Home > Blogosphere > Chapter illustrates how a hypothetical government agency (HGA)

Chapter illustrates how a hypothetical government agency (HGA)


ABSTRAK

Aset-aset yang terdapat di HGA yang harus dilindungi antara lain informasi kepegawaian, informasi terkait payroll, dan aset-aset bersifat sistem seperti perangkat lunak dan perangkat keras serta aset-aset yang sifatnya bukan sistem seperti bangunan, listrik, telepon dan AC. Aset-aset tersebut perlu dijaga karena memiliki beberapa kelemahan yang bila berhasil dieksploitasi oleh ancaman akan menimbulkan dampak yang merugikan bagi HGA itu sendiri. Kelemahan dan ancaman yang dibahas hanya terkait masalah kebocoran informasi, jaringan, payroll, dan operasional di HGA saja. Dari semua kelemahan dan ancaman tersebut strategi mitigasi yang diambil adalah menerima dan menindaklanjuti dengan segera dan untuk beberapa mitigasi ditindaklanjuti pada tahun berikutnya. Rekomendasi di masa mendatang terkait hal tersebut antara lain mengenai kebijakan, sosialisasi, pengecekan jaringan secara berkala, mekanisme mengenai absensi, basis data yang terdistribusi, dan penerapan prosedur terkait penerapan anti virus dan backup data.

 

1. KARAKTERISTIK SISTEM DI HGAHypothetical Computer System (HGA) memiliki sistem informasi yang berperan dalam pengiriman dana pemerintah Amerika kepada seseorang/individu dalam bentuk pembayaran cek. Komponen yang dimiliki dan dioperasikan oleh HGA merupakan aset seperti informasi pegawai, dokumen kontrak dan pengadaan, draf kebijakan, dokumen bisnis sehari-hari, surat menyurat, catatan dan laporan. Selain aset yang bisa diukur, HGA juga memiliki reputasi dan kepercayaan terhadap informasi pegawai dan gaji yang dibayarkan dengan tepat waktu.

Sistem komputer dan jaringan terdiri dari sistem arsitektur, sistem operasi kepemilikan, dan sistem aplikasi. Sistem yang digunakan oleh HGA sebagian dimiliki dan dikelola HGA, namun ada beberapa bagian yang dimiliki dan dikelola organisasi lain.

Berikut  aset-aset yang dimiliki HGA yang harus dilindungi, beserta penanggung jawab aset tersebut serta resiko yang mungkin terjadi terhadap aset tersebut.

Aset Informasi Penanggung Jawab Aset Risiko
Informasi tentang kepegawaian dan aktifitas internal di HGA Bagian Kepegawaian Dapat mengakses, menghapus, memodifikasi data kepegawaian dan menyebarkan serta menjualnya ke pihak lain.
Informasi, data Bagian Jaringan dan Data Dapat mengakses, menghapus, memodifikasi data HGA dan menyebarkan ke pihak lain.
Employee Payroll: False or fictional employee record Administrasi, Finance dan Supervisor –    Dapat menarik gaji dari seorang pegawai yang tidak pernah ada secara setoran tunai
Employee Payroll: Unauthorized Access employee time sheet record Technical –   Dapat mengakses, menghapus, mengkoreksi, dan mengisikan data waktu kerja bagi karyawan lain

–   Dapat menyetujui time sheet karyawan tanpa melalui atasan

Employee Payrol: Data Loss or Corruption Record COG, Time and Attendance Clerk, Financial, HGA –   Data waktu kerja karyawan terdapat redudansi/duplikasi

–   Data mengenai waktu kerja yang diakibatkan tidak hadir karena libur atau sakit tidak tersimpan

Employee Payroll: Transfer Time Sheet Payroll COG, Time and Attendance Clerk, Financial –   Kesalahan dalam pengisian waktu kerja ketika karyawan dipindahkan ke divisi lain, terjadi duplikasi gaji atau tidak ada gaji yang terkirim

–   Kesalahan dalam pembayaran pajak organisasi

Bangunan fisik HGA, Listrik, AC COG Rusaknya bangunan fisik, listrik, AC
Sumber Daya Komputer (PC, LAN, Server, Modem Pool, Console, printer dan router) COG Rusaknya dan hilangnya sumber daya computer di HGA

 

2.  IDENTIFIKASI KERAWANAN, ANCAMAN, DAN KONTROL YANG DIMILIKI

Berikut kerawanan dan ancaman yang mungkin terjadi terhadap aset-aset yang dimiliki oleh HGA, serta nilai resiko dasar yang dimiliki terhadap aset tersebut.

Aset Informasi Kerawanan terhadap Aset (Vulnerabilities)   Inheren Kontrol yang Ada Residual
Ancaman Dampak Kecenderu

ngan

Nilai Risiko Dasar Dampak Kecende

rungan

Nilai Risiko Akhir
Informasi tentang kepegawaian dan aktifitas internal di HGA Dokumen kepegawaian tidak disimpan secara aman setelah jam kerja berakhir. Sedikit PC yang berisi tentang informasi kepegawaian dikunci secara rutin. Sedikit rutinitas mematikan PC dan banyak yang masih meninggalkan PC dalam keadaan login ke server LAN sepanjang malam. Orang Dalam HGA yang mempunyai beberapa motivasi adanya rasa ingin tahu, kepentingan intelijen, ingin mendapatkan uang lebih, dendam sehingga melakukan pencurian data, merubah dan menghapus data kepegawaian, atau menjual data kepegawaian kepada perusahaan lain; Tinggi Sedang Tinggi – Kebijakan Need To Know, dimana dokumen kepegawaian harus selalu disimpan di tempat terkunci, mengunci PC ketika meninggalkannya, kontrol terhadap akses ke dalam file-file di LAN server, training terkait keamanan informasi
– Pendekatan pada saat perekrutan pegawai, menandatangani beberapa dokumen pertanggungjawaban
Sedang Jarang Sedang
Tidak dienkripsinya informasi yang dikirimkan atau diterima dari server ke client dan sebaliknya Program “Sniffer” (Program Penyadap) melakukan perekaman data kepegawaian; Tinggi Sedang Tinggi Tidak ada Tinggi Sedang Tinggi
Database master pegawai HGA disimpan di mainframe sewaan. Pegawai dari agensi yang memiliki mainframe yang memiliki motivasi buruk mencuri data kepegawaian dan menjualnya ke perusahaan lain; Hacker; Fraud Tinggi Sedang Tinggi -Kebijakan Need To Know, dimana informasi kepegawaian hanya dapat diakses oleh pegawai HGA dan pegawai agensi yang memiliki mainframe yang sebelumnya telah menandatangani beberapa pertanggungjawaban terkait keamanan informasi Sedang Jarang Sedang
Informasi, data seluruh HGA Tidak ada jaminan keamanan terhadap kontrol akses ke dalam server, setiap pemilik e-mail bisa mengakses data dan file dalam server tersebut, kemudian mengirimkan rekaman file ke orang lain, merubah dan menghapus file tersebut. –   Hacker dan cracker

–  mencuri informasi dengan login sebagai pegawai dan menggunakan email untuk mengirimkan data keluar; informasi bisa dicuri tanpa diketahui;

–  penyalahgunaan wewenang untuk memodifikasi informasi, menggunakan servis dan aset sehingga menyebabkan DoS

–  attacker menggunakan bug email dan mengakuisasi kewenangan sistem administrator server

Tinggi Sedang Tinggi –   Memasang router untuk membatasi hubungan dengan jaringan luar sebab router tidak mengizinkan all remote login

–  Memasang LAN server sehingga interaksi interface hanya untuk email dan transfer data dari server ke mainframe dengan kontrol aplikasi khusus

–  Kebijakan yang diterapkan di HGA adalah melakukan cek keamanan informasi secara berkala, adanya larangan instalasi modem disetiap PC, akses harus melalui LAN server

Sedang Sedang Sedang

 

 

 

 

 

 

 

 

 

 

 

Tidak ada kebijakan yang jelas tentang keamanan penggunaan password e-mail Hacker dan cracker outsider berusaha memasuki sistem dengan menebak/mencoba user account password;

Ada beberapa yang berhasil menghapus, menghilangkan data penting dan mengembalikan kembali dari backupdan tidak terdeteksi oleh sistem HGA. Hal ini disebabkan oleh HGA tidak mempunyai log untuk melacak  aktivitas attacker yang merasa tertantang, memiliki rasa ingin tahu yang tinggi ataupun dendam

Tinggi Sedang Tinggi Belum ada Tinggi Sedang Tinggi
WAN service provider terhubung dengan microwave station atau satelit sebagai titik pengulangan, sehingga informasi HGA seperti password dan email yang dikirim bisa didengar/diambil selama proses dial in. Hacker dan cracker

Mencuri password dan informasi pada saat email dalam proses pengiriman melalui WAN

Tinggi Sedang Tinggi Menggunakan kontrol akses pada server sehingga WAN interface hanya bisa diakses dengan program khusus dan  sistem administrator Sedang Sedang Sedang

 

 

 

 

 

 

 

 

 

 

 

Employee Payroll: Time Sheet Fraud – Pengisian data waktu kerja masih manual

– Terdapatnya kerawanan koordinasi pengawasan antara petugas administrasi dengan supervisor”

Kesalahan pengisian waktu kerja, pemanipulasian waktu kerja, pemanipulasian laporan waktu kerja, Kelalaian yang dilakukan oleh pegawai Sedang Tinggi Tinggi – Pengamanan dan pemeriksaan Time sheet dengan memvalidasi waktu kerja oleh atasan kerja

– Pemasukkan data pada database oleh petugas administrasi kehadiran

Sedang Jarang Sedang
Database Server: False or fictional employee record – Time sheet yang dapat dimanipulasi secara manual

– Tingkat keamanan server/mainframe yang masih rendah

Fraud: yang dilakukan oleh pegawai internal dalam pemanipulasian data waktu kerja langsung pada mainframe,

Hacker: yang dilakukan baik oleh pegawai internal atau oleh pihak luar dalam memanipulasi gaji,

Password-Sniffer: sebuah program yang dipasang oleh pegawai internal dalam memperoleh akses masuk terhadap mainframe

Tinggi Sedang Tinggi – Mengamankan database pada mainframe yang memiliki aplikasi pengamanan dari I&A

– Kontrol akses terhadap mainframe dengan menggunakan password

Sedang Sedang Sedang
Mainframe: Unauthorized Access employee time sheet record – Password akses ke mainframe dapat dengan mudah dicegah/halangi

– Pengguna menggunakan script untuk logon yang tersimpan di PC

Hacker: yang dilakukan baik oleh pegawai internal atau oleh pihak luar dalam memanipulasi gaji,

Password-Sniffer: sebuah program yang dipasang oleh pegawai internal dalam memperoleh akses masuk terhadap mainframe

Tinggi Jarang Tinggi – Akses oleh administrasi dengan menggunakan PC tertentu dan pada waktu kerja

– Terdapat kebijakan yang mengatur System Admin dan Administrator untuk tidak menjalankan fungsi-fungsi percobaan terkait pada data karyawan sebenarnya

– Terdapat kebijakan bagi Administrator tidak boleh merubah konfigurasi sistem, password dan izin akses bagi petugas admin dan supervisor

Sedang Jarang Sedang
Database Server: Data Loss or Corruption Record – Keamanan server dan kendali akses yang sudah lama digunakan

– Terdapatnya kelemahan sistem yang belum diperbaiki

Unauthorized Access: oleh pegawai internal dan pihak luar dalam perubahan bahkan penghilangan data pada mainframe dalam maksud untuk mengganggu bisnis HGA,

Hacker: pihak-pihak yang menyusup masuk ke dalam mainframe untuk merusak dan mengganggu jalannya bisnis HGA

Tinggi Tinggi Tinggi – Pengecekan data yang redudansi untuk memilih data yang tepat secara manual

– Menduplikasi data setiap malam oleh COG dan setiap petugas admin

– Penduplikasian data per tahun oleh HGA dan diarsipkan per 3 tahun secara online

– Terdapat program yang akan mengecek data kehadiran karyawan sebelum mencetak gaji

Sedang Jarang Sedang
Database Server, WAN: Transfer Time Sheet Payroll – Keterlambatan pemindahan keterangan antar divisi dalam pemindahan karyawan

– Proses administrasi yang masih manual

Redudansi atau duplikasi gaji karyawan yang dilakukan oleh kurang cepatnya pengurusan administrasi pemindahan pegawai dan kurangnya kewaspadaan pihak manajemen dalam pengawasan pemberkasan

Gaji yang tidak terbayarkan, kurangnya koordinasi antara pihak penggajian pada antar divisi

Tinggi Tinggi Tinggi – Pemeriksaan terhadap data karyawan oleh time and attendance clerk pada setiap divisi

– Pencetakan slip gaji atau transfer gaji secara elektonik kepada akun bank pegawai

– Pemeriksaan setiap gaji karyawan yang pindah tepat pada 1 minggu sebelum penggajian oleh Manajer penggajian

Sedang Sedang Sedang
Bangunan fisik HGA, Listrik, AC, Telepon –  Staff COG tidak perduli terhadap tanggung jawabnya.

–  Tidak adanya verifikasi dan tindak lanjut terhadap hasil uji contingency yang diadakan setiap tahun

–  Tidak adanya manajemen terhadap sumber daya Komputer dan sumber daya fisik (bangunan, telepon, dan fasilitas lain)

–  Seringnya renovasi terhadap bangunan fisik yang dapat menyebabkan gangguan pada arus listrik, AC di HGA

–  Pencurian perangkat keras

–  Bencana alam

Tinggi Sedang Tinggi –  Terdapat jalur LAN bantuan yang terdapat pada lantai, selain jalur LAN utama yang terdapat pada atap bangunan setiap lantai

–  COG memiliki 10 perangkat PC cadangan, beberapa server beserta disk drive server cadangan

Sedang Sedang Sedang
Perangkat Keras (PC, LAN, Server, Modem Pool, Console, printer dan router) dan Perangkat Lunak (aplikasi-aplikasi di HGA) –  Banyak pegawai yang menyimpan data mereka di harddisk lokal dan tidak melakukan backup terhadap data tersebut

–  Banyak pegawai yang tidak mengikuti prosedur terkait penggunaan anti virus

–  Staff COG tidak perduli terhadap tanggung jawabnya.

–  Tidak adanya manajemen terhadap sumber daya Komputer dan sumber daya fisik (bangunan, telepon, dan fasilitas lain)

–  Tidak adanya verifikasi dan tindak lanjut terhadap hasil uji contingency yang diadakan setiap tahun

–  Penyerangan dengan virus komputer

–  Mengganggu operasional sistem (aplikasi-aplikasi di HGA)

–  Virus komputer

–  Sabotase sistem

–  Pencurian data

–  Pencurian perangkat keras

–  Bencana alam

–  Ketidaksengajaan kehilangan data

–  Kesalahan konfigurasi dan penggunaan sistem

–  Penghapusan sistem input dan sistem akun

Tinggi Sering Tinggi –  Otoritas terhadap interkoneksi dengan sistem HGA melalui Manajer COG

–  Hanya administrator sistem yang disetujui oleh Manajer COG dalam memasang aplikasi yang berlisensi dan terdaftar dalam daftar yang disetujui oleh tim COG

–  Setiap bulan Administrator Sistem menjalankan program deteksi virus

–  HGA membuat kebijakan terhadap setiap karyawan untuk membuat backup data penting dengan menggunakan penyimpanan LAN ketimbang disimpan pada PC

Sedang Jarang Sedang

 


                                  

  1. REKOMENDASI

 

Aset Informasi Kerawanan terhadap Aset (Vulnerabilities) Strategi Mitigasi Rencana Kerja Target Penyelesaian
Informasi tentang kepegawaian dan aktifitas internal di HGA Dokumen kepegawaian tidak disimpan secara aman setelah jam kerja berakhir. Sedikit PC yang berisi tentang informasi kepegawaian dikunci secara rutin. Sedikit rutinitas mematikan PC dan banyak yang masih meninggalkan PC dalam keadaan login ke server LAN sepanjang malam. Kendalikan Risiko-Accept -Selain dilakukan training terkait keamanan informasi, dan terdapatnya peraturan terkait hal tersebut dimana sebagian telah ditandatangani ketika pegawai tersebut diterima juga diberikan sanksi yang sesuai bila ada pegawai yang tidak mematuhi peraturan keamanan informasi tersebut
– Mengeset PC supaya otomatis terkunci sendiri ketika beberapa menit tidak digunakan, dan hanya dapat dibuka dengan menggunakan user name dan password dari pengguna terakhir, atau dengan cara mematikan PC tersebut
– Membuat aplikasi yang dapat logout sendiri dari server LAN, bila beberapa menit tidak digunakan
-Dibuatnya aplikasi yang dapat melihat dan menyimpan semua log transaksi yang terjadi pada jaringan LAN, siapa saja yang login, waktu login, kegiatan apa saja yang dilakukan selama dia login
– Adanya pelevelan hak akses, jadi tidak semua dapat melihat semua data, masing-masing orang memiliki hak akses ke beberapa data terkait dengan pekerjaannya
Segera
Informasi tentang kepegawaian dan aktifitas internal di HGA Tidak dienkripsinya informasi yang dikirimkan atau diterima dari server ke client dan sebaliknya Kendalikan Risiko-Accept Dibuatnya aplikasi untuk enkripsi data. Segera
Informasi tentang kepegawaian dan aktifitas internal di HGA Database master pegawai HGA disimpan di mainframe sewaan. Kendalikan Risiko-Accept – Dibuat peraturan baru untuk tidak menyimpan informasi yang sifatnya sensitif di dalam server
-Dibuatnya aplikasi yang dapat melihat dan menyimpan semua log transaksi yang terjadi pada jaringan LAN, siapa saja yang login, waktu login, kegiatan apa saja yang dilakukan selama dia login
Segera
Informasi, data seluruh HGA Tidak ada jaminan keamanan terhadap kontrol akses ke dalam server, setiap pemilik e-mail bisa mengakses data dan file dalam server tersebut, kemudian mengirimkan rekaman file ke orang lain, merubah dan menghapus file tersebut. Kendalikan Risiko-Accept –    Memasang firewall, menutup semua port yang tidak perlu, memasang proxy server agar semua akses melalui proxy, dan melakukan update aplikasi terkait keamanan informasi seperti anti virus, dan lain-lain.

–    Selain itu perlu pembatasan hak akses user dan mematikan user guess.

–    Dilakukan  kegiatan security assessment tiap tahun untuk meningkatkan keamanan dan memperbaiki setiap kelemahan.

Segera
Informasi, data seluruh HGA Tidak ada kebijakan yang jelas tentang keamanan penggunaan password e-mail Kendalikan Risiko-Accept –    Untuk meningkatkan keamanan ditetapkan aturan password yang menggunakan modifikasi angka dan huruf dengan panjang minimal 8 karakter serta password diganti secara berkala. Segera
Informasi, data seluruh HGA WAN service provider terhubung dengan microwave station atau satelit sebagai titik pengulangan, sehingga informasi HGA seperti password dan email yang dikirim bisa didengar/diambil selama proses dial in. Kendalikan Risiko-Accept –   Secara teknis diperlukan implementasi enkripsi melakukan Data Encryption Standard (DES) Segera
Employee Payroll: Time Sheet Fraud – Pengisian data waktu kerja masih manual

– Terdapatnya kerawanan koordinasi pengawasan antara petugas administrasi dengan supervisor

Kendalikan Risiko-Accept Implementasi keamanan bagi supervisor dan petugas kehadiran dalam pengaksesan ke server dengan menggunakan token dan private key serta digital signature Tahun berikutnya
Database Server: False or fictional employee record – Time sheet yang dapat dimanipulasi secara manual

– Tingkat keamanan server/mainframe yang masih rendah

Kendalikan Risiko-Accept Upgrade aplikasi keamanan pada mainframe dengan menggunakan metode pengamanan yang lebih baik berdasarkan token pintar dalam membuat password sekali pakai atau dengan menggunakan public and private key cryptographic yang digabung dengan digital signature. Tahun berikutnya
Mainframe: Unauthorized Access employee time sheet record – Password akses ke mainframe dapat dengan mudah dicegah/halangi

– Pengguna menggunakan script untuk logon yang tersimpan di PC

Accept Dibuat sebuah modul untuk mencatat setiap transaksi yang terjadi pada sistem, baik oleh karyawan, petugas, supervisor ataupun administrator Tahun berikutnya
Database Server: Data Loss or Corruption Record – Keamanan server dan kendali akses yang sudah lama digunakan

– Terdapatnya kelemahan sistem yang belum diperbaiki

Accept – Dibuat sebuah mekanisme penguncian sebuah record jika record tersebut sedang diakses oleh petugas yang berbeda dan dapat dilakukan pengubahan setelah record tersebut telah tersimpan dan tersedia

– Backup data dilakukan secara rutin dan otomasi yang dilakukan per satuan waktu oleh sistem dan diletakkan pada media penyimpanan yang berbeda

– backup data juga dilakukan manual oleh COG untuk meminimalisasi SPOF dari sistem backup

Tahun berikutnya
Database Server, WAN: Transfer Time Sheet Payroll – Keterlambatan pemindahan keterangan antar divisi dalam pemindahan karyawan

– Proses administrasi yang masih manual

Accept Dengan mengimplementasi mekanisme keamanan digital signature milik HGA dan kebijakan dalam penanganan yang telah ada Segera
Bangunan fisik HGA, Listrik, AC, Telepon –  Staff COG tidak perduli terhadap tanggung jawabnya.

–  Tidak adanya verifikasi dan tindak lanjut terhadap hasil uji contingency yang diadakan setiap tahun

–  Tidak adanya manajemen terhadap sumber daya Komputer dan sumber daya fisik (bangunan, telepon, dan fasilitas lain)

Accept COG menyarankan mengadakan sebuah pelatihan dan kewaspadaan internal terhadap tanggung jawab aset selama 3 bulan dalam rencana kelanjutan operasi HGA Tahun berikutnya
Perangkat Keras (PC, LAN, Server, Modem Pool, Console, printer dan router) dan Perangkat Lunak (aplikasi-aplikasi di HGA) –  Banyak pegawai yang menyimpan data mereka di harddisk lokal dan tidak melakukan backup terhadap data tersebut

–  Banyak pegawai yang tidak mengikuti prosedur terkait penggunaan anti virus

–  Staff COG tidak perduli terhadap tanggung jawabnya.

–  Tidak adanya manajemen terhadap sumber daya Komputer dan sumber daya fisik (bangunan, telepon, dan fasilitas lain)

–  Tidak adanya verifikasi dan tindak lanjut terhadap hasil uji contingency yang diadakan setiap tahun

Accept Manajemen HGA menerapkan prosedur program pencegahan virus dan memasang aplikasi yang terotomasi dalam mengingatkan pengguna PC untuk backup data setiap perempat semester Segera

 4. REKOMENDASI MASA MENDATANG

Kebocoran Informasi:

Mengevaluasikebijakan terkait keamanan informasi setiap tahunnya, dan melakukan pembaharuan terkait kebijakan dan sanksi yang diberikan sesuai dengan kondisi terbaru dari perkembangan teknologi pada umumnya dan kondisi HGA sendiri pada khususnya.

Membuat jadwal sosialisasi terkait keamanan informasi tiap tahunnya, seperti seminar mengenai keamanan informasi, simulasi bila terjadi bencana, dan secara konsisten melaksanakannya.

Jaringan:

Melakukan pengecekan terhadap sistem terkait keamanan jaringan secara berkala dan terjadwal termasuk perangkat keras dan aplikasi-aplikasi yang terhubung langsung dengan jaringan. Melakukan kebijakan masa berlaku password secara berkala misalnya 6 bulan sekali untuk meningkatkan keamanan email dan user account.

Payroll Fraud:

Untuk mengurangi kesalahan dalam pengisian waktu kerja oleh pegawai dengan cara menerapkan sebuah mekanisme absensi pegawai yang secara otomasi dan terintegrasi dengan database waktu kerja pegawai dan setiap akhir hari kerja harus divalidasi oleh atasannya, sehingga dapat meminimalisir kesalahan pengisian. Selain waktu kerja, mekanisme absensi tersebut merupakan aplikasi yang tersedia pada LAN atau berbasiskan web, hal ini dikarenakan untuk mendaftarkan pegawai yang tidak masuk karena sakit atau berlibur melalui petugas kehadiran dan divalidasi oleh atasannya.

Dalam mekanisme keamanan pada server, dapat tetap menggunakan mekanisme token, public and private key dengan digital signature yang dilengkapi oleh kriptografi yang terkini.

Payroll Error:              

Dengan menerapkan keamanan Token dan Digital Signature milik HGA cukup dalam menangani tingkat keamanan dalam jaringan WAN, dan dibutuhkan sebuah mekanisme basis data yang terdistribusi dalam pengecekan dan transfer data secara efisien dan efektif.

Operational:               

Penerapan prosedur pencegahan virus, yaitu dengan memasang aplikasi anti-virus dan pengecekan per-bulan oleh Administrator Sistem, ada baiknya ada kebijakan yang mengatur setiap karyawan untuk lebih waspada terhadap bahaya virus yang melalui perangkat penyimpanan fisik portabel dan langkah-langkah pencegahan dalam pengecekan perminggu atau perhari pada perangkat PC mereka.

Penerapan aplikasi pengingat untuk backup data bagi karyawan sudah cukup, tapi alangkah baiknya jika diterapkan adanya sebuah kebijakan backup data yang penting dan sangsi bagi karyawan yang terbukti tidak melakukan backup.

 5. LESSON LEARN

  • Perlunya rasa memiliki terhadap aset organisasi kita, sehingga akan memacu rasa untuk menjaga keamanan seluruh aset yang dimiliki.
  • Perlunya untuk membuat kebijakan yang jelas dan menerapkan sanksi yang tegas terkait menjaga keamanan informasi
  • Perlunya dilakukan sosialisasi secara berkala kepada seluruh pegawai di organisasi kita terkait keamanan informasi
  • Perlunya dukungan manajemen dan seluruh pegawai demi suksesnya keamanan informasi di organisasi kita
  • Perlunya manajemen terhadap pengelolaan aset-aset yang dimiliki baik yang sifatnya sistem (perangkat lunak dan perangkat keras) maupun yang bukan sistem (bangunan, listrik, telepon, AC)
  • Perlunya melakukan perlindungan terhadap data, baik ketika pengiriman data (dengan melakukan enkripsi terhadap data yang dikirim) maupun data yang tersimpan (dengan melakukan backup data secara teratur untuk menghindari kemungkinan hilangnya data).

 

Categories: Blogosphere
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: