Senin, 14 November 2011

Perlunya Manajemen Kontrol Keamanan Pada Sistem

Keamanan Sebuah Sistem
Keamanan sebuah Sistem mengacu pada perlindungan terhadap semua sumber daya informasi perusahaan dari ancaman oleh pihak-pihak yang tidak berwenang.

Keamanan seperti ini mempunyai 3 maksud utama , yaitu :

1. Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari sistem fisik yang diwakilinya.

2. Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya.

3. Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari orang-orang yang tidak berhak.

PROPERTI SISTEM INFORMASI YANG MEMBERIKAN KEAMANAN ISI DATA DAN INFORMASI
1. Integritas Fungsional
Kemampuan untuk melanjutkan operasi jika salah satu / lebih komponen tidak berfungsi

2. Audibilitas (Kemampuan dapat terdengar)
Mudah untuk diperiksa, diverifikasi atau didemonstrasikan penampilannya berarti harus lulus dalam pengujian Accountability & Visibility

3. Daya kontrol
Penghambatan pengaruh terhadap sistem yaitu dengan membagi system menjadi subsistem yang menangani transaksi secara terpisah

TUGAS KONTROL CBIS
Mencakup semua fase siklus hidup, selama siklus hidup dibagi menjadi kontrol-kontrol yang berhubungan dengan pengembangan sistem, desain dan operasi.
Metode Untuk Mendapatkan dan Memelihara Kontrol CBIS
1. Manajemen dapat melakukan kontrol langsung
2. Manajemen mengontrol CBIS secara tidak langsung dengan terus menerus melalui
CIO.
3. Manajemen mengontrol CBIS secara tidak langsung berkenaan dengan proyeknya
melalui pihak ketiga

Untuk entitas yang paling kecil, informasi dan teknologi terkait manajemen kepatuhan sangat penting untuk kelangsungan hidup serta keberhasilan. Seperti dengan program organisasi lainnya, kepatuhan keamanan tidak terjadi melalui transmisi niat manajerial dari sebuah planet terpencil di galaksi yang jauh-jauh. Biasanya, pengawasan komite entitas dan manajemen bawahan secara berkala mengevaluasi efektivitas perlindungan aset informasi (IAP) respon program untuk rekomendasi, kontrol dan pemantauan kegiatan serta kemampuan untuk mencegah atau mendeteksi tindakan tidak teratur dan ilegal. Akibatnya, manajer keamanan informasi harus terus-menerus berusaha untuk meningkatkan kontrol IAP.

Manajemen perlu memahami status TI entitas sistem untuk memutuskan apa mekanisme pengamanan harus dikerahkan untuk memenuhi kebutuhan bisnis. Ketika pemantauan IAP akan dibangun ke dalam aktivitas operasi entitas, dan kinerja proses ditinjau secara real-time; degradasi kontrol dengan mudah dapat dipastikan untuk perbaikan cepat. Karakteristik, kegiatan pemantauan produktif dinamis beradaptasi dengan faktor-faktor lingkungan dengan setiap penilaian kontrol yang dilakukan sesuai dengan rencana yang berwenang mencerminkan jenis evaluasi, tingkat jaminan, dan klasifikasi informasi.

Memantau dan mengevaluasi kondisi saat ini kontrol diimplementasikan dapat mengambil berbagai bentuk, termasuk penilaian kontrol diri dan IT audit. Selanjutnya, auditor TI tidak mungkin individu yang menjalankan keamanan informasi suatu entitas pengendalian internal review (ICR). Namun, auditor TI selanjutnya dapat menilai sebuah ICR untuk efektivitas dan / atau efisiensi. Dalam arena regulasi, sebuah temuan negatif, ditambah dengan tindakan korektif yang cepat dapat mengurangi hukuman penegakan perdata dan pidana, sehingga berpotensi mengurangi atau menghindari risiko hukum.

Manajer keamanan informasi harus mempersiapkan untuk audit memanfaatkan penilaian kontrol diri untuk memverifikasi kepatuhan terhadap hukum, peraturan, kebijakan dan prosedur. Itu selalu ide suara untuk strategis merencanakan penilaian kontrol diri tahunan. Menguntungkan, pengujian keamanan informasi praktik membantu dalam mengevaluasi proses yang dirancang dan memvalidasi kontrol dikerahkan berfungsi sebagaimana dimaksud. Mengikuti pendekatan siklik untuk mengendalikan penilaian diri tidak dapat menjamin laporan audit bersih. Ini akan, bagaimanapun, membantu dalam memastikan departemen keamanan adalah penjelasan tentang harapan pemerintahan.

Ada beberapa peristiwa tradisional yang terjadi setahun sekali, beberapa dianggap ceria, sementara yang lain dianggap mengerikan. Mengenai audit TI, mencerahkan manajer keamanan pendekatan proses jaminan sebagai penilaian periodik cara bisnis dilakukan sepanjang tahun yang memungkinkan memperoleh pandangan asing dari keadaan saat ini kontrol IAP dari profesional yang berpengetahuan luas. Manajer IAP yang biasanya mengalami kesulitan selama audit adalah mereka yang mengadopsi postur permusuhan. IT auditor tidak badai polisi dikirim untuk membongkar efisiensi departemen, dan keamanan manajer yang membangun firewall komunikasi dan 'honeypots' didasarkan pada premis ancaman organisasi telah salah menafsirkan TI yang diterima secara umum tujuan audit.

Diperdebatkan, keamanan data adalah domain yang paling signifikan mendukung keandalan informasi. Entitas komite pengawas harus memantau aktivitas kontrol untuk on-akan relevansi dan efektivitas serta tanggapan terhadap rekomendasi keamanan informasi. Jika sistem terinstal adalah kurang dilindungi, data tidak dapat diproses dengan benar. TI entitas karyawan perlu untuk membawa pemahaman dasar kebutuhan operasional dan keamanan untuk tugas masing-masing profesional untuk menjamin kerahasiaan berkelanjutan, integritas, dan ketersediaan yang dicapai melalui pertimbangan yang tepat dari hasil penilaian kontrol.

Tidak ada komentar:

Posting Komentar