Manajemen
kontrol keamanan pada sistem sangat penting, karena tujuan
utama tahap ini adalah untuk menghasilkan atau memperoleh dan menenerapkan
program yang berkualitas. Jika program mempunyai karakteristik
tersebut, aktivitas pengembangan, penerimaan dan implementasi program dapat
diatur dengan baik. Dalam pengembangan sistem, auditor dapat menggunakan model
siklus hidup untuk lebih memahami, merencanakan, dan menyelesaikan tugas dalam
rangka untuk memperoleh s/w dengan kualitas baik. Selama proses audit, model
ini juga dapat digunakan sebagai pedoman aktivitas pengumpulan dan evaluasi
fakta.
Keamanan
komputer dan keamanan sistem informasi merupakan bidang yang kompleks bermulai
dari manajemen keamanan sistem informasi dan berakhir pada algoritma matematika
enskripsi data yang rumit didukung pengetahuan keamanan komputer hingga
penggunaan perangkat lunak keamanan khusus.
Dan
definisi Keamanan itu sendiri Adalah proteksi perlindungan atas sumber-sumber
fisik dan konseptual dari bahaya alam dan manusia. Kemanan terhadap sumber
konseptual meliputi data dan informasi.
Tujuan-tujuan
Keamanan ; dimaksudkan untuk mencapai 3 tujuan utama , yaitu :
1. Kerahasiaan
2. Ketersediaan, tujuan CBIS adalah menyediakan data
dan informasi bagi mereka yang berwenang untuk menggunakannya.
3. Integritas, semua subsistem CBIS harus menyediakan
gambaran akurat dari sistem fisik yang diwakilinya.
Tujuan
pengontrolan adalah untuk memastikan bahwa CBIS telah diimplementasikan seperti
yang direncanakan, system beroperasi seperti yang dikehendaki, dan operasi
tetap dalam keadaan aman dari penyalahgunaan atau gangguan.
Empat tipe keamanan komputer berdasarkan lubang keamanannya menurut David
Icove :
1.
Keamanan
yang bersifat fisik ( physical security )
Termasuk akses orang ke gedung, peralatan, atau media
yang digunakan. Beberapa contoh kejahatan jenis ini adalah sebagai berikut :
·
Berkas-berkas
dokumen yang telah dibuang ke tempat sampah yang mungkin memuat informasi
password dan username.
·
Pencurian
komputer dan laptop
·
Serangan
yang disebut dengan DDos Attack / denial of service
·
Pemutusan
jalur listrik sehingga tidak berfungsi secara fisik.
·
Pembajakan
pesawat pada saat tragedy world trade centre.
2.
Keamanan
yang berhubungan dengan orang ( personal security ).
Tipe keamanan jenis ini termasuk kepada identifikasi,
profile resiko dari pekerja di sebuah perusahaan. Dalam dunia keamanan
informasi salah satu factor terlemah adalah dari tipe jenis ini. Hal ini
disebabkan manusia bukanlah mesin sehingga kadangkala pekerjaannya tidak
terstruktur dan dapat di kelabui. Kejahatan jenis ini sering menggunakan metode
yang disebut dengan social engineering .
3.
Keamanan
dari data dan media serta teknik komunikasi (Communication security).
Tipe keamanan jenis ini banyak menggunakan kelemahan yang
ada pada perangkat lunak, baik perangkat lunak aplikasi ataupun perangkat lunak
yang diugunakan dalam mengelola sebuah database.
4.
Keamanan
dalam operasi ( management security )
Kebijakan atau policy adalah hal terpenting yang harus di
perhatikan sebuah perusahaan dalam memelihara asset teknologi dan bisnis mereka
apabila ingin aman dari serangan hacker. Kebijakan digunakan untuk mengelola
sistem keamanan , prosedur sebelum maupun setelah serangan terjadi, mempelajari
manajemen resiko seperti dampak dan akibat dari sebuah serangan.Banyak
perusahaan terutama di Indonesia tidak memiliki standard prosedur bagi keamanan
sistem informasi. Untuk itu beberapa bagian dari buku ini akan banyak membahas
tentang implementasi dari standard pelaksanaan keamanan sistem informasi bagi
perusahaan yang diambil dari ISO 27001.
Sumber:
http://santiw.staff.gunadarma.ac.id/Downloads/files/2942/KEAMANAN+DAN+KONTROL2.doc
0 comments:
Posting Komentar