untuk Mata Kuliah Manajemen Keamanan Informasi
Pendahuluan
—Suksesnya program keamanan SI tergantung pada pembangunan kebijakan.
—Kebijakan adalah fondasi terpenting dari keefektifan program keamanan sistem informasi.
Nasional Institute of Standards and Technology menyatakannya dalam Publikasi Spesial SP 500-169
•Suksesnya program perlindungan sumber daya informasi tergantung pada kebijakan yang di generate dan sikap manajemen ke depan dalam melindungi informasi pada sistem yang terotomatisasi.
•Pembuat kebijakan mengatur dan mendorong karyawan menyadari pentingnya aturan keamanan informasi yang dibuat.
•Tanggung jawab utamanya meminimalkan resiko, menyesuaikan dengan hukum yang berlaku dan memberikan jaminan keberlangsungan operasional, integritas informasi dan terjaganya kerahasiaan.
Kenapa perlu kebijakan?
•Kualitas program keamanan SI dimulai dan diakhiri dengan kebijakan.
•Pengontrolan kebijakan memerlukan biaya yaitu pada saat tim manajemen menciptakan, menyetujui dan mengkomunikasikannya kepada karyawan.
•Bila konsultan yang mengerjakan, biaya dikeluarkan saat konsultan membandingkan kebijakan dengan kondisi perusahaan dan pengontrolan teknis.
Aturan dasar kebijakan
—Kebijakan tidak boleh konflik dengan hukum
—Kebijakan harus adil
—Kebijakan harus didukung dan dikelola dengan benar
1.Semua kebijakan harus memberi kontribusi kesuksesan organisasi
2.Manajemen harus memastikan pembagian yang cukup bertanggung jawab untuk penggunaan yang tepat dari sistem informasi
3.Pengguna akhir harus terlibat dalam membuat langkah-langkah formulasi kebijakan
Model implementasi
—Model implementasi yang mendorong terbentuknya aturan kebijakan program keamanan SI adalah model bull’s eye.
—Model ini menggambarkan implementasi yang bergerak dari hal umum menuju hal khusus, selalu dimulai dimulai dari kebijakan.
—Model ini diterima oleh banyak profesional keamanan informasi.
1.Policies/kebijakan – layer luar diagram bull’s eye
2.Networks/Jaringan – tempat bertemunya ancaman dari jaringan luar dengan infrastruktur jaringan organisasi.
3.Sytems/sistem – komputer menggunakan server, desktop komputer dan sistem untuk proses pengontrolan dan sistem manufaktur
4.Applications/aplikasi – semua aplikasi sistem termasuk paket aplikasi seperti otomasi perkantoran dan email, paket ERP, dan software aplikasi yang dibuat sesuai kebutuhan organisasi
—Apapun metodologinya hal yang terpenting adalah kebijakan keamanan SI dan penggunaan TI harus dibangun, dikomunikasikan dan didukung.
—Tidak ada sumber daya tambahan yang harus dikeluarkan pada pengendalian selain kebijakan
Policy, Standards and Practices
—Policy/kebijakan adalah rencana atau tindakan, pada pemerintah, partai politik, atau bisnis, dimaksudkan untuk mempengaruhi dan menentukan keputusan, tindakan dan hal-hal lain.
—Standard/standar adalah pernyataan yang lebih terperinci mengenai apa yang harus dikerjakan untuk menyesuaikan kebijakan
—Practices, procedures and guideline / pelaksanaan, prosedur dan pedoman menjelaskan bagaimana karyawan menyesuaikan dengan kebijakan.
Ingin kebijakan efektif?
—Supaya kebijakan menjadi efektif, karyawan harus diberikan buku manual karyawan, buku manual penggunaan dan pemeliharaan intranet organisasi, buku tambahan periodik.
—Semua orang di organisasi harus membaca, mengerti dan menyetujui kebijakan organisasi.
—Kebijakan termasuk modifikasi dan pemeliharaan yang tetap.
Tiga tipe kebijakan
Ada 3 tipe berdasarkan NIST Special Publication 800-14 (http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf)
—Enterprise information security program policy
—Issue-specific security policies
—System-specific security policies
Pedoman Pembangunan Kebijakan
•Project Pembangunan Kebijakan memerlukan metodologi yang disebut SecSDLC (security system development life cycle) yang mirip dengan SDLC (system development life cycle)
•Fase dalam SecSDLC:
–Investigation phase
–Analysis phase
–Design phase
–Implementation phase
–Maintenance phase
Investigation phase
—Pada fase investigasi, tim pembangunan kebijakan meminta:
◦Dukungan manajemen senior
◦Dukungan dan keterlibatan aktif manajemen TI
◦Kejelasan artikulasi tujuan pembangunan kebijakan
◦Partisipasi dari karyawan yang tepat
◦Lingkup yang terperinci, estimasi biaya dan jadwal proyek
Analysis Phase
—Aktivitas yang dilakukan pada fase analisis:
◦Mendapatkan dokumen audit TI keamanan informasi organisasi yang terkini
◦Mendapatkan dan menganalisa dokumen kebijakan yang lama (termasuk dokumen kebijakan yang berpengaruh ke personalia, keuangan, hukum, atau lembaga terkait)
Design Phase •Pada fase desain, tim harus membuat rencana untuk mendistribusikan, memverifikasi pendistribusian kebijakan.
•Contoh:
•Hanya software yang berlisensi yang boleh di-instal
•Pengguna harus mendapatkan persetujuan manajernya bila ingin meng-install software baru
Implementation Phase—Dokumen kebijakan yang baik dapat dicari di:
◦Web yang berisi kebijakan yang sejenis
◦Web di http://csrc.nist.gov atau http://fasp.nist.gov/fasp berisi NIST handbook
◦Literatur profesional
◦Peer networks à seperti information systems security association (www.issa.org)
◦Konsultan profesional
—Pastikan kebijakan dapat dilaksanakan
—Pikirkan cara mendistribusikan kebijakan
—Pastikan kebijakan ditulis dengan alasan yang rasional dengan meminimalkan jargon dan terminologi manajemen.
Maintenance phase
—Pada fase maintenance, tim pembangunan kebijakan memonitor, memelihara dan memodifikasi kebijakan sesuai ancaman yang ditemui sehingga menjamin keefektifan peralatan
Pendekatan lain menurut Charles Cresson Wood, NetIQ corporation tentang information security policy made easy. Sumber:http://www.netiq.com/products/pub/ispme.asp
Membuat Critical Systems Design Decisions/Sistem Disain Keputusan Kritis
•Sebelum versi final dokumen kebijakan dipublikasikan, manajemen membutuhkan sejumlah sistem disain keputusan yang berhubungan dengan keamanan, contoh:
–Siapa kelompok yang dapat mengakses internet
–Frekuensi akses:setiap saat,jam kerja,jam istirahat
–Tipe akses: email, internet, ftp, remote, chatting
–Tipe akses kontrol: dynamic password, fixed password, smart card
–Tipe kegiatan user yang dimonitor:file yang ditransfer, web yang dikunjungi, jam penggunaan internet
Langkah selanjutnya
•Setelah pembangunan progam keamanan SI dibuat, langkah selanjutnya adalah:
–Membuat kebijakan baru untuk intranet dan sejenisnya
–Membuat kuisioner self-assessment
–Membuat formulir revised user ID issuance
–Membuat perjanjian yang sesuai dengan formulir kebijakan keamanan informasi
–Membuat pengujian untuk menjamin pekerja mengerti kebijakan yang telah dibuat
–Menentukan koordinator keamanan informasi
–Melatih koordinator keamanan informasi
–Mempersiapkan dan menyediakan kursus pelatihan keamanan informasi ke semua karyawan
–Membangun kebijakan keamanan informasi aplikasi spesifik
–Membangun hirarki konseptual keamanan informasi
–Menentukan pemilik file dan orang yang boleh di-share
–Membuat komite manajemen keamanan informasi
–Membuat dokumen arsitektur keamanan informasi
SP 800-18: Guide for Developing Security Plans for Information Technology Systems Policy Management
—NIST Special Publication 800-18 memberikan penekanan ulang mengenai kebijakan manajemen.
Viable policy•Supaya kebijakan dapat menyesuaikan perkembangan teknologi maka harus dilakukan peninjauan terhadap kebijakan secara berkala.
•Perlu ditentukan peninjauan terhadap:
–Orang yang bertanggung jawab
–Jadwal
–Prosedur dan pelaksanaan
–Kebijakan dan tanggal perubahan
Tugas 1 (Management of Information Security page:110-126)
Cari di internet informasi tentang Nasional Institute of Standards and Technology (NIST) dan temukan kebijakan tentang:
•Biometrics, Computer Forensics, Computer Security, Conformance Testing, Cybersecurity, Data Mining, Data and Informatics, Health IT, Imaging, Information Delivery Systems, Networking, Scientific Computing, Software Testing Metrics, Telecommunications/Wireless
Cari tahu dari http://www.nist.gov/ tentang definisi, elemen, komponen
—Enterprise information security program policy
—Issue-specific security policies
—System-specific security policies
sumber:
Whitman, Michael E., Mattord, Herbert J., “Management of Information Security”, Thomson, Canada, 2004
Jawaban dibuat di blog sendiri berkelompok dengan menginformasikan nama kelompok dan hasil pekerjaannya. Cerita dengan bahasa sendiri. Tulis sumbernya ya.
