Apa yang Organisasi Lakukan untuk Melindungi Sumber informasi?

Organisasi menghabiskan banyak waktu dan uang untuk melindungi sumber informasi mereka.
Sebelum melakukannya, mereka melakukan manajemen risiko. Risiko adalah probabilitas
bahwa ancaman akan berdampak pada sumber informasi. Tujuan dari resiko Manajemen
adalah untuk mengidentifikasi, mengendalikan, dan meminimalkan dampak ancaman. Dengan
kata lain, risikonya manajemen berusaha mengurangi risiko ke tingkat yang dapat diterima.
Manajemen risiko terdiri dari tiga proses: analisis risiko, mitigasi risiko, dan evaluasi
kontrol.

Organisasi melakukan analisis risiko untuk memastikan bahwa program keamanan IS mereka
hemat biaya. Analisis risiko melibatkan tiga langkah:

(1) menilai nilai setiap aset yang dilindungi,

(2) memperkirakan probabilitas bahwa setiap aset akan dikompromikan, dan
(3) membandingkan kemungkinan biaya aset dikompromikan dengan biaya untuk
melindungi aset tersebut.

Organisasi kemudian mempertimbangkan bagaimana mengurangi risiko. Dalam mitigasi

resiko, organisasi mengambil tindakan nyata terhadap risiko. Mitigasi risiko telah dua fungsi:

(1) menerapkan kontrol untuk mencegah teridentifikasi ancaman dari terjadi, dan
(2) mengembangkan sarana pemulihan jika ancaman tersebut menjadi kenyataan.

Ada beberapa mitigasi risiko strategi yang dapat diadopsi organisasi. Tiga yang paling umum
adalah penerimaan risiko, risiko keterbatasan, dan transferensi risiko.

• Penerimaan risiko: Menerima risiko potensial, terus beroperasi tanpa kontrol, dan
menyerap segala kerusakan yang terjadi
• Batasan risiko: Batasi risiko dengan menerapkan kontrol yang meminimalkan dampak
dari ancaman.
• Transferensi risiko: Transfer risiko dengan menggunakan cara lain untuk mengimbangi
kerugian tersebut seperti dengan membeli asuransi.

Dalam evaluasi kontrol, organisasi memeriksa biaya pelaksanaan yang memadai tindakan
pengendalian terhadap nilai tindakan pengendalian tersebut. Jika biaya pelaksanaannya kontrol
lebih besar dari nilai aset yang dilindungi, pengendaliannya tidak efektif biaya.
Kontrol Kemanan Informasi

Untuk melindungi aset informasinya, organisasi menerapkan kontrol.Kontrol ini dirancang

untuk melindungi semua komponen sebuah sistem informasi, termasuk data, perangkat lunak,
perangkat keras, dan jaringan.. Kontrol dimaksudkan untuk mencegah bahaya yang tidak
disengaja, menghalangi tindakan yang disengaja, mendeteksi masalah sedini mungkin,
meningkatkan pemulihan kerusakan, dan memperbaiki masalah.. Tiga jenis kontrol utama:
kontrol fisik, kontrol akses, dan kontrol komunikasi. Sebagai tambahan Untuk menerapkan
kontrol, organisasi merencanakan kelangsungan usaha jika terjadi bencana, dan mereka
melakukannya secara berkala mengaudit sumber informasi mereka untuk mendeteksi
kemungkinan ancaman.

1. Kontrol Fisik

Kontrol fisik mencegah individu yang tidak berhak mendapatkan akses ke fasilitas perusahaan.
Kontrol fisik yang umum meliputi dinding, pintu, pagar, gerbang, kunci, lencana, penjaga, dan
sistem alarm. Kontrol fisik yang lebih canggih termasuk sensor tekanan, suhu sensor, dan
detektor gerak. Salah satu kekurangan kontrol fisik adalah ketidaknyamanannya untuk
karyawan terhadap pekerjaan mereka yang sulit. Organisasi juga menerapkan tindakan
pengamanan fisik yang membatasi pengguna komputer waktu login dan lokasi yang dapat
diterima.

2. Kontrol Akses

Kontrol akses membatasi individu yang tidak berwenang menggunakan sumber informasi. Ini
Kontrol melibatkan dua fungsi utama: otentikasi dan otorisasi. Otentikasi confirms identitas
orang yang membutuhkan akses. Setelah orang tersebut diidentifikasi. Kemudian, otorisasi
menentukan tindakan, hak, atau hak istimewa mana orang memiliki, berdasarkan identitas
verifikasinya. Otentikasi Untuk mengidentifikasi orang yang berwenang berupa sesuatu yang
dimiliki pengguna. Sesuatu pengguna, juga dikenal sebagai biometrik, adalah metode
otentikasi yang meneliti karakteristik fisik bawaan seseorang. Aplikasi biometrik umum adalah
sidik jari scan, pemindaian palm, scan retina, pengenalan iris, dan pengenalan wajah.

3. Kontrol Komunikasi

Kontrol komunikasi (juga disebut kontrol jaringan) mengamankan pergerakan data jaringan.
Kontrol komunikasi terdiri dari serangan, sistem anti-malware, daftar putih dan daftar hitam,
enkripsi, jaringan pribadi virtual (VPN), secure socket layer (SSL), dan sistem pemantauan
karyawan.

Firewall adalah sistem yang mencegah jenis informasi tertentu dari bergerak antara jaringan
yang tidak tepercaya, seperti Internet, dan jaringan pribadi, seperti perusahaan Anda jaringan.
Sederhananya, tangkapan mencegah pengguna Internet yang tidak berwenang mengaksesnya
jaringan

Sistem anti-malware, yang juga disebut antivirus, atau AV, software, adalah paket perangkat
lunak yang mencoba mengidentifikasi dan menghilangkan virus dan worm, dan lainnya yang
berbahaya perangkat lunak. Sistem anti-malware umumnya reaktif. Perangkat lunak anti-
malware itu memeriksa kode komputer yang mencurigakan untuk menentukan apakah cocok
dengan tanda tangan yang diketahui. Jika perangkat lunak mengidentifikasi kecocokan, ini
akan menghapus kode. Untuk alasan inilah organisasi secara teratur memperbarui definisi
malware mereka.

Whitelisting adalah proses di mana perusahaan mengidentifikasi perangkat lunak yang

memungkinkannya berjalan di komputernya.

Enkripsi Organisasi yang tidak memiliki saluran aman untuk mengirim penggunaan informasi
enkripsi untuk menghentikan penyadap yang tidak sah. Enkripsi adalah proses pengubahan
sebuah pesan asli ke dalam bentuk yang tidak dapat dibaca oleh siapapun kecuali penerima
yang dituju. Semua sistem enkripsi menggunakan kunci, yang merupakan kode yang mengacak
dan kemudian menerjemahkan pesan.

Jaringan pribadi virtual adalah jaringan pribadi yang menggunakan ajaringan publik
(biasanya internet) untuk menghubungkan pengguna. VPN intinya mengintegrasikan global
konektivitas Internet dengan keamanan jaringan pribadi dan dengan demikian memperpanjang
jangkauan jaringan organisasi. VPN memiliki beberapa keunggulan. Pertama, mereka
mengizinkan pengguna jarak jauh mengakses jaringan perusahaan. Kedua, mereka
memberikan fleksibilitas. Ketiga, organisasi bisa memaksakan mereka kebijakan keamanan
melalui VPN. Untuk memberikan transmisi yang aman, VPN menggunakan proses yang
disebut tunneling.

Lapisan Socket Aman, sekarang disebut transport layer security (TLS), ini standar enkripsi
yang digunakan untuk transaksi aman seperti pembelian kartu kredit dan online perbankan.
TLS mengenkripsi dan mendekripsi data antara server Web dan browser dari ujung ke ujung.
TLS ditunjukkan oleh URL yang dimulai dengan "https" daripada "http", dan sering
ditampilkan ikon gembok kecil di bilah status browser..

Sistem Pemantauan Karyawan. Banyak perusahaan mengambil pendekatan proaktif

melindungi jaringan mereka melawan apa yang mereka anggap sebagai salah satu ancaman
keamanan utama mereka, yaitu, kesalahan karyawan. Produk ini berguna untuk
mengidentifikasi karyawan yang menghabiskan banyak waktu dalam melakukan surfing
Internet untuk alasan pribadi, yang mengunjungi situs Web yang patut dipertanyakan, atau
yang mendownload musik secara ilegal.

Perencanaan Kesinambungan Bisnis

Kesinambungan bisnis adalah rangkaian peristiwa yang menghubungkan perencanaan dengan

perlindungan dan pemulihan. Tujuan dari rencana kesinambungan bisnis adalah memberikan
panduan kepada orang-orang yang menjaga operasi bisnis setelah bencana terjadi. Karyawan
menggunakan rencana ini untuk mempersiapkan hal-hal yang mempengaruhi keamanan aset
informasi. Tujuannya adalah untuk mengembalikan bisnis ke operasi normal secepat mungkin
setelah serangan. Rencana itu dimaksudkan untuk memastikan bahwa fungsi bisnis penting
terus berlanjut. Jika terjadi bencana besar, organisasi dapat menggunakan beberapa strategi
untuk bisnis kontinuitas.

Audit Sistem Informasi

Di lingkungan IS, audit merupakan ujian sistem informasi, input, output, dan pengolahannya.
Jenis Auditor dan Audit. Ada dua jenis auditor dan audit: internal dan eksternal. Audit IS
biasanya merupakan bagian dari audit internal akuntansi, dan ini sering dilakukan oleh auditor
internal perusahaan. Auditor eksternal meninjau temuan-temuan internal audit serta input,
pengolahan, dan keluaran sistem informasi. Audit eksternal sistem informasi dilakukan oleh
audit eksternal yang dilakukan oleh seorang certify perusahaan akuntan publik edukasi (CPA).
Audit IS mempertimbangkan semua potensi bahaya dan kontrol dalam sistem informasi.
Prosedur audit IS dibagi menjadi tiga kategori: (1) audit di sekitar komputer, (2) melakukan
audit melalui komputer, dan (3) melakukan audit dengan komputer. Audit di sekitar komputer
berarti memverifikasi pemrosesan dengan memeriksa keluaran yang diketahui menggunakan
input spesifik.