Kebijakan Keamanan Informasi

Kebijakan Keamanan Informasi | Imelda
untuk Mata Kuliah Manajemen Keamanan Informasi


Pendahuluan
 —Suksesnya program keamanan SI tergantung pada pembangunan kebijakan.

—Kebijakan adalah fondasi terpenting dari keefektifan program keamanan sistem informasi.

Nasional Institute of Standards and Technology menyatakannya dalam Publikasi Spesial SP 500-169

•Suksesnya program perlindungan sumber daya informasi tergantung pada kebijakan yang di generate dan sikap manajemen ke depan dalam melindungi informasi pada sistem yang terotomatisasi.

•Pembuat kebijakan mengatur dan mendorong karyawan menyadari pentingnya aturan keamanan informasi yang dibuat.

•Tanggung jawab utamanya meminimalkan resiko, menyesuaikan dengan hukum yang berlaku dan memberikan jaminan keberlangsungan operasional, integritas informasi dan terjaganya kerahasiaan.

Kenapa perlu kebijakan? 

•Kualitas program keamanan SI dimulai dan diakhiri dengan kebijakan.

•Pengontrolan kebijakan memerlukan biaya yaitu pada saat tim manajemen menciptakan, menyetujui dan mengkomunikasikannya kepada karyawan.

•Bila konsultan yang mengerjakan, biaya dikeluarkan saat konsultan membandingkan kebijakan dengan kondisi perusahaan dan pengontrolan teknis.

Aturan dasar kebijakan

—Kebijakan tidak boleh konflik dengan hukum

—Kebijakan harus adil

—Kebijakan harus didukung dan dikelola dengan benar

 Formulasi Kebijakan 'Bergeron and Berube'

1.Semua kebijakan harus memberi kontribusi kesuksesan organisasi

2.Manajemen harus memastikan pembagian yang cukup bertanggung jawab untuk penggunaan yang tepat dari sistem informasi 

3.Pengguna akhir harus terlibat dalam membuat langkah-langkah formulasi kebijakan 

Model implementasi

—Model implementasi yang mendorong terbentuknya aturan kebijakan program keamanan SI adalah model bull’s eye.

—Model ini menggambarkan implementasi yang bergerak dari hal umum menuju hal khusus, selalu dimulai dimulai dari kebijakan.

—Model ini diterima oleh banyak profesional keamanan informasi.

 

 Model Bull’s Eye

keterangan:

1.Policies/kebijakan – layer luar diagram bull’s eye

2.Networks/Jaringan – tempat bertemunya ancaman dari jaringan luar  dengan infrastruktur jaringan organisasi.

3.Sytems/sistem – komputer menggunakan server, desktop komputer dan sistem untuk proses pengontrolan dan sistem manufaktur

4.Applications/aplikasi – semua aplikasi sistem termasuk paket aplikasi seperti otomasi perkantoran dan email, paket ERP, dan software aplikasi yang dibuat sesuai kebutuhan organisasi

—Apapun metodologinya hal yang terpenting adalah kebijakan keamanan SI dan penggunaan TI harus dibangun, dikomunikasikan dan didukung.

—Tidak ada sumber daya tambahan yang harus dikeluarkan pada pengendalian selain kebijakan

Policy, Standards and Practices 

 

—Policy/kebijakan adalah rencana atau tindakan, pada pemerintah, partai politik, atau bisnis, dimaksudkan untuk mempengaruhi dan menentukan keputusan, tindakan dan hal-hal lain.

—Standard/standar adalah pernyataan yang lebih terperinci mengenai apa yang harus dikerjakan untuk menyesuaikan kebijakan 

—Practices, procedures and guideline / pelaksanaan, prosedur dan pedoman menjelaskan bagaimana karyawan menyesuaikan dengan kebijakan.

Ingin kebijakan efektif? 

 

—Supaya kebijakan menjadi efektif, karyawan harus diberikan buku manual karyawan, buku manual penggunaan dan pemeliharaan intranet organisasi, buku tambahan periodik.

—Semua orang di organisasi harus membaca, mengerti dan menyetujui kebijakan organisasi.

—Kebijakan termasuk modifikasi dan pemeliharaan yang tetap.

Tiga tipe kebijakan

Ada 3 tipe berdasarkan NIST Special Publication 800-14 (http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf)

—Enterprise information security program policy

—Issue-specific security policies

—System-specific security policies

 Pedoman Pembangunan Kebijakan

•Project Pembangunan Kebijakan memerlukan metodologi yang disebut SecSDLC (security system development life cycle) yang mirip dengan SDLC (system development life cycle)

•Fase dalam SecSDLC:

–Investigation phase

–Analysis phase

–Design phase

–Implementation phase

–Maintenance phase 

Investigation phase

 

—Pada fase investigasi, tim pembangunan kebijakan meminta:

◦Dukungan manajemen senior

◦Dukungan dan keterlibatan aktif manajemen TI

◦Kejelasan artikulasi tujuan pembangunan kebijakan

◦Partisipasi dari karyawan yang tepat

◦Lingkup yang terperinci, estimasi biaya dan jadwal proyek

Analysis Phase 

—Aktivitas yang dilakukan pada fase analisis:

◦Mendapatkan dokumen audit TI keamanan informasi organisasi yang terkini

◦Mendapatkan dan menganalisa dokumen kebijakan yang lama (termasuk dokumen kebijakan yang berpengaruh ke personalia, keuangan, hukum, atau lembaga terkait)

Design Phase 

•Pada fase desain, tim harus membuat rencana untuk mendistribusikan, memverifikasi pendistribusian kebijakan.

•Contoh:

•Hanya software yang berlisensi yang boleh di-instal

•Pengguna harus mendapatkan persetujuan manajernya bila ingin meng-install software baru

  Implementation Phase

—Dokumen kebijakan yang baik dapat dicari di:

◦Web yang berisi kebijakan yang sejenis

◦Web di http://csrc.nist.gov atau http://fasp.nist.gov/fasp berisi NIST handbook

◦Literatur profesional

◦Peer networks à seperti information systems security association (www.issa.org)

◦Konsultan profesional

—Pastikan kebijakan dapat dilaksanakan

—Pikirkan cara mendistribusikan kebijakan

—Pastikan kebijakan ditulis dengan alasan yang rasional dengan meminimalkan jargon dan terminologi manajemen.

Maintenance phase

—Pada fase maintenance, tim pembangunan kebijakan memonitor, memelihara dan memodifikasi kebijakan sesuai ancaman yang ditemui sehingga menjamin keefektifan peralatan

 

Pendekatan lain menurut Charles Cresson Wood, NetIQ corporation tentang information security policy made easy. Sumber:http://www.netiq.com/products/pub/ispme.asp

Membuat Critical Systems Design Decisions/Sistem Disain Keputusan Kritis  

•Sebelum versi final dokumen kebijakan dipublikasikan, manajemen membutuhkan sejumlah sistem disain keputusan yang berhubungan dengan keamanan, contoh:

–Siapa kelompok yang dapat mengakses internet

–Frekuensi akses:setiap saat,jam kerja,jam istirahat

–Tipe akses: email, internet, ftp, remote, chatting

–Tipe akses kontrol: dynamic password, fixed password, smart card

–Tipe kegiatan user yang dimonitor:file yang ditransfer, web yang dikunjungi, jam penggunaan internet

 

 Langkah selanjutnya 

•Setelah pembangunan progam keamanan SI dibuat, langkah selanjutnya adalah:

–Membuat kebijakan baru untuk intranet dan sejenisnya

–Membuat kuisioner self-assessment

–Membuat formulir revised user ID issuance

–Membuat perjanjian yang sesuai dengan formulir kebijakan keamanan informasi

–Membuat pengujian untuk menjamin pekerja mengerti kebijakan yang telah dibuat

–Menentukan koordinator keamanan informasi

–Melatih koordinator keamanan informasi

–Mempersiapkan dan menyediakan kursus pelatihan keamanan informasi ke semua karyawan

–Membangun kebijakan keamanan informasi aplikasi spesifik

–Membangun hirarki konseptual keamanan informasi

–Menentukan pemilik file dan orang yang boleh di-share

–Membuat komite manajemen keamanan informasi

–Membuat dokumen arsitektur keamanan informasi

SP 800-18: Guide for Developing Security Plans for Information Technology Systems Policy Management

—NIST Special Publication 800-18 memberikan penekanan ulang mengenai kebijakan manajemen.

Viable policy

•Supaya kebijakan dapat menyesuaikan perkembangan teknologi maka harus dilakukan peninjauan terhadap kebijakan secara berkala.

•Perlu ditentukan peninjauan terhadap:

–Orang yang bertanggung jawab

–Jadwal

–Prosedur dan pelaksanaan

–Kebijakan dan tanggal perubahan

Tugas 1 (Management of Information Security page:110-126)

Cari di internet informasi tentang Nasional Institute of Standards and Technology (NIST) dan temukan kebijakan tentang:

•Biometrics, Computer Forensics, Computer Security, Conformance Testing, Cybersecurity, Data Mining, Data and Informatics, Health IT, Imaging, Information Delivery Systems, Networking, Scientific Computing, Software Testing Metrics, Telecommunications/Wireless

 

  Tugas 2

Cari tahu dari http://www.nist.gov/ tentang definisi, elemen, komponen

—Enterprise information security program policy

—Issue-specific security policies

—System-specific security policies 

sumber:  
Whitman, Michael E., Mattord, Herbert J., “Management of Information Security”, Thomson, Canada, 2004

Jawaban dibuat di blog sendiri berkelompok dengan menginformasikan nama kelompok dan hasil pekerjaannya. Cerita dengan bahasa sendiri. Tulis sumbernya ya.

 

interface: Intimasi baru, kebudayaan baru

¨interface: Intimasi baru, kebudayaan baru merupakan bagian dari pembahasan dari teknologi baru, kehidupan diri dan kehidupan sosial di mata kuliah perkembangan teknologi komunikasi.

di pertemuan ke 6 ini dibahas mengenai:

¨  Love, Honor, Cherish, But Reveal My Password?

¨  Krisis Identitas

¨  I don’t know who you are, but (click) you’re toast

¨  Cyberpunk!

Love, Honor, Cherish, But Reveal My Password?

Dengan semakin berkembangnya teknologi informasi dan komunikasi maka orang semakin mudah bersosialisasi dengan orang lain menggunakan media yang ada. Orang bahkan bisa berkenalan hanya karena chating bahkan bisa menikah setelah itu. Dalam perkembangan pertemanan ini terjalin keterbukaan dan saling percaya satu sama lain. Bila hal ini dicontohkan email, jawablah pertanyaan dibawah ini

1. Bagaimana email itu bisa lebih mempercepat hubungan menjadi lebih dekat dan bisa lebih terbuka mengungkapkan perasaan secara personal?
2. Apakah Anda bersedia untuk sepenuhnya berbagi account Anda, termasuk alamat email dan password, dengan pasangan Anda? Mengapa atau mengapa tidak?
3. Bagaimana email, seperti lemari obat, tagihan kartu kredit, dan buku harian pribadi, perlu diwaspadai dan disesuaikan dengan kebutuhan?

Krisis Identitas

Banyak orang yang memiliki krisis identitas diri. Bahkan biasanya orang mulai bertanya tentang identitas dirinya ketika akil balik (perubahan dari anak-anak menjadi remaja dan dewasa). Dia mulai bertanya siapakah saya? Apa keistimewaan saya yang bisa dilihat orang dan itu merupakan anugerah TUHAN? Bila ia mendapat jawaban yang tepat dari tempat yang tepat maka ia menjadi seorang dewasa yang dapat bertahan dari kondisi apapun juga.

Konsep mendasar tentang identitas diri bisa diperoleh dari keluarga. Lingkungan keluarga sangat mendukung hal ini. Bila keluarga berantakan maka anak akan kehilangan identitas dirinya. Ini bisa diobati ketika ia mulai mengenal TUHAN di dalam hidupnya. Dengan mengenal TUHAn maka ia bisa mengenal dirinya.

1. Apa perbedaan antara orang yang bereksperimen dengan keragaman dengan orang yang memiliki kondisi gangguan kepribadian ganda?
2. Apakah Anda setuju bahwa faktor psikologi yang sehat akan semakin tergantung pada konsep-konsep identitas yang fleksibel?
3. Bagaimana realitas virtual dunia maya berfungsi sebagai ruang transisi bagi banyak orang?

I don’t know who you are, but (click) you’re toast

Dari permainan komputer yang disebut game juga membuat orang di negara yang satu dapat berkenalan dengan orang dinegara yang lain.

1. Mengapa game komputer menarik bagi berbagai kelompok-kelompok demografis? Apakah atraksi game komputer bagi perempuan dan orang tua sama seperti untuk anak-anak?
2. Apa perbedaan antara "persisten dunia“ dan "peer-to-peer” dalam game komputer?
3. Dalam hal apa dunia komputer interaktif memiliki beberapa pengguna dari game? Apa perbedaan lingkungan sekarang ini dengan adanya game terbaru dan multimedia?

Cyberpunk

4 ide cyberpunk

1. Kebebasan informasi. Tidak menutupi informasi apapun yang ada.
2. Cyberpunk percaya bahwa dunia akan berkembang menjadi lebih baik, jika orang itu dapat memegang kendali dunia melalui komputer.
3. Promosi desentralisasi. Masyarakat yang terdiri dari berbagai budaya memiliki bahasa, tanda bahasa, dan gaya hidup yang berbeda yang harus saling menyesuaikan.
4. Tidak mungkin menyembunyikan diri dari perubahan yang sedemikian cepat sekarang ini. Seperti mencoba menyembunyikan kepala di dalam air tetapi tetap terlihat karena badan tidak bisa disembunyikan.

Berdasarkan 4 ide cyberpunk diatas, jawablah pertanyaan dibawah ini.

1. Mengapa akar cyberpunk sebagai sastra merupakan teknologi?
2. Apakah empat sikap pusat gagasan cyberpunk dan bagaimana mereka konflik dengan nilai-nilai bisnis tradisional?
3. Dari semua berbagai teknologi yang merangkul cyberpunk (mis. brain implan, kehidupan tiruan, seks virtual), mana yang menurut Anda akan menjadi mainstream pada dekade berikutnya? 

Berikan ide dan komentar anda melalui komen dibawah ini dengan menceritakannya dalam blog anda sendiri.
selamat berkreasi.