Selasa, 26 Oktober 2010

Kebijakan Keamanan Informasi

Kebijakan Keamanan Informasi | Imelda
untuk Mata Kuliah Manajemen Keamanan Informasi


Pendahuluan
 Suksesnya program keamanan SI tergantung pada pembangunan kebijakan.
Kebijakan adalah fondasi terpenting dari keefektifan program keamanan sistem informasi.

Nasional Institute of Standards and Technology menyatakannya dalam Publikasi Spesial SP 500-169

Suksesnya program perlindungan sumber daya informasi tergantung pada kebijakan yang di generate dan sikap manajemen ke depan dalam melindungi informasi pada sistem yang terotomatisasi.
Pembuat kebijakan mengatur dan mendorong karyawan menyadari pentingnya aturan keamanan informasi yang dibuat.
Tanggung jawab utamanya meminimalkan resiko, menyesuaikan dengan hukum yang berlaku dan memberikan jaminan keberlangsungan operasional, integritas informasi dan terjaganya kerahasiaan.
Kenapa perlu kebijakan? 
Kualitas program keamanan SI dimulai dan diakhiri dengan kebijakan.
Pengontrolan kebijakan memerlukan biaya yaitu pada saat tim manajemen menciptakan, menyetujui dan mengkomunikasikannya kepada karyawan.
Bila konsultan yang mengerjakan, biaya dikeluarkan saat konsultan membandingkan kebijakan dengan kondisi perusahaan dan pengontrolan teknis.
Aturan dasar kebijakan

Kebijakan tidak boleh konflik dengan hukum
Kebijakan harus adil
Kebijakan harus didukung dan dikelola dengan benar
 Formulasi Kebijakan 'Bergeron and Berube'

1.Semua kebijakan harus memberi kontribusi kesuksesan organisasi
2.Manajemen harus memastikan pembagian yang cukup bertanggung jawab untuk penggunaan yang tepat dari sistem informasi 
3.Pengguna akhir harus terlibat dalam membuat langkah-langkah formulasi kebijakan 
Model implementasi
Model implementasi yang mendorong terbentuknya aturan kebijakan program keamanan SI adalah model bull’s eye.
Model ini menggambarkan implementasi yang bergerak dari hal umum menuju hal khusus, selalu dimulai dimulai dari kebijakan.
Model ini diterima oleh banyak profesional keamanan informasi.
 
 Model Bull’s Eye
keterangan:

1.Policies/kebijakan – layer luar diagram bull’s eye
2.Networks/Jaringan – tempat bertemunya ancaman dari jaringan luar  dengan infrastruktur jaringan organisasi.
3.Sytems/sistem – komputer menggunakan server, desktop komputer dan sistem untuk proses pengontrolan dan sistem manufaktur
4.Applications/aplikasi – semua aplikasi sistem termasuk paket aplikasi seperti otomasi perkantoran dan email, paket ERP, dan software aplikasi yang dibuat sesuai kebutuhan organisasi



Apapun metodologinya hal yang terpenting adalah kebijakan keamanan SI dan penggunaan TI harus dibangun, dikomunikasikan dan didukung.
Tidak ada sumber daya tambahan yang harus dikeluarkan pada pengendalian selain kebijakan
Policy, Standards and Practices 
 
Policy/kebijakan adalah rencana atau tindakan, pada pemerintah, partai politik, atau bisnis, dimaksudkan untuk mempengaruhi dan menentukan keputusan, tindakan dan hal-hal lain.
Standard/standar adalah pernyataan yang lebih terperinci mengenai apa yang harus dikerjakan untuk menyesuaikan kebijakan 
Practices, procedures and guideline / pelaksanaan, prosedur dan pedoman menjelaskan bagaimana karyawan menyesuaikan dengan kebijakan.
Ingin kebijakan efektif? 
 
Supaya kebijakan menjadi efektif, karyawan harus diberikan buku manual karyawan, buku manual penggunaan dan pemeliharaan intranet organisasi, buku tambahan periodik.
Semua orang di organisasi harus membaca, mengerti dan menyetujui kebijakan organisasi.
Kebijakan termasuk modifikasi dan pemeliharaan yang tetap.


Tiga tipe kebijakan

Ada 3 tipe berdasarkan NIST Special Publication 800-14 (http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf)
Enterprise information security program policy
Issue-specific security policies
System-specific security policies
 Pedoman Pembangunan Kebijakan
Project Pembangunan Kebijakan memerlukan metodologi yang disebut SecSDLC (security system development life cycle) yang mirip dengan SDLC (system development life cycle)
Fase dalam SecSDLC:
Investigation phase
Analysis phase
Design phase
Implementation phase
Maintenance phase 
Investigation phase
 
Pada fase investigasi, tim pembangunan kebijakan meminta:
Dukungan manajemen senior
Dukungan dan keterlibatan aktif manajemen TI
Kejelasan artikulasi tujuan pembangunan kebijakan
Partisipasi dari karyawan yang tepat
Lingkup yang terperinci, estimasi biaya dan jadwal proyek
Analysis Phase 
Aktivitas yang dilakukan pada fase analisis:
Mendapatkan dokumen audit TI keamanan informasi organisasi yang terkini
Mendapatkan dan menganalisa dokumen kebijakan yang lama (termasuk dokumen kebijakan yang berpengaruh ke personalia, keuangan, hukum, atau lembaga terkait)
Design Phase 
Pada fase desain, tim harus membuat rencana untuk mendistribusikan, memverifikasi pendistribusian kebijakan.
Contoh:
Hanya software yang berlisensi yang boleh di-instal
Pengguna harus mendapatkan persetujuan manajernya bila ingin meng-install software baru
  Implementation Phase
Dokumen kebijakan yang baik dapat dicari di:
Web yang berisi kebijakan yang sejenis
Web di http://csrc.nist.gov atau http://fasp.nist.gov/fasp berisi NIST handbook
Literatur profesional
Peer networks à seperti information systems security association (www.issa.org)
Konsultan profesional
Pastikan kebijakan dapat dilaksanakan
Pikirkan cara mendistribusikan kebijakan
Pastikan kebijakan ditulis dengan alasan yang rasional dengan meminimalkan jargon dan terminologi manajemen.
Maintenance phase
Pada fase maintenance, tim pembangunan kebijakan memonitor, memelihara dan memodifikasi kebijakan sesuai ancaman yang ditemui sehingga menjamin keefektifan peralatan
 

Pendekatan lain menurut Charles Cresson Wood, NetIQ corporation tentang information security policy made easy. Sumber:http://www.netiq.com/products/pub/ispme.asp


Membuat Critical Systems Design Decisions/Sistem Disain Keputusan Kritis  
Sebelum versi final dokumen kebijakan dipublikasikan, manajemen membutuhkan sejumlah sistem disain keputusan yang berhubungan dengan keamanan, contoh:
Siapa kelompok yang dapat mengakses internet
Frekuensi akses:setiap saat,jam kerja,jam istirahat
Tipe akses: email, internet, ftp, remote, chatting
Tipe akses kontrol: dynamic password, fixed password, smart card
Tipe kegiatan user yang dimonitor:file yang ditransfer, web yang dikunjungi, jam penggunaan internet
 
 Langkah selanjutnya 
Setelah pembangunan progam keamanan SI dibuat, langkah selanjutnya adalah:
Membuat kebijakan baru untuk intranet dan sejenisnya
Membuat kuisioner self-assessment
Membuat formulir revised user ID issuance
Membuat perjanjian yang sesuai dengan formulir kebijakan keamanan informasi
Membuat pengujian untuk menjamin pekerja mengerti kebijakan yang telah dibuat
Menentukan koordinator keamanan informasi
Melatih koordinator keamanan informasi
Mempersiapkan dan menyediakan kursus pelatihan keamanan informasi ke semua karyawan
Membangun kebijakan keamanan informasi aplikasi spesifik
Membangun hirarki konseptual keamanan informasi
Menentukan pemilik file dan orang yang boleh di-share
Membuat komite manajemen keamanan informasi
Membuat dokumen arsitektur keamanan informasi
SP 800-18: Guide for Developing Security Plans for Information Technology Systems Policy Management
NIST Special Publication 800-18 memberikan penekanan ulang mengenai kebijakan manajemen.
Viable policy
Supaya kebijakan dapat menyesuaikan perkembangan teknologi maka harus dilakukan peninjauan terhadap kebijakan secara berkala.
Perlu ditentukan peninjauan terhadap:
Orang yang bertanggung jawab
Jadwal
Prosedur dan pelaksanaan
Kebijakan dan tanggal perubahan
Tugas 1 (Management of Information Security page:110-126)
Cari di internet informasi tentang Nasional Institute of Standards and Technology (NIST) dan temukan kebijakan tentang:
Biometrics, Computer Forensics, Computer Security, Conformance Testing, Cybersecurity, Data Mining, Data and Informatics, Health IT, Imaging, Information Delivery Systems, Networking, Scientific Computing, Software Testing Metrics, Telecommunications/Wireless
 
  Tugas 2
Cari tahu dari http://www.nist.gov/ tentang definisi, elemen, komponen
Enterprise information security program policy
Issue-specific security policies
System-specific security policies 

sumber:  
Whitman, Michael E., Mattord, Herbert J., “Management of Information Security”, Thomson, Canada, 2004
Jawaban dibuat di blog sendiri berkelompok dengan menginformasikan nama kelompok dan hasil pekerjaannya. Cerita dengan bahasa sendiri. Tulis sumbernya ya.
 

Senin, 25 Oktober 2010

interface: Intimasi baru, kebudayaan baru

¨interface: Intimasi baru, kebudayaan baru merupakan bagian dari pembahasan dari teknologi baru, kehidupan diri dan kehidupan sosial di mata kuliah perkembangan teknologi komunikasi.
di pertemuan ke 6 ini dibahas mengenai:
¨  Love, Honor, Cherish, But Reveal My Password?
¨  Krisis Identitas
¨  I don’t know who you are, but (click) you’re toast
¨  Cyberpunk!
Love, Honor, Cherish, But Reveal My Password?
Dengan semakin berkembangnya teknologi informasi dan komunikasi maka orang semakin mudah bersosialisasi dengan orang lain menggunakan media yang ada. Orang bahkan bisa berkenalan hanya karena chating bahkan bisa menikah setelah itu. Dalam perkembangan pertemanan ini terjalin keterbukaan dan saling percaya satu sama lain. Bila hal ini dicontohkan email, jawablah pertanyaan dibawah ini
  1. Bagaimana email itu bisa lebih mempercepat hubungan menjadi lebih dekat dan bisa lebih terbuka mengungkapkan perasaan secara personal?
  2. Apakah Anda bersedia untuk sepenuhnya berbagi account Anda, termasuk alamat email dan password, dengan pasangan Anda? Mengapa atau mengapa tidak?
  3. Bagaimana email, seperti lemari obat, tagihan kartu kredit, dan buku harian pribadi, perlu diwaspadai dan disesuaikan dengan kebutuhan?

Krisis Identitas
Banyak orang yang memiliki krisis identitas diri. Bahkan biasanya orang mulai bertanya tentang identitas dirinya ketika akil balik (perubahan dari anak-anak menjadi remaja dan dewasa). Dia mulai bertanya siapakah saya? Apa keistimewaan saya yang bisa dilihat orang dan itu merupakan anugerah TUHAN? Bila ia mendapat jawaban yang tepat dari tempat yang tepat maka ia menjadi seorang dewasa yang dapat bertahan dari kondisi apapun juga.
Konsep mendasar tentang identitas diri bisa diperoleh dari keluarga. Lingkungan keluarga sangat mendukung hal ini. Bila keluarga berantakan maka anak akan kehilangan identitas dirinya. Ini bisa diobati ketika ia mulai mengenal TUHAN di dalam hidupnya. Dengan mengenal TUHAn maka ia bisa mengenal dirinya.
  1. Apa perbedaan antara orang yang bereksperimen dengan keragaman dengan orang yang memiliki kondisi gangguan kepribadian ganda?
  2. Apakah Anda setuju bahwa faktor psikologi yang sehat akan semakin tergantung pada konsep-konsep identitas yang fleksibel?
  3. Bagaimana realitas virtual dunia maya berfungsi sebagai ruang transisi bagi banyak orang?

I don’t know who you are, but (click) you’re toast
Dari permainan komputer yang disebut game juga membuat orang di negara yang satu dapat berkenalan dengan orang dinegara yang lain.
  1. Mengapa game komputer menarik bagi berbagai kelompok-kelompok demografis? Apakah atraksi game komputer bagi perempuan dan orang tua sama seperti untuk anak-anak?
  2. Apa perbedaan antara "persisten dunia“ dan "peer-to-peer” dalam game komputer?
  3. Dalam hal apa dunia komputer interaktif memiliki beberapa pengguna dari game? Apa perbedaan lingkungan sekarang ini dengan adanya game terbaru dan multimedia?

Cyberpunk
4 ide cyberpunk
  1. Kebebasan informasi. Tidak menutupi informasi apapun yang ada.
  2. Cyberpunk percaya bahwa dunia akan berkembang menjadi lebih baik, jika orang itu dapat memegang kendali dunia melalui komputer.
  3. Promosi desentralisasi. Masyarakat yang terdiri dari berbagai budaya memiliki bahasa, tanda bahasa, dan gaya hidup yang berbeda yang harus saling menyesuaikan.
  4. Tidak mungkin menyembunyikan diri dari perubahan yang sedemikian cepat sekarang ini. Seperti mencoba menyembunyikan kepala di dalam air tetapi tetap terlihat karena badan tidak bisa disembunyikan.
Berdasarkan 4 ide cyberpunk diatas, jawablah pertanyaan dibawah ini.
  1. Mengapa akar cyberpunk sebagai sastra merupakan teknologi?
  2. Apakah empat sikap pusat gagasan cyberpunk dan bagaimana mereka konflik dengan nilai-nilai bisnis tradisional?
  3. Dari semua berbagai teknologi yang merangkul cyberpunk (mis. brain implan, kehidupan tiruan, seks virtual), mana yang menurut Anda akan menjadi mainstream pada dekade berikutnya? 
Berikan ide dan komentar anda melalui komen dibawah ini dengan menceritakannya dalam blog anda sendiri.
selamat berkreasi.