MANAJEMEN KEAMANAN INFORMASI DAN MANAJEMEN AKSES

-

MANAJEMEN KEAMANAN INFORMASI DAN MANAJEMEN AKSES

Pendahuluan dan Jangkauan
Keamanan data dan informasi adalah kepentingan vital bagi banyak organisasi dan itu adalah keputusan bisnis seperti informasi apa yang harus dilindungi dan dalam tingkat yang seperti apa. Pendekatan bisnis pada perlindungan dan penggunan data harus ditempatkan di dalam kebijakan keamanan yang dimana semua orang di dalam organisasi harus mempunyai akses dan isi yang disadari oleh setiap orang itu. Sistem ditempatkan untuk menjalankan kebijakan keamanan dan memastikan bahwa tujuan keamanan IT bisnis sudah tercapai yang disebut sebagai sistem manajemen keamanan informasi (information security management system [ISMS]). Manajemen keamanan informasi mendukung penguasaan perusahaan dengan memastikan bahwa resiko keamanan informasi ditangani dengan baik.
Manajemen kemanan informasi dan manajemen akses adalah proses terpisah dalam ITIL, dalam bagian lain dari siklus hidup pelayanan tapi akan tercakup dalam bab ini karena kegunaan umumnya.
Tujuan dan Kegunaan
Dua proses ini, manajemen keamanan informasi dan manajemen akses mempunyai tujuan umum yang masing-masing dipusatkan dalam memastikan bahwa hanya orang yang benar lah yang dapat melihat informasi, tetapi manajemen keamanan informasi, yang menjadi bagian penting dalam kerangka penguasaan, mempunyai pengiriman yang lebih luas.
Tujuan dari manajemen keamanan informasi adalah untuk memasitikan bahwa keamanan IT konsisten dengan keamanan bisnis, memastikan bahwa keamanan informasi telah diatur di semua pelayanan dan aktivitas manajemen pelayanan secara efektif dan sumber daya informasi mempunyai pengurus yang efektif dan digunakan dengan baik. Ini termasuk identifikasi dan manajemen resiko keamanan informasi.
Kegunaan manajemen keamanan informasi adalah yang utamanya menjadi titik fokus untuk semua aktivitas manajemen yang menitik beratkan pada kamanan informasi. Ini tidak hanya tentang melindungi sumber daya informasi sekarang. Ini tentang menempatkan, memelihara dam menjalankan kebijakan kemanan informasi yang efektif. Ini tentang memahami bagaimana bisnis akan berkembang, mengantisipasi resiko yang akan dihadapi, mengartikulasi bagaimana regulasi dan legislasi akan memengaruhi kebutuhan keamanan dan memastikan bahwa manajemen keamanan informasi dapat mencapai tantangan ini di masa depannya.
Tujuan keamanan dari sebuah organisasi biasanya dipertimbangkan untuk tercapai ketika ketersediaan, kerahasiaan, integritas, dan kewenangan, dan non-repudiasi berada dalam kontrol. Definisinya dibawah ini:
  • Ketersediaan: Informasi dapat diakses dan dapat digunakan ketika dibutuhkan dan sistem yang bersangkutan dapat bertahan dari serangan dan membaik dari atau mencegah kesalahan
  • Kerahasiaan: Informasi diamati oleh atau dibuka hanya untuk orang yang berhak.
  • Integritas: Informasi tuntas, akurat, dan terlindungi dari modifikasi yang tidak berwenang,
  • Kewenangan: Kewenangan memusatkan labelling yang benar atau atribusi dari inforasi yang dicegah, contohnya, originator email membuat email tersebut tampak seperti email yang dari orang laon. Kewenangan adalah tentang memastikan bahwa transaksi bisnis, juga pertukaran informasi antar perusahaan atau rekan, dapat dipercaya.
  • Non-repudiasi: Mekanisme yang mencegah originator transaksi yang menolak bahwa mereka mengorijinasi atau mencegah penerima menolak menerimanya.
Kebijakan Keamanan Informasi
Kebijakan keamanan informasi harus didukung dan disejajarkan ke kebijakan keamanan bisnis. Ini harus termasuk kebijakan yang mencaku penggunaan aset IT, email, internet, dokumen penting, remote access, akses menggunakan pihak ketiga (seperti supplier), dan aset sekali pakai. Dengan tambahan, ini menjelaskan pendekatan untuk mereset password, mengatur kontrol anti-virus dan mengklasifikasi informasi. Kebijakan ini harus tersedia untuk semua konsumen danpengguna juga untuk para staf IT, dan pemenuhan kebijakan ini harus direferensikan dalam semua persetujuan internal dan kontrak eksternal. Kebijakan ini juga harus ditinjau ulang dan direvisi minimal setahun sekali.
Sistem Manajemen Keamanan Informasi
Sistem Manajemen Keamanan Informasi (information security management system [ISMS] – juga disebut sebagai kerangka keamanan) membantu membangun program keamanan dengan harga terjangkau untuk mendukung tujuan bisnis. Bagan 18.1 Memberikan contoh kerangka yang digunakan secara luas dan didasari oleh standar ISO 27001 yang memberikan 5 tingkat ISMS dan jangkauannya dalam setiap tingkatnya.
Manajemen Akses
Manajemen akses adalah proses untuk mengontrol akses ke data dan informasi untuk memastikan bahwa pengguna yang berwenanglah yang mempunyai akses sekaligus mencegah akses oleh pengguna tak dikenali. Proses manajemen akses boleh dijadikan tanggung jawab fungsi yang didedikasikan tapi terkadang dikeluarkan oleh fungsi teknikal dan manajemen aplikasi
Jika meja pelayanan beroperasi sebagai kontak tunggal, biasanya harus menerima berbagai permintaan pelayanan untuk mengganti hak akses atau membuat hak akses baru dan juga boleh diotorisasi oleh pemilik kebijakan keamanan untuk menerima hak-hak baru. Biasanya ini terjadi ketika orang baru masuk ke dalam organisasi atau ada suplier baru, namun juga terjadi ketika seseorang pindah dari satu departemen ke departemen lain atau mengganti peran. Hak akses harus ditarik ketika seseorang meninggalkan organisasi.
Proses manajemen akses harus termasuk memonitori akses untuk mengamankan informasi jadi jika ada kejadian yang berhubungan dengan keamanan muncul, penyebabnya dapat terlacak dan berbagai resiko keamanan dapat diketahui dan dihapus. Memonitor juga akan mengidentifikasi akses tak dikenal dan contoh password yang error yang akan menjadi acuan kemingkinan ancaman keamanan.
Manajemen Fasilitas – Kontrol Akses Fisik
Manajemen keamanan informasi menerangkan kebijakan akses kontrol dan mengindentifikasi kebutuhan keamanan fisik dan siapa yang seharusnya mengakses situs yang mana (contoh: data centre). Manajemen fasilitas bertanggung jawab untuk menjalankan kebijakan ini. Komponen utama kontrol akses fisik adalah:
  • Instalasi, pemeliharaan, dan manajemen keamanan akses kontrol fisik seperti kuci dan penghalang dan alat pengintai;
  • Memonitori akses fisik ke daerah yang terlindungi;
  • Merekrut staf keamanan fisik;
  • Pemeliharaan denah yang menunjukkan area dengan akses terbatas kontrol keamanan yang relevan
Satu dari kebocoran keamanan paling umum adalah dengan ‘social engineering’: istilah yang biasanya merujuk pada hanya dengan berbicara ke fasilitas aman (contoh: dengan berpura-pura menjadi kontraktor sah, berpura-pura menjadi seseorang atau mengikui orang yang sah ke pintu yang terbuka). Karena alasan ini, akses keamanan tidak hanya dikontrol secara baik namun juga secara berkala dimonitor sehingga keocoran dapat terdeteksi dan kontrol keamanan dapat meningkat.
Hubungan dengan Layanan Proses Manajemen Lain
Untuk satu tingkat ke yang lain, semua antarmuka proses lain dengan manajemen keamanan.
Manajemen ketersediaan
Keamanan informasi dan akses manajemen adalah kontributor kunci dari manajemen ketersediaan karena tanpa tingkat perlindungan yang tepat, ketersediaan dan integritas data dan sistem diragukan
Meja pelayanan
Meja pelayanan biasanya mempunyai wewenang untuk merespon permintaan perubahan hak akses dan password dan berkontribusi untuk operasional manajemen keamanan
Proses Lain
Antarmuka proses lain adalah dengan:
  • Manajemen kejadian dan maslah (merespon dan meresolusi isu yang berhubungan dengan keamanan);
  • Manajemen kelancaran layanan IT (desain yang dipertimbangkan dan resiko saat dites);
  • Manajemen perubahan (dampak penaksiran terhadap kontrol keamanan);
  • Manajemen konfigurasi (berdampingan dengan klasifikasi keamanan untuk CI);
  • Manajemen kapasitas (ketika memperkenalkan teknologi baru);
  • Manajemen supplier (untuk memastikan perawatan kontrol keamanan untuk aktivitas operasional yang dikeluarkan oleh pihak ketiga).
Metriks
Mettriks manajemen keamanan dibutuhkan untuk memastikan bahwa organisasi dapat memenuhi syarat keamanan baik internal maupun eksternal dalam SLA, kontrak, legislasi, dan penguasaan. Metriks dapat digunakan untuk kegunaan ini termasuk:
  • Banyaknya kejadian yang berhubungan dengan keamanan waktu per unit;
  • Persentase kejadian yang berhubungan dengan keamanan yang berdampak pada pelayanan pengguna;
  • Banyaknya masalah audit keamanan dan resiko yang diidentifikasi;
  • Persentase masalah audit keamanan dan resiko yang diperbaiki;
  • Banyaknya prubahan dan perilisan back-out karena masalah keamanan;
  • Waktu rata-rata untuk menginstal patches keamanan
Peran
Manajer keamanan IT bertanggung jawab untuk menegaskan kebijakan keamanan informasi dan menjalankan ISMS. Setelah semuanya telah ditetapkan, pekerjaan manajer keamanan IT-lah untuk memastikan bahwa semua kontrol yang dibutuhkan sudah ada pada tempatnya, orang-orang menyadari kebijakan itu dan tanggung jawab mereka dan sistem keamanan telah berfungsi dengan baik. Manajer keamanan IT adalah titik fokus untuk segala masalah keamanan.
Tim pelayanan operasi bertanggung jawab untuk melaksanakan aktvitas perharinya untuk mengatus keamanan operasional. Sangatlah pernting bahwa peran ini dibuat terpisah dari manajemen keamanan untuk mencegah terjadinya konflik. Peran operasional termasuk:
  • Menjaga ketertiban dan melaporkan;
  • Menyediakan dukungan dan bantuan teknis;
  • Mengatur kontrol keamanan;
  • Penyaringan individual;
  • Menyediakan pelatihan dan kesadaran;
  • Memastikan bahwa kontrol keamanan sudah dijadikan acuan pada dokumentasi operasional
Manajer fasilitas bertanggung jawab untuk keamanan fisik dalam situs organisasi dan fasilitas komputer.

Terima kasih atas kunjungannnya :)

SUMBER :
Buku-ITServiceManagement

Komentar

Posting Komentar

Postingan populer dari blog ini

lamaran kerja and lowongan kerja

-
Gambar
Name : Muhammad Rofiq Abror Class : 4KA15 NPM : 14117236                                                                                 Jakarta, October 14 th , 2020       Date   Attention To:                                                                                     HRD Manager PT Multikon Er...
Baca selengkapnya

tugas bhs inggris Letter Of Enquiry

-
  Letter Of Enquiry Name : Muhammad Rofiq Abror Class : 4KA15 NPM : 14117236 October 12 th , 2020 (Date)   Mr. Mark Vaping Shop 21 C Ragunan Jakarta (Address)   Dear Sir,   (Salutation) I just saw your vaping shop on the website, and I interested about that because you have been a new arrival product.   (Opening) (Focus) I was interested about your new arrival product and I want to know the pricelist. So if you want to tell me about the pricelist, I want to booking and buy it. (Action)  In addition, I want to you send me your new catalogs and your offer discount brochures. And tell me how I can order and then making some payment. (Closing) That is are inquiry letter. Thank you for your attention. We look forward to receiving your reply immediately.     Best Regards (Complimentary Closing )   Faiz Kumala Fajari ( Signature )
Baca selengkapnya

Layanan Operasi

-
LAYANAN OPERASI Apa itu Layanan Operasi? Layanan Operasi  adalah fase siklus hidup manajemen layanan TI yang bertanggung  jawab untuk " bisnis seperti biasa " kegiatan. Jika layanan tidak dimanfaatkan atau tidak disampaikan secara efisien dan efektif, mereka tidak akan memberikan nilai penuh mereka, tanpa memperhatikan di seberapa baik dirancang mereka mungkin. Ini adalah layanan operasi yang bertanggung jawab untuk memanfaatkan proses untuk memberikan layanan kepada pengguna dan pelanggan. Tujuan dari Layanan Operasi Tujuan dari layanan operasi untuk mengatur dan melakukan kegiatan serta proses yang diperlukan untuk memberikan layanan kepada pengguna bisnis pada tingkat yang disepakati layanan. Selain itu, layanan operasi bertanggung jawab untuk manajemen berkelanjutan dari teknologi (infrastruktur dan aplikasi) yang digunakan untuk menyampaikan dan mendukung layanan. Ada dinamis ‘perdebatan’ yang berlangsung pada empat tingkat.Yang dikenal sebagai...
Baca selengkapnya