Kamis, 16 Juni 2016

MANAJEMEN KEAMANAN INFORMASI DAN MANAJEMEN AKSES

PENDAHULUAN DAN RUANG LINGKUP

Keamanan data dan informasi adalah sesuatu yang sangat penting untuk setiap organisasi dan oleh karena itu keputusan bisnis akan informasi apapun dan tingkat apapun itu harus dilindungi. Pendekatan bisnis untuk perlindungan dan penggunaan data harus terkandung dalam peraturan kebijakan keamanan bagi setiap orang yang memiliki akses dan informasi apapun yang  berada di dalam organisasi  tersebut yang tentunya setiap orang tersebut harus sadar akan peraturan tersebut. Sistem keamanan di setiap organisasi diadakan untuk menjalankan kebijakan keamanan dan memastikan bahwa tujuan dari keamanan TI pada bisnis organisasi terpenuhi yang sebagaimana dikenal dengan information security management system (ISMS) atau sistem manajemen keamanan informasi. Manajemen keamanan informasi mendukung tata kelola perusahaan dengan memastikan bahwa resiko keamanan informasi dikelola dengan sebaik-baiknya.

Manajemen Keamanan Informasi dan Manajemen Akses adalah proses yang terpisah di dalam Pustaka  Infrastruktur Teknologi Informasi atau  ITIL yang mana memiliki bagian tersendiri dari siklus hidup layanan dari organisasi tetapi tidak diterangkan dalam bab ini karena tujuan tertentu.

MAKSUD DAN TUJUAN

Dua proses ini, yaitu  manajemen keamanan informasi dan manajemen akses memiliki tujuan umum yang sama, yang mana keduanya saling berkaitan untuk memastikan bahwa hanya orang tertentu yang bisa melihat dan mendapatkan informasi dari organisasi, akan tetapi manajemen keamanan informasi, yang merupakan bagian mendasar dari kerangka pengelolaan, memiliki banyak kebebasan yang lebih luas dibandingkan manajemen akses.

Tujuan dari proses manajemen keamanan informasi adalah untuk memastikan bahwa keamanan TI konsisten atau sejalan dengan keamanan bisnis, juga menjamin bahwa keamanan informasi dikelola secara efektif dalam semua kegiatan dan manajemen pelayanan dan bahwasannya sumber daya informasi memiliki kepengurusan yang efektif dan digunakan dengan benar. Inipun termasuk identifikasi dan manajemen dari risiko keamanan informasi.

Tujuan utama dari manajemen keamanan informasi adalah berfokus untuk pengelolaan semua kegiatan yang bersangkutan dengan keamanan informasi. Tentunya bukan hanya tentang melindungi sumber informasi saat ini. Akan tetapi, tentang menempatkan, mempertahankan dan menegakkan peraturan kebijakan dari keamanan informasi secara efektif. Tujuan ini adalah tentang memahami bagaimana bisnis akan berkembang, mengantisipasi risiko yang akan dihadapi, mengartikulasikan bagaimana undang-undang dan peraturan akan mempengaruhi persyaratan keamanan dan memastikan bahwa manajemen keamanan informasi mampu memenuhi tantangan ini di masa depan.

Manajemen keamanan informasi memastikan keefektifan dari kebijakan keamanan informasi sesuai pada tempatnya sehingga bisa ditegakkan secara efektif juga. Pengendalian keamanan yang didokumentasikan berlaku tidak hanya untuk karyawan di dalam organisasi, tetapi juga untuk pemasok dan pihak  lain yang memiliki hubungan bisnis / kontak dengan organisasi. Tentunya harus dipastikan bahwa setiap pelanggaran keamanan ditindak lanjuti secara tepat dan efektif, dan bahwa setiap resiko diidentifikasi, didokumentasikan dan dipelajari lebih lanjut.

Manajemen akses berkaitan dengan pengelolaan hak-hak setiap orang atas akses ke informasi organisasi, agar tujuannya tidak hanya terkait manajemen keamanan informasi, tetapi juga dengan ketersediaan manajemen, sehingga dapat memberikan efek secara praktis pada kebijakan dan persyaratan dari kedua proses tersebut. Tujuannya adalah untuk memastikan bahwa kerahasiaan, integritas dan ketersediaan informasi dikelola secara efektif di seluruh organisasi. Data dan informasi tidak hanya harus dilindungi terhadap akses yang tidak sah dan kemungkinan itu dicuri atau diubah. Hal ini juga harus tersedia bagi mereka yang berwenang untuk mengaksesnya.

Bagian terpenting dari manajemen akses adalah mengatur hak setiap orang untuk mengakses informasi dan layanan. Orang-orang yang memiliki hak, dalam hal kebijakan dan kebutuhan bisnis, harus memiliki hak yang sebenarnya untuk mengakses informasi yang dilaksanakan melalui pengendalian akses. Hak-hak ini harus konsisten dengan peraturan yang relevan, seperti undang-undang perlindungan data, dan harus terus dikaji dan diubah atau dicabut ketika status seseorang dalam organisasi berubah, atau ketika ada suatu risiko yang teridentifikasi.

Contoh :
Seorang dokter membutuhkan akses ke catatan pasien untuk membantu mendiagnosa kemungkinan penyebab penyakit dan resep obat yang tepat, tetapi kerahasiaan catatan ini perlu dilindungi terhadap akses oleh pengguna yang tidak sah. Namun, pasien mungkin memiliki hak yang sah untuk meminta akses ke informasi tertentu kepada individu tertentu dalam organisasi (misalnya status HIV, aborsi, penyakit mental dan sebagainya).

Tujuan dari hak akses adalah untuk mendapatkan nilai dan dampak yang baik, manajemen akses harus memastikan bahwa orang dapat diidentifikasi dengan benar : bahwa setiap orang memiliki identitas yang unik agar hak-hak mereka dapat diberikan dan dilaksanakan, sah atau tidaknya hak tersebut dapat ditelusuri. Manajemen identitas sangat penting untuk keefektifan manajemen akses, serta mencegah hal-hal yang tidak diinginkan, misalnya seseorang berpura-pura menjadi orang lain yang memiliki akses dan membajak hak-hak mereka untuk mengakses dan mengubah informasi atau, sebagian orang bahkan mengatakan hal yang lebih berbahaya, yaitu membuat informasi baru. Organisasi harus mengambil tindakan untuk mengelola situasi di mana pengendalian akses atau akses kontrol mungkin dapat ditembus, misalnya di mana pengembang perangkat lunak membutuhkan akses langsung ke sistem saat memanajemen insiden.

Contoh :
Dalam satu organisasi, akses ke informasi penggajian dikontrol dengan sangat ketat untuk siapapun, selain pengembang perangkat lunak, karena mereka perlu memperbaiki kesalahan-kesalahan yang ada dalam perangkat lunak yang memiliki akses penuh ke semua bagian dari sistem, dengan kemampuan untuk mengakses, mengubah dan membuat pencatatan.

Tujuan keamanan sebuah organisasi biasanya dianggap harus dipenuhi saat ketersediaan, kerahasiaan, integritas dan keaslian dan ketidak penolakan berada di bawah kendali. Hal ini didefinisikan dengan  hal-hal di bawah ini:

  • “Ketersediaan : Informasi dapat diakses dan digunakan ketika diperlukan dan sistem dari dalam dapat menahan serangan dan dapat memulihkan diri atau mencegah kegagalan”.
  • “Kerahasiaan : Informasi boleh diamati atau diungkapkan hanya untuk mereka yang memiliki hak untuk mengetahuinya ".
  • “Integritas : Informasi harus lengkap, akurat dan terlindungi terhadap modifikasi yang tidak sah”.
  • “Keaslian : Keaslian menyangkut kebenaran label atau atribut informasi untuk mencegah hal-hal yang tidak diinginkan, misalnya, pencetus email menimbulkan kesan bahwa email yang datang dari orang lain. Keaslian adalah tentang memastikan bahwa transaksi bisnis, serta pertukaran informasi antara perusahaan atau dengan mitra, dapat dipercaya".
  • “Ketidak penolakan : Mekanisme yang mencegah pencetus transaksi palsu menyangkal bahwa perbuatan itu berasal dari mereka atau mencegah penerima palsu menyangkal telah menerima itu ".


KEBIJAKAN KEAMANAN INFORMASI

Kebijakan keamanan informasi harus mendukung serta selaras dengan kebijakan keamanan bisnis. Hal ini harus mencakup kebijakan yang meliputi penggunaan aset TI, email, internet, dokumen penting, akses remote, akses oleh pihak ketiga (seperti pemasok) dan penjualan aset. Selain itu, hal tersebut mendefinisikan pendekatan untuk reset password, mempertahankan kontrol anti-virus dan pengklasifikasian informasi. Kebijakan ini harus tersedia untuk semua pelanggan dan pengguna serta staf TI, dan kepatuhan terhadap kebijakan harus direferensikan dalam semua perjanjian internal dan kontrak eksternal. Kebijakan tersebut harus ditinjau ulang dan direvisi setidaknya secara tahunan.

SISTEM MANAJEMEN KEAMANAN INFORMASI

Sistem manajemen keamanan informasi atau information security management system (SMKI / ISMS - juga disebut sebagai kerangka keamanan) membantu mendirikan sebuah program keamanan yang hemat biaya untuk mendukung tujuan bisnis. Gambar 18.1 menunjukkan contoh kerangka yang banyak digunakan dan berdasarkan standar ISO 27001 yang memberikan lima tahap SMKI dan ruang lingkup masing-masing tahap.

Tujuan dari SMKI adalah untuk memastikan bahwa kontrol, alat dan prosedur yang tepat dibentuk untuk mendukung kebijakan keamanan informasi.

MANAJEMEN AKSES

Manajemen akses adalah proses untuk mengendalikan akses ke data dan informasi untuk memastikan bahwa pengguna yang berwenang memiliki akses yang tepat sekaligus mencegah akses oleh pengguna yang tidak sah. Proses manajemen akses mungkin menjadi tanggung jawab dari fungsi khusus, tetapi biasanya dilakukan oleh semua fungsi manajemen teknis dan aplikasi.
Gambar 18.1 kerangka SMKI / ISMS (Sumber: Kantor Kabinet ITIL Layanan Desain ISBN 978-0-113313-05-1)

Jika permintaan layanan beroperasi sebagai titik kontak tunggal, biasanya hal tersebut harus menerima setiap permintaan layanan untuk hak akses yang baru atau pengubahan hak akses dan dapat juga dilaksanakan oleh pemilik kebijakan keamanan untuk memberikan hak-hak tersebut. Biasanya hal ini terjadi ketika seseorang baru bergabung ke dalam organisasi atau pemasok baru mengadakan hubungan kerjasama, tetapi hal tersebut juga dapat terjadi ketika seseorang berpindah dari satu departemen ke departemen lain atau berubah peran(naik / turun jabatan). Hak akses harus ditarik ketika seseorang meninggalkan organisasi.

Proses manajemen akses harus mencakup pemantauan akses untuk mengamankan informasi sehingga dalam hal insiden yang berhubungan dengan keamanan yang timbul, penyebabnya dapat ditelusuri dan resiko keamanan yang ditemukan dapat dihilangkan. Pemantauan juga akan mengidentifikasi upaya-upaya akses yang tidak sah dan seperti kesalahan password yang bisa menjadi indikasi kemungkinan ancaman keamanan.

Referensi :

BUKU IT SERVICE MANAGEMENT BAB 18

MANAJEMEN KEAMANAN INFORMASI DAN MANAJEMEN AKSES

PENDAHULUAN DAN RUANG LINGKUP

Keamanan data dan informasi adalah sesuatu yang sangat penting untuk setiap organisasi dan oleh karena itu keputusan bisnis akan informasi apapun dan tingkat apapun itu harus dilindungi. Pendekatan bisnis untuk perlindungan dan penggunaan data harus terkandung dalam peraturan kebijakan keamanan bagi setiap orang yang memiliki akses dan informasi apapun yang  berada di dalam organisasi  tersebut yang tentunya setiap orang tersebut harus sadar akan peraturan tersebut. Sistem keamanan di setiap organisasi diadakan untuk menjalankan kebijakan keamanan dan memastikan bahwa tujuan dari keamanan TI pada bisnis organisasi terpenuhi yang sebagaimana dikenal dengan information security management system (ISMS) atau sistem manajemen keamanan informasi. Manajemen keamanan informasi mendukung tata kelola perusahaan dengan memastikan bahwa resiko keamanan informasi dikelola dengan sebaik-baiknya.

Manajemen Keamanan Informasi dan Manajemen Akses adalah proses yang terpisah di dalam Pustaka  Infrastruktur Teknologi Informasi atau  ITIL yang mana memiliki bagian tersendiri dari siklus hidup layanan dari organisasi tetapi tidak diterangkan dalam bab ini karena tujuan tertentu.

MAKSUD DAN TUJUAN

Dua proses ini, yaitu  manajemen keamanan informasi dan manajemen akses memiliki tujuan umum yang sama, yang mana keduanya saling berkaitan untuk memastikan bahwa hanya orang tertentu yang bisa melihat dan mendapatkan informasi dari organisasi, akan tetapi manajemen keamanan informasi, yang merupakan bagian mendasar dari kerangka pengelolaan, memiliki banyak kebebasan yang lebih luas dibandingkan manajemen akses.

Tujuan dari proses manajemen keamanan informasi adalah untuk memastikan bahwa keamanan TI konsisten atau sejalan dengan keamanan bisnis, juga menjamin bahwa keamanan informasi dikelola secara efektif dalam semua kegiatan dan manajemen pelayanan dan bahwasannya sumber daya informasi memiliki kepengurusan yang efektif dan digunakan dengan benar. Inipun termasuk identifikasi dan manajemen dari risiko keamanan informasi.

Tujuan utama dari manajemen keamanan informasi adalah berfokus untuk pengelolaan semua kegiatan yang bersangkutan dengan keamanan informasi. Tentunya bukan hanya tentang melindungi sumber informasi saat ini. Akan tetapi, tentang menempatkan, mempertahankan dan menegakkan peraturan kebijakan dari keamanan informasi secara efektif. Tujuan ini adalah tentang memahami bagaimana bisnis akan berkembang, mengantisipasi risiko yang akan dihadapi, mengartikulasikan bagaimana undang-undang dan peraturan akan mempengaruhi persyaratan keamanan dan memastikan bahwa manajemen keamanan informasi mampu memenuhi tantangan ini di masa depan.

Manajemen keamanan informasi memastikan keefektifan dari kebijakan keamanan informasi sesuai pada tempatnya sehingga bisa ditegakkan secara efektif juga. Pengendalian keamanan yang didokumentasikan berlaku tidak hanya untuk karyawan di dalam organisasi, tetapi juga untuk pemasok dan pihak  lain yang memiliki hubungan bisnis / kontak dengan organisasi. Tentunya harus dipastikan bahwa setiap pelanggaran keamanan ditindak lanjuti secara tepat dan efektif, dan bahwa setiap resiko diidentifikasi, didokumentasikan dan dipelajari lebih lanjut.

Manajemen akses berkaitan dengan pengelolaan hak-hak setiap orang atas akses ke informasi organisasi, agar tujuannya tidak hanya terkait manajemen keamanan informasi, tetapi juga dengan ketersediaan manajemen, sehingga dapat memberikan efek secara praktis pada kebijakan dan persyaratan dari kedua proses tersebut. Tujuannya adalah untuk memastikan bahwa kerahasiaan, integritas dan ketersediaan informasi dikelola secara efektif di seluruh organisasi. Data dan informasi tidak hanya harus dilindungi terhadap akses yang tidak sah dan kemungkinan itu dicuri atau diubah. Hal ini juga harus tersedia bagi mereka yang berwenang untuk mengaksesnya.

Bagian terpenting dari manajemen akses adalah mengatur hak setiap orang untuk mengakses informasi dan layanan. Orang-orang yang memiliki hak, dalam hal kebijakan dan kebutuhan bisnis, harus memiliki hak yang sebenarnya untuk mengakses informasi yang dilaksanakan melalui pengendalian akses. Hak-hak ini harus konsisten dengan peraturan yang relevan, seperti undang-undang perlindungan data, dan harus terus dikaji dan diubah atau dicabut ketika status seseorang dalam organisasi berubah, atau ketika ada suatu risiko yang teridentifikasi.

Contoh :
Seorang dokter membutuhkan akses ke catatan pasien untuk membantu mendiagnosa kemungkinan penyebab penyakit dan resep obat yang tepat, tetapi kerahasiaan catatan ini perlu dilindungi terhadap akses oleh pengguna yang tidak sah. Namun, pasien mungkin memiliki hak yang sah untuk meminta akses ke informasi tertentu kepada individu tertentu dalam organisasi (misalnya status HIV, aborsi, penyakit mental dan sebagainya).

Tujuan dari hak akses adalah untuk mendapatkan nilai dan dampak yang baik, manajemen akses harus memastikan bahwa orang dapat diidentifikasi dengan benar : bahwa setiap orang memiliki identitas yang unik agar hak-hak mereka dapat diberikan dan dilaksanakan, sah atau tidaknya hak tersebut dapat ditelusuri. Manajemen identitas sangat penting untuk keefektifan manajemen akses, serta mencegah hal-hal yang tidak diinginkan, misalnya seseorang berpura-pura menjadi orang lain yang memiliki akses dan membajak hak-hak mereka untuk mengakses dan mengubah informasi atau, sebagian orang bahkan mengatakan hal yang lebih berbahaya, yaitu membuat informasi baru. Organisasi harus mengambil tindakan untuk mengelola situasi di mana pengendalian akses atau akses kontrol mungkin dapat ditembus, misalnya di mana pengembang perangkat lunak membutuhkan akses langsung ke sistem saat memanajemen insiden.

Contoh :
Dalam satu organisasi, akses ke informasi penggajian dikontrol dengan sangat ketat untuk siapapun, selain pengembang perangkat lunak, karena mereka perlu memperbaiki kesalahan-kesalahan yang ada dalam perangkat lunak yang memiliki akses penuh ke semua bagian dari sistem, dengan kemampuan untuk mengakses, mengubah dan membuat pencatatan.

Tujuan keamanan sebuah organisasi biasanya dianggap harus dipenuhi saat ketersediaan, kerahasiaan, integritas dan keaslian dan ketidak penolakan berada di bawah kendali. Hal ini didefinisikan dengan  hal-hal di bawah ini:

  • “Ketersediaan : Informasi dapat diakses dan digunakan ketika diperlukan dan sistem dari dalam dapat menahan serangan dan dapat memulihkan diri atau mencegah kegagalan”.
  • “Kerahasiaan : Informasi boleh diamati atau diungkapkan hanya untuk mereka yang memiliki hak untuk mengetahuinya ".
  • “Integritas : Informasi harus lengkap, akurat dan terlindungi terhadap modifikasi yang tidak sah”.
  • “Keaslian : Keaslian menyangkut kebenaran label atau atribut informasi untuk mencegah hal-hal yang tidak diinginkan, misalnya, pencetus email menimbulkan kesan bahwa email yang datang dari orang lain. Keaslian adalah tentang memastikan bahwa transaksi bisnis, serta pertukaran informasi antara perusahaan atau dengan mitra, dapat dipercaya".
  • “Ketidak penolakan : Mekanisme yang mencegah pencetus transaksi palsu menyangkal bahwa perbuatan itu berasal dari mereka atau mencegah penerima palsu menyangkal telah menerima itu ".


KEBIJAKAN KEAMANAN INFORMASI

Kebijakan keamanan informasi harus mendukung serta selaras dengan kebijakan keamanan bisnis. Hal ini harus mencakup kebijakan yang meliputi penggunaan aset TI, email, internet, dokumen penting, akses remote, akses oleh pihak ketiga (seperti pemasok) dan penjualan aset. Selain itu, hal tersebut mendefinisikan pendekatan untuk reset password, mempertahankan kontrol anti-virus dan pengklasifikasian informasi. Kebijakan ini harus tersedia untuk semua pelanggan dan pengguna serta staf TI, dan kepatuhan terhadap kebijakan harus direferensikan dalam semua perjanjian internal dan kontrak eksternal. Kebijakan tersebut harus ditinjau ulang dan direvisi setidaknya secara tahunan.

SISTEM MANAJEMEN KEAMANAN INFORMASI

Sistem manajemen keamanan informasi atau information security management system (SMKI / ISMS - juga disebut sebagai kerangka keamanan) membantu mendirikan sebuah program keamanan yang hemat biaya untuk mendukung tujuan bisnis. Gambar 18.1 menunjukkan contoh kerangka yang banyak digunakan dan berdasarkan standar ISO 27001 yang memberikan lima tahap SMKI dan ruang lingkup masing-masing tahap.

Tujuan dari SMKI adalah untuk memastikan bahwa kontrol, alat dan prosedur yang tepat dibentuk untuk mendukung kebijakan keamanan informasi.

MANAJEMEN AKSES

Manajemen akses adalah proses untuk mengendalikan akses ke data dan informasi untuk memastikan bahwa pengguna yang berwenang memiliki akses yang tepat sekaligus mencegah akses oleh pengguna yang tidak sah. Proses manajemen akses mungkin menjadi tanggung jawab dari fungsi khusus, tetapi biasanya dilakukan oleh semua fungsi manajemen teknis dan aplikasi.

Gambar 18.1 kerangka SMKI / ISMS (Sumber: Kantor Kabinet ITIL Layanan Desain ISBN 978-0-113313-05-1)

Jika permintaan layanan beroperasi sebagai titik kontak tunggal, biasanya hal tersebut harus menerima setiap permintaan layanan untuk hak akses yang baru atau pengubahan hak akses dan dapat juga dilaksanakan oleh pemilik kebijakan keamanan untuk memberikan hak-hak tersebut. Biasanya hal ini terjadi ketika seseorang baru bergabung ke dalam organisasi atau pemasok baru mengadakan hubungan kerjasama, tetapi hal tersebut juga dapat terjadi ketika seseorang berpindah dari satu departemen ke departemen lain atau berubah peran(naik / turun jabatan). Hak akses harus ditarik ketika seseorang meninggalkan organisasi.

Proses manajemen akses harus mencakup pemantauan akses untuk mengamankan informasi sehingga dalam hal insiden yang berhubungan dengan keamanan yang timbul, penyebabnya dapat ditelusuri dan resiko keamanan yang ditemukan dapat dihilangkan. Pemantauan juga akan mengidentifikasi upaya-upaya akses yang tidak sah dan seperti kesalahan password yang bisa menjadi indikasi kemungkinan ancaman keamanan.