Information Security Management Policy J
Ke bijakan Sis te m In fo rm as i Man aje m e n Ke am an an
IT ( In fo rm atio n Se cu rity Man age m e n t Po licy)
Stan d ard ISO 1779 9 : 2 70 0 2
Deris Stiaw an (Dosen Jurusan Sistem Kom puter FASILKOM UNSRI)
Sebuah Pem ikiran, Sharing, Ide Pengetahuan, Penelitian
Pendahuluan ...
Perkembangan yang sangat cepat saat ini mau t idak mau perusahaan dan pelaku bisnis harus
dapat beradapt asi dengan cepat , kebut uhan akan inf ormasi dan koneksi dat a unt uk updat e
inf ormasi dari kant or t idak mengenal wakt u dan t empat , munculnya solusi-solusi unif ied
communicat ions, mobile commut ers, dan sebagainya semakin menguat kan bahwa ket epat an
dan kecepat an dalam mendapat kan inf ormasi mut l ak dibut uhkan. Lihat saj a saat ini dimana
penggunaan blackberry sangat t inggi penet rasinya di pasar.
Sist em yang dapat diakses dengan availabilit y yang t inggi saat ini dibut uhkan, openness dan
t erdist ribusi past i sudah menj adi keharusan unt uk sist em yang t erint egrasi. Server-server yang
dikoneksikan t erus menerus t iada hent i ke j aringan publik mau t idak mau akan membuka
lubang-lubang sist em keamanan.
Tidak ada sist em yang sempurna,
kit a hanya dapat
meningkat kan dari st at us t idak aman menj adi relat if lebih aman, karena banyak sekali cara
at au met ode lubang-lubang keamanan yang dapat dit embus. Lubang keamanan it u baik pada
lapisan sist em operasi,
aplikasi,
layanan,
dan sebagainya past i
dapat
dit emuka t it ik
kelemahanya. Secara garis besar keamanan sist em inf ormasi dan komput er dapat dibagi dua
yait u keamanan secara phisikal dan secara logikal . Secara Phisik berart i bagaimana kit a
mengamankan semua inf rast rukt ur peralat an sist em keamanan kit a baik dari sisi server,
ruangan, kabel, syst em backup redundant syst em, syst em cadangan power list rik dan lain-lain
sedangkan keamanan secara logikal
t ent ang met ode keamanan sepert i
prot ocol
yang
digunakan, met ode komunikasi dat anya, model basis dat anya dan sist em operasinya.
Saat ini dengan kesadaran yang t inggi, t elah banyak perusahaan at au pelaku bisnis yang t elah
memperhat ikan masalah keamanan sist em inf ormasi dan comput ernya, apalagi dengan t awaran
one st op solut ion dari vendor-vendor IT semakin mempekecil masalah-masalah keamanan.
Namun seringkali peralat an yang mahal t idak diikut i dengan at uran yang j elas dan rasa
kesadaran yang t inggi pada pengguna.
Inform ation Security Managem ent Policy | J uni 20 0 9
1
ISO 17799 : 270 0 2
Banyak sekali t erdapat st at ement yang salah dari pengguna at au manaj emen t ent ang masalah
sist em keamanan comput er at au inf ormasi, sepert i :
1.
“ …t et api kit a sudah menggunakan NAT”
2.
“ kami t elah menut up semua paket yg masuk “
3.
“ Ant i virus original kami “ keeps us saf e”
4.
“ Maaf kami t idak menggunakan WINDOWS”
5.
“ Kami mempunyai sist em DMZ”
6.
“ Kami bukan sebuah t arget ”
7.
“ Kami t idak mempublikasikan yang krusial di web”
8.
“ Kami t elah mengekripsi dat a”
9.
“ kami sudah memiliki f irewall yang banyak dan t erbaru”
10. “ kami mempunyai t eam t angguh dan hebat ”
11. “ kami mempunyai dana IT yang unlimit t ed”
Maka dibut uhkan suat u at uran yang dapat mengikat kepada seluruh pengguna dan karyawan di
t empat t ersebut yang sif at nya menyeluruh dan st andar. Ada banyak st andar yang dapat
digunakan yang biasanya st andar-st andar t ersebut dibuat oleh vendor solusi IT. Misalnya
st andarisasi perkabelan, st andarisasi pembangunan ruang server, st andarisasi server f arm, dan
sebagainya. Kebut uhan akan kebij akan sist em keamanan sangat dibut uhkan disaat suat u
perusahaan at au proses bisnis t elah menggunakan peralat an at au sist em IT sebagai salah sat u
f akt or st rat egi bisnisnya. ISO sebagai salah sat u badan dunia yang membuat st andarisasi yang
digunakan oleh para pengguna dan produsen dalam bidang t ert ent u. ISO 17799 : 27002 adalah
st andar yang berisi t ent ang t ahapan prakt is unt uk mengat ur sist em keamanan inf ormasi.
St andar ISO mempunyai 12 klausa keamanan, dengan j umlah 39 kat egori ut ama dalam bidang
keamana, dimana dalam beberapa kat egori it u mempunyai banyak komponen-komponen yang
lebih det ail.
Inform ation Security Managem ent Policy | J uni 20 0 9
2
Penj abaran kedua-belas klausa it u adalah ;
1.
Risk assessment and treatment
a.
Assessing securit y risks, perlu dibuat kebij akan t ent ang resiko yang mungkin akan
t imbul. Kebij akan dapat dibuat dengan diawali analisa t ent ang resiko yang mungkin
muncul pada sist em keamanan, misalnya ;
•
Berapa besar ef ek dari berhent inya layanan IT
•
Berapa besar ef ek resiko pada saat dat a dan inf ormasi berhasil dit embus
oleh penyusup
•
b.
Berapa lama sist em akan normal pada saat layanan t erhent i
Treat ing securit y risks t reat ment , kebij akan unt uk menj amin perawat an pada
seluruh sist em IT yang digunakan, at uran yang akan mengikat secara st andar
t ent ang perawat an, misalnya
•
Perlu dibuat at uran t ent ang berapa kali dalam sat u wakt u unt uk masalah
maint enance, analisa penet rasi sist em, backup, rest orasi, dan sebagainya
yang
2.
berhubungan
dengan
kegagalan
resiko
keamanan.
Security policy
a.
Informat ion securit y policy document & Review of informat ion securit y
policies, kebij akan ini menyangkut permasalahan t ent ang bagaimana perusahaan
memenuhi berbagai at uran keamanan dan privacy regulat ion sepert i st andar dari
Healt h Insurance Port abilit y and Account abilit y Act (HIPAA) , Gr amm-Leach-Bl i l ey
Fi nanci al Ser vi ces Moder ni zat i on Act (GLBA) . Misalnya beberapa t ipe dari securit y
policy document , sepert i ;
•
Mobile comput er policy
•
Firewall policy
•
Elect ronic mail policy
•
Dat a classif icat ion policy
•
Net work Securit y Policy
•
Int ernet Accept able use policy
•
Password Policy
Inform ation Security Managem ent Policy | J uni 20 0 9
3
b.
Coordinat ion wit h ot her securit y policies, j angan sampai kebij akan yang t elah
dibuat at au akan dibuat akan menyebabkan kont radikt if dengan kebij akan yang
t elah ada dengan depart emen lain at au malah dengan visi dan misi perusahaan.
Masalah sepert i ini sering kali muncul j ika policy keamanan yang dibuat t idak
melihat blue print perusahaan, misalnya ;
•
Dalam policy keamanan karyawan bagian t eknis harus dapat leluasa
masuk ke ruangan lain sesuai dengan t ingkat annya, namun dalam policy
perusahaan dibuat at uran t ent ang model aut hent ikasi sist em unt uk masuk
ke ruangan t ert ent u.
3.
Organization of information security
a.
Int ernal organizat ion, hal ini diperlukan unt uk koordinasi dengan int ernal
perusaahan, misalnya
•
komit men yang t inggi unt uk set iap level management dalam memat uhi
semua kebij akan sist em keamanan yang dibuat , akan lebih baik j ika
dibuat kan at uran t ent ang komint em manaj emen
•
Menanamkan t anggung j awab t erhadap semua level manaj emen dan
karyawan at as kebij akan yang t elah dibuat
•
Harus membuat kebij akan t ent ang pendef inisian inf ormasi yang masuk
dan keluar dari perusahaan dan inf ormasi t ersebut harus diklasif ikasikan
•
Secara periodic melakukan analisa t erhadap sist em yang t elah dibuat ,
misalnya dengan menyewa dari pihak luar.
b.
Ext ernal part ies, karena inf ormasi dan dat a j uga dimanf aat kan dan diakses oleh
part ner business maka dibut uhkan j uga kebij kan unt uk arus inf ormasi masuk dan
keluar, misalnya ;
•
Karena t elah mengimplement asikan ERP / Supply chain maka beberapa
rekan bisnis dikoneksikan ke sit em dat abase, j angan sampai hak akses
yang diberikan disalahgunakan, maka dibut uhkan at uran yang j elas
t ent ang hak aksesnya
•
Berapa nilai resiko yang akan t erj adi dengan mengkoneksikan rekan bisnis
ini, hal ini harus di ident if ikasi dari awal.
•
Ant ara perusahaan dan rekan bisnis harus dibuat rambu-rambu yang j elas
mengenai hak akses inf ormasi ini
Inform ation Security Managem ent Policy | J uni 20 0 9
4
•
User i d dan Gr oup i d , menerapkan kelompok-kelompok berdasarkan user
dan kelompok agar mudah dimaint enence. Dengan password at au user
root maka kit a bisa mengat ur mesin comput er t ersebut secara penuh.
Kit a bisa membuat user dan menghapus user, mengakif kan dan
menonakt if kan user, membagi quot a bagi para user, memberikan akses
resource j aringan, sampai dengan inst alasi secara penuh pada server.
4.
Asset management
a.
Responsibilit y for asset s, permasalahan asset perusahaan harus j uga menj adi
perhat ian khusus, hal ini dibut uhkan unt uk mengklasif ikasikan asset dat a, inf ormasi
dan barang sert a lainnya dalam sebuah kebij akan, misalnya ;
•
Bagaimana kit a dapat menget ahui j umlah barang dan spesif ikasi barang
j ika t idak menget ahui model/ f ormat , t anggal creat ion manuf act ure dan
inf ormasi pent ing lainnya pada saat ingin menget ahui t ent ang barang
t ersebut
•
Harus mendokument asikan dengan baik t ent ang inf ormasi dat abase,
kont rak at au kerj asama, inf ormasi dari bagian R&D, user manual, t raining
mat erial, operasional, SOP, dan support procedure.
•
Mendat a semua peralat an keseluruhn comput er secara phisik, peralat an
komunikasi, st orage media, sist em penyimpanan backup, perangkat
lunak, dat a base, t ools dan ut ilit ies lainnya.
•
Melakukan klasif ikasi
inf ormasi, misalnya dengan membuat guidelines
at au membuat labeling inf ormasi, bayangkan j ika asset yang ada banyak
dengan spesif ikasi yang sama at au berbeda, haruslah inf ormasi asset
dibuat st andard dengan mempunyai karakt erist ik dari set iap asset yang
ada.
5.
Human resources security, pada kebij akan ini t erf okus pada employees, kont rakt or, dan
pengguna lannya t ent ang t anggung j awab yang ada, misalnya permasalahan pencurian,
perusakan dan kehilangan f asilit as, misalnya ;
•
Membuat bat asan t anggung j awab, t erm dan kondisi dari set iap employee
•
Harus membuat pert emuan-pert emuan unt uk meningkat kan inf ormat ion
securit y awareness, melakukan edukasi dan t raining t ent ang kebij akan
dan sist em yang t elah dan akan dibangun, hal ini unt uk meningkat kan
rasa memiliki dan respon dari pengguna
Inform ation Security Managem ent Policy | J uni 20 0 9
5
•
Perusahaan
harus bisa membuat
at uran
dan
regulasi
yang baku
bagaimana pengat uran hak akses semua karyawan dan pihak luar lainnya
yang berhubungan dengan sist em inf ormasi
•
Set iap employee harus mempunyai bat asan hak akses sesuai dengan
j obsdesk dan depart emnya
•
Kebij akan t ent ang bagaimana j ika seorang pegawai karena sesuat u
masalah harus dicabut hak yang melekat , misalnya hak unt uk akses ke
server, hak bagian dari suat u group, hak akses ke ruang t ert ent u, dan
sebagainya.
•
Kebij akan harus dapat mengat ur bagaimana j ika employee di cabut hak
aksesnya dan dalam wakt u t ert ent u di kembalikan dengan perset uj uan
managemen
6.
Physical and environmental security, dalam bagian ini harus dapat diat ur t ent ang hak
akses secara phisik, kerusakan yang diakibat kan inf rast rukt ur, dapat mengident if ikasi resiko
dan nilai dari set iap asset yang diprot eksi, ada beberapa isu yang dapat diangkat misalnya ;
•
Membuat sist em dengan mengat ur bagaimana j ika t erj adi f orce maj ure
(kebakaran, huru-hara, bencana alam)
•
Membuat st andar sist em redundant dan backup, membuat at uran dengan
menerapkan kegiat an backup secara berkala at au menggunakan sist em
cadangan, saat ini t rend perkembangan DRC (Disast er Recovery Cent er)
yang biasa digunakan perusahaan banking, dimana menggunakan server
cadangan unt uk menyalin dat abase ke dalam server lain secara mirroring
dengan met ode penyalinan bisa diat ur.
•
Membuat membuat at uran baku t ent ang akses comput er dan j aringan
secara langsung misalnya kabel, server yang dilet akkan diruangan khusus,
hub, rout er, dan lain-lain. Ruang server ini sering disebut NOC (Net work
Operat ing Cent er) yang biasanya diruangan khusus yang t erpisah dari user
dan
t erdapat
rack-rack
khusus
unt uk
menempat kan
perangkat
j aringannya.
•
Ruang server yang dibuat harus memperhat ikan masalah ruang akses
publik, dan ruang loading dock.
•
Membuat at uran t ent ang akses kont rol ke ruang server, akses masuk
dengan menggunakan id ot ent ikasi (misalnya barcode at au sidikj ari) agar
t idak semua user dapat masuk ke parimet er keamanan,
Inform ation Security Managem ent Policy | J uni 20 0 9
6
•
Memperhat ikan f asilit as penunj ang keamanan sepert i alat pemadam
kebakaran, pendet eksi asap, alat pendet eksi gerakan dan pendet eksi
audio video surviillance dan bahan kimia lainnya yang membahayakan
area ruangan.
•
Membuat pendat aan asset ruangan khusus unt uk mendat a t ent ang proses
maint enance perangkat t ersebut
•
Membuat at uran t ent ang pembat asan penggunaan audio video t ermasuk
kamera phot o, HP dan perangkat port able lainnya sert a mengat ur
t ent ang
7.
makan
minum
dan
Communications and operations management,
merokok
di
area
t ert ent u.
pada bagian ini kebij akan harus dibuat
dengan memastikan memeriksa dan mengamankan operasi fasilitas-fasilitas pengolahan
informasi.
a.
Operational procedures and responsibilities, dengan membuat st andar dokumen
unt uk set iap operasional,
•
Dibut uhkan SOP (St andar Operat ing Procedure) unt uk semua kegiat an,
misalnya bagaimana cara mengat ur kerj a shif t pada ruang server, st andar
penanganan service desk, st andar penanganan t eknis dan sebagainya
b.
Third-party service management , semakin banyak pihak ket iga yang digunakan,
maka dibut uhkan mekanisme layanan, report dan perekaman secara
berkesinambungan unt uk memant au dan menganalisa
•
Buat at uran t ent ang kerj asama ant ara pengembang aplikasi t hird-part y
yang digunakan
•
c.
Mengat ur level inst alasi set iap user unt uk mengakses dat a di hardisk
Protection against malicious and mobile code , buat at uran t ent ang pencegahan,
pendet eksian dan respon t erhadap code malicious, misalnya
•
Pengat uran t ent ang kebij akan inst alasi sof t ware t hird-part y t erut ama
yang didapat dari ekt ernal net work
•
At uralah unt uk selalu menggunakan ant i-virus, ant i-spyware dan lakukan
updat e secara regular
•
At uralah unt uk proses updat e t ersebut apakah akan dilakukan secara
t erpusat at au di remot e oleh admin
•
Lakukan review secara periodic t erhadap sist em yang berj alan, bila perlu
uninst alled
sof t ware
yang
bermasalah
dengan
kompat ibilit as dan
membahayakan sist em
Inform ation Security Managem ent Policy | J uni 20 0 9
7
•
Buat perj anj ian yang mengikat dengan produk sof t ware yang dibeli, j ika
nant i dit emukan masalah dapat menghubungi call cent ernya
•
Buat at uran t ent ang bagaimana j ika t erj adi t rouble sist em pada saat
inst alasi sof t ware t hird-part y
•
d.
Lakukan t raining dan sosialisai t ent an kebij akan dan met ode ini
Network security management , Dalam at uran ini akan melindungi semua inf ormasi
pada j aringan dan pada support ing net work inf rast ruct ure.
•
Buat at uran t ent ang “ push inf ormat ion” ke level manaj emen unt uk
perf ormance net work
•
Buat lah t ampilan unt uk memonit or net work baik dari sisi perangkat at au
akses user, hal ini berguna unt uk membuat report
•
Membuat dokument asi gambar-gambar t opology net work
•
Mengat ur j angan sampai inf ormasi-inf ormasi sensit ive inf rast ruct ure
net work dari akses public, hal ini unt uk memperkecil kasus social
engineering
•
At urlah t ent ang pengumpulan logging t ermasuk akt ivit as keamanan
•
Lakukan koordinasi dengan pihak lain (konsult an, CERT, ID-SIRTI, dan
lain-lain)
•
Implement asikan layanan net work, sepert i aut hent icat ion, encrypt ion
dan koneksi cont rol
•
Buat
kerj asama
dengan
penyelenggara
sist em
keamanan
sepert i
penggunaan digit al cert if icat e, kunci public, sist em OTP dan sebagainya
•
Buat cont rol akses ke inf rast rukt ru net work t ermasuk akses wireless,
akses dat a, at au lainnya yang berhubungan dengan inf ormasi dan dat a
•
At uran t ent ang prot eksi pert ukaran inf ormasi dari int ercept ion, copying,
modif icat ion, mis-rout ing
•
Pada saat dat a disimpan secara physical buat lah at uran yang baku
t ent ang
packaging,
locked
cont ainer,
t emper-evident
t angging,
penomeran locker, surat pengant ar dan recording hist orinya.
•
Buat at uran t ent ang penggunaan elect ronic messaging (email, IM, audiovideo conf erence, dan sebagainya), misalnya t ent ang pembat asan akses,
at t achment f ile, t ransmit f ile, yang berhubungan dengan pengaruh pada
sist em keamanan
•
Jika dimungkinkan t et apkan unt uk penggunaan kunci public dengan PGP
at au sist em keamanan lainnya unt uk proses email
Inform ation Security Managem ent Policy | J uni 20 0 9
8
•
Jika menggunakan layanan e-commerce, buat lah at uran layanan dengan
pihak lain (aut horit y securit y at au banking) dan perhat ikan penggunaan
aplikasi yang digunakn
e.
Monitoring,
dalam kat egori
ini
akt ivit as proses menj adi
perhat ian ut ama,
diant aranya ;
•
Buat t eam NMC (Net work Monit oring Cent er) unt uk memant au t raf f ic,
akt ivit as di j aringan dan inf rast rukt ur yang memant au secara t erusmenurs 24 j am
•
Team NMC dibawah t anggung j awab depart emen t eknis, NMC sangat
berperan dalam menget ahui akt ivit as secara dini baik anomaly, serangan
at au f ailure dari sist em yang berj alan
•
Buat sist em t icket ing unt uk pengant rian gangguan di helpdesk, hal ini
unt uk meningkat kan layanan
•
Buat sist em monit oring secara menyeluruh unt uk mengat ahui semua
proses dan akt ivit as yang t erj adi di j aringan, dengan prot ocol SNMP dan
beberapa aplikasi st andar dapat memberikan inf ormasi yang det ail
•
Lakukan monit oring secara keseluruhan (rout er, swit ching, server, last
miles, resources hardware dan devices lainnya)
•
Bila perlu int egrasikan monit oring ke sist em lainnya misalnya sms, email,
dan aplikasi mobile lainnya
•
Buat at uran unt uk memprot eksi Logging akses dan proses, lakukan
recording unt uk set iap log dari administ rat or sampai dengan operat or,
Fault logging, hal ini j uga unt uk mendukung dari j ob desk ID-SIRTI.
•
Aut omat i c Lock, at uran yang memungkinkan penguncian sist em secara
ot omat is, j ika t erj adi misalkan penulisan password yang salah sebanyak
t iga kali. Ini sangat berguna unt uk user yang bisa login ke server.
•
Check Log admi nst r asi secara priodik dengan melakukan checking semua
akt ivit as sist em comput er baik dari sisi akses ke user, j alannya daemon
sist em, dan akses user ke sist em.
•
Lakukan review log dengan mencocokan policy pada mesin f irewall at au
IDS
•
Lakukan clock synchronizat ion t erut ama j ika mempunyai banyak server di
banyak t empat unt uk menghindari kesalahan prosedur pada sist em.
Inform ation Security Managem ent Policy | J uni 20 0 9
9
8.
Access control, bagian ini hendaknya membuat at uran t ent ang akses ke inf ormasi, f asilit as
proses inf ormasi dan business process.
•
Membuat at uran t ent ang akses ke sist em inf ormasi
•
Membuat baku t ent ang f ormat perset uj uan, penolakan dan administ rasi
•
User Regist rasi, perlu dibuat
unt uk mengimplement asikan prosedur
regist rasi, grat ing dan revoking access ke semya sist em dan layanan
inf ormasi
•
Buat account dengan unik unt uk semua ID user
•
Buat at uran t ent ang pemberit ahuan admin kepada user t ent ang
permasalahan pada sist em account
•
Buat st andart unt uk “ t erm and condit ion” dan conf ident ialit y agreement
•
Buat st andar dokument asi unt uk menyimpan semua inf ormasi user agar
mudah di rest orasi
•
Account , apakah sebuah account dapat digunakan bersama, disaat
account nya dit olak apa yang harus dilakukan oleh user. Account yang
expired sepert i keluarnya pegawai / resign yang dahulu mendapat kan hak
akses ke server sepert i account mail, account web at au quot a di server
unt uk menyimpan dat anya harus segera dihapus set elah pegawai t ersebut
resmi resign dari perusahaan.
•
Aut omat i c Lock, at uran yang memungkinkan penguncian sist em secara
ot omat is, j ika t erj adi misalkan penulisan password yang salah sebanyak
t iga kali. Ini sangat berguna unt uk user yang bisa login ke server.
•
Gant i password secara berkala (admin & user) dan dokument asikan,
Password yang baik selain t erdiri dari karakt er dan angka j uga
panj angnya, ada baiknya password digant i secara berkala misalnya 1
bulan sekali dan di dokument asikan
•
New account s, membat asi user baru dengan quot a, memory dan akses
besert a hak yang dimilikinya
•
Bat asi ruang lingkup user dengan menerapkan quot a, j am akses, hak
akses inst alasi di PC at au server dan sebagainya
•
Root Secur i t y, sist em administ rasi dengan menggunakan remot e sist em
harus melalui j aringan yang aman, misalnya VPN, SSL, at au SSH. Dibuat
at uran dimana set iap user yang akan login ke server dengan account root
at au super user harus login dengan user biasa dulu baru pindah ke user
root .
Inform ation Security Managem ent Policy | J uni 20 0 9
10
•
Buat at uran t ent ang net work rout ing cont rol, past ikan algort ima yang
digunakan benar dan link ke rout ing dapat dipercaya, perhat ikan hop
rout ing, lat ency dan prot ocol yang digunaka
9.
Information systems acquisition, development and maintenance, pada bagian ini akan
membicarakan t ent ang at uran bagian dari sist em inf ormasi, dan proses bisnis yang
merupakan bagian dari kegiat an sist em yang berlangsung.
a.
Security Requirement of information system & application, menyangkut t ent ang
sist em inf ormasi secara keseluruhan
•
Membuat at uran t ent ang legalit as t ent ang asset inf ormasi pada
perubahan at au implement asi sist em yang baru.
•
Membuat at uran t ent ang dat a input pada aplikasi unt uk memast ikan
kebenaran dat a t ersebut
•
Membuat at uran t ent ang pemeriksaan ulang dan manual unt uk
memverif ikasi dan cross checking
•
Hal ini sebagian dari penanggulangan inj ect ion pada serangan yang akan
dilakukan pada sist em yang dibangun dengan memanf aat kan celah yang
ada.
•
Membuat def inisi unt uk t anggung-j awab dan proses unt uk merespon pada
saat t erj adi at au mendet eksi errors.
•
Memperhat ikan t ent ang out put dat a dengan memvalidasi unt uk
memast ikan dat a yang diproses dan disimpan adalah benar
•
Gunakan met ode enkripsi kript ographi t ert ent u unt uk menj amin
keamanan, int egrasi dan ot ent ikasi inf ormasi dengan menggunakan
aplikasi yang mendukungnya
b.
Security Systems, menj amin sist em f ile yang ada,
•
Membuat prosedur implement asi unt uk mengont rol inst alasi sof t ware
•
Minimalkan t erj adinya konf lik / inkompat ibel ant ara perangkat lunak
dengan sist em operasi dan perangkat keras
•
Melakukan t raining unt uk mensosialisasikan sist em yang t elah dibuat
•
Membuat prosedur t ent ang bagaimana perubahan yang akan dilakukan
Inform ation Security Managem ent Policy | J uni 20 0 9
11
IT ( In fo rm atio n Se cu rity Man age m e n t Po licy)
Stan d ard ISO 1779 9 : 2 70 0 2
Deris Stiaw an (Dosen Jurusan Sistem Kom puter FASILKOM UNSRI)
Sebuah Pem ikiran, Sharing, Ide Pengetahuan, Penelitian
Pendahuluan ...
Perkembangan yang sangat cepat saat ini mau t idak mau perusahaan dan pelaku bisnis harus
dapat beradapt asi dengan cepat , kebut uhan akan inf ormasi dan koneksi dat a unt uk updat e
inf ormasi dari kant or t idak mengenal wakt u dan t empat , munculnya solusi-solusi unif ied
communicat ions, mobile commut ers, dan sebagainya semakin menguat kan bahwa ket epat an
dan kecepat an dalam mendapat kan inf ormasi mut l ak dibut uhkan. Lihat saj a saat ini dimana
penggunaan blackberry sangat t inggi penet rasinya di pasar.
Sist em yang dapat diakses dengan availabilit y yang t inggi saat ini dibut uhkan, openness dan
t erdist ribusi past i sudah menj adi keharusan unt uk sist em yang t erint egrasi. Server-server yang
dikoneksikan t erus menerus t iada hent i ke j aringan publik mau t idak mau akan membuka
lubang-lubang sist em keamanan.
Tidak ada sist em yang sempurna,
kit a hanya dapat
meningkat kan dari st at us t idak aman menj adi relat if lebih aman, karena banyak sekali cara
at au met ode lubang-lubang keamanan yang dapat dit embus. Lubang keamanan it u baik pada
lapisan sist em operasi,
aplikasi,
layanan,
dan sebagainya past i
dapat
dit emuka t it ik
kelemahanya. Secara garis besar keamanan sist em inf ormasi dan komput er dapat dibagi dua
yait u keamanan secara phisikal dan secara logikal . Secara Phisik berart i bagaimana kit a
mengamankan semua inf rast rukt ur peralat an sist em keamanan kit a baik dari sisi server,
ruangan, kabel, syst em backup redundant syst em, syst em cadangan power list rik dan lain-lain
sedangkan keamanan secara logikal
t ent ang met ode keamanan sepert i
prot ocol
yang
digunakan, met ode komunikasi dat anya, model basis dat anya dan sist em operasinya.
Saat ini dengan kesadaran yang t inggi, t elah banyak perusahaan at au pelaku bisnis yang t elah
memperhat ikan masalah keamanan sist em inf ormasi dan comput ernya, apalagi dengan t awaran
one st op solut ion dari vendor-vendor IT semakin mempekecil masalah-masalah keamanan.
Namun seringkali peralat an yang mahal t idak diikut i dengan at uran yang j elas dan rasa
kesadaran yang t inggi pada pengguna.
Inform ation Security Managem ent Policy | J uni 20 0 9
1
ISO 17799 : 270 0 2
Banyak sekali t erdapat st at ement yang salah dari pengguna at au manaj emen t ent ang masalah
sist em keamanan comput er at au inf ormasi, sepert i :
1.
“ …t et api kit a sudah menggunakan NAT”
2.
“ kami t elah menut up semua paket yg masuk “
3.
“ Ant i virus original kami “ keeps us saf e”
4.
“ Maaf kami t idak menggunakan WINDOWS”
5.
“ Kami mempunyai sist em DMZ”
6.
“ Kami bukan sebuah t arget ”
7.
“ Kami t idak mempublikasikan yang krusial di web”
8.
“ Kami t elah mengekripsi dat a”
9.
“ kami sudah memiliki f irewall yang banyak dan t erbaru”
10. “ kami mempunyai t eam t angguh dan hebat ”
11. “ kami mempunyai dana IT yang unlimit t ed”
Maka dibut uhkan suat u at uran yang dapat mengikat kepada seluruh pengguna dan karyawan di
t empat t ersebut yang sif at nya menyeluruh dan st andar. Ada banyak st andar yang dapat
digunakan yang biasanya st andar-st andar t ersebut dibuat oleh vendor solusi IT. Misalnya
st andarisasi perkabelan, st andarisasi pembangunan ruang server, st andarisasi server f arm, dan
sebagainya. Kebut uhan akan kebij akan sist em keamanan sangat dibut uhkan disaat suat u
perusahaan at au proses bisnis t elah menggunakan peralat an at au sist em IT sebagai salah sat u
f akt or st rat egi bisnisnya. ISO sebagai salah sat u badan dunia yang membuat st andarisasi yang
digunakan oleh para pengguna dan produsen dalam bidang t ert ent u. ISO 17799 : 27002 adalah
st andar yang berisi t ent ang t ahapan prakt is unt uk mengat ur sist em keamanan inf ormasi.
St andar ISO mempunyai 12 klausa keamanan, dengan j umlah 39 kat egori ut ama dalam bidang
keamana, dimana dalam beberapa kat egori it u mempunyai banyak komponen-komponen yang
lebih det ail.
Inform ation Security Managem ent Policy | J uni 20 0 9
2
Penj abaran kedua-belas klausa it u adalah ;
1.
Risk assessment and treatment
a.
Assessing securit y risks, perlu dibuat kebij akan t ent ang resiko yang mungkin akan
t imbul. Kebij akan dapat dibuat dengan diawali analisa t ent ang resiko yang mungkin
muncul pada sist em keamanan, misalnya ;
•
Berapa besar ef ek dari berhent inya layanan IT
•
Berapa besar ef ek resiko pada saat dat a dan inf ormasi berhasil dit embus
oleh penyusup
•
b.
Berapa lama sist em akan normal pada saat layanan t erhent i
Treat ing securit y risks t reat ment , kebij akan unt uk menj amin perawat an pada
seluruh sist em IT yang digunakan, at uran yang akan mengikat secara st andar
t ent ang perawat an, misalnya
•
Perlu dibuat at uran t ent ang berapa kali dalam sat u wakt u unt uk masalah
maint enance, analisa penet rasi sist em, backup, rest orasi, dan sebagainya
yang
2.
berhubungan
dengan
kegagalan
resiko
keamanan.
Security policy
a.
Informat ion securit y policy document & Review of informat ion securit y
policies, kebij akan ini menyangkut permasalahan t ent ang bagaimana perusahaan
memenuhi berbagai at uran keamanan dan privacy regulat ion sepert i st andar dari
Healt h Insurance Port abilit y and Account abilit y Act (HIPAA) , Gr amm-Leach-Bl i l ey
Fi nanci al Ser vi ces Moder ni zat i on Act (GLBA) . Misalnya beberapa t ipe dari securit y
policy document , sepert i ;
•
Mobile comput er policy
•
Firewall policy
•
Elect ronic mail policy
•
Dat a classif icat ion policy
•
Net work Securit y Policy
•
Int ernet Accept able use policy
•
Password Policy
Inform ation Security Managem ent Policy | J uni 20 0 9
3
b.
Coordinat ion wit h ot her securit y policies, j angan sampai kebij akan yang t elah
dibuat at au akan dibuat akan menyebabkan kont radikt if dengan kebij akan yang
t elah ada dengan depart emen lain at au malah dengan visi dan misi perusahaan.
Masalah sepert i ini sering kali muncul j ika policy keamanan yang dibuat t idak
melihat blue print perusahaan, misalnya ;
•
Dalam policy keamanan karyawan bagian t eknis harus dapat leluasa
masuk ke ruangan lain sesuai dengan t ingkat annya, namun dalam policy
perusahaan dibuat at uran t ent ang model aut hent ikasi sist em unt uk masuk
ke ruangan t ert ent u.
3.
Organization of information security
a.
Int ernal organizat ion, hal ini diperlukan unt uk koordinasi dengan int ernal
perusaahan, misalnya
•
komit men yang t inggi unt uk set iap level management dalam memat uhi
semua kebij akan sist em keamanan yang dibuat , akan lebih baik j ika
dibuat kan at uran t ent ang komint em manaj emen
•
Menanamkan t anggung j awab t erhadap semua level manaj emen dan
karyawan at as kebij akan yang t elah dibuat
•
Harus membuat kebij akan t ent ang pendef inisian inf ormasi yang masuk
dan keluar dari perusahaan dan inf ormasi t ersebut harus diklasif ikasikan
•
Secara periodic melakukan analisa t erhadap sist em yang t elah dibuat ,
misalnya dengan menyewa dari pihak luar.
b.
Ext ernal part ies, karena inf ormasi dan dat a j uga dimanf aat kan dan diakses oleh
part ner business maka dibut uhkan j uga kebij kan unt uk arus inf ormasi masuk dan
keluar, misalnya ;
•
Karena t elah mengimplement asikan ERP / Supply chain maka beberapa
rekan bisnis dikoneksikan ke sit em dat abase, j angan sampai hak akses
yang diberikan disalahgunakan, maka dibut uhkan at uran yang j elas
t ent ang hak aksesnya
•
Berapa nilai resiko yang akan t erj adi dengan mengkoneksikan rekan bisnis
ini, hal ini harus di ident if ikasi dari awal.
•
Ant ara perusahaan dan rekan bisnis harus dibuat rambu-rambu yang j elas
mengenai hak akses inf ormasi ini
Inform ation Security Managem ent Policy | J uni 20 0 9
4
•
User i d dan Gr oup i d , menerapkan kelompok-kelompok berdasarkan user
dan kelompok agar mudah dimaint enence. Dengan password at au user
root maka kit a bisa mengat ur mesin comput er t ersebut secara penuh.
Kit a bisa membuat user dan menghapus user, mengakif kan dan
menonakt if kan user, membagi quot a bagi para user, memberikan akses
resource j aringan, sampai dengan inst alasi secara penuh pada server.
4.
Asset management
a.
Responsibilit y for asset s, permasalahan asset perusahaan harus j uga menj adi
perhat ian khusus, hal ini dibut uhkan unt uk mengklasif ikasikan asset dat a, inf ormasi
dan barang sert a lainnya dalam sebuah kebij akan, misalnya ;
•
Bagaimana kit a dapat menget ahui j umlah barang dan spesif ikasi barang
j ika t idak menget ahui model/ f ormat , t anggal creat ion manuf act ure dan
inf ormasi pent ing lainnya pada saat ingin menget ahui t ent ang barang
t ersebut
•
Harus mendokument asikan dengan baik t ent ang inf ormasi dat abase,
kont rak at au kerj asama, inf ormasi dari bagian R&D, user manual, t raining
mat erial, operasional, SOP, dan support procedure.
•
Mendat a semua peralat an keseluruhn comput er secara phisik, peralat an
komunikasi, st orage media, sist em penyimpanan backup, perangkat
lunak, dat a base, t ools dan ut ilit ies lainnya.
•
Melakukan klasif ikasi
inf ormasi, misalnya dengan membuat guidelines
at au membuat labeling inf ormasi, bayangkan j ika asset yang ada banyak
dengan spesif ikasi yang sama at au berbeda, haruslah inf ormasi asset
dibuat st andard dengan mempunyai karakt erist ik dari set iap asset yang
ada.
5.
Human resources security, pada kebij akan ini t erf okus pada employees, kont rakt or, dan
pengguna lannya t ent ang t anggung j awab yang ada, misalnya permasalahan pencurian,
perusakan dan kehilangan f asilit as, misalnya ;
•
Membuat bat asan t anggung j awab, t erm dan kondisi dari set iap employee
•
Harus membuat pert emuan-pert emuan unt uk meningkat kan inf ormat ion
securit y awareness, melakukan edukasi dan t raining t ent ang kebij akan
dan sist em yang t elah dan akan dibangun, hal ini unt uk meningkat kan
rasa memiliki dan respon dari pengguna
Inform ation Security Managem ent Policy | J uni 20 0 9
5
•
Perusahaan
harus bisa membuat
at uran
dan
regulasi
yang baku
bagaimana pengat uran hak akses semua karyawan dan pihak luar lainnya
yang berhubungan dengan sist em inf ormasi
•
Set iap employee harus mempunyai bat asan hak akses sesuai dengan
j obsdesk dan depart emnya
•
Kebij akan t ent ang bagaimana j ika seorang pegawai karena sesuat u
masalah harus dicabut hak yang melekat , misalnya hak unt uk akses ke
server, hak bagian dari suat u group, hak akses ke ruang t ert ent u, dan
sebagainya.
•
Kebij akan harus dapat mengat ur bagaimana j ika employee di cabut hak
aksesnya dan dalam wakt u t ert ent u di kembalikan dengan perset uj uan
managemen
6.
Physical and environmental security, dalam bagian ini harus dapat diat ur t ent ang hak
akses secara phisik, kerusakan yang diakibat kan inf rast rukt ur, dapat mengident if ikasi resiko
dan nilai dari set iap asset yang diprot eksi, ada beberapa isu yang dapat diangkat misalnya ;
•
Membuat sist em dengan mengat ur bagaimana j ika t erj adi f orce maj ure
(kebakaran, huru-hara, bencana alam)
•
Membuat st andar sist em redundant dan backup, membuat at uran dengan
menerapkan kegiat an backup secara berkala at au menggunakan sist em
cadangan, saat ini t rend perkembangan DRC (Disast er Recovery Cent er)
yang biasa digunakan perusahaan banking, dimana menggunakan server
cadangan unt uk menyalin dat abase ke dalam server lain secara mirroring
dengan met ode penyalinan bisa diat ur.
•
Membuat membuat at uran baku t ent ang akses comput er dan j aringan
secara langsung misalnya kabel, server yang dilet akkan diruangan khusus,
hub, rout er, dan lain-lain. Ruang server ini sering disebut NOC (Net work
Operat ing Cent er) yang biasanya diruangan khusus yang t erpisah dari user
dan
t erdapat
rack-rack
khusus
unt uk
menempat kan
perangkat
j aringannya.
•
Ruang server yang dibuat harus memperhat ikan masalah ruang akses
publik, dan ruang loading dock.
•
Membuat at uran t ent ang akses kont rol ke ruang server, akses masuk
dengan menggunakan id ot ent ikasi (misalnya barcode at au sidikj ari) agar
t idak semua user dapat masuk ke parimet er keamanan,
Inform ation Security Managem ent Policy | J uni 20 0 9
6
•
Memperhat ikan f asilit as penunj ang keamanan sepert i alat pemadam
kebakaran, pendet eksi asap, alat pendet eksi gerakan dan pendet eksi
audio video surviillance dan bahan kimia lainnya yang membahayakan
area ruangan.
•
Membuat pendat aan asset ruangan khusus unt uk mendat a t ent ang proses
maint enance perangkat t ersebut
•
Membuat at uran t ent ang pembat asan penggunaan audio video t ermasuk
kamera phot o, HP dan perangkat port able lainnya sert a mengat ur
t ent ang
7.
makan
minum
dan
Communications and operations management,
merokok
di
area
t ert ent u.
pada bagian ini kebij akan harus dibuat
dengan memastikan memeriksa dan mengamankan operasi fasilitas-fasilitas pengolahan
informasi.
a.
Operational procedures and responsibilities, dengan membuat st andar dokumen
unt uk set iap operasional,
•
Dibut uhkan SOP (St andar Operat ing Procedure) unt uk semua kegiat an,
misalnya bagaimana cara mengat ur kerj a shif t pada ruang server, st andar
penanganan service desk, st andar penanganan t eknis dan sebagainya
b.
Third-party service management , semakin banyak pihak ket iga yang digunakan,
maka dibut uhkan mekanisme layanan, report dan perekaman secara
berkesinambungan unt uk memant au dan menganalisa
•
Buat at uran t ent ang kerj asama ant ara pengembang aplikasi t hird-part y
yang digunakan
•
c.
Mengat ur level inst alasi set iap user unt uk mengakses dat a di hardisk
Protection against malicious and mobile code , buat at uran t ent ang pencegahan,
pendet eksian dan respon t erhadap code malicious, misalnya
•
Pengat uran t ent ang kebij akan inst alasi sof t ware t hird-part y t erut ama
yang didapat dari ekt ernal net work
•
At uralah unt uk selalu menggunakan ant i-virus, ant i-spyware dan lakukan
updat e secara regular
•
At uralah unt uk proses updat e t ersebut apakah akan dilakukan secara
t erpusat at au di remot e oleh admin
•
Lakukan review secara periodic t erhadap sist em yang berj alan, bila perlu
uninst alled
sof t ware
yang
bermasalah
dengan
kompat ibilit as dan
membahayakan sist em
Inform ation Security Managem ent Policy | J uni 20 0 9
7
•
Buat perj anj ian yang mengikat dengan produk sof t ware yang dibeli, j ika
nant i dit emukan masalah dapat menghubungi call cent ernya
•
Buat at uran t ent ang bagaimana j ika t erj adi t rouble sist em pada saat
inst alasi sof t ware t hird-part y
•
d.
Lakukan t raining dan sosialisai t ent an kebij akan dan met ode ini
Network security management , Dalam at uran ini akan melindungi semua inf ormasi
pada j aringan dan pada support ing net work inf rast ruct ure.
•
Buat at uran t ent ang “ push inf ormat ion” ke level manaj emen unt uk
perf ormance net work
•
Buat lah t ampilan unt uk memonit or net work baik dari sisi perangkat at au
akses user, hal ini berguna unt uk membuat report
•
Membuat dokument asi gambar-gambar t opology net work
•
Mengat ur j angan sampai inf ormasi-inf ormasi sensit ive inf rast ruct ure
net work dari akses public, hal ini unt uk memperkecil kasus social
engineering
•
At urlah t ent ang pengumpulan logging t ermasuk akt ivit as keamanan
•
Lakukan koordinasi dengan pihak lain (konsult an, CERT, ID-SIRTI, dan
lain-lain)
•
Implement asikan layanan net work, sepert i aut hent icat ion, encrypt ion
dan koneksi cont rol
•
Buat
kerj asama
dengan
penyelenggara
sist em
keamanan
sepert i
penggunaan digit al cert if icat e, kunci public, sist em OTP dan sebagainya
•
Buat cont rol akses ke inf rast rukt ru net work t ermasuk akses wireless,
akses dat a, at au lainnya yang berhubungan dengan inf ormasi dan dat a
•
At uran t ent ang prot eksi pert ukaran inf ormasi dari int ercept ion, copying,
modif icat ion, mis-rout ing
•
Pada saat dat a disimpan secara physical buat lah at uran yang baku
t ent ang
packaging,
locked
cont ainer,
t emper-evident
t angging,
penomeran locker, surat pengant ar dan recording hist orinya.
•
Buat at uran t ent ang penggunaan elect ronic messaging (email, IM, audiovideo conf erence, dan sebagainya), misalnya t ent ang pembat asan akses,
at t achment f ile, t ransmit f ile, yang berhubungan dengan pengaruh pada
sist em keamanan
•
Jika dimungkinkan t et apkan unt uk penggunaan kunci public dengan PGP
at au sist em keamanan lainnya unt uk proses email
Inform ation Security Managem ent Policy | J uni 20 0 9
8
•
Jika menggunakan layanan e-commerce, buat lah at uran layanan dengan
pihak lain (aut horit y securit y at au banking) dan perhat ikan penggunaan
aplikasi yang digunakn
e.
Monitoring,
dalam kat egori
ini
akt ivit as proses menj adi
perhat ian ut ama,
diant aranya ;
•
Buat t eam NMC (Net work Monit oring Cent er) unt uk memant au t raf f ic,
akt ivit as di j aringan dan inf rast rukt ur yang memant au secara t erusmenurs 24 j am
•
Team NMC dibawah t anggung j awab depart emen t eknis, NMC sangat
berperan dalam menget ahui akt ivit as secara dini baik anomaly, serangan
at au f ailure dari sist em yang berj alan
•
Buat sist em t icket ing unt uk pengant rian gangguan di helpdesk, hal ini
unt uk meningkat kan layanan
•
Buat sist em monit oring secara menyeluruh unt uk mengat ahui semua
proses dan akt ivit as yang t erj adi di j aringan, dengan prot ocol SNMP dan
beberapa aplikasi st andar dapat memberikan inf ormasi yang det ail
•
Lakukan monit oring secara keseluruhan (rout er, swit ching, server, last
miles, resources hardware dan devices lainnya)
•
Bila perlu int egrasikan monit oring ke sist em lainnya misalnya sms, email,
dan aplikasi mobile lainnya
•
Buat at uran unt uk memprot eksi Logging akses dan proses, lakukan
recording unt uk set iap log dari administ rat or sampai dengan operat or,
Fault logging, hal ini j uga unt uk mendukung dari j ob desk ID-SIRTI.
•
Aut omat i c Lock, at uran yang memungkinkan penguncian sist em secara
ot omat is, j ika t erj adi misalkan penulisan password yang salah sebanyak
t iga kali. Ini sangat berguna unt uk user yang bisa login ke server.
•
Check Log admi nst r asi secara priodik dengan melakukan checking semua
akt ivit as sist em comput er baik dari sisi akses ke user, j alannya daemon
sist em, dan akses user ke sist em.
•
Lakukan review log dengan mencocokan policy pada mesin f irewall at au
IDS
•
Lakukan clock synchronizat ion t erut ama j ika mempunyai banyak server di
banyak t empat unt uk menghindari kesalahan prosedur pada sist em.
Inform ation Security Managem ent Policy | J uni 20 0 9
9
8.
Access control, bagian ini hendaknya membuat at uran t ent ang akses ke inf ormasi, f asilit as
proses inf ormasi dan business process.
•
Membuat at uran t ent ang akses ke sist em inf ormasi
•
Membuat baku t ent ang f ormat perset uj uan, penolakan dan administ rasi
•
User Regist rasi, perlu dibuat
unt uk mengimplement asikan prosedur
regist rasi, grat ing dan revoking access ke semya sist em dan layanan
inf ormasi
•
Buat account dengan unik unt uk semua ID user
•
Buat at uran t ent ang pemberit ahuan admin kepada user t ent ang
permasalahan pada sist em account
•
Buat st andart unt uk “ t erm and condit ion” dan conf ident ialit y agreement
•
Buat st andar dokument asi unt uk menyimpan semua inf ormasi user agar
mudah di rest orasi
•
Account , apakah sebuah account dapat digunakan bersama, disaat
account nya dit olak apa yang harus dilakukan oleh user. Account yang
expired sepert i keluarnya pegawai / resign yang dahulu mendapat kan hak
akses ke server sepert i account mail, account web at au quot a di server
unt uk menyimpan dat anya harus segera dihapus set elah pegawai t ersebut
resmi resign dari perusahaan.
•
Aut omat i c Lock, at uran yang memungkinkan penguncian sist em secara
ot omat is, j ika t erj adi misalkan penulisan password yang salah sebanyak
t iga kali. Ini sangat berguna unt uk user yang bisa login ke server.
•
Gant i password secara berkala (admin & user) dan dokument asikan,
Password yang baik selain t erdiri dari karakt er dan angka j uga
panj angnya, ada baiknya password digant i secara berkala misalnya 1
bulan sekali dan di dokument asikan
•
New account s, membat asi user baru dengan quot a, memory dan akses
besert a hak yang dimilikinya
•
Bat asi ruang lingkup user dengan menerapkan quot a, j am akses, hak
akses inst alasi di PC at au server dan sebagainya
•
Root Secur i t y, sist em administ rasi dengan menggunakan remot e sist em
harus melalui j aringan yang aman, misalnya VPN, SSL, at au SSH. Dibuat
at uran dimana set iap user yang akan login ke server dengan account root
at au super user harus login dengan user biasa dulu baru pindah ke user
root .
Inform ation Security Managem ent Policy | J uni 20 0 9
10
•
Buat at uran t ent ang net work rout ing cont rol, past ikan algort ima yang
digunakan benar dan link ke rout ing dapat dipercaya, perhat ikan hop
rout ing, lat ency dan prot ocol yang digunaka
9.
Information systems acquisition, development and maintenance, pada bagian ini akan
membicarakan t ent ang at uran bagian dari sist em inf ormasi, dan proses bisnis yang
merupakan bagian dari kegiat an sist em yang berlangsung.
a.
Security Requirement of information system & application, menyangkut t ent ang
sist em inf ormasi secara keseluruhan
•
Membuat at uran t ent ang legalit as t ent ang asset inf ormasi pada
perubahan at au implement asi sist em yang baru.
•
Membuat at uran t ent ang dat a input pada aplikasi unt uk memast ikan
kebenaran dat a t ersebut
•
Membuat at uran t ent ang pemeriksaan ulang dan manual unt uk
memverif ikasi dan cross checking
•
Hal ini sebagian dari penanggulangan inj ect ion pada serangan yang akan
dilakukan pada sist em yang dibangun dengan memanf aat kan celah yang
ada.
•
Membuat def inisi unt uk t anggung-j awab dan proses unt uk merespon pada
saat t erj adi at au mendet eksi errors.
•
Memperhat ikan t ent ang out put dat a dengan memvalidasi unt uk
memast ikan dat a yang diproses dan disimpan adalah benar
•
Gunakan met ode enkripsi kript ographi t ert ent u unt uk menj amin
keamanan, int egrasi dan ot ent ikasi inf ormasi dengan menggunakan
aplikasi yang mendukungnya
b.
Security Systems, menj amin sist em f ile yang ada,
•
Membuat prosedur implement asi unt uk mengont rol inst alasi sof t ware
•
Minimalkan t erj adinya konf lik / inkompat ibel ant ara perangkat lunak
dengan sist em operasi dan perangkat keras
•
Melakukan t raining unt uk mensosialisasikan sist em yang t elah dibuat
•
Membuat prosedur t ent ang bagaimana perubahan yang akan dilakukan
Inform ation Security Managem ent Policy | J uni 20 0 9
11