21.41
Nina
Nama : Naafi Fiddiinina
NIM : 1300016032
MANAJEMEN RESIKO TEKNOLOGI INFORMASI
A.
Survey terakhir tentang pentingnya
keamanan Sistem berdasarkan Referensi Organisasi tertentu (tahun 2014-2015) kemudian
jelaskan mengenai pentignya keamanan SI terhadap hasil Survey tersebut!
Ensuring the Security of
Federal Information Systems and Cyber Critical Infrastructure and Protecting
the Privacy of Personally Identifiable Information
(Memastikan Keamanan Sistem Informasi
Federal dan Serangan Infrastruktur dan Melindungi Privasi informasi pribadi)
This
information appears as published in the 2015
High Risk Report.
..................
Namun,
ancaman cyber dan insiden sistem pendukung pemerintah federal dan infrastruktur
kritis nasional meningkat. Ancaman ini datang dari berbagai sumber dan
bervariasi dalam hal jenis dan kemampuan para aktor, kesediaan mereka untuk
bertindak, dan motif mereka. Misalnya, ancaman-mana gigih maju musuh memiliki
tingkat canggih keahlian dan sumber daya yang signifikan untuk mengejar mereka
tujuan-menimbulkan peningkatan risiko. Lanjut menggarisbawahi risiko ini
meningkat dalam insiden yang bisa mengancam keamanan nasional, kesehatan
masyarakat, dan keselamatan, atau menyebabkan akses yang tidak pantas ke dan
pengungkapan, modifikasi, atau penghancuran informasi sensitif. Insiden
tersebut mungkin tidak disengaja, seperti gangguan layanan akibat kegagalan
peralatan atau peristiwa alam, atau disengaja, di mana misalnya, seorang hacker
menyerang jaringan komputer atau sistem. Selama 8 tahun terakhir, jumlah
insiden keamanan informasi yang dilaporkan oleh badan-badan federal untuk Tim
Kesiapan Darurat US Komputer (US-CERT) telah meningkat dari 5.503 pada tahun
fiskal 2006 untuk 67.168 pada tahun fiskal 2014, meningkat 1.121 persen (lihat
Gambar 8).
Merancang dan melaksanakan program-program
cybersecurity berbasis risiko di agen-agen federal. Kekurangan bertahan dalam
menilai risiko, mengembangkan dan menerapkan kontrol keamanan, dan monitoring
hasil di agen-agen federal. Secara khusus, untuk tahun fiskal 2014, 17 dari 24
lembaga federal utama yang dicakup oleh Petugas Chief Financial UU melaporkan
bahwa kekurangan kontrol keamanan informasi yang baik kelemahan materi atau
defisiensi signifikan dalam pengendalian internal atas pelaporan keuangan. [11]
Selanjutnya, inspektur umum di 22 dari 24 instansi dikutip keamanan informasi
sebagai tantangan manajemen utama bagi lembaga mereka [12] Untuk tahun fiskal
2014, sebagian besar lembaga memiliki kelemahan keamanan informasi di mayoritas
lima kategori tombol kontrol:. membatasi, mencegah, dan mendeteksi akses yang
tidak pantas untuk sumber daya komputer; mengelola konfigurasi software dan
hardware; pemisahan tugas untuk memastikan bahwa satu individu tidak memiliki
kontrol atas semua aspek kunci dari operasi yang berhubungan dengan komputer;
perencanaan untuk kelangsungan operasional dalam hal terjadi bencana atau
gangguan; dan melaksanakan program manajemen keamanan informasi agencywide yang
sangat penting untuk mengidentifikasi kekurangan kontrol, menyelesaikan
masalah, dan mengelola risiko secara teratur
Mengatasi cybersecurity untuk infrastruktur
bangsa kritis. Pada bulan Desember 2014, kami melaporkan bahwa meskipun DHS dan
pemangku kepentingan lainnya mengambil langkah-langkah awal untuk mengatasi
risiko cyber untuk membangun dan kontrol akses sistem, kerja yang signifikan
tetap. [14] Secara khusus, DHS tidak memiliki strategi untuk mengatasi risiko
cyber dan Komite Keamanan Antar departemen (ISC), bertanggung jawab untuk
mengembangkan standar keamanan fisik untuk fasilitas federal nonmiliter, tidak
dimasukkan ancaman cyber untuk membangun dan kontrol akses sistem dalam laporan
ancaman untuk agen-agen federal. Selain itu, General Services Administration
(GSA) belum sepenuhnya menilai risiko membangun sistem kontrol untuk serangan
cyber dengan cara yang konsisten dengan FISMA atau pedoman pelaksanaannya. Kami
merekomendasikan bahwa DHS mengembangkan dan menerapkan strategi untuk
mengatasi risiko cyber untuk membangun dan kontrol akses sistem dan langsung
ISC untuk merevisi laporan ancaman untuk mencakup ancaman cyber untuk membangun
dan akses sistem kontrol. Kami juga merekomendasikan bahwa GSA menilai risiko
cyber sistem kontrol bangunan dengan sepenuhnya mencerminkan FISMA dan pedoman.
DHS dan GSA setuju dengan rekomendasi kami.
Pada bulan Juni 2014, kami melaporkan bahwa
upaya federal untuk mengatasi cybersecurity di lingkungan pelabuhan maritim
sangat terbatas. [15] Sebagai contoh, sedangkan Coast Guard telah memulai
sejumlah kegiatan untuk meningkatkan keamanan fisik di pelabuhan tertentu, itu
tidak (1 ) melakukan penilaian risiko yang sepenuhnya ditujukan ancaman cyber
terkait, kerentanan, dan konsekuensi; atau (2) memberikan bimbingan yang
menjamin rencana keamanan maritim diperlukan oleh hukum dan peraturan
diidentifikasi atau ditangani potensi ancaman cyber terkait dan kerentanan.
Juga, pada bulan Januari 2014, kami melaporkan, antara lain, bahwa perencanaan
infrastruktur penting untuk cybersecurity badan keamanan publik negara bagian
dan lokal yang terlibat dalam penanganan 911 panggilan darurat tidak membahas
pengembangan dan pelaksanaan lebih saling berhubungan, teknologi informasi
berbasis internet. [16] Selain itu, kami melaporkan pada bulan April 2013 yang,
bersama dengan hal-hal lain, DHS dan mitranya tidak dikembangkan tindakan
berbasis hasil kinerja yang terkait dengan perlindungan cyber bagian penting
dari sektor infrastruktur komunikasi. [17] Kami menyimpulkan bahwa metrik
berbasis hasil yang berhubungan dengan jaringan komunikasi dan
komponen-komponen penting yang mendukung Internet akan memberikan pengambil
keputusan Federal dengan wawasan tambahan efektivitas upaya perlindungan mitra
di tingkat sektor.
Meningkatkan pengawasan kontraktor
menyediakan layanan IT. Pada bulan Agustus 2014, kami melaporkan bahwa lima
dari enam instansi Ulasan tidak konsisten dalam mengawasi pelaksanaan dan
review penilaian keamanan yang dimaksudkan untuk menentukan efektivitas
pelaksanaan kontraktor kontrol, sehingga penyimpangan keamanan. [18] Alasan
berkontribusi untuk ini kekurangan adalah bahwa lembaga tidak didokumentasikan
prosedur keamanan IT bagi para pejabat untuk mengikuti untuk secara efektif
mengawasi kinerja kontraktor. Selain itu, menurut OMB, 16 dari 24 inspektur
jenderal melaporkan bahwa program lembaga mereka untuk mengelola sistem
kontraktor tidak memiliki setidaknya satu elemen yang diperlukan. Misalnya, 11
lembaga tidak memperoleh keyakinan memadai bahwa kontrol keamanan sistem dan
layanan tersebut telah dilaksanakan secara efektif dan memenuhi persyaratan
federal dan organisasi, dan 9 lembaga telah kontraktor yang dimiliki atau
sistem yang tidak sesuai dengan persyaratan FISMA, kebijakan OMB dioperasikan,
dan pedoman NIST berlaku. Kami merekomendasikan bahwa OMB, bekerjasama dengan
DHS, mengembangkan dan memperjelas melaporkan bimbingan kepada lembaga untuk
setiap tahun melaporkan sejumlah sistem kontraktor dioperasikan. Kami juga
merekomendasikan bahwa lembaga Ulasan mengembangkan, dokumen, dan menerapkan TI
prosedur pengawasan keamanan untuk sistem kontraktor dioperasikan mereka. OMB
tidak memberikan komentar, tetapi lembaga kami Ulasan umumnya setuju dengan
rekomendasi kami.
Meningkatkan praktek respon insiden
keamanan. Pada bulan April 2014, kami melaporkan bahwa 24 lembaga federal utama
tidak konsisten menunjukkan bahwa mereka telah secara efektif menanggapi
insiden cyber. [19] Berdasarkan sampel statistik insiden cyber dilaporkan pada
tahun fiskal 2012, kami memproyeksikan bahwa lembaga ini tidak benar-benar
mendokumentasikan tindakan yang diambil dalam menanggapi insiden terdeteksi di
sekitar 65 persen dari kasus (dengan keyakinan 95 persen bahwa perkiraan jatuh
antara 58 dan 72 persen). Misalnya, lembaga tidak konsisten menunjukkan bahwa
mereka telah menentukan dampak insiden atau diambil tindakan untuk mencegah
terulangnya insiden. Meskipun semua enam lembaga kita secara mendalam telah
mengembangkan bagian dari kebijakan, rencana, dan prosedur untuk memandu
kegiatan respon insiden maya mereka, upaya lembaga 'tidak komprehensif atau
sepenuhnya konsisten dengan persyaratan federal. Kami merekomendasikan bahwa
praktek OMB dan DHS lembaga alamat respon insiden pemerintah-lebar, khususnya
melalui pertemuan CyberStat, dan juga merekomendasikan bahwa lembaga Ulasan
mengambil tindakan untuk meningkatkan efektivitas program respon insiden maya
mereka. Lembaga umumnya setuju dengan rekomendasi kami.
Melaksanakan program keamanan di lembaga
kecil. Pada bulan Juni 2014, kami melaporkan bahwa sementara lembaga kecil
telah mengembangkan banyak persyaratan program keamanan informasi,
program-program mereka belum sepenuhnya dilaksanakan. [20] Secara khusus, empat
dari enam lembaga Ulasan telah mengembangkan program keamanan informasi yang
meliputi risiko penilaian, kebijakan keamanan dan prosedur, rencana sistem
keamanan, pelatihan kesadaran keamanan, pengujian dan evaluasi berkala, rencana
aksi perbaikan, penanganan insiden, dan perencanaan kontingensi. Namun, elemen
kunci dari rencana mereka, kebijakan, atau prosedur di daerah-daerah yang sudah
ketinggalan zaman, tidak lengkap, atau tidak ada. Selain itu, dua dari enam
instansi tidak mengembangkan program keamanan informasi dengan elemen FISMA
yang dibutuhkan. Kami merekomendasikan bahwa OMB termasuk dalam laporan
tahunannya kepada Kongres pada lembaga 'pelaksanaan FISMA daftar lembaga yang
tidak melaporkan pelaksanaan program keamanan informasi mereka, dan informasi
di lembaga kecil' pelaksanaan persyaratan privasi. Kami juga merekomendasikan
bahwa DHS mengembangkan layanan dan bimbingan yang ditargetkan untuk lembaga kecil
dan mikro. OMB dan DHS umumnya setuju dengan rekomendasi kami.
Sehubungan
dengan melindungi privasi informasi pribadi, tindakan telah diambil tetapi
masih banyak yang harus dilakukan. Presiden telah mengeluarkan privasi
"bill of rights" konsumen dimaksudkan untuk menjadi cetak biru untuk
privasi di era informasi. Dia juga telah mendirikan review kelompok oleh
presiden-carteran intelijen dan komunikasi teknologi yang telah membuat
rekomendasi yang ditujukan untuk memperkuat perlindungan privasi pribadi tetap
menjaga keamanan nasional. Namun demikian, pemerintah federal terus menghadapi
tantangan secara efektif menangani masalah peningkatan tentang perlindungan
privasi informasi pribadi (PII). Jumlah insiden keamanan dilaporkan melibatkan
PII di agen-agen federal telah meningkat dalam beberapa tahun terakhir, naik
dari 10.481 insiden pada tahun 2009 menjadi 27.624 insiden pada 2014
Pentingnya Keamanan
Sistem Informasi
1.
Adanya serangan bisa mengakibatkan konsekuensi
serius dan mengakibatkan kerugian besar bagi individu atau pemerintah. Sehingga
kita harus benar-benar memproteksi keamanan SI.
2.
Kerahasian. Setiap
organisasi berusaha melindungi
data dan informasinya dari
pengungkapan kepada pihak-pihak
yang tidak berwenang. Sistem
informasi yang perlu
mendapatkan prioritas kerahasian
yang tinggi mencakup; sistem informasi eksekutif, sistem informasi kepagawaian
(SDM), sistem informasi keuangan, dan sistem informasi pemanfaatan sumberdaya
alam.
3.
Ketersediaan. Sistem dimaksudkan untuk
selalu siap menyediakan data dan informasi bagi mereka yang berwenang untuk
menggunakannya. Tujuan ini penting khususnya bagi sistem yang berorientasi
informasi seperti SIM, DSS dan sistem pakar (ES).
4.
Integritas. Semua sistem dan subsistem
yang dibangun harus mampu memberikan gambaran yang lengkap dan akurat dari
sistem fisik yang diwakilinya.
B.
Berikan Contoh kriteria kebutuhan
Informasi dalam pengembangan keamanan Sistem!
Kriteria kerja COBIT
meliputi :
Efektifitas
|
Untuk
memperoleh informasi yang relevan dan berhubungan dengan proses bisnis
seperti penyampaian informasi dengan
benar,
konsisten, dapat dipercaya dan tepat waktu.
|
Efisiensi
|
Memfokuskan
pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
|
Kerahasiaan
|
Memfokuskan
proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak
otorisasi.
|
Integritas
|
Berhubungan
dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai
dengan harapan dan nilai
bisnis.
|
Ketersediaan
(avaibility)
|
aspek keamanan informasi yang menjamin
pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam
format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia,
atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses
informasi.
|
Kepatuhan
(compliance)
|
Sesuai
menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.
|
Keandalan (reliability)
|
suatu penerapan perancangan pada komponen
sehingga komponen dapat melaksanakan fungsinya dengan baik, tanpa kegagalan,
sesuai rancangan atau proses yang dibuat
|
C.
Menjelaskan 10 Domain keamanan Sistem Informasi beserta
contoh
1.
Akses kontrol sistem yang
digunakan : Sangat
penting untuk mengontrol akses ke informasi sehingga organisasi dapat menjaga
kerahasiaan, integritas, dan ketersediaan informasi tersebut. Kontrol akses
mencegah pengguna yang tidak sah dari mengambil, menggunakan, atau mengubah
informasi. Kontrol ini ditentukan oleh organisasi risiko, ancaman, dan
kerentanan.
Identifikasi
(yaitu,
penugasan user ID unik) adalah langkah pertama dalam Proses Access Control.
Sebagian besar organisasi berasal ID pengguna dari namanya. Sebagai contoh, ID
pengguna bisa huruf pertama dari nama pertama seseorang dikombinasikan dengan
nama terakhir mereka.
Namun, beberapa organisasi dapat menggunakan metode lain (misalnya, jumlah karyawan pengguna) untuk menghindari konflik yang muncul ketika dua individu memiliki nama belakang yang sama dan sama huruf pertama dari nama pertama mereka. Misalnya, Tina Smith dan Tom Smith akan keduanya memiliki nama pengguna yang sama ('tsmith') kecuali metode lain yang digunakan. Menggunakan nomor karyawan, misalnya, memungkinkan pengguna untuk menjaga ID pengguna yang sama bahkan jika nama terakhir mereka berubah.
Namun, beberapa organisasi dapat menggunakan metode lain (misalnya, jumlah karyawan pengguna) untuk menghindari konflik yang muncul ketika dua individu memiliki nama belakang yang sama dan sama huruf pertama dari nama pertama mereka. Misalnya, Tina Smith dan Tom Smith akan keduanya memiliki nama pengguna yang sama ('tsmith') kecuali metode lain yang digunakan. Menggunakan nomor karyawan, misalnya, memungkinkan pengguna untuk menjaga ID pengguna yang sama bahkan jika nama terakhir mereka berubah.
ID
pengguna yang unik yang diperlukan untuk menjaga akuntabilitas. Ketika sebuah
organisasi menggunakan ID pengguna generik (misalnya floor2nurse), tidak ada
cara mudah untuk mengidentifikasi yang mungkin telah mengakses data.
Otentikasi
(yaitu,
proses pembuktian identitas pengguna sebelum ia mampu memasuki sistem) adalah
langkah kedua dalam Proses Access Control. Ada tiga metode utama untuk
otentikasi pengguna. Metode ini didasarkan pada:
Sesuatu pengguna tahu (misalnya, PIN,
password, frase, atau kode pass)
Sesuatu pengguna memiliki (misalnya, kartu
pintar, kartu ATM, atau token)
Sesuatu yang pengguna (misalnya, pemindaian
retina, sidik jari, atau memindai suara)
Otorisasi (yaitu, hak akses pengguna
dalam hal apa yang dia bisa atau tidak bisa dilakukan dalam aplikasi atau
sistem) adalah langkah ketiga dalam Proses Access Control. Sebagai contoh,
otorisasi dapat membatasi satu user untuk hak melihat data saja, sedangkan
pengguna lain mungkin memiliki otorisasi untuk melihat dan mengubah data.
Otorisasi harus didasarkan pada hak akses yang diperlukan minimum yang pengguna
perlu untuk melakukan pekerjaannya. Akses berbasis peran adalah contoh
bagaimana manajemen bisa mentakdirkan otorisasi berdasarkan fungsi pekerjaan
pengguna atau peran dalam organisasi. Misalnya, dokter umumnya memiliki
kemampuan untuk menempatkan pesanan dan mengakses informasi lebih sabar dari
seorang perawat yang bekerja pada unit perawatan tunggal atau sukarelawan yang
bekerja di meja informasi yang hanya berwenang untuk mengakses sensus atau
direktori pasien informasi.
Akuntansi (yaitu, pelacakan tindakan
yang pengguna mengambil ketika login ke dalam sistem) adalah langkah terakhir
dalam Proses Access Control. Membatasi akses pengguna ke minimum yang
diperlukan dapat menantang. Oleh karena itu, kontrol audit harus dilaksanakan untuk
memegang pengguna jawab atas tindakan mereka. Memegang akuntabel pengguna
individu untuk tindakannya dapat sangat menghambat ketika user ID generik atau
bersama oleh beberapa pengguna karena menjadi sulit untuk mengidentifikasi
individu tertentu yang melakukan aksi yang tidak pantas. Kontrol Audit membantu
dalam pemantauan untuk akses yang tidak sah oleh pengguna yang berwenang.
Kebanyakan pelanggaran HIPAA terjadi ketika pengguna mengakses sistem berwenang
untuk kebutuhan-non-job terkait. Misalnya, ada kasus adalah karyawan kesehatan
menyalahgunakan akses mereka dan melihat informasi medis dari anggota keluarga,
teman, atau bahkan selebriti.
2.
Telekomunikasi dan jaringan
yang dipakai
Telekomunikasi
dan keamanan jaringan merupakan salah satu domain yang paling teknis dari
credential CISSP karena memerlukan pemahaman tentang infrastruktur jaringan,
metode komunikasi, format untuk mengangkut data, dan langkah-langkah yang
diambil untuk mengamankan jaringan dan transmisi. Jaringan adalah link penting
yang menghubungkan sumber informasi kepada pengguna. Dengan demikian, domain
ini berfokus pada desain dan arsitektur jaringan dan komponen-komponennya untuk
mencegah terganggunya aliran data dan intrusi
Komponen
utama dari domain ini adalah:
Kerahasiaan
Protokol
keamanan jaringan
Layanan
otentikasi jaringan
Layanan
enkripsi data
Integritas
Layanan
firewall
Komunikasi
manajemen keamanan
Layanan
deteksi intrusi [dan sistem pencegahan intrusi]
Tersedianya
Kesalahan
toleransi untuk ketersediaan data (backup, sistem berlebihan disk)
Login
diterima dan kinerja proses operasi
Proses
keamanan yang handal dan interoperable dan mekanisme keamanan jaringan
3.
Manajemen praktis yang di pakai
proses yang
meliputi identifikasi, prioritas, dan manajemen risiko teknis dan non-teknis
untuk kerahasiaan, integritas, atau ketersediaan informasi. Proses ini dapat
terjadi setelah sebuah organisasi mengidentifikasi risiko melalui penilaian,
atau dapat terjadi ketika sebuah organisasi melakukan analisis risiko rinci
proaktif pada aplikasi dan sistem. Risiko tidak bisa dihilangkan; mereka harus dikelola dengan tepat. Sebuah langkah penting dalam manajemen keamanan adalah
analisis risiko (yaitu, mengidentifikasi ancaman dan kerentanan terhadap
kontrol keamanan dan tindakan). Sebuah analisis
risiko memungkinkan organisasi untuk memperkirakan potensi kerugian. Hal ini juga membantu untuk menentukan langkah-langkah
keamanan yang paling tepat dan hemat biaya untuk melaksanakan. Setelah analisis risiko dilakukan, organisasi harus
melaksanakan pengamanan dan pengendalian yang diperlukan untuk menjaga risiko
pada tingkat yang dapat diterima yang ditentukan oleh manajemen eksekutif atau
pemilik data.
4.
Pengembangan sistem aplikasi
yang digunakan
Domain
keamanan pengembangan perangkat lunak berfokus pada siklus hidup pengembangan
sistem (SDLC) dari sistem konsepsi melalui desain, pengembangan, penyebaran,
operasi, dan pensiun akhirnya yang dari layanan. Profesional
keamanan informasi dan privasi harus terlibat dalam semua tahap SDLC untuk
memastikan efektivitas keseluruhan kontrol keamanan dan masalah privasi
ditangani.
Proliferasi
perangkat pribadi milik mobile (misalnya, smartphone, tablet, dan laptop) serta
berbagai aplikasi mobile rentan menciptakan risiko yang lebih tinggi dari
mengekspos informasi rahasia dan bisnis yang berhubungan di tempat kerja. Hal ini
dapat terjadi ketika informasi tersebut disimpan pada perangkat pribadi milik.
Cyber-serangan sering mengeksploitasi kerentanan yang
melekat dalam aplikasi dan sistem operasi. Itulah
sebabnya sering update dan patch untuk perangkat lunak yang diperlukan.
Selain itu, perawatan khusus harus
diambil ketika mengembangkan aplikasi Web internal yang secara eksternal diakses
melalui Internet. Kode software harus ditulis mengikuti pedoman coding aman
seperti Open Web Proyek Keamanan Aplikasi.
5.
Cryptographs yang diterapkan : Domain kriptografi berkonsentrasi pada metode informasi
menyamarkan untuk memastikan integritas, kerahasiaan, dan keaslian informasi
yang ditransmisikan (yaitu, data transit) serta informasi yang disimpan (yaitu,
data pada saat istirahat). Kriptografi memastikan bahwa kedua jenis data dapat
dibaca hanya oleh yang tepat, individu yang berwenang. Dalam istilah awam, ini
sering disebut sebagai enkripsi. Enkripsi adalah transformasi teks biasa
menjadi teks sandi tak terbaca.
"Proses
Enkripsi" di bawah ini adalah gambaran sederhana dari proses enkripsi
coding dan decoding menggunakan kunci pribadi dan kunci publik.
6.
Arsitektur dari sistem
informasi yang diterapkan
Setiap jenis
informasi platform sistem (misalnya, workstation, server, jaringan area
penyimpanan, switch, firewall, router, virtualisasi, atau komputasi awan) yang
membentuk infrastruktur teknologi informasi memiliki kerentanan yang unik.
Arsitektur keamanan
merupakan hal mendasar untuk menegakkan kebijakan keamanan yang dapat
diterapkan pada lapisan yang berbeda untuk setiap jenis platform sistem. Arsitektur
ini didasarkan pada bagaimana perusahaan akan menangani masing-masing sebagai
berikut:
·
Diijinkan dan
jasa disallowable dan protokol
·
Kerentanan
pemindaian
·
Manajemen patch
·
Firmware atau
perangkat lunak upgrade
7.
Pengoperasian yang ada
Meskipun
arsitek keamanan atau insinyur membantu menetapkan standar keamanan dan
kebijakan, keamanan operasi adalah proses yang sebenarnya untuk melaksanakan,
menjaga, dan pemantauan pengamanan dan kontrol setiap hari untuk mencegah
insiden keamanan. Organisasi dapat menggunakan berbagai perlindungan dan
kontrol untuk mengamankan operasi mereka, seperti menerapkan:
·
Kontrol
preventif untuk mengurangi ancaman kesalahan yang tidak disengaja atau pengguna
yang tidak sah mengakses sistem dan memodifikasi informasi
·
Kontrol
detektif yang membantu mengidentifikasi ketika kesalahan telah terjadi
·
Pemisahan tugas
dengan memberikan tugas kepada personil yang berbeda, mencegah satu orang dari
memiliki kontrol total dari langkah-langkah keamanan
·
Back-up dalam
hal terjadi kecelakaan atau langkah-langkah untuk memulihkan sistem jika
·
Langkah-langkah
untuk pelacakan dan persetujuan perubahan atau konfigurasi ulang pada sistem
(Catatan: ini biasanya dibahas dalam proses perubahan kontrol formal dan
melalui manajemen konfigurasi yang mencakup inventarisasi terbaru dari
perangkat keras, sistem operasi, dan versi software dan patch)
·
Pemeriksaan
latar belakang karyawan dan skrining untuk posisi yang memiliki akses ke
informasi atau kontrol langkah-langkah keamanan yang lebih sangat sensitif
·
Kebijakan
retensi yang tepat sebagai didikte oleh kebijakan organisasi, standar, dan
aturan hukum dan bisnis
·
Dokumentasi
yang sesuai, seperti kebijakan organisasi dan prosedur keamanan, keamanan,
kontingensi, dan rencana pemulihan bencana
·
Perlindungan
untuk hardware, software, dan sumber daya informasi
8.
Busineess Continuity Plan (BCP)
dan Disaster Recovery Plan (DRP)
Perencanaan kelangsungan bisnis
adalah "proses pembuatan rencana yang akan memastikan bahwa fungsi bisnis
penting dapat menahan berbagai keadaan darurat. Dalam lingkungan kesehatan, ini
termasuk bagaimana informasi yang diperlukan untuk memberikan perawatan pasien
tersedia. Perencanaan pemulihan bencana melibatkan membuat persiapan untuk
bencana tetapi juga mencakup prosedur yang harus diikuti selama dan setelah
kerugian.
Ada empat tahap utama dalam proses
perencanaan kelangsungan bisnis: 1) ruang lingkup dan rencana inisiasi, 2)
analisis dampak bisnis yang, dalam perawatan kesehatan, harus mencakup dampak
untuk perawatan pasien, 3) pengembangan rencana kesinambungan bisnis, dan 4)
persetujuan rencana dan implementasi.
Perencanaan pemulihan bencana membantu
organisasi dalam membuat keputusan penting dan membimbing tindakan dalam hal
bencana. Untuk keamanan informasi, rencana pemulihan bencana biasanya
berfokus pada pusat data atau ruang komputer yang rumah server dan peralatan jaringan
yang terdiri dari infrastruktur teknologi informasi. Rencananya rincian bagaimana sistem ini akan secara
sistematis pulih dalam hal bencana ke pusat data atau ruang komputer.
9.
Kebutuhan Hukum, bentuk
investigasi dan kode etik yang diterapkan
Profesional keamanan perlu memahami AS dan hukum
internasional, peraturan, dan persyaratan industri yang berkaitan dengan
keamanan informasi. Ini termasuk kejahatan dunia maya dan isu-isu yang unik
untuk menyelidiki kejahatan komputer, seperti prosedur forensik yang digunakan
untuk mengumpulkan bukti dan protokol hukum untuk kontrol, penyimpanan, dan
pelestarian bukti.
Domain ini juga mencakup prosedur pemberitahuan
pelanggaran. Untuk entitas kesehatan dan rekan bisnis mereka, pemerintah
federal telah secara khusus diuraikan prosedur yang harus diikuti setelah
pelanggaran PHI di bawah kekuasaan privasi HIPAA dan persyaratan pemberitahuan
HITECH pelanggaran.
10. Tata letak
fisik dari sistem yang ada
Domain akhir membahas keamanan fisik (yaitu,
lingkungan kerja dan penanggulangan yang tepat digunakan untuk fisik melindungi
aset informasi).
Ancaman fisik dan lingkungan atau kerentanan mungkin
sudah teridentifikasi menggunakan penilaian kerentanan bahaya. Ini termasuk
situasi tertentu, seperti keadaan darurat, gangguan layanan, bencana alam, dan
sabotase.
Keamanan fisik termasuk kontrol akses seperti kunci,
penjaga, monitor pengawasan, detektor intrusi, dan alarm. Ini juga mencakup
kontrol yang tepat dari peralatan komputer melalui pemeliharaan dan persediaan
sistem, retensi dan penyimpanan, dan proses kehancuran.
Lingkungan fisik harus melindungi tenaga listrik
(misalnya, dalam hal kebisingan, brownout, kelembaban, dan statis). Lingkungan
juga harus mencakup deteksi kebakaran dan sistem penindasan serta pemanasan,
ventilasi, dan pendingin udara.
Referensi :
Postingan
0 komentar:
Posting Komentar