Standarisasi Keamanan Material (Dokumen software /hardware)
terhadap bencana
Jika kita berbicara tentang standard keamanan material
kita hendaknya menyinggung sedikit tentang prinsip – prinsip keamanan computer yang
ada dibawah ini,Prinsip-prinsip keamanan
Least previlage: artinya setiap orang hanya diberi
hak akses tidak lebih dari yang dibutuhkan untuk menjalankan tugasnya. Seorang staf umum dan gudang hanya mendapat hak akses untuk
menjalankan aplikasi administrasi gudang. Seorang staf penanganan anggota hanya
mendapat hak akses untuk menjalankan aplikasi administrasi Seorang staf
pemasaran hanya mendapat hak akses untuk menjalankan aplikasi administrasi
pemasaran dan penjualan. Seorang staf kepegawaian hanya
mendapat hak akses untuk menjalankan aplikasi administrasi kepegawaian. Seorang
manajer mendapat hak akses untuk membaca dan menjalankan aplikasi departemen
yang dibawahinya dan dapat membaca file yang dimiliki oleh stafnya. Seorang
direktur dapat memonitor seluruh pekerjaan yang dilakukan oleh manajer yang ada
dibawahnya. Defense in Depth: gunakan berbagai perangkat keamanan
untuk saling membackup. Misalnya dapat dipergunakan multiple screening router, mirroring harddisk pada server, dua
CDRW untuk satu kali backup data yaitu dua kali sehari (setiap pagi dan sore)
pada masing-masing departemen sehingga
kalau satu dijebol, maka yang satu lagi masih berfungsi. Choke point: semua keluar masuk lewat satu (atau
sedikit) gerbang. Syaratnya tidak ada cara lain keluar masuk selain lewat
gerbang. Weakest link: ''a chain is only as strong as
its weakest link''. Oleh karena itu kita harus tahu persis dimana weakest link
dalam sistem sekuriti organisasi kita. Kelemahan jaringan di
dalam sistem sekuriti organisasi yang perlu diawasi adalah bila ada virus baru
yang tidak terdeteksi. Oleh karena itu update anti virus pada
server dan client harus selalu dilakukan dan tidak boleh diabaikan. Fail-Safe Stance: maksudnya kalau suatu perangkat
keamanan rusak, maka secara default perangkat tersebut settingnya akan ke
setting yang paling aman. Misalnya: kapal selam di Karibia kalau rusak
mengapung, kunci elektronik kalau tidak ada power akan unlock, packet filtering
kalau rusak akan mencegah semua paket keluar-masuk. Bila packet filtering pada firewall
modem router ADSL rusak maka semua paket keluar-masuk akan dicegah. Universal participation: semua orang dalam organisasi harus
terlibat dalam proses sekuriti. Setiap
tiga bulan sekali dilakukan pelatihan untuk menyegarkan kembali ingatan akan
pentingnya mengamankan perangkat keamanan komputer. Di dalamnya dilakukan
evaluasi untuk peningkatan efisiensi kinerja proses keamanan komputer. Diversity of Defense: mempergunakan beberapa jenis sistem
yang berbeda untuk pertahanan. Maksudnya, kalau penyerang sudah menyerang suatu
jenis sistem pertahanan, maka dia tetap akan perlu belajar sistem jenis lainnya. Simplicity: jangan terlalu kompleks, karena sulit
sekali mengetahui salahnya ada di mana kalau sistem terlalu kompleks untuk
dipahami. Untuk mempermudah
mengetahui bila terjadi kesalahan maka setiap data yang disimpan dalam server
akan teridentifikasi siapa yang menyimpan berdasarkan user name dan
passwordnya, kapan tanggal dan waktunya, dari workstation yang mana, dan apa aksi yang dilakukan. Bila user
tidak mempunyai hak untuk menambah dan mengubah data pada sistem aplikasi tertentu tersebut maka akan ada
trigger yang memberitahu bahwa sistem menolak adanya perubahan data.
Keamanan Data:
1. Kontrol Administratif
Mempublikasikan kebijakan kontrol yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi
Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk dalam hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data
Perekrutan pegawai secara berhati-hati, yang diikuti dengan orientasi, pembinaan, dan pelatihan yang diperlukan
Supervisi terhadap para pegawai. Termasuk pula cara melakukan kontrol kalau pegawai melakukan penyimpangan terhadap yang diharapkan
Pemisahan tugas-tugas dalam pekerjaan, dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan
2. Kontrol terhadap Pengembangan dan Pemeliharaan Sistem
Melibatkan Auditor sistem, dari masa pengembangan hingga pemeliharaan sistem, untuk memastikan bahwa sistem benar-benar terkendali, termasuk dalam hal otorisasi pemakai sistem
Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri
3. Kontrol Operasi
Pembatasan akses terhadap pusat data
Kontrol terhadap personel pengoperasi
Kontrol terhadap peralatan (terhadap kegagalan)
Kontrol terhadap penyimpan arsip
Pengendalian terhadap virus
4. Proteksi terhadap pusat data secara fisik
Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar
Untuk mengantisipasi kegagalan sumber daya listrik, biasa digunakan UPS dan mungkin juga penyediaan generator
5.Kontrol Perangkat Keras
Untuk mengantisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan)
Toleransi terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk mirroring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk secara paralel
6. Kontrol Akses terhadap Akses Komputer
Setiap pemakai sistem diberi otorisasi yang berbeda-beda
Setiap pemakai dilengkapi dengan nama pemakai dan password
Penggunaan teknologi yang lebih canggih menggunakan sifat-sifat biologis manusia yang bersifat unik, seperti sidik jari dan retina mata, sebagai kunci untuk mengakses sistem
7. Kontrol terhadap Akses Informasi
penggunaan terhadap data yang di enkripsi
8. Kontrol terhadap Bencana
Rencana darurat (emergency plan) menentukan tindakan-tindakan yang harus dilakukan oleh para pegawai manakala bencana terjadi
Rencana cadangan (backup plan) menentukan bagaimana pemrosesan informasi akan dilaksanakan selama masa darurat.
Rencana pemulihan (recovery plan) menentukan bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya secara lengkap, termasuk mencakup tanggung jawab masing-masing personil
Rencana pengujian (test plan) menentukan bagaimana komponen-komponen dalam rencana pemulihan akan diuji atau disimulasikan
9. Kontrol Aplikasi
Masukan
Keluaran
Pemrosesan
Basis data
Telekomunikasi
0 komentar:
Posting Komentar