Paperku

14 Maret 2007 at 1:48 am 4 komentar

 

STUDI RANAH KEAMANAN DALAM ASPEK KEAMANAN DATA

PADA ENTERPRISE

Imran, barinox77@yahoo.com

Budi Rahardjo, rahard@gmail.com

Laboratorium Sistem Kendali dan Komputer (LSKK), KK Teknologi Informasi

Jl.Ganesha 10, Labtek VIII Lantai 4, Sekolah Teknik Elektro dan Informatika (STEI) ITB, Bandung

ABSTRAK

Perkembangan teknologi informasi (TI) yang cukup pesat, ternyata berbanding lurus dengan meningkatnya ancaman terhadap kerahasiaan, keutuhan dan ketersediaan (CIA: Condifentiality, integrity, availability) dari data. Enterprise mengelola data yang melimpah yang merupakan aset yang dipergunakan dalam aktifitas rutin dalam mencapai tujuan. Enterprise harus mengetahui data apa yang akan diamankan dan parameter keamanannya karena setiap data berbeda tingkat keamanannya, sehingga perlu dilakukan klasifikasi data (data classification). Klasifikasi data dilakukan dengan menentukan level dari data berdasarkan nilai dari data, tingkat resiko yang akan ditimbulkan jika kehilangan data tersebut dan aspek lain sesuai dengan proses bisnis dari enterprise. Proses pengamanan data dilakukan sesuai dengan level dari data tersebut. Data yang sifatnya rahasia mendapat tingkat pengamanan yang tinggi, data yang diperuntukkan internal institusi mendapat tingkat pengamanan yang sedang dan data untuk konsumsi publik mendapat tingkat pengamanan yang rendah.

Kata kunci : klasifikasi data, teknologi informasi, CIA.

1.  PENDAHULUAN

Di era globalisasi, kompetisi antara institusi baik yang profit maupun yang non profit terpola dalam bingkai yang sangat ketat. Untuk menjaga eksistensi suatu institusi, data mutlak untuk mendapatkan perhatian karena merupakan salah satu aset yang paling berharga. Dengan data yang akurat, lengkap, up to date (terbaru) dan terjaga kerahasiaan, keutuhan dan ketersediaannya sehingga suatu enterprise dapat mewujudkan visi dengan aktualisasi misi.

Keamanan data (Data security) sudah selayaknya mendapat perhatian yang utama dalam kegiatan suatu institusi, dengan data yang aman maka aktifitas suatu institusi tidak akan mengalami gangguan karena masalah data.

Penelitian keamanan data ini menggunakan pendekatan klasifikasi data yaitu dengan mengelompokkan data kedalam beberapa level sesuai dengan nilai, tingkat resiko dan proses bisnis dari enterprise. Beberapa standar yang menjadi acuan dalam penelitian ini NIST Special Publication 800-30 untuk analisis resiko dan model Clark Wilson pengamanan data ditiap level.

2.   KEAMANAN DATA

Untuk keamanan data dan informasi, diperlukan penerapan dan pemeliharaan suatu program keamanan dengan memastikan tiga aspek, yaitu : confidentiality, integrity and availability dari sumber daya informasi enterprise[1].

2.1 Kerahasian (Confidentiality)

Kerahasiaan harus didefinisikan dengan baik dan melalui suatu prosedur untuk menjaga kerahasiaan melalui identifikasi dan otentikasi pengguna. Identifikasi yang baik dari pengguna sistem memastikan efektifitas dari kebijakan yang menentukan hak akses terhadap suatu data item.

2.2  Keutuhan (Integrity)

Keutuhan data harus mendapat perlindungan dari pengubahan tidak sah yang disengaja. Tantangan dari program keamanan adalah memastikan bahwa data dijaga dan berada pada kondisi yang diharapkan pengguna.

Unsur penting dari integrity adalah melindungi proses atau program yang digunakan dari proses modifikasi data yang tidak sah.

Prinsip dasar yang digunakan untuk menetapkan kontrol integrity.

· Memberi akses dengan dasar need to know, Pengguna diberi akses hanya untuk program dan file yang diperlukan sesuai dengan tugas dan fungsinya, agar pengguna dapat bekerja dengan efisien, access privileges harus diberikan dengan bijaksana sehingga operasional menjadi fleksibel.

· Memilah tugas-tugas, agar tidak ada karyawan yang mempunyai kontrol tunggal pada suatu transaksi dari awal sampai akhir, maka tanggungjawab terhadap transaksi diberikan kepada lebih dari satu orang.

· Merotasi tugas-tugas, tugas pekerjaan harus diubah pada selang waktu tertentu sehingga pengguna lebih sulit untuk bekerja sama dalam melakukan kontrol yang lengkap dari suatu transaksi untuk tujuan yang negatif. Cara ini efektif apabila diterapkan dengan memilah tugas-tugas. Permasalahan mungkin akan muncul jika sumber daya staf yang terbatas dan program pelatihan yang kurang memadai.

2.3  Ketersediaan (Availability)

Ketersediaan data merupakan jaminan dari sistem komputer untuk dapat diakses oleh pengguna yang berhak kapan saja diperlukan. Aspek yang mempengaruhi ketersediaan data yaitu :

1. Denial of service, merupakan kegitan yang dilakukan yang menggunakan layanan komputasi dengan membebani sistem sehingga tidak dapat dipakai oleh pengguna yang berhak. Sebagai contoh, Internet worm membebani sekitar 10% dari sistem jaringan komputer, menyebabkan sistem tidak me-responsive kebutuhan pengguna.

2. Hilangnya kemampuan pengolahan data sebagai akibat bencana alam (seperti : kebakaran, banjir, badai dan gempa bumi) atau tindakan manusia (seperti : pengeboman atau serangan), kerugian ini dianggap sebagai insiden yang tidak terduga yang dapat mengakibatkan berkurangnya kemampuan pengolahan data. Sebagai langkah antisipasi, insiden tidak terduga dapat dimasukkan dalam perencanaan enterprise untuk dibuatkan recovery planning atau menyediakan alternatif infrastruktur pengolahan data sehingga dapat memastikan ketersediaan data. Aspek fiisik, teknis dan isu administratif merupakan hal penting dalam memprakarsai keamanan untuk menjaga ketersediaan data. Isu fisik meliputi pengendalian akses yang mencegah orang yang tidak berhak untuk menyentuh sumber daya komputasi, mekanisme untuk mengontrol api dan air, penggunaan lokasi yang terhindar dari dingin dan panas sebagai lokasi pemprosesan alternatif dan lokasi untuk fasilitas penyimpanan data backup.

3.   PERGESERAN PERSFEKTIF KEAMANAN DATA

Keamanan data seharusnya berada dalam konteks operasional dan organisasional, bukan sebagai suatu disiplin yang terisolasi. Keamanan yang efektif harus mempertimbangkan resiko pengubahan pada beberapa lingkungan sehingga enterprise dapat survive dan tumbuh dengan subur.

Untuk mencapai dan mendukung suatu level keamanan yang secara langsung mendukung misi dari enterprise, manajemen harus melakukan pergeseran sudut pandangan enterprise terhadap keamanan dari sudut pandang information technology based, security centric, technology solution menjadi enterprise based, risk management, continuity and resilience yang terorganisir. Untuk mewujudkannya diperlukan pendekatan khusus, reaktif terhadap keamanan, proses yang terpusat, strategis dan adaptif.

Tabel 3.1 Shifting security perspectives (pergeseran perspektif keamanan)[2].

tabel 1

 

 

4.   KLASIFIKASI DATA

Saat ini enterprise mengelola data yang melimpah, dari data laporan keuangan, file personil, hasil riset dan arsip pelanggan ke rancang-bangun dan kode pengembangan perusahaan yang berkisar sepuluh sampai beratus-ratus terabytes, dan mengisi dengan berjuta-juta dari file yang berbeda secara konstan tumbuh. Dengan pertumbuhan data yang berkisar 50% tiap tahun terus meningkat, dengan peningkatan ini sulit untuk mengetahui data apa yang ada tersedia, data apa yang kritis bagi bisnis dan bagaimana terbaik untuk mengatur keseluruhan aset informasi.

Masalahnya adalah bahwa kebanyakan enterprise tidak menghubungkan informasi dengan proses bisnis mereka, hanya menghasilkan sesuatu yang kurang bermanfaat yang memenuhi sumber daya penyimpanan.

Manfaat dari Klasifikasi Data

Pada inti nya, proses klasifikasi data membolehkan enterprise untuk mengoganisir informasinya dengan cara yang bersesuaian dengan kebutuhan bisnis. Kemampuan enterprise ini dapat digolongkan ke dalam empat kategori yang utama:

1. Pemenuhan persyaratan

Klasifikasi data digunakan untuk mematuhi hukum, khususnya privacy, dimana diperlukan perlindungan atas informasi-informasi pribadi. Banyak enterprise melihat klasifikasi data sebagai pemenuhan persyaratan dari audit seperti asuransi kesehatan, administrasi perusahaan data tes tertentu untuk makanan dan obat.

2. Peningkatan keamanan dan mengurangi resiko

Manfaat lain dari klasifikasi data adalah peningkatan keamanan dan mengurangi resiko karena mendukung prinsip-prinsip kerahasiaan, integritas, dan ketersediaan sehingga dapat melindungi data. Implementasi dari suatu klasifikasi data dapat menjadi dasar dalam mengamankan data yang digunakan untuk mencegah penyingkapan data yang potensial dan membantu dalam pertahanannya. Persyaratan keamanan juga mengharuskan enterprise mengatur penyimpanan dan pemusnahan dari tipe data tertentu atau menyimpan dalam lokasi yang terpisah. Tumpukan data yang tidak teratur yang terus meningkat, akan mustahil untuk mengaturnya tanpa mengimplementasikan suatu klasifikasi data.

Kombinasi klasifikasi yang universal dengan fleksibel, perpindahan data berdasarkan kebijakan memberikan solusi pada beberapa area :

· kebijakan kontrol arsip yang cerdas untuk menyesuaikan aturan, pemenuhan dan kebutuhan penguasa perusahaan lain;

· fleksibel, dua arah pergerakan data antara yang berdasarkan dengan umur dan attribut data penting lain;

· peningkatan prosedur backup yang memenuhi nilai dari data pada stategi backup untuk membantu mengurangi masalah backup window.

3. Pemanfaatan perangkat keras yang lebih baik dan penghematan biaya.

Klasifikasi data dapat menghemat biaya dengan memindahkan data yang kurang penting dari penyimpanan data utama yang mahal ke penyimpanan data sekunder yang tidak terlalu mahal. Implementasi yang sesuai dari suatu klasifikasi data membuat penggunaan yang efisien dari level infrastruktur penyimpanan dengan menempatkan data yang bernilai pada disk yang terbaik dan mengatur data yang kurang berharga untuk berada pada disk yang lebih murah.

4. Meningkatkan performance dan efisiensi.

Hasil studi menunjukkan bahwa dengan data yang tidak tersusun, hampir 80% dari data yang pertahankan oleh enterprise tidak pernah disentuh. Data ini mungkin disimpan pada high performance storage arrays, di backup tiap malam dan disimpan pada remote site.

Data yang bernilai rendah sering mengkonsumsi sebagian besar dari sumber daya penyimpanan dari suatu enterprise yang seharusnya lebih efektif untuk menyimpan misi pegawai dan informasi yang kritis. Manajemen data yang baik dapat meningkatkan performance dan kemampuan dari aplikasi dan sumber daya penyimpanan enterprise.

Klasifikasi data juga dapat meningkatkan performance menjadi lebih efektif dengan melakukan prosedur keamanan data seperti encryption. Masalah pada encryption adalah waktu pengolahan yang memperlambat performance bagi pengguna. Tanpa klasifikasi data proses encryption akan mengenkripsi semua data yang mungkin tidak diperlukan oleh pengguna, dengan klasifikasi data proses encryption hanya dilakukan pada data yang relevan sehingga menghemat waktu dan tenaga.

5.   RANCANGAN SIKLUS KEAMANAN DAN KLASIFIKASI DATA

siklusku

Gambar 5.1 Rancanan siklus kemanan dan klasifikasi data

5.1 Tahap persiapan

Untuk memulai proses, enterprise seharusnya membentuk tim atau minimal menunjuk orang sebagai information security officer (ISO) yang bertanggung jawab terhadap proses implementasi klasifikasi dan keamanan data. Sebelum implementasi dari program dimulai, ISO atau yang berperan sebagai manager proyek pengamanan data harus menanyakan beberapa permasalahan penting dan memperoleh jawabannya[1].

Apakah ada eksekutif yang mensponsori proyek ini?

Dukungan eksekutif yang dihormati enterprise yang dapat menjelaskan posisi ISO atau manager proyek kepada para eksekutif lainnya dan pimpinan departemen akan membantu kelancaran proyek.

Apa yang dilindungi dan dari apa?

ISO harus mengembangkan matriks tentang analisis ancaman dan resiko untuk menentukan apa yang mengancam informasi enterprise. Matriks ini memberikan masukan untuk analisis dampak bisnis dan merupakan permulaan dari rencana untuk menentukan klasifikasi nyata dari data.

Apakah ada peraturan sebagai bahan pertimbangan?

Peraturan akan memberikan dampak pada rencana klasifikasi data, jika tidak pada klasifikasi data, minimal pada kontrol yang digunakan untuk melindungi atau menyediakan untuk informasi yang diatur.

Apakah bisnis telah memilki tanggungjawab kepemilikan terhadap data?

Pemilik data bukan departemen TI tetapi maneger bisnis. Keputusan mengenai siapa yang mempunyai akses apa, klasifikasi data yang seharusnya ditetapkan dan hal lainnya hanya ditentukan oleh pemilik data. TI menyediakan teknologi dan proses untuk mengimplementasikan ketentuan dari pemilik data, tetapi tidak dilibatkan dalam proses pengambilan keputusan.

Apakah sumber daya yang tersedia cukup untuk lakukan proyek awal?

Jika menginginkan proyek ini sukses. ISO seharusnya tidak melakukannya sendiri, sponsor eksekutif dapat menjadi nilai yang luar biasa dalam memperoleh sumber daya seperti tenaga dan pembiayaan untuk proyek ini dimana ISO tidak dapat melakukannya. Menetapkan proses, prosedur dan tools untuk implementasi yang baik, merumuskan klasifikasi data dengan baik memerlukan biaya, waktu dan personil yang berdedikasi.

5.2 Menentukan kebijakan

Salah satu aspek yang penting dalam menetapkan rencana klasifikasi data adalah kebijakan keamanan data. Kebijakan ini memberikan otoritas kepada ISO untuk memulai proyek, mencari executive sponsorship, memperoleh dana dan dukungan lain untuk usaha itu.

Kebijakan enterprise terhadap keamanan data berfokus pada :

· Memberikan gambaran bahwa data merupakan aset dari unit bisnis;

· Menyampaikan bahwa para manager adalah pemilik dari data dan informasi;

· Menetapkan system informasi sebagai penjaga informasi enterprise;

· Menjelaskan peran dan tanggungjawab semua pihak yang dilibatkan dalam hal kepemilikan dan klasifikasi data;

· Mendefinisikan klasifikasi dan kriterianya masing-masing;

· Menentukan ruang lingkup dari masing-masing klasifikasi.

5.3 Melakukan analisis resiko

5.3.1 Penilaian Resiko

Ada 9 langkah utama dalam melakukan penilaian terhadap resiko yang dapat dilihat pada flowchart berikut ini[6] :

penilaian resiko

5.3.2 Peringanan Resiko

peringanan resiko

5.4 Menetapkan data pada masing-masing level

Definisi-definisi berikut menguraikan beberapa level pengklasifikasian data pada bidang pemerintahan, yang dikelompokkan dari level terendah hingga level tertinggi.

1 Tidak diklasifikasi. Informasi dianggap tidak sensitif dan tidak rahasia sehingga tidak perlu dirahasiakan dan penyebarannya tidak perlu dibatasi.

2 Sensitif tapi tidak dirahasiakan. Informasi dianggap sebagai rahasia kecil, tetapi tidak akan memberi dampak kerusakan jika disebarluaskan.

3 Konfidensial. Informasi dianggap memiliki sifat konfidensial. Penyingkapan tidak sah dari informasi ini dapat mengakibatkan beberapa masalah terhadap tingkat keamanan suatu negara.

4 Rahasia. Informasi menunjuk dari sifat rahasia. Penyingkapan tidak sah dari informasi ini bisa berakibat pada masalah serius terhadap tingkat keamanan nasional suatu negara.

5 Paling Rahasia (Top Secret). Ini merupakan level yang tertinggi dari pengklasifikasian informasi. Penyingkapan tidak sah dari informasi paling rahasia dapat menyebabkan masalah fatal terhadap tingkat keamanan negara.

Pada sektor swasta, umumnya menggunakan terminologi klasifikasi berikut ini :

  1. Publik. Informasi ini tidak bersifat rahasia. Informasi pada kategori ini tidak perlu untuk disebarluaskan, namun jika harus disingkapkan seharusnya tidak memberi dampak serius atau negatif terhadap perusahaan.
  2. Sensitif. Informasi pada level sensitif memerlukan satu tingkat perlindungan yang lebih tinggi dari data biasa. Informasi ini perlu dilindungi dari hilangnya kerahasiaan dan integritas akibat pengubahan yang tidak sah.
  3. Privat. Informasi dalam kategori ini memiliki sifat privat, yang digunakan hanya untuk kepentingan enterprise. Penyingkapan informasi tersebut dapat berpengaruh buruk terhadap enterprise maupun karyawan. Sebagai contoh, tingkatan gaji dan informasi medis pasien.
  4. Konfidensial. Informasi dalam kategori konfidensial dianggap sangat sensitive dan ditujukan untuk digunakan untuk kepentingan internal enterprise. Penyingkapan yang tidak sah dapat berdampak serius dan negatif terhadap enterprise. Sebagai contoh, informasi tentang pengembangan produk baru, rahasia perniagaan, dan negosiasi-negosiasi kerjasama diangggap konfidensial.

5.5   Melakukan tindakan pengamanan

Hal terpenting yang perlu diperhatikan bahwa kontrol harus didesain dan diimplementasikan untuk informasi dan software, memiliki porsi yang berbeda untuk setiap level klasifikasi. Berikut ini beberapa pertimbangan untuk kontrol minimum untuk informasi dan perangkat lunak.

Kontrol minimal untuk data.

· Encryption, data melalui proses encryption dengan menggunakan encryption key sehingga data menjadi teracak. Ketika data diproses atau dilihat, data harus melalui proses decryption terlebih dahulu dengan menggunakan encyiption key yang sama ketika proses encryption. Encryption key harus disimpan dengan aman dan hanya diketahui oleh pihak yang memiliki otorisasi untuk mengakses data tersebut.

· Review and approve, prosedur ini bertujuan untuk memastikan setiap pengubahan yang dilakukan terhadap data itu secara teknis dapat diketahui, proses review dan approve dilakukan oleh orang yang berhak selain dari yang mengembangkan pengubahan.

· Pemisahan tugas, prosedur ini bertujuan untuk memastikan bahwa tidak ada personil yang mempunyai kontrol penuh terhadap data entry dan proses validation yang memungkinkan seseorang untuk masuk atau merahasiakan kesalahan untuk menipu atau melakukan tindakan lain yang dapat merugikan enterprise.

· Tidak ada akses universal, Tak seorang pun mempunyai akses data kecuali jika memberi otoritas spesifik untuk membaca, membaharui, dan lain lain. Kontrol jenis ini adalah secara umum disajikan oleh perangkat lunak kontrol akses keamanan.

· Akses universal : Read, Semua orang dengan akses kepada sistem dapat membaca data dengan kontrol yang diberikan. bagaimanapun, membaharui otoritas harus yang diberikan ke individu yang spesifik, program, atau transaksi. Kontrol ini diberikan oleh kontrol akses perangkat lunak.

· Akses universal: update, Seseorang dengan akses kepada sistem dapat membaharui data, tetapi otoritas spesifik harus dimiliki untuk menghapus data. Kontrol ini diberikan oleh kontrol akses perangkat lunak.

· Akses universal: alter, Seseorang dengan akses kepada sistem dapat melihat, membaharui, atau menghapus data.

· Security access control software, perangkat lunak mengijinkan administrator untuk menetapkan aturan keamanan seperti siapa yang mempunyai hak akses dengan tujuan melindungi sumber daya. Sumber Daya dapat meliputi data, program, transaksi, identitas komputer pribadi dan identitas terminal.

Kontrol minimal untuk perangkat lunak.

· Review and approve, tujuan dari kontrol ini adalah bahwa setiap pengubahan pada perangkat lunak akan diketahui oleh orang yang dianggap bertanggung jawab dan mengetahui secara teknis untuk proses ini. Hak untuk proses review and approve seharusnya diberi kepada individu yang tidak terlibat dalam proses pengembangan perangkat lunak tersebut.

· Review and approve test plan and result, rencana tes harus disiapkan, disetujui, didokumentasikan dan dijadikan acuan dalam proses tes.

· Backup and recovery, Prosedur harus dikembangkan dan diuji secara berkala untuk memastikan proses backup dari perangkat lunak berfungsi dengan baik dan dapat melakukan prosese recovery dalam suatu selang waktu yang layak.

· History, perangkat lunak harus mampu mendokumentasikan beberapa informasi seperti detil pekerjaan yang dilakukan, test plan, hasil percobaan, tindakan koreksi, persetujuan, siapa yang melakukan pekerjaan tersebut dan dokumentasi informasi lain yang berkaitan dengan enterprise.

· Versi dan konfigurasi kontrol, melakukan pemeliharaan sesuai dengan versi dari perangkat lunak untuk proses update (membaharui), monitoring dari laporan kesalahan yang sesuai aktivitas dan pengambilan tindakan koreksi yang sesuai.

· Tes secara berkala, melakukan suatu tes pada kasus pada waktu tertentu yang berjalan pada sistem dengan data yang dikenal yang mempunyai hasil yang dapat diprediksikan. Tujuannya adalah untuk memastikan sistem masih melaksanakan seperti diharapkan, dan tidak menghasilkan sesuatu yang diluar prediksi dengan data tes. Tes ini dapat diselenggarakan secara acak atau berdasarkan pada suatu jadwal yang ditelah ditentukan.

· Pemeriksaan secara acak, melakukan periksaan dari produksi data yang digambarkan dan hasilnya.

· Pemisahan tugas-tugas, prosedur ini dilakukan untuk menyesuaikan kebijakan dari enterprise dengan persyaratan sistem audit dengan membantu memastikan bahwa satu individu tidak mempunyai kendali yang menyeluruh pada suatu proses pemrograman tanpa poin-poin yang harus ditinjau ulang yang sesuai atau individu lain menuntut untuk melaksanakan tugas tertentu di dalam proses sebelum diterima oleh user akhir. Sebagai contoh, seseorang selain pengembang bertanggung jawab untuk memuat program kepada lingkungan produksi dari suatu staging library.

· Access control pada perangkat lunak, beberapa aplikasi, teknik coding dan informasi lain yang dimasukkan ke dalam program sangat sensitif jika diubah dan memberi akses yang tidak sah dapat berdampak pada sisi ekonomi. Oleh karena itu, source program harus dilindungi dari akses yang tidak syah.

· Pemeriksaan virus, semua perangkat lunak yang akan dipergunakan pada suatu PC harus melalui proses scanning terlebih dahulu dengan menggunakan program anti virus yang telah ditentukan. Beberapa aplikasi memerlukan pengujian secara berkala terhadap kemungkinan terinfeksi oleh virus tertentu.

5.6 Melakukan analisis manfaat dan biaya

§ Exposure Factor (EF). Merepresentasikan kerugian yang dipengaruhi oleh suatu peristiwa ancaman terhadap suatu aset spesifik.

§ Perkiraan Kerugian Tunggal (SLE). Suatu perkiraan kerugian tunggal adalah nilai uang yang diberikan terhadap suatu peristiwa tunggal. Rumusannya sebagai berikut :

Nilai Aset x EF = SLE

.§ Tingkat Kejadian Gabungan (ARO: Annualized Rate of Occurrence). Tingkat Kejadian Gabungan adalah suatu angka yang merepresentasikan perkiraan frekuensi dari kejadian suatu ancaman.

§ Perkiraan Kerugian Gabungan (ALE). Merupakan perkiraan kerugian keuangan per tahun suatu enterprise yang diakibatkan oleh suatu ancaman yang diperoleh dari rumusan sebagai berikut:

SLE x ARO = ALE

5.7 Merekomendasikan kepada enterprise

Dokumentasi proses yang telah dilakukan dibuat dalam bentuk draft untuk direkomendasikan kepada enterprise yang dapat dijadikan acuan dalam melakukan implementasi perancangan arsitektur pengamanan data sesuai dengan level klasifikasinya.

5.8 Melakukan pengawasan dan evaluasi

Untuk menjaga kesinambungan dari sistem klasifikasi data yang diimplementasikan tersebut, maka perlu diterapkan pengawasan proses yang berkelanjutan. Departemen/unit pengawasan internal mengorganisir kegiatan ini untuk memastikan pemenuhan dengan kebijakan dan prosedur ditetapkan. ISO harus bekerjasama dengan pemilik informasi dan pihak-pihak yang berkepentingan untuk meninjau ulang klasifikasi data untuk memastikan masih sesuai dengan kebutuhan bisnis.

Pemilik informasi secara periodik meninjau ulang data untuk memastikan bahwa klasifikasinya masih sesuai, memastikan hak akses sesuai tanggungjawab dan pekerjaanya dan kontrol keamanan pada setiap level klasifikasi ditinjau untuk memastikan kesesuaian dengan yang telah didefinisikan.

6 PENUTUP

Rancangan siklus kemanan dan klasifikasi data dapat dijadikan acuan oleh enterprise dalam melakukan proses klasifikasi dan pengamanan data pada masing-masing level yang telah diklasifikasikan sehingga kegiatan bisnis enterprise tersebut dapat berjalan dengan lancar karena jaminan kemanan datanya telah dilakukan. Proses ini harus terus dilakukan dan dievaluasi secara kontinyu karena misi enterprise dan data yang dikelola kemungkinanan akan mengalami perubahan sesusai dengan kebijakan yang ditentukan.

7 REFERENSI

[1] Tipton, F., Harold; Krause, Micki (2004), Information Security Management Handbook, CRC Press LLC, Fifth Edition.

[2] Caralli, A., Richard (2004), Managing for Enterprise Security, Networked Systems Survivability Program.

[3] Carlson, Tom (2001), Information Security Management Understanding ISO 17799, CISSP Lucent Technologies Worldwide Services.

[4] Simpson, Nik (2006), Building a Scalable Enterprise-Class Data Classification System, http://www.scentric.com/pdf/Data_Classification_Systems.pdf.

[5] Stoneburner, Gary; Goguen, Alice and Feringa, Alexis (2002), Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology.

[6] Peltier, S., Thomas; Peltier, Justin and Blackley, John (2005), Information Security Fundamental, CRC Press LLC.

[7] _________(2005), Information Technology – Security Techniques – Information Security Management System – Requirements, International Standard ISO/IEC 27001, first edition.

Iklan

Entry filed under: Iptek, Uncategorized.

Spanduk Di Elektro Suasana IP

4 Komentar Add your own

  • 1. joni andra  |  14 Maret 2007 pukul 3:37 am

    Aduh… kayaknya aq takut berkomentar neh… ilmunya gak nyampe sana. Yang jelas saranku buruan aja masukin makalahnya ke seminar tuh… ntar ditutup loh.

    Balas
  • 2. m barja sanjaya  |  27 Oktober 2007 pukul 4:09 am

    jadi, untuk membangun kebijakan keamanan sistem pada suatu perusahaan itu gimana?? apakah dengan hanya melihat dan menganalisis dari kejadian yang sebelumnya sudah dapat dikatakan perusahaan kita telah menerapkan keamanan sistem yang kuat atau handal??
    sebenarnya, hal apa atau tolak ukur mengenai kebijakan keamanan sistem yang bagaimana yang harus kita bangun seandainya ada suatu perusahaan akan mendirikan usahanya yang on-line??

    Balas
  • 3. imran sinong  |  31 Oktober 2007 pukul 4:08 am

    dear mas sanjaya, Security domain sebenarnya sangat luas, paper ini mengambil salah satu sub dari sekurity domain yaitu data sekurity, nah dalam implementasinya akan bersinggungan dengan sekurity policy yang jadi landasan dalam menentukan langkah berikutnya seperti yang tergambar dalam siklus di atas.
    Jadi yang harus dibangun pertama kali adalah security policy dansecurity awarness (manajemen security) baru menentukan tools yang sesuai.

    Balas
  • 4. b4rj4  |  5 September 2008 pukul 5:38 pm

    tp yg terjadi kenyataanya sekarang dan yang paling ditakuti, yakni adanya serangan namun dengan teknik “sociaL EnGineerinG”, pernah denger kan ??

    Balas

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google+

You are commenting using your Google+ account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s

Trackback this post  |  Subscribe to the comments via RSS Feed


Blog Stats

  • 63.490 hits
Maret 2007
S S R K J S M
« Feb   Apr »
 1234
567891011
12131415161718
19202122232425
262728293031  

Top Clicks

  • Tidak ada

%d blogger menyukai ini: