Perlunya Manajemen Kontrol Keamanan Pada Sistem
Keamanan Sebuah Sistem
Keamanan sebuah Sistem mengacu pada perlindungan terhadap semua sumber
daya informasi perusahaan dari ancaman oleh pihak-pihak yang tidak
berwenang.
Keamanan seperti ini mempunyai 3 maksud utama , yaitu :
1. Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari sistem fisik yang diwakilinya.
2. Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya.
3. Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari orang-orang yang tidak berhak.
PROPERTI SISTEM INFORMASI YANG MEMBERIKAN KEAMANAN ISI DATA DAN INFORMASI
1. Integritas Fungsional
Kemampuan untuk melanjutkan operasi jika salah satu / lebih komponen tidak berfungsi
2. Audibilitas (Kemampuan dapat terdengar)
Mudah untuk diperiksa, diverifikasi atau didemonstrasikan penampilannya
berarti harus lulus dalam pengujian Accountability & Visibility
3. Daya kontrol
Penghambatan pengaruh terhadap sistem yaitu dengan membagi system menjadi subsistem yang menangani transaksi secara terpisah
TUGAS KONTROL CBIS
Mencakup semua fase siklus hidup, selama siklus hidup dibagi menjadi
kontrol-kontrol yang berhubungan dengan pengembangan sistem, desain dan
operasi.
Metode Untuk Mendapatkan dan Memelihara Kontrol CBIS
1. Manajemen dapat melakukan kontrol langsung
2. Manajemen mengontrol CBIS secara tidak langsung dengan terus menerus melalui
CIO.
3. Manajemen mengontrol CBIS secara tidak langsung berkenaan dengan proyeknya
melalui pihak ketiga
Untuk entitas yang paling kecil, informasi dan teknologi terkait
manajemen kepatuhan sangat penting untuk kelangsungan hidup serta
keberhasilan. Seperti dengan program organisasi lainnya, kepatuhan
keamanan tidak terjadi melalui transmisi niat manajerial dari sebuah
planet terpencil di galaksi yang jauh-jauh. Biasanya, pengawasan komite
entitas dan manajemen bawahan secara berkala mengevaluasi efektivitas
perlindungan aset informasi (IAP) respon program untuk rekomendasi,
kontrol dan pemantauan kegiatan serta kemampuan untuk mencegah atau
mendeteksi tindakan tidak teratur dan ilegal. Akibatnya, manajer
keamanan informasi harus terus-menerus berusaha untuk meningkatkan
kontrol IAP.
Manajemen perlu memahami status TI entitas sistem untuk memutuskan
apa mekanisme pengamanan harus dikerahkan untuk memenuhi kebutuhan
bisnis. Ketika pemantauan IAP akan dibangun ke dalam aktivitas operasi
entitas, dan kinerja proses ditinjau secara real-time; degradasi kontrol
dengan mudah dapat dipastikan untuk perbaikan cepat. Karakteristik,
kegiatan pemantauan produktif dinamis beradaptasi dengan faktor-faktor
lingkungan dengan setiap penilaian kontrol yang dilakukan sesuai dengan
rencana yang berwenang mencerminkan jenis evaluasi, tingkat jaminan, dan
klasifikasi informasi.
Memantau dan mengevaluasi kondisi saat ini kontrol diimplementasikan
dapat mengambil berbagai bentuk, termasuk penilaian kontrol diri dan IT
audit. Selanjutnya, auditor TI tidak mungkin individu yang menjalankan
keamanan informasi suatu entitas pengendalian internal review (ICR).
Namun, auditor TI selanjutnya dapat menilai sebuah ICR untuk efektivitas
dan / atau efisiensi. Dalam arena regulasi, sebuah temuan negatif,
ditambah dengan tindakan korektif yang cepat dapat mengurangi hukuman
penegakan perdata dan pidana, sehingga berpotensi mengurangi atau
menghindari risiko hukum.
Manajer keamanan informasi harus mempersiapkan untuk audit
memanfaatkan penilaian kontrol diri untuk memverifikasi kepatuhan
terhadap hukum, peraturan, kebijakan dan prosedur. Itu selalu ide suara
untuk strategis merencanakan penilaian kontrol diri tahunan.
Menguntungkan, pengujian keamanan informasi praktik membantu dalam
mengevaluasi proses yang dirancang dan memvalidasi kontrol dikerahkan
berfungsi sebagaimana dimaksud. Mengikuti pendekatan siklik untuk
mengendalikan penilaian diri tidak dapat menjamin laporan audit bersih.
Ini akan, bagaimanapun, membantu dalam memastikan departemen keamanan
adalah penjelasan tentang harapan pemerintahan.
Ada beberapa peristiwa tradisional yang terjadi setahun sekali,
beberapa dianggap ceria, sementara yang lain dianggap mengerikan.
Mengenai audit TI, mencerahkan manajer keamanan pendekatan proses
jaminan sebagai penilaian periodik cara bisnis dilakukan sepanjang tahun
yang memungkinkan memperoleh pandangan asing dari keadaan saat ini
kontrol IAP dari profesional yang berpengetahuan luas. Manajer IAP yang
biasanya mengalami kesulitan selama audit adalah mereka yang mengadopsi
postur permusuhan. IT auditor tidak badai polisi dikirim untuk
membongkar efisiensi departemen, dan keamanan manajer yang membangun
firewall komunikasi dan ‘honeypots’ didasarkan pada premis ancaman
organisasi telah salah menafsirkan TI yang diterima secara umum tujuan
audit.
Diperdebatkan, keamanan data adalah domain yang paling signifikan
mendukung keandalan informasi. Entitas komite pengawas harus memantau
aktivitas kontrol untuk on-akan relevansi dan efektivitas serta
tanggapan terhadap rekomendasi keamanan informasi. Jika sistem terinstal
adalah kurang dilindungi, data tidak dapat diproses dengan benar. TI
entitas karyawan perlu untuk membawa pemahaman dasar kebutuhan
operasional dan keamanan untuk tugas masing-masing profesional untuk
menjamin kerahasiaan berkelanjutan, integritas, dan ketersediaan yang
dicapai melalui pertimbangan yang tepat dari hasil penilaian kontrol.