia itu sendiri yang sentiasa berubah-ubah dan sukar
untuk dijangka berbanding isu teknikal.
8. External Attackers
Kebiasaannya, External Attackers mengambil
peluang terhadap kelemahan-kelemahan sistem
yang ada dari segi teknikal. Ancaman seperti ini
lebih mudah dikawal berbanding Internal
Attackers.
Oleh yang demikian, bagi melindungi
keselamatan data-data penting dalam sesebuah
organisasi, strategi keselamatan ICT perlu
dibentuk untuk memastikan keselamatan data-
data tersebut.
9. Pembangunan ICT yang semakin pesat dan peningkatan
kebergantungan terhadap ICT menimbulkan kesukaran untuk
melindungi data-data yang sulit dan kritikal. Dengan ancaman
keselamatan data semakin meningkat, strategi keselamatan ICT
perlu dirangka bagi melindungi data penting. Langkah-langkah
yang boleh diambil bagi memperkukuhkan lagi keselamatan ICT
khususnya di sekolah-sekolah yang menggunakan Sistem
Pengurusan Maklumat Pendidikan (EMIS) boleh dilakukan secara
pengurusan aktiviti-aktiviti organisasi seperti berikut :
Jawatankuasa pengurusan keselamatan/Security management
committee
Dengan mewujudkan jawatankuasa keselamatan, wakil daripada
setiap bahagian organisasi seperti
pentadbiran,akademik,kewangan dan sebagainya boleh
mengenal pasti data-data yang sulit dan memerlukan
perlindungan. Ahli jawatankuasa juga boleh memantau tahap
keselamatan data unit masing-masing dari masa kesemasa.
10. Mewujudkan budaya keselamatan ICT di kalangan
pengguna/Creating ICT security culture amongst users
Budaya seperti ini perlu diwujudkan di sekolah-sekolah
bagi memastikan setiap pengguna sistem (EMIS) sedar
akan kepentingan keselamatan data dan mengikuti
perkembangan teknologi terkini bagi memastikan sistem
keselamatan seiring dengan arus pembangunan ICT.
Memperkenalkan subjek etika dalam pengkomputeran
diperingkat sekolah menengah/Introducing subject on
computer ethic in secondary school
Dengan memperkenalkan subjek etika dalam
pengkomputeran di peringkat sekolah menengah, generasi
akan datang akan lebih beretika dalam pengkomputeran
dan mempraktikan amalan tersebut. Langkah ini boleh
mengurangkan ancaman pada masa akan datang kerana
ancaman keselamatan data itu sebenarnya berpunca
daripada sifat dan niat manusia itu sendiri.
11. Mencontohi polisi keselamatan data badan koporat dari
sudut pengurusan kerja yang berkaitan dengan
maklumat/Follow corporate data security policies in term
of work-related informations
Dengan mengambil contoh-contoh polisi keselematan
data yang baik daripada badan koporat, tahap
keselamatan data akan dapat ditingkatkan tanpa perlu
melantik penasihat dari luar organisasi yang mana
mendedahkan kelemahan organisasi pada pihak luar.
Pengurusan akaun pengguna dan password/Password and
account management
Pengurusan yang baik akan menjamin keselamatan id
pengguna sistem. Sebaiknya, maklumat id pengguna dan
password melalui proses encryption sebelum disimpan ke
dalam database bagi melindungi data tersebut.
12. Latihan kesedaran keselamatan/Security
awareness training
Latihan kesedaran perlu diadakan bagi
memastikan setiap pengguna yang terlibat
dengan sistem (EMIS) sedar akan isu-isu
keselamatan data yang ada dan tahu akan
langkah-langkah pencegahan yang boleh diambil
dari segi pengurusan ataupun teknikal.
Backup and recovery
Langkah ini boleh diambil bagi memastikan
keselamatan data. Sekiranya data telah
dirosakan, proses backup ini boleh memulihkan
kembali data kepada keadaan asal dan boleh
mengelakkan kehilangan data kritikal.
13. Access control
Dengan membuat kawalan terhadap capaian data, langkah
ini boleh melindungi data daripada serangan luar dan juga
dalaman. Dengan membahagikan pengguna sistem
kepada administrator dan juga end user kawalan dapat
dilakukan terhadap capaian kepada data-data sulit.
Encryption
Langkah ini boleh dianggap sebagai perlindungan terakhir
terhadap data sulit. Walaupun data berjaya dicuri daripada
database, pencuri data tidak akan dapat membaca data
sebenar disebabkan data tersebut perlu melalui proses
decryption untuk mengembalikan data kepada bentuk
asal. Ini boleh meningkatkan tahap keselamatan data-data
penting di dalam database.
14. Auditing
Langkah ini membolehkan setiap aktiviti-aktiviti pengguna
sistem direkodkan. Sebarang penyelewengan atau bentuk
serangan akan dapat dikenal pasti dengan segera dengan
hanya merujuk log aktiviti pengguna dalam sistem.
Separation of environments
Dengan memisahkan persekitaran sistem contohnya
development environments, test enviroments dan
production environments, langkah ini dapat melindungi
data daripada pembangun sistem itu sendiri. Ini kerana ,
pembangun sistem mempunyai capaian penuh terhadap
data-data dalam database semasa membangunkan sistem.
Dengan hanya memberikan dummy data kepada
development environments dan test enviroments, data
sebenar yang digunakan untuk production environments
dapat dilindungi.
15. Secure configuration
Langkah ini perlu diambil dan melihat ketetapan
ciri-ciri keselamatan yang ada pada database itu
sendiri. Kesilapan menetapkan ciri-ciri
keselamatan ini boleh membahayakan
keselamatan data. Contohnya, jika membenarkan
remote access terhadap database akan
menyebabkan database terdedah kepada
serangan daripada luar. Walaupun ciri-ciri
database itu sendiri membenarkan remote access
tetapi adalah lebih baik remote access tidak
diaplikasikan kepada database bagi melindungi
database daripada serangan luar.
16. Secara kesimpulan, langkah-langkah
keselamatan ICT bukan saja boleh dilakukan
secara teknikal yang melibatkan kepakaran
dalam bahagian-bahagian tertentu. Ini kerana,
bagi isu yang melibatkan orang dalam, sifat atau
sikap pengguna itu sendiri juga merupakan satu
ancaman besar kepada keselamatan data dalam
sesebuah organisasi. Oleh yang demikian,
langkah-langkah dari segi pengurusan yang
tidak melibatkan teknikal juga perlu dilakukan
bagi memastikan keselamatan data daripada
ancaman dalaman organisasi itu sendiri.
17. Rafidah Abdul Hamid, Http://cybersecurity.my. The
Importance of Setting up an Information Security
Management Committee in Organization.
Siti Suharti Abu Sujak & Zahri Yunos. National ICT Security
and Emergency Response Centre (NISER). This article was
published in The Star Intech on 23 March 2006. Dealing
With Dangers From Within.
Ahmad Nasir Mohd Zin & Zahri Yunos. National ICT
Security and Emergency Response Centre (NISER). This
article was published in The Star Intech on 28 february
2006. Beware the hidden Danger.
Yati Yassin & Zahri Yunos. This article was published in
NST Tech on 20 November 2006. Ethics in Information
Security.
Miordarulikram. http://www.ppdmanjung.edu.my, 06 Julai
2010. ICT Dalam Pendidikan.
Tanya Baccam. A SANS Whitepaper, November 2009.
Making Database Security an IT Security Priority.