• mengidentifikasi triad keamanan informasi;

Karena komputer dan perangkat digital lainnya menjadi penting bagi bisnis dan perdagangan, perangkat tersebut juga semakin menjadi target serangan. Agar perusahaan atau individu dapat menggunakan perangkat komputasi dengan percaya diri, pertama-tama mereka harus yakin bahwa perangkat tersebut tidak disusupi dengan cara apa pun dan bahwa semua komunikasi akan aman. Dalam bab ini, kita akan meninjau konsep dasar keamanan sistem informasi dan mendiskusikan beberapa tindakan yang dapat diambil untuk memitigasi ancaman keamanan. Kita akan mulai dengan tinjauan yang berfokus pada bagaimana organisasi dapat tetap aman. Beberapa tindakan berbeda yang dapat diambil perusahaan untuk meningkatkan keamanan akan dibahas. Kami kemudian akan menindaklanjuti dengan meninjau tindakan pencegahan keamanan yang dapat dilakukan individu untuk mengamankan lingkungan komputasi pribadi mereka.

Saat melindungi informasi, kami ingin membatasi akses bagi mereka yang diizinkan untuk melihatnya; semua orang tidak boleh

mempelajari apa pun tentang isinya. Inilah inti dari kerahasiaan. Misalnya, undang-undang federal mengharuskan universitas membatasi akses terhadap

informasi pribadi mahasiswa. Universitas harus memastikan bahwa hanya mereka yang berwenang yang memiliki akses untuk

melihat catatan nilai.

Setelah berhasil menyelesaikan bab ini, Anda akan dapat:

Kerahasiaan

• mengamankan diri Anda secara digital.

Integritas adalah jaminan bahwa informasi yang diakses tidak diubah dan benar-benar mewakili apa yang dimaksudkan.

Sama seperti orang yang berintegritas berarti apa yang dia katakan dan dapat dipercaya untuk mewakili kebenaran secara konsisten, integritas informasi berarti informasi benar-benar mewakili maksudnya.

Integritas

• mengidentifikasi dan memahami konsep tingkat tinggi seputar alat keamanan informasi; Dan

Triad Keamanan Informasi:

Tujuan pembelajaran

Kerahasiaan, Integritas, Ketersediaan (CIA) Perkenalan

64

David T. Borjuis

URL Saylor: http://www.saylor.org/courses/bus206 Dikaitkan kepada: David T. Bourgeois, Ph.D.

saylor.org

Untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi, organisasi dapat memilih dari berbagai alat. Masing-masing alat ini dapat digunakan sebagai bagian dari kebijakan keamanan informasi secara keseluruhan, yang akan dibahas pada bagian

selanjutnya.

Satu-satunya cara untuk mengautentikasi dengan benar adalah dengan mengetahui kode dan memiliki perangkat RSA.

Autentikasi

Cara paling umum untuk mengidentifikasi seseorang adalah melalui penampilan fisiknya, namun bagaimana kita mengidentifikasi seseorang yang duduk di belakang layar komputer atau di ATM? Alat autentikasi digunakan untuk memastikan bahwa orang yang mengakses informasi tersebut memang benar-benar orang yang menampilkan dirinya.

arti. Informasi dapat kehilangan integritasnya karena niat jahat, seperti ketika seseorang yang tidak berwenang melakukan perubahan dengan sengaja memberikan gambaran yang salah tentang sesuatu. Contohnya adalah ketika seorang hacker disewa untuk masuk ke sistem universitas dan mengubah nilai.

Otentikasi dapat dicapai dengan mengidentifikasi seseorang melalui satu atau lebih dari tiga faktor: sesuatu yang mereka ketahui, sesuatu yang mereka miliki, atau sesuatu tentang diri mereka. Misalnya, bentuk otentikasi yang paling umum saat ini adalah ID pengguna dan kata sandi. Dalam hal ini, otentikasi dilakukan dengan mengkonfirmasi sesuatu yang diketahui pengguna (ID

dan kata sandinya). Namun bentuk autentikasi ini mudah untuk dikompromikan (lihat sidebar) dan terkadang diperlukan bentuk autentikasi yang lebih kuat. Mengidentifikasi seseorang hanya dengan sesuatu yang mereka miliki, seperti kunci atau kartu, juga bisa menjadi masalah. Ketika token pengenal tersebut hilang atau dicuri, identitas dapat dengan mudah dicuri. Faktor terakhir, siapa diri Anda sebenarnya, jauh lebih sulit untuk dikompromikan.

Integritas juga dapat hilang secara tidak sengaja, misalnya ketika lonjakan daya komputer merusak file atau

Faktor ini mengidentifikasi pengguna melalui penggunaan karakteristik fisik, seperti pemindaian mata atau sidik jari.

seseorang yang berwenang untuk melakukan perubahan secara tidak sengaja menghapus file atau memasukkan informasi yang salah.

Mengidentifikasi seseorang melalui ciri-ciri fisiknya disebut biometrik.

Ketersediaan

Cara yang lebih aman untuk mengautentikasi pengguna adalah dengan melakukan autentikasi multifaktor. Dengan menggabungkan dua atau lebih Ketersediaan informasi adalah bagian ketiga dari triad CIA. Ketersediaan berarti bahwa informasi dapat diakses dan dimodifikasi oleh siapa pun yang berwenang untuk melakukannya dalam jangka waktu yang tepat. Tergantung pada jenis informasinya,

jangka waktu yang tepat dapat mempunyai arti yang berbeda-beda. Misalnya, seorang pedagang saham memerlukan informasi untuk segera tersedia, sementara staf penjualan mungkin dengan senang hati mendapatkan nomor penjualan untuk hari itu dalam laporan keesokan paginya. Perusahaan seperti Amazon.com mengharuskan server mereka tersedia dua puluh empat jam sehari, tujuh hari seminggu. Perusahaan lain mungkin tidak akan menderita jika server web mereka mati selama beberapa menit sesekali.

Dari faktor-faktor yang disebutkan di atas, semakin sulit bagi seseorang untuk salah menggambarkan dirinya sendiri.

Contohnya adalah penggunaan token RSA SecurID. Perangkat RSA adalah sesuatu yang Anda miliki, dan akan menghasilkan kode akses baru setiap enam puluh detik. Untuk masuk ke sumber informasi menggunakan perangkat RSA, Anda menggabungkan sesuatu yang Anda ketahui, PIN empat digit, dengan kode yang dihasilkan oleh perangkat.

Alat untuk Keamanan Informasi

Keamanan IS 65

URL Saylor: http://www.saylor.org/courses/bus206 Dikaitkan kepada: David T. Bourgeois, Ph.D.

saylor.org

Setelah pengguna diautentikasi, langkah selanjutnya adalah memastikan bahwa mereka hanya dapat mengakses sumber informasi yang sesuai. Hal ini dilakukan melalui penggunaan kontrol akses. Kontrol akses menentukan pengguna mana yang diberi wewenang untuk membaca, mengubah, menambah, dan/atau menghapus informasi. Ada beberapa model kontrol akses yang berbeda. Di sini kita akan membahas dua: daftar kendali akses (ACL) dan kendali akses berbasis peran (RBAC).

ACL mudah dipahami dan dipelihara. Namun, mereka mempunyai beberapa kelemahan. Kelemahan utamanya adalah setiap sumber informasi dikelola secara terpisah, jadi jika administrator keamanan ingin menambah atau menghapus pengguna ke kumpulan sumber informasi yang besar, hal ini akan cukup sulit. Dan seiring bertambahnya jumlah pengguna dan sumber daya, pemeliharaan ACL menjadi lebih sulit. Hal ini menghasilkan metode kontrol akses yang lebih baik, yang disebut kontrol akses berbasis peran, atau RBAC. Dengan RBAC, alih-alih memberikan hak akses kepada pengguna tertentu ke sumber informasi, pengguna ditetapkan ke peran dan kemudian peran tersebut diberi akses. Hal ini memungkinkan administrator untuk mengelola pengguna dan peran secara terpisah, menyederhanakan administrasi dan, lebih jauh lagi, meningkatkan keamanan.

Seringkali, suatu organisasi perlu mengirimkan informasi melalui Internet atau mentransfernya pada media eksternal seperti CD atau flash drive. Dalam kasus ini, bahkan dengan otentikasi dan kontrol akses yang tepat, masih ada kemungkinan bagi orang

yang tidak berwenang untuk mendapatkan akses ke data. Enkripsi adalah proses pengkodean data pada transmisi atau penyimpanannya sehingga hanya individu yang berwenang yang dapat membacanya. Pengkodean ini dilakukan oleh

program komputer, yang mengkodekan teks biasa yang perlu dikirim; kemudian penerima menerima teks sandi dan menerjemahkannya (dekripsi). Agar ini berhasil, pengirim dan penerima harus menyepakati metode pengkodean sehingga kedua belah pihak dapat

berkomunikasi dengan baik. Kedua belah pihak berbagi kunci enkripsi, memungkinkan mereka untuk menyandikan dan

mendekode pesan satu sama lain. Ini disebut simetri Jenis enkripsi ini bermasalah karena kuncinya tersedia di dua tempat berbeda.

Untuk setiap sumber informasi yang ingin dikelola oleh organisasi, daftar pengguna yang memiliki kemampuan untuk mengambil tindakan tertentu dapat dibuat. Ini adalah daftar kontrol akses, atau ACL. Untuk setiap pengguna, kemampuan tertentu ditetapkan, seperti membaca, menulis, menghapus, atau menambah. Hanya pengguna dengan kemampuan tersebut yang diizinkan untuk melakukan fungsi tersebut. Jika pengguna tidak ada dalam daftar, mereka tidak memiliki kemampuan untuk mengetahui bahwa sumber informasi tersebut ada.

Kontrol akses

Alternatif enkripsi kunci simetris adalah enkripsi kunci publik. Dalam enkripsi kunci publik, dua kunci digunakan: kunci publik dan kunci privat. Untuk mengirim pesan terenkripsi, Anda memperoleh kunci publik, menyandikan pesan, dan mengirimkannya. Penerima kemudian menggunakan kunci pribadi untuk memecahkan kodenya. Kunci publik dapat diberikan kepada siapa saja yang ingin mengirimkan pesan kepada penerimanya. Setiap pengguna hanya memerlukan satu kunci pribadi dan

Enkripsi

Perbandingan ACL dan RBAC (klik untuk memperbesar) 66 Sistem Informasi untuk Bisnis dan Lainnya

URL Saylor: http://www.saylor.org/courses/bus206 Dikaitkan kepada: David T. Bourgeois, Ph.D.

saylor.org

menemukan bahwa tiga kata sandi teratas yang digunakan orang pada tahun 2012 adalah kata sandi, 123456 dan 12345678. Kata sandi tidak boleh menjadi sederhana, atau kata yang dapat ditemukan dalam kamus. Salah satu hal pertama yang dilakukan peretas adalah mencoba memecahkan kata sandi

Keamanan IS 67

Bilah Samping: Keamanan Kata Sandi

saylor.org URL Saylor: http://www.saylor.org/courses/bus206

Dikaitkan kepada: David T. Bourgeois, Ph.D.

Enkripsi kunci publik (klik untuk diagram lebih besar)

kata sandi terburuk-masih-yang-paling-umum/ pada tanggal 15 Mei 2013.

1. "Lahir untuk dilanggar" oleh Sean Gallagher pada 3 November 2012. Arstechnica. Diperoleh dari http://arstechnica.com/information-technology/2012/11/born-to-be-breached-the mengetahui bahwa autentikasi satu faktor ini sangat mudah untuk dikompromikan. Kebijakan kata sandi yang baik harus diterapkan

untuk memastikan bahwa kata sandi tidak dapat dibobol. Di bawah ini adalah beberapa di antaranya

• Memerlukan kata sandi yang rumit. Salah satu alasan mengapa kata sandi dibobol adalah karena kata sandi tersebut mudah ditebak. Penelitian baru-baru ini kebijakan umum yang harus diterapkan oleh organisasi.

Jadi mengapa hanya menggunakan ID pengguna/kata sandi sederhana tidak dianggap sebagai metode otentikasi yang aman? Itu berputar satu kunci publik untuk mengamankan pesan. Kunci privat diperlukan untuk mendekripsi sesuatu yang dikirim dengan kunci publik.

1

• Penyimpanan set data cadangan di luar lokasi. Jika semua data cadangan disimpan di fasilitas yang sama dengan salinan aslinya cari tahu dengan bertanya kepada pengguna atau administrator. Pretexting terjadi ketika penyerang memanggil helpdesk atau keamanan

data tersebut, maka peristiwa tunggal, seperti gempa bumi, kebakaran, atau angin puting beliung, akan menghilangkan data asli dan data tersebut administrator dan berpura-pura menjadi pengguna resmi tertentu yang mengalami masalah saat masuk. Kemudian, dengan memberikan beberapa

• Pemahaman penuh tentang sumber informasi organisasi. Informasi apa yang sebenarnya dimiliki organisasi?

cadangan! Penting bahwa bagian dari rencana pencadangan adalah menyimpan data di lokasi luar lokasi.

informasi pribadi tentang pengguna yang berwenang, penyerang meyakinkan petugas keamanan untuk mengatur ulang kata sandi dan memberi tahu

Di mana itu disimpan? Beberapa data mungkin disimpan di server organisasi, data lainnya di hard drive pengguna, dan beberapa di dengan menguji setiap istilah dalam kamus! Sebaliknya, kebijakan kata sandi yang baik adalah yang memerlukan penggunaan minimal

dia apa itu. Cara lain yang dapat membuat karyawan tertipu untuk memberikan kata sandinya adalah melalui phishing email.

cloud, dan beberapa di situs pihak ketiga. Organisasi harus membuat inventarisasi lengkap atas semua informasi yang diperlukan delapan karakter, dan setidaknya satu huruf besar, satu karakter khusus, dan satu angka.

Phishing terjadi ketika pengguna menerima email yang sepertinya berasal dari sumber tepercaya, misalnya bank, atau

dicadangkan dan menentukan cara terbaik untuk mencadangkannya.

• Ubah kata sandi secara teratur. Penting bagi pengguna untuk mengubah kata sandi mereka secara teratur. Pengguna harus berubah

pemberi pekerjaan. Dalam email tersebut, pengguna diminta untuk mengklik link dan login ke situs web yang meniru situs web asli dan

• Pencadangan rutin semua data. Frekuensi pencadangan harus didasarkan pada seberapa penting data tersebut bagi perusahaan,

kata sandi mereka setiap enam puluh hingga sembilan puluh hari, memastikan bahwa kata sandi apa pun yang mungkin dicuri atau ditebak tidak akan terjadi

masukkan ID dan kata sandi mereka, yang kemudian ditangkap oleh penyerang.

dikombinasikan dengan kemampuan perusahaan untuk mengganti data apa pun yang hilang. Sementara itu, data penting harus dicadangkan setiap hari dapat digunakan untuk melawan perusahaan.

data yang kurang penting dapat dicadangkan setiap minggu.

• Melatih karyawan untuk tidak memberikan kata sandi. Salah satu metode utama yang digunakan untuk mencuri kata sandi adalah dengan cara sederhana

Konsep tambahan terkait pencadangan mencakup hal berikut:

Selain pertimbangan-pertimbangan ini, organisasi juga harus memeriksa operasi mereka untuk menentukan dampak downtime terhadap bisnis mereka. Jika teknologi informasi mereka tidak tersedia untuk jangka waktu tertentu, apa dampaknya terhadap bisnis?

Tidak hanya data di server perusahaan yang harus dicadangkan, namun komputer individual yang digunakan di seluruh organisasi juga harus dicadangkan. Rencana pencadangan yang baik harus terdiri dari beberapa komponen.

kepercayaan pada rencana cadangan.

Alat penting lainnya untuk keamanan informasi adalah rencana pencadangan komprehensif untuk seluruh organisasi.

dari data yang dipulihkan. Ini akan memastikan bahwa prosesnya berjalan dan akan memberikan manfaat bagi organisasi Cadangan

• Uji pemulihan data. Secara teratur, cadangan harus diuji dengan memiliki beberapa cadangan 68 Sistem Informasi untuk Bisnis dan Selebihnya

URL Saylor: http://www.saylor.org/courses/bus206 Dikaitkan kepada: David T. Bourgeois, Ph.D.

saylor.org

Beberapa organisasi mungkin memilih untuk menerapkannya memfilter paket berdasarkan seperangkat aturan. Firewall perangkat lunak berjalan pada sistem operasi dan mencegat paket saat paket tersebut tiba di komputer. Firewall melindungi semua server dan komputer perusahaan dengan menghentikan paket dari luar jaringan organisasi yang tidak memenuhi kriteria ketat. Firewall juga dapat dikonfigurasi untuk membatasi aliran paket yang meninggalkan organisasi.

beberapa firewall sebagai bagian dari konfigurasi keamanan jaringan mereka, menciptakan satu atau lebih bagian dari jaringan mereka yang diamankan sebagian. Segmen jaringan ini disebut sebagai

DMZ, meminjam istilah zona demiliterisasi dari istilah militer, dan di sinilah sebuah organisasi dapat menempatkan sumber daya yang memerlukan akses lebih luas namun tetap perlu diamankan.

Hal ini mungkin dilakukan untuk menghilangkan kemungkinan karyawan menonton video YouTube atau menggunakan Facebook dari komputer perusahaan.

Metode lain yang harus digunakan organisasi untuk meningkatkan keamanan pada jaringannya adalah firewall. Firewall dapat berupa perangkat keras atau perangkat lunak (atau keduanya). Firewall perangkat keras adalah perangkat yang terhubung ke jaringan dan

Keamanan IS 69

Firewall

memungkinkan mereka untuk tetap online lebih lama dan/atau mengizinkan staf TI untuk mematikannya menggunakan prosedur yang tepat

selalu diperbarui. Ketika situs utama down, situs pengganti langsung dihadirkan online sehingga sedikit mencegah hilangnya data yang mungkin terjadi akibat kegagalan daya.

atau tidak ada downtime yang dialami.

URL Saylor: http://www.saylor.org/courses/bus206 Dikaitkan kepada: David T. Bourgeois, Ph.D.

saylor.org

• Catu Daya Universal (UPS). UPS adalah perangkat yang menyediakan cadangan baterai ke komponen penting sistem,

Teknologi seperti jaringan area penyimpanan dan sistem kearsipan kini digunakan oleh sebagian besar bisnis besar.

Perangkat lain yang dapat ditempatkan pada jaringan untuk tujuan keamanan adalah sistem deteksi intrusi, atau IDS. IDS tidak menambahkan keamanan tambahan apa pun; sebaliknya, ia menyediakan fungsionalitas untuk mengidentifikasi apakah jaringan sedang diserang. IDS dapat dikonfigurasi untuk mengawasi jenis aktivitas tertentu dan kemudian memperingatkan personel keamanan jika aktivitas tersebut terjadi. IDS juga dapat mencatat berbagai jenis lalu lintas di jaringan untuk dianalisis nanti. IDS adalah bagian penting dari setiap pengaturan keamanan yang baik.

• Situs alternatif atau “panas”. Beberapa organisasi memilih untuk memiliki situs alternatif yang merupakan replika data penting mereka

Karena informasi telah menjadi aset strategis, seluruh industri bermunculan seputar teknologi yang diperlukan untuk menerapkan strategi cadangan yang tepat. Perusahaan dapat membuat kontrak dengan penyedia layanan untuk mencadangkan semua datanya atau mereka dapat membeli ruang

penyimpanan online dalam jumlah besar dan melakukannya sendiri.

Sistem Deteksi Intrusi

Konfigurasi jaringan dengan firewall, IDS, dan DMZ.

Klik untuk memperbesar.

Bilah Samping: Jaringan Pribadi Virtual

Kebijakan Keamanan

• Pemantauan lingkungan: Server organisasi dan peralatan bernilai tinggi lainnya harus selalu disimpan di dalam ruangan

Sebuah organisasi dapat menerapkan skema otentikasi terbaik di dunia, mengembangkan kontrol akses terbaik, dan memasang firewall dan pencegahan intrusi, namun keamanannya tidak dapat lengkap tanpa penerapan keamanan fisik. Keamanan fisik adalah perlindungan komponen perangkat keras dan jaringan sebenarnya yang menyimpan dan mengirimkan sumber daya informasi. Untuk menerapkan keamanan fisik, organisasi harus mengidentifikasi semua sumber daya yang rentan dan mengambil tindakan untuk memastikan bahwa sumber daya tersebut tidak dapat dirusak atau dicuri secara fisik. Langkah- langkah tersebut antara lain sebagai berikut.

• Pintu terkunci: Ini mungkin tampak jelas, namun semua keamanan di dunia ini tidak ada gunanya jika penyusup bisa masuk begitu saja dan

• Pelatihan karyawan: Salah satu cara paling umum yang dilakukan pencuri untuk mencuri informasi perusahaan adalah dengan mencuri laptop karyawan saat karyawan bepergian. Karyawan harus dilatih untuk mengamankan peralatan mereka

Dengan menggunakan firewall dan teknologi keamanan lainnya, organisasi dapat secara efektif melindungi banyak sumber informasi mereka dengan menjadikannya tidak terlihat oleh dunia luar. Namun bagaimana jika karyawan yang bekerja dari rumah memerlukan akses ke beberapa sumber daya ini? Apa

• Deteksi intrusi fisik: Aset informasi bernilai tinggi harus dipantau melalui penggunaan kamera keamanan dan

setiap kali mereka jauh dari kantor.

jika seorang konsultan dipekerjakan, siapa yang perlu melakukan pekerjaan di jaringan internal perusahaan dari lokasi yang jauh? Dalam kasus ini, jaringan pribadi virtual (VPN) diperlukan.

VPN memungkinkan pengguna yang berada di luar jaringan perusahaan untuk mengambil jalan memutar di sekitar firewall dan mengakses jaringan internal dari luar. Melalui kombinasi perangkat lunak dan langkah-langkah keamanan, hal ini memungkinkan organisasi mengizinkan akses terbatas

• Peralatan yang diamankan: Perangkat harus dikunci untuk mencegahnya dicuri. Hard drive seorang karyawan

Selain pengendalian teknis yang tercantum di atas, organisasi juga perlu menerapkan kebijakan keamanan sebagai bentuk pengendalian administratif.

Faktanya, kebijakan-kebijakan ini seharusnya menjadi titik awal dalam mengembangkan rencana keamanan secara keseluruhan. Kebijakan keamanan informasi yang baik memberikan pedoman bagi karyawan dalam menggunakan sumber daya informasi perusahaan dan memberikan jalan lain bagi perusahaan ke jaringannya sekaligus memastikan keamanan secara keseluruhan.

jika ada karyawan yang melanggar kebijakan.

Keamanan fisik

saylor.org URL Saylor: http://www.saylor.org/courses/bus206

Dikaitkan kepada: David T. Bourgeois, Ph.D.

70 Sistem Informasi untuk Bisnis dan Selebihnya

mengakses.

cara lain untuk mendeteksi akses tidak sah ke lokasi fisik di mana akses tersebut berada.

dapat berisi semua informasi pelanggan Anda, jadi sangat penting untuk mengamankannya.

rentang yang ditentukan.

melepas perangkat komputasi secara fisik. Aset informasi yang bernilai tinggi harus diamankan di lokasi yang terbatas

yang dipantau suhu, kelembaban, dan aliran udara. Risiko kegagalan server meningkat ketika faktor-faktor ini keluar dari a

Kebijakan “Peraturan dan Tanggung Jawab Komputer” Universitas, yang dapat ditemukan di sini.

Ketika seorang karyawan memiliki izin untuk mengakses dan menyimpan data perusahaan di perangkatnya, ancaman keamanan yang berbeda akan muncul: perangkat tersebut kini menjadi sasaran pencuri. Pencurian perangkat seluler (dalam hal ini, termasuk laptop) adalah salah satu metode utama yang digunakan pencuri data.

Sumber yang bagus untuk mempelajari lebih lanjut tentang kebijakan keamanan adalah Halaman Kebijakan Keamanan Informasi dari SANS Institute .

Perangkat seluler dapat menimbulkan banyak tantangan keamanan unik bagi suatu organisasi. Mungkin salah satu kekhawatiran terbesar adalah pencurian kekayaan intelektual. Bagi karyawan dengan niat jahat, menghubungkan perangkat seluler ke komputer melalui port USB, atau secara nirkabel ke jaringan perusahaan, dan mengunduh data rahasia akan menjadi proses yang sangat sederhana. Mengambil gambar berkualitas tinggi secara diam-diam juga akan mudah menggunakan kamera internal.

Sebuah kebijakan tidak memaparkan rincian teknis secara spesifik, namun berfokus pada hasil yang diinginkan. Kebijakan keamanan harus didasarkan pada prinsip-prinsip kerahasiaan, integritas, dan ketersediaan.2

Kebijakan keamanan juga harus memperhatikan peraturan pemerintah atau industri yang berlaku pada organisasi. Misalnya, jika

organisasinya adalah universitas, maka organisasi tersebut harus mengetahui Undang-Undang Hak Pendidikan dan Privasi Keluarga (FERPA), yang membatasi siapa saja yang memiliki akses terhadap informasi mahasiswa. Organisasi layanan kesehatan diwajibkan untuk mengikuti beberapa peraturan, seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA).

Membuat kebijakan BYOD (“Bawa Perangkat Anda Sendiri”) memungkinkan karyawan untuk mengintegrasikan diri mereka secara lebih penuh ke dalam pekerjaan mereka dan dapat meningkatkan kepuasan dan produktivitas karyawan. Dalam banyak kasus, hampir mustahil untuk mencegah karyawan memiliki ponsel pintar atau iPad di tempat kerja. Jika organisasi menyediakan perangkat tersebut kepada karyawannya, organisasi tersebut memperoleh

kendali lebih besar atas penggunaan perangkat tersebut, namun organisasi tersebut juga rentan terhadap kemungkinan terjadinya kekacauan administratif (dan memakan biaya).

mencakup keyakinan umum, tujuan, sasaran, dan prosedur yang dapat diterima organisasi untuk bidang subjek tertentu.” Kebijakan memerlukan kepatuhan; kegagalan untuk mematuhi kebijakan akan mengakibatkan tindakan disipliner.

Menurut studi SANS tahun 2013, organisasi harus mempertimbangkan pengembangan kebijakan perangkat seluler yang mengatasi masalah berikut:

penggunaan kamera, penggunaan rekaman suara, pembelian aplikasi, enkripsi saat tidak aktif, pengaturan koneksi otomatis Wi-Fi, pengaturan bluetooth, penggunaan VPN, pengaturan kata sandi, pelaporan perangkat yang hilang atau dicuri, dan pencadangan.

Menurut SANS Institute, kebijakan yang baik adalah “pernyataan atau rencana yang formal, singkat, dan tingkat tinggi

Seiring dengan semakin menjamurnya penggunaan perangkat seluler seperti ponsel cerdas dan tablet, organisasi harus siap mengatasi masalah keamanan unik yang ditimbulkan oleh penggunaan perangkat ini. Salah satu pertanyaan pertama yang harus dipertimbangkan oleh suatu organisasi adalah

apakah akan mengizinkan perangkat seluler di tempat kerja. Banyak karyawan yang sudah memiliki perangkat tersebut, sehingga pertanyaannya menjadi: Haruskah kita mengizinkan karyawan membawa perangkat mereka sendiri dan menggunakannya sebagai bagian dari aktivitas kerja mereka? Atau haruskah kita menyediakan perangkat tersebut kepada karyawan kita?

Jadi apa yang bisa dilakukan untuk mengamankan perangkat seluler? Ini akan dimulai dengan kebijakan yang baik mengenai penggunaannya.

Bilah Samping: Keamanan Seluler

URL Saylor: http://www.saylor.org/courses/bus206 Dikaitkan kepada: David T. Bourgeois, Ph.D.

saylor.org 2. Institut SANS. "Pedoman Singkat untuk Mengembangkan Kebijakan Keamanan." Diakses dari http://www.sans.org/security-resources/policies/

Contoh kebijakan keamanan yang baik dan familiar bagi banyak orang adalah kebijakan penggunaan web. Kebijakan penggunaan web menjabarkan tanggung jawab Keamanan IS 71

Policy_Primer.pdf pada tanggal 31 Mei 2013.

karyawan perusahaan saat mereka menggunakan sumber daya perusahaan untuk mengakses Internet. Contoh bagus dari kebijakan penggunaan web disertakan di Harvard

3