JAKARTA, KCM - Keberhasilan sistem keamanan informasi di jaringan komputer tidak hanya ditentukan kualitas teknologi yang digunakan, tapi juga kapasitas sumber daya manusia (SDM) dan proses kebijakan yang dijalankan. Untuk membangun sistem keamanan informasi yang kuat juga harus dipertimbangkan apa saja yang akan diamankan dan mengapa informasi tersebut harus aman.
Hal tersebut disampaikan John Howie CISA CISM CISSP, Director Security Community Microsoftkepada KCM di ajang Bellua Cyber Security Asia 2006 baru-baru ini. Bahkan untuk mengelola sistem keamanan informasi perlu menerapkan sistem manajemen standar atau information security management system (ISMS) sesuai ISO 17799 dan ISO 27001 untuk memenuhi tuntutan bisnis yang semakin mengglobal.
’Tidak peduli apakah perusahaan itu kecil, menengah, atau besar, sistem keamanan perlu diimplementasikan sejak awal," kata Howie. Informasi apapun mengenai pelanggan merupakan aset yang sangat besar bagi sebuah perusahaan sehingga harus dikelola dengan baik.
Howie mencontohkan, sebuah firma kecil yang melayani transaksi online dengan karyawan satu sekalipun perlu memastikan bahwa jaringannya aman dan informasi mengenai pelanggan tidak berpindah ke pihak yang tidak bertanggung jawab. Dengan demikian pelanggan yang menyerahkan data-data pribadi seperti nomor kartu kredit, alamat, dan nomor kontak percaya dengan pelayanannya.
Sesuai kebutuhan
Sebelum implementasi dilakukan, perlu dilakukan penilaian apa saja yang perlu diamankan, apakah sistem email, transaksi perbankan online, data pelanggan, data perkembangan bisnis, atau informasi lainnya. Lalu, mengapa informasi tersebut diamankan, apakah sekedar arsip, sebagai bukti, atau memenuhi persyaratan yang ditetapkan regulator.
Andika Triwidada, ahli sistem keamanan jaringan komputer dari PT INDOCISC, mengatakan langkah pertama yang akan dilakukan saat implementasi adalah evaluasi security dengan melakukan penilaian terhadap sistem keamanan yang dipakai. Selain dari sisi teknologi, aspek SDM dan proses juga perlu dinilai.
"Dicek servernya, perangkat yang aktif di jaringan, dan seluruh workstation, apakah terdapat lubang keamanan, kemudian ditambal satu persatu dan diuji kembali," ujarnya. Jika kelemahan-kelemahan yang mungkin rawan ditembus serangan malware (malicious software) - seperti virus, spyware, worm, trojan, atau phising - maupun para cracker terlalu besar, mungkin sistem perlu dirombak secara keseluruhan.
Sebagai gambaran, untuk menangani tahap assessment sistem keamanan sebuah layanan e-commerce dengan 100 unit komputer desktop maupun laptop, Andika memperkirakan butuh waktu 10 hari untuk menguji dan 10 hari untuk menambal lubang keamanannya. Itu pun dengan asumsi tidak perlu perombakan sistem secara keseluruhan.
Sedangkan menurut Howie, perusahaan juga harus memperhitungkan manajemen risiko proses dengan melakukan mitigasi dan kontrol dengan baik agar tidak terjadi kesalahan. Mitigasi tidak perlu berlebihan dan harus dipastikan efektif sehingga ongkos data control lebih murah daripada risikonya.
SDM paling sulit
Hal tersebut disampaikan John Howie CISA CISM CISSP, Director Security Community Microsoftkepada KCM di ajang Bellua Cyber Security Asia 2006 baru-baru ini. Bahkan untuk mengelola sistem keamanan informasi perlu menerapkan sistem manajemen standar atau information security management system (ISMS) sesuai ISO 17799 dan ISO 27001 untuk memenuhi tuntutan bisnis yang semakin mengglobal.
’Tidak peduli apakah perusahaan itu kecil, menengah, atau besar, sistem keamanan perlu diimplementasikan sejak awal," kata Howie. Informasi apapun mengenai pelanggan merupakan aset yang sangat besar bagi sebuah perusahaan sehingga harus dikelola dengan baik.
Howie mencontohkan, sebuah firma kecil yang melayani transaksi online dengan karyawan satu sekalipun perlu memastikan bahwa jaringannya aman dan informasi mengenai pelanggan tidak berpindah ke pihak yang tidak bertanggung jawab. Dengan demikian pelanggan yang menyerahkan data-data pribadi seperti nomor kartu kredit, alamat, dan nomor kontak percaya dengan pelayanannya.
Sesuai kebutuhan
Sebelum implementasi dilakukan, perlu dilakukan penilaian apa saja yang perlu diamankan, apakah sistem email, transaksi perbankan online, data pelanggan, data perkembangan bisnis, atau informasi lainnya. Lalu, mengapa informasi tersebut diamankan, apakah sekedar arsip, sebagai bukti, atau memenuhi persyaratan yang ditetapkan regulator.
Andika Triwidada, ahli sistem keamanan jaringan komputer dari PT INDOCISC, mengatakan langkah pertama yang akan dilakukan saat implementasi adalah evaluasi security dengan melakukan penilaian terhadap sistem keamanan yang dipakai. Selain dari sisi teknologi, aspek SDM dan proses juga perlu dinilai.
"Dicek servernya, perangkat yang aktif di jaringan, dan seluruh workstation, apakah terdapat lubang keamanan, kemudian ditambal satu persatu dan diuji kembali," ujarnya. Jika kelemahan-kelemahan yang mungkin rawan ditembus serangan malware (malicious software) - seperti virus, spyware, worm, trojan, atau phising - maupun para cracker terlalu besar, mungkin sistem perlu dirombak secara keseluruhan.
Sebagai gambaran, untuk menangani tahap assessment sistem keamanan sebuah layanan e-commerce dengan 100 unit komputer desktop maupun laptop, Andika memperkirakan butuh waktu 10 hari untuk menguji dan 10 hari untuk menambal lubang keamanannya. Itu pun dengan asumsi tidak perlu perombakan sistem secara keseluruhan.
Sedangkan menurut Howie, perusahaan juga harus memperhitungkan manajemen risiko proses dengan melakukan mitigasi dan kontrol dengan baik agar tidak terjadi kesalahan. Mitigasi tidak perlu berlebihan dan harus dipastikan efektif sehingga ongkos data control lebih murah daripada risikonya.
SDM paling sulit
Postingan
0 komentar:
Posting Komentar