Semua yang memilik jaringan komputer pasti punya masalah atas keamanan jaringan mereka. Oleh karena itulah semua hal yang berkaitan dengan mengatasi semua potensi yang membahayakan jaringan perlu untuk disiapkan dan dilakukan. Langkah awal untuk upaya tersebut adalah dengan menerapkan kebijakan keamanan jaringan (Network Security Policy). Kebijakan keamanan jaringan adalah dokumen yang berisi aturan-aturan untuk mengakses jaringan komputer, menentukan bagaimana kebijakan ditegakkan dan menjabarkan beberapa arsitektur dasar atas keamanan jaringan(lingkungan keamanan jaringan)
Kebijakan / dokumen ini bisa dibuat oleh struktur tertinggi level dalam perusahaan/organisasi atau dibuat oleh komite yang sengaja dibentuk untuk merumuskan dan menuliskan kebijakan keamanan jaringan apa saja yang akan diterapkan dalam organisasi/perusahaan. Kebijakan yang dibuat tentunya bukan hanya untuk “mengusir orang jahat keluar” namun lebih dari itu, berisi aturan mengakses data, kebiasaan web browsing, penggunaan password, lampiran email dan lain-lain. Dokumen ini haruslah merinci aturan-aturan untuk individu dan kelompok di seluruh perusahaan/organisasi.
Kebijakan Keamanan
Target dari keamanan jaringan adalah mengamankan aset perusahaan/organisasi. Aset adalah barang baik fisik atau non fisik yang dimiliki oleh perusahaan yang berharga dimana perlu dijaga keamanannya. Seringkali kehilangan aset berarti gagalnya bisnis atau gagalnya mewujudkan misi perusahaan/organisasi. Aset dalam jangkauan luas, termasuk database penting, aplikasi penting, informasi pekerja dan pelanggan perusahaan yang penting, informasi komersial rahasia, drive yang dishare, server email, dan server web.
Sebuah kebijakan keamanan terdiri dari serangkaian tujuan bagi perusahaan, aturan perilaku bagi pengguna dan administrator, dan persyaratan untuk sistem dan manajemen yang secara kolektif menjamin keamanan jaringan dan sistem komputer dalam suatu organisasi. Sebuah kebijakan keamanan adalah "dokumen hidup," yang berarti bahwa dokumen tersebut tidak pernah selesai dan terus diperbarui teknologi dan karyawan perubahan persyaratan.
Kebijakan keamanan menerjemahkan, menjelaskan, dan mengkomunikasikan posisi manajemen keamanan sebagaimana didefinisikan dalam prinsip-prinsip keamanan tingkat tinggi. Kebijakan keamanan bertindak sebagai jembatan antara tujuan manajemen dan persyaratan keamanan tertentu. Ini menginformasikan pengguna, staf, dan manajer dari persyaratan wajib mereka untuk melindungi teknologi dan informasi aset. Ini harus menentukan mekanisme yang Anda butuhkan untuk memenuhi persyaratan ini. Hal ini juga menyediakan dasar dari yang untuk memperoleh, mengkonfigurasi, dan sistem komputer audit dan jaringan untuk memenuhi kebijakan keamanan. Oleh karena itu, upaya untuk menggunakan satu set alat keamanan dengan tidak adanya setidaknya kebijakan keamanan tersirat ada artinya.
Tiga alasan untuk membuat kebijakan keamanan, yaitu :- Untuk menginformasikan pengguna, staf, dan manajer
- Untuk menentukan mekanisme keamanan
- Untuk menyediakan data dasar
Salah satu komponen kebijakan keamanan yang paling umum adalah kebijakan penggunaan yang diterima (AUP). Komponen ini mendefinisikan apa diperbolehkan dan tidak diperbolehkan bagi pengguna untuk mengerjakan sesuatu pada berbagi komponen di sistem, termasuk jenis lalu lintas yang diizinkan pada jaringan. AUP harus seeksplisit mungkin menghindari ambiguitas atau kesalahpahaman. Sebagai contoh, sebuah AUP bisa berisi daftar kategori website yang dilarang.
Kebijakan keamanan jaringan sebaiknya melakukan hal-hal berikut ini :- Melindungi orang dan informasi.
- Menetapkan aturan untuk perilaku yang diharapkan.
- Mengijinkan staff untuk memonitor, menyelidiki dan menginvestigasi.
- Menyebutkan konsekuensi atas pelanggaran
Audiens kebijakan keamanan adalah orang yang mungkin saja mempunyai akses ke jaringan anda , termasuk pekerja, kontraktor, suplier dan pelanggan. Meski demikian, kebijakan keamanan harus memperlakukan tiap grup ini secara berbeda.
Audiens menentukan isi dari kebijakan tersebut. Sebagai contoh, Anda mungkin tidak perlu menyertakan deskripsi mengapa sesuatu diperlukan dalam kebijakan yang ditujukan untuk staf teknis. Anda dapat mengasumsikan bahwa staf teknis sudah tahu mengapa persyaratan tersebut disertakan. Manajer juga tidak mungkin tertarik pada aspek teknis mengapa persyaratan tertentu diperlukan. Namun, mereka mungkin menginginkan rekapitulasi tingkat tinggi atau prinsip-prinsip yang mendukung persyaratan. Ketika pengguna akhir tahu mengapa kontrol keamanan tertentu telah dimasukkan, mereka lebih cenderung untuk mematuhi kebijakan.
Dalam kebijakan tersebut, pengguna dapat digolongkan menjadi dua audiens:- Internal audience (Manajer dan eksekuti, Departemen dan unit bisnis, Staf teknik, pengguna terakhir)
- External audience (mitra, pelanggan, pemasok, konsultan dan kontraktor)
Komponen Kebijakan Keamanan
Gambar dibawah ini menunjukkan hirarki struktur kebijakan perusahaan yang bertujuan memenuhi kebutuhan semua audiens dengan efektif.
Kebanyakan perusahaan harus menggunakan dokumen keamanan yang sesuai untuk mempertemukan kebutuhan mereka yang bervariasi dan luas.
- Kebijakan penguasa: Kebijakan ini adalah treatment konsep keamanan tingkat tinggi yang penting bagi perusahaan. Manajer dan pengawas teknis adalah audiens yang dimaksud. Kebijakan penguasa mengontrol semua interaksi keamanan yang terhubung antara unit bisnis dan departemen yang mendukung dalam perusahaan. Dalam hal detail, kebijakan penguasa menjawab pertanyaan “apa” kebijakan keamanan.
- Kebijakan pengguna terakhir: Dokumen ini mencakup semua topik keamanan penting pada pengguna terakhir. Dalam hal level detail, kebijakan pengguna terakhir menjawap, apa, siapa, kapan dan dimana pertanyaan kebijakan keamanan atas level yang sesuai bagi pengguna terakhir.
- Kebijakan Teknis: Anggota staff keamanan menggunakan kebijakan teknis sebagai tanggung jawab keamanan mereka untuk sistem. Kebijakan-kebijakan ini lebih detil daripada kebijakan penguasa dan memuat sistem maupun masalah khusus (contohnya, akses kontrol atau masalah keamanan fisik). Dalam hal detil, kebijakan teknis menjawab pertanyaan apa, siapa, kapan dan dimana atas kebijakan keamanan. Pertanyaan mengapa mengacu pada pemilik informasi.
Kebijakan penguasa menguraikan konsep keamanan perusahaan yang penting bagi manajer dan pengawas teknis :
Mengatur semua keamanan yang terhubung dengan interaksi diantara unit bisnis dan departemen pendukung dalam perusahaan.
Mengatur secara erat tidak hanya keberadaan kebijakan perusahaan dengan kebijakan sumber daya manusia, tapi juga kebijakan-kebijakan yang lain yang menyebutkan gejala keamanan yang berhubungan, seperti gejalan yang berkaitan dengan email, penggunaankomputer atau subyek IT yang berhubungan.
Ditempatkan pada level yang sama dengan semua kebijakan perusahaan secara luas.Mendukung kebijakan teknis dan pengguna terakhir.
termasuk komponen kunci berikut ini :
- Pernyataan gejala yang kebijakan alamatkan.
- Pernyataan tentang posisi sebagai manajer IT dalam kebijakan.
- Bagaimana kebijakan diterapkan dalam lingkungan kerja.
- Peran dan tanggung jawab semua yang terdampak kebijakan.
- Setaat apa sebuah kebijakan diperlukan.
- Kegiatan, aktivitas dan proses apa yang diijinkan dan mana yang tidak.
- Konsekuensi apa yang didapat jika tidak mentaati kebijakan.
Kebijakan pengguna terakhir
Kebijakan pengguna terakhir dimasukkan dalam dokumen kebijakan tunggal yang memuat semua topik sehubungan dengan kebijakan informasi yang harus diketahui, dipatuhi dan dilaksanakan oleh pengguna terakhir. Kebijakan ini mungkin tumpang tindih dengan kebijakan teknis dan berada pada tingkatan yang sama dengan kebijakan teknis. Menggabungkan semua kebijakan pengguna terakhir berarti pengguna harus pergi ke hanya satu tempat dan membaca satu dokumen untuk mempelajari semua yang perlu dilakukan untuk memastikan kepatuhan terhadap kebijakan keamanan perusahaan.
Kebijakan Teknis
Anggota staf keamanan menggunakan kebijakan teknis dalam melakukan tanggung jawab keamanan sehari-hari mereka. Kebijakan-kebijakan ini lebih rinci dibandingkan dengan kebijakan penguasa dan sistem atau gejala tertentu (misalnya, masalah keamanan router atau masalah keamanan fisik). Kebijakan ini pada dasarnya buku pegangan keamanan yang menggambarkan apa yang dilakukan staf keamanan tetapi bukan bagaimana staf keamanan melakukan fungsinya
Berikut ini adalah kategori kebijakan khas untuk kebijakan teknis:
- Kebijakan umum
- Acceptable use policy (AUP):Kebijakan penggunaan yang diterima (UAP) : Menjelaskan penggunaan peralatan dan layanan komputer yang diperbolehkan, dan ukuran keamanan yang layak yang harus dilakukan pekerja untuk melindungi sumber daya perusaan dan informasi hak milik.
- Kebijakan permintaan akses akun: Memperbolehkan akun dan proses permintaan akses dalam organisasi. Pengguna dan adiminstrator sistem yang memotong proses standar untuk akun dan permintaan akses dapat menyebabkan tindakan hukum terhadap organisasi.
- Kebijakan penilaian akuisisi : menyebutkan tanggungjawab anggapan akuisisi perusahaan dan menjelaskan persyaratan minimal yang harus dipenuhi oleh kelompok keamanan informasi untuk penilaian akuisisi.
- Kebijakan audit : digunakan untuk mengatur audit dan penilaian resiko untuk memastikan keaslian informasi dan sumber daya, menginvestigasi insiden, memastikan kesesuaian dengankebijakan keamanan, atau memonitor pengguna dan aktifitas sistem yang wajar.
- Kebijakan sensitivitas informasi : menjabarkan persyaratan untuk mengklasifikasikan dan mengamankan informasi dalam metode yang layak untuk level sensitivitasnya.
- Kebijakan password : menjabarkan standar untuk berkreasi, melindungi dan merubah password yang kuat.
- Kebijakan penilaian resiko : menjabarkan permintaan dan layanan autoritas tim keamanan informasi untuk mengidentifikasi, menilai dan memediasi ulang resiko pada infrastruktur informasi yang berhubungan dengan pengaturan bisnis.
- Kebijakan server web global : menjabarkan standar yang dibutuhkan host semua web.
- Kebijakan email.
- Kebijakan email yang diteruskan secara otomatis : mendokumentasikan kebijakan larangan meneruskan email secara otomatis ke tujuan luar tanpa persetujuan sebelumnya dari manajer yang layak atau direktur.
- Kebijakan email : menjabarkan standar untuk melindungi gambaran kusam organisasi.
- Kebijakan spam : (acceptoble use policy) AUP yang melindungi spam.
- Kebijakan akses remote
- Kebijakan akses dial-in : menjabarkan akses dial-in yang layak dan penggunaannya oleh personel yang diautorisasi (diberi ijin)
- Kebijakan akses remote : menjabarkan standar untuk terhubung ke jaringan organisasi dari berbagai host atau jaringan eksternal ke organisasi.
- Kebijakan keamanan VPN : menjabarkan persyaratan untuk mengakses remote Ipsec atau koneksi layer 2 tunneling protocol (L2TP) VPN ke jaringan organisasi.
- Kebijakan telefon dan perangkat personal
- Kebijakan jalur analog dan ISDN : menjabarkan standar untuk menggunakan jalur analof dan ISDN untuk mengirimkan dan menerima fax dan untuk terhubung ke komputer.
- Kebijakan perangkat komunikasi personal : menjabarkan persyaratan keamanan informasi untuk perangkat komunikasi personal, seperti voicemail, smartphone, tablet dan lainnya.
- Kebijakan aplikasi.
- Kebijakan enkripsi yang diterima : menjabarkan persyaratan untuk algoritma enkripsi yang digunakan dalam organisasi.
- Kebijakan provider layanan aplikasi (ASP) : menjabarkan kriteria keamanan minimal yang harus dieksekusi ASP sebelum organisasi menggunakan layanan ASP dalam suatu proyek.
- Kebijakan koding kredensial Database : menjabarkan persyaratan untuk menyimpan secara aman dan memperoleh kembali username database dan password.
- Kebijakan komunikasi interproses : menjabarkan persyaratan keamanan yang dua atau lebih proses harus bertemu ketika mereka saling berkomunikasi menggunakan socket jaringan atau soket sistem operasi.
- Kebijakan keamanan proyek : menjabarkan persyaratan untuk manajer proyek untuk mereview semua proyek untuk persyaratan keamanan yang memungkinkan.
- Kebijakan perlindungan source code : menetapkan persyaratan keamanan informasi minimal untuk mengelola produk source code.
- Kebijakan jaringan
- Kebijakan ekstranet : menjabarkan persyaratan organisasi pihak ketiga yang membutuhkan akses ke jaringan organisasi harus menandatangani persetujuan koneksi pihak ketiga.
- Kebijakan persyaratan minimal untuk mengakses jaringan : menjabarkan standar dan persyaratan untuk semua perangkat yang membutuhkan konektivitas ke jaringan internal.
- Standar akses jaringan : menjabarkan standar akses port fisik aman untuk semua kabel dan nirkabel port data jaringan.
- Kebijakan keamanan router dan switch : menjabarkan standar konfigurasi keamanan minimal untuk router dan switch didalam jaringan produksi keamanan atau digunakan dalam kapasitas produksi.
- Kebijakan keamanan server : menjabarkan standar konfigurasi keamanan minimal untuk server yang berada di dalam jaringan produksi perusahaan atau yang digunakan dalam kapasitas produksi.
- Kebijakan komunikasi wireless : menjabarkan standar sistem wireless yang digunakan untuk terhubung ke jaringan organisasi.
- Kebijakan retensi dokumen : menjabarkan review sistematika minimal, retensi dan destruksi dokumen yang diterima atau dibuat selama proyek bisnis. Kategori kebijakan retensi ada diantaranya.
- Kebijakan retensi komunikasi elektronik : menjabarkan standar retensi email dan pesan instan.
- Kebijakan retensi finansial : menjabarkan standar retensi pernyataan bang, laporan tahunan, catatan pembayaran, akun yang dapat dibayar dan diterima, dan lain-lain.
- Kebijakan rentensi rekaman pekerja : menjabarkan standar rekaman rentensi personal pekerja.
- Kebijakan rentensi rekaman operasi : menjabarkan standar rentensi informasi inventori yang lalu, panduan training, daftar pemasok, dan lainnya.
Standar
Standar untuk membuat staff IT konsisten. Mereka merinci penggunaan teknologi tertentu sehingga anggota staf IT dapat mempersempit fokus keahlian mereka pada teknologi tersebut sebagai ganti upaya untuk mengetahui segala hal tentang semua jenis teknologi. Standar juga berupaya menyediakan konsistensi di jaringan, karena mendukung berbagai versi hardware dan software adalah tidak beralasan kecuali jika diperlukan. Organisasi IT yang paling sukse mempunyai standar untuk mengembangkan efisiensi dan menjaga sesuatu sebisa mungkin.
Standarisasi juga diterapkan dalam jaringan. Salah satu prinsip keamanan yang paling penting adalah konsistensi. Jika anda mensuport 100 router, adalah penting bagi anda mengkonfigurasi 100 router sebisa mungkin sama. Jika anda tidak melakukannya, sulit untuk memelihara keamanan. Jika anda tidak mengupayakan solusi paling sederhana, anda akan selalu gagal untuk aman.
Pedoman
Pedoman membantu menyediakan daftar anjuran tentang bagaimana anda dapat melakukan sesuatu lebih baik. Panduan sama dengan standar, tetapi lebih fleksibel dan tidak selalu wajib. Anda akan menemukan beberapa pedoman terbaik yang tersedia di dalam repositori yang dikenal sebagai “ latihan terbaik”. Berikut ini adalah daftar petunjuk yang tersedia secara luas :
Standar untuk membuat staff IT konsisten. Mereka merinci penggunaan teknologi tertentu sehingga anggota staf IT dapat mempersempit fokus keahlian mereka pada teknologi tersebut sebagai ganti upaya untuk mengetahui segala hal tentang semua jenis teknologi. Standar juga berupaya menyediakan konsistensi di jaringan, karena mendukung berbagai versi hardware dan software adalah tidak beralasan kecuali jika diperlukan. Organisasi IT yang paling sukse mempunyai standar untuk mengembangkan efisiensi dan menjaga sesuatu sebisa mungkin.
Standarisasi juga diterapkan dalam jaringan. Salah satu prinsip keamanan yang paling penting adalah konsistensi. Jika anda mensuport 100 router, adalah penting bagi anda mengkonfigurasi 100 router sebisa mungkin sama. Jika anda tidak melakukannya, sulit untuk memelihara keamanan. Jika anda tidak mengupayakan solusi paling sederhana, anda akan selalu gagal untuk aman.
Pedoman
Pedoman membantu menyediakan daftar anjuran tentang bagaimana anda dapat melakukan sesuatu lebih baik. Panduan sama dengan standar, tetapi lebih fleksibel dan tidak selalu wajib. Anda akan menemukan beberapa pedoman terbaik yang tersedia di dalam repositori yang dikenal sebagai “ latihan terbaik”. Berikut ini adalah daftar petunjuk yang tersedia secara luas :
- National Institute of Standards and Technology (NIST) Computer Security Resource Center; http://csrc.nist.gov/
- National Security Agency (NSA) Security Configuration Guides; http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/index.shtml
- The Common Criteria for Information Technology Security Evaluation; http://www.commoncriteriaportal.org/
- Defense Information Systems Agency (DISA) Field Security Operations Office – Security Technical Information Guides (STIG); http://iase.disa.mil/stigs/
Prosedur
Dokumen prosedur lebih panjang dan lebih detail daripada dokumen standar dan pedoman. Dokumen prosedur memasukkan detil penerapan, selalu dengan instruksi langkah demi langkah dan grafis. Dokumen prosedur sangan penting untuk organisasi yang besar agar mereka dapat memperoleh konsistensi penempatan yang diperlukan untuk mendapat lingkungan yang aman. Ketidak konsistenan adalah musuh bagi keamanan.
Dokumen prosedur lebih panjang dan lebih detail daripada dokumen standar dan pedoman. Dokumen prosedur memasukkan detil penerapan, selalu dengan instruksi langkah demi langkah dan grafis. Dokumen prosedur sangan penting untuk organisasi yang besar agar mereka dapat memperoleh konsistensi penempatan yang diperlukan untuk mendapat lingkungan yang aman. Ketidak konsistenan adalah musuh bagi keamanan.
Peran kebijakan keamanan dan tanggung jawab.
Dalam sebuah organisasi ada manajer senior, seperti CEO, yang selalu bertanggung jawab secara mutlak atas segalanya. Biasanya, manajemen senior hanya mengawasi pengembangan kebijakan keamanan. Kreasi dan pengelolaan kebijakan keamanan selalu dilimpahkan pada orang dalam jangkauan IT atau operasi keamanan.
Kadang keamanan senior atau personel manajemen IT, seperti kepala petugas keamanan (CSO) kepala petugas informasi, atau kepala petugas keamanan informasi, akan memperoleh keahlian membuat kebijakan, kadang mereka akan melimpahkannya, kadang sedikit dengan kedua strategi tersebut. Namun personel keamanan senior selalu terlibat secara mendalam dalam pengembangan dan pengelolaan kebijakan keamanan. Pedoman dapat menyediakan framework untuk kebijakan pembuat keputusan.
Staf keamanan senior seringkali berkonsultasi untuk mendapatkan masukan pada proyek kebijakan yang diajukan. Mereka mungkin pernah bertanggungjawab untuk mengembangkan dan mengelola bagian dari kebijakan. Lebih disukai jika staff senior akan bertanggung jawab mengembangkan standar dan prosedur.
Orang lain yang terdampak kebijakan keamanan bertugas untuk mentaatinya. Beberapa pernyataan kebijakan termasuk bahasa yang mengacu pada potensi kehilangan pekerjaan jika melanggar kebijakan. Staff IT dan pengguna akhir sama-sama bertanggung jawab mengetahui kebijakan dan mengikutinya.
Kesadaran keamanan
Pengendalian teknis, administratif, dan fisik semua dapat dikalahkan tanpa partisipasi dari komunitas pengguna terakhir. Untuk membuat akuntan, asisten administrasi, dan pengguna terakhir lainnya memikirkan keamanan informasi, anda harus mengingatkan mereka tentang keamanan secara berkala. Staf teknis juga perlu diingatkan secara berkala karena pekerjaan mereka cenderung untuk mementingkan tampilan, seperti memperkenalkan teknologi baru, meningkatkan throughput, dan semisalnya, lebih daripada tempilan keamanan, seperti bagaimana mereka menangkis serangan Oleh karena itu, kepemimpinan harus mengembangkan program nonintrusive yang membuat semua orang menyadari keamanan dan bagaimana bekerja sama untuk menjaga keamanan data mereka. Tiga komponen kunci yang digunakan untuk menerapkan tipe program ini adalah kesadaran, latihan dan pendidikan.
Kesadaran keamanan komputer yang efektif dan program pelatihan membutuhkan perencanaan yang tepat, pelaksanaan, pemeliharaan, dan evaluasi periodik. Secara umum, program kesadaran komputer keamanan dan pelatihan harus mencakup tujuh langkah-langkah berikut :
Dalam sebuah organisasi ada manajer senior, seperti CEO, yang selalu bertanggung jawab secara mutlak atas segalanya. Biasanya, manajemen senior hanya mengawasi pengembangan kebijakan keamanan. Kreasi dan pengelolaan kebijakan keamanan selalu dilimpahkan pada orang dalam jangkauan IT atau operasi keamanan.
Kadang keamanan senior atau personel manajemen IT, seperti kepala petugas keamanan (CSO) kepala petugas informasi, atau kepala petugas keamanan informasi, akan memperoleh keahlian membuat kebijakan, kadang mereka akan melimpahkannya, kadang sedikit dengan kedua strategi tersebut. Namun personel keamanan senior selalu terlibat secara mendalam dalam pengembangan dan pengelolaan kebijakan keamanan. Pedoman dapat menyediakan framework untuk kebijakan pembuat keputusan.
Staf keamanan senior seringkali berkonsultasi untuk mendapatkan masukan pada proyek kebijakan yang diajukan. Mereka mungkin pernah bertanggungjawab untuk mengembangkan dan mengelola bagian dari kebijakan. Lebih disukai jika staff senior akan bertanggung jawab mengembangkan standar dan prosedur.
Orang lain yang terdampak kebijakan keamanan bertugas untuk mentaatinya. Beberapa pernyataan kebijakan termasuk bahasa yang mengacu pada potensi kehilangan pekerjaan jika melanggar kebijakan. Staff IT dan pengguna akhir sama-sama bertanggung jawab mengetahui kebijakan dan mengikutinya.
Kesadaran keamanan
Pengendalian teknis, administratif, dan fisik semua dapat dikalahkan tanpa partisipasi dari komunitas pengguna terakhir. Untuk membuat akuntan, asisten administrasi, dan pengguna terakhir lainnya memikirkan keamanan informasi, anda harus mengingatkan mereka tentang keamanan secara berkala. Staf teknis juga perlu diingatkan secara berkala karena pekerjaan mereka cenderung untuk mementingkan tampilan, seperti memperkenalkan teknologi baru, meningkatkan throughput, dan semisalnya, lebih daripada tempilan keamanan, seperti bagaimana mereka menangkis serangan Oleh karena itu, kepemimpinan harus mengembangkan program nonintrusive yang membuat semua orang menyadari keamanan dan bagaimana bekerja sama untuk menjaga keamanan data mereka. Tiga komponen kunci yang digunakan untuk menerapkan tipe program ini adalah kesadaran, latihan dan pendidikan.
Kesadaran keamanan komputer yang efektif dan program pelatihan membutuhkan perencanaan yang tepat, pelaksanaan, pemeliharaan, dan evaluasi periodik. Secara umum, program kesadaran komputer keamanan dan pelatihan harus mencakup tujuh langkah-langkah berikut :
- Mengidentifikasi cakupan program, tujuan, dan sasaran
- Cakupan program harus menyediakan latihan kepada semua jenis orang yang berinteraksi dengan sistem IT. Karena pengguna memerlukan pelatihan yang berhubungan langsung dengan penggunaan mereka atas sistem tertentu, anda perlu melengkapi dengan luas, program organisasi yang luas dengan lebih program spesifik sistem.
- Mengidentifikasi pelatihan staff
- Adalah penting bahwa pelatih memiliki pengetahuan yang cukup tentang masalah keamanan komputer, prinsip, dan teknik. Hal ini juga penting bahwa mereka tahu bagaimana untuk mengkomunikasikan informasi dan ide secara efektif.
- Mengidentifikasi target audience
- Tidak semua orang membutuhkan tingkatan atau tipe informasi keamanan komputer yang sama untuk melakukan pekerjaannya. Kesadaran keamanan komputer dan program pelatihan-lah yang membedakan antara kelompok orang, sekarang hanya informasi yang dibutuhkan oleh audience tertentu dan mengecualikan informasi yang tidak berkaitan akan mendapatkan hasil yang terbaik.
- Motif manajemen dan pekerja
- Untuk mensukseskan pelaksanaan kesadaran dan program pelatihan, perlu untuk meningkatkan dukungan manajemen dan pekerja. Pertimbangan menggunakan teknik motivasi untuk menunjukkan pada manajemen dan pekerja bagaimana partisipasi merek dalam keamanan komputer dan program kesadaran akan menguntungkan organisasi.
- Mengelola program
- Beberapa pertimbangan penting untuk mengadministrasi program diantaranya visibilitas, seleksi dari metode pelatihan yang cocok, topik, material dan teknik presentasi.
- Memelihara program
- Anda harus membuat upaya untuk terus mengikuti perubahan teknologi komputer dan persyaratan keamanan. Sebuah program pelatihan yang memenuhi kebutuhan organisasi saat ini mungkin menjadi tidak efektif ketika organisasi mulai menggunakan aplikasi baru atau merubah lingkungannya, seperti dengan menghubungkan ke Internet.
- Evaluasi program
- Evaluasi harus berupaya untuk memastikan berapa banyak informasi yang dipertahankan, apa prosedur keamanan komputer sejauh sedang diikuti, dan sikap umum terhadap keamanan komputer.
Sebuah program keamanan TI yang sukses terdiri dari:
- Mengembangkan kebijakan keamanan IT yang merefleksikan kebutuhan bisnis diperkuat dengan resiko yang diketahui.
- Menginformasikan user atas tanggung jawab keamanan IT mereka, seperti yang didokumentasikan di kebijakan keamanan dan prosedur lembaga.
- Menetapkan proses untuk memonitor dan mereview program.
Sumber referensi :
- https://en.wikipedia.org/wiki/Network_security_policy
- http://www.ciscopress.com/articles/article.asp?p=1998559&seqNum=3
terima kasih kak atas infonya
BalasHapusperkenalkan saya Dewi Putri ISB Atmaluhur