Bab 18 – Manajemen Keamanan Informasi dan Manajemen Akses

Pendahuluan dan Jangkauan

Keamanan data dan informasi adalah kepentingan vital bagi banyak organisasi dan itu adalah keputusan bisnis seperti informasi apa yang harus dilindungi dan dalam tingkat yang seperti apa. Pendekatan bisnis pada perlindungan dan penggunan data harus ditempatkan di dalam kebijakan keamanan yang dimana semua orang di dalam organisasi harus mempunyai akses dan isi yang disadari oleh setiap orang itu. Sistem ditempatkan untuk menjalankan kebijakan keamanan dan memastikan bahwa tujuan keamanan IT bisnis sudah tercapai yang disebut sebagai sistem manajemen keamanan informasi (information security management system [ISMS]). Manajemen keamanan informasi mendukung penguasaan perusahaan dengan memastikan bahwa resiko keamanan informasi ditangani dengan baik.

Manajemen kemanan informasi dan manajemen akses adalah proses terpisah dalam ITIL, dalam bagian lain dari siklus hidup pelayanan tapi akan tercakup dalam bab ini karena kegunaan umumnya.

 

Kegunaan dan Tujuan

Dua proses ini, manajemen keamanan informasi dan manajemen akses mempunyai tujuan umum yang masing-masing dipusatkan dalam memastikan bahwa hanya orang yang benar lah yang dapat melihat informasi, tetapi manajemen keamanan informasi, yang menjadi bagian penting dalam kerangka penguasaan, mempunyai pengiriman yang lebih luas.

Tujuan dari manajemen keamanan informasi adalah untuk memasitikan bahwa keamanan IT konsisten dengan keamanan bisnis, memastikan bahwa keamanan informasi telah diatur di semua pelayanan dan aktivitas manajemen pelayanan secara efektif dan sumber daya informasi mempunyai pengurus yang efektif dan digunakan dengan baik. Ini termasuk identifikasi dan manajemen resiko keamanan informasi.

Kegunaan manajemen keamanan informasi adalah yang utamanya menjadi titik fokus untuk semua aktivitas manajemen yang menitik beratkan pada kamanan informasi. Ini tidak hanya tentang melindungi sumber daya informasi sekarang. Ini tentang menempatkan, memelihara dam menjalankan kebijakan kemanan informasi yang efektif. Ini tentang memahami bagaimana bisnis akan berkembang, mengantisipasi resiko yang akan dihadapi, mengartikulasi bagaimana regulasi dan legislasi akan memengaruhi kebutuhan keamanan dan memastikan bahwa manajemen keamanan informasi dapat mencapai tantangan ini di masa depannya.

Manajemen keamanan informasi memastikan kebijakan keamanan informasi yang efektif berada ditempatnya dan dapat dijalankan melewati kontrol keamanan yang terdokumentasi yang efektif yang digunakan tidak hanya pada pekerja yang berada di dalam perusaan, namun juga kepada penyuplai atau yang lain yang mempunyai bisnis atau kontak organisasi. Juga harus memastikan bahwa kebocoran keamanan ditangani dengan baik dan efektif dan bahwa resikonya sudah teridentifikasi dan di dokumentasi dan diambil sebagai perlajaran.

Manajemen akses memusatkan dengan manajemen hak orang dalam mengakses informasi, dan mempunyai kegunaan umu yyang sama tak hanya dengan menajemen keamanan informasi namun juga dengan manajemen pengadaan, memberikan efek praktis ke kebijakan dan syarat dari kedua proses. Kegunaannya untuk memastikan bahwa kerahasiaan, integritas, dan pengadaan informasi telah ditangani secara efektif di organisasi. Data dan informasti tidak hanya harus dilindungi tergadap akses yang tidak dikenali dan peluang untuk dicuri atau diubah. Tapi juga harus dapat diakses oleh orang yang berwenang.

Kunci dari akses manajemen adalah manajemen hak orang untuk mengakses layanan dan informasi. Orang yang berhak, dalam hal kebijakan bisnis dan kebutuhan, untuk mengakses informasi harus mempunyai hak yang diimplementasikan melalui akses kontrol. Hak-hak ini harus konsisten dengan legislasi yang relevan sepertu legislasi proteksi data, dan harus di simpan dibawah pengawasan dan diubah atau dicabut ketika status orang itu berubag dalam organisasi atau resiko material terdeteksi.

Contoh

Seorang dokter harus mengakses catatan pasien untuk membantu mendiagnosa penyebab yang memungkinkan dari seuatu penyakin dan menentukan pengobatan yang benar, tapi kerahasiaan catatan ini harus terlindungi dari akses pengguna yang tidak berwenang. Tetapi, pasien mempunyai hak legal untuk untuk menerima sedikit informasi yang telah ditentukan (contoh status HIV, aborsi, penyakit jiwa dan lainnya).

Untuk membuat hak akses mempunyai efek dan nilai yang tepat, manajemen akses harus memastikan bahwa orang dapat diidentifikasi dengan tepat: bahwa setiap orang mempunyai identitas yang unik yang dimana hak mereka dapat disisip dan yang mana aktivitas, keabsahan, atau sebaliknya dapat ditelusuri. Manajemen identitas sangat penting dalam manajemen akses yang efektif, mencegah, contohnya seseorang berpura-pura menjadi orang lain dan membajak hak akses mereka dan mengubah informasi atau bisa membuat informasi baru. Organisasi harus bertindak untuk mengatur keadaan dimana akses kontrol mungkin dibypass, contohnya dimana para pengembang software membutuhkan akses ke sistem saat mengatur kejadian.

Contoh

Dalam suatu organisasi, akses ke informasi gaji sangat dikontrol ketat, namun para pengembang software membetulkan kesalahan yang ternyata adalah software yang sangat tua yang mempunyai akses penuh ke seluruh bagian sistem, dengan kemampuan mengubah dan membuat record.

Tujuan keamanan dari sebuah organisasi biasanya dipertimbangkan untuk tercapai ketika ketersediaan, kerahasiaan, integritas, dan kewenangan, dan non-repudiasi berada dalam kontrol. Definisinya dibawah ini:

  • Ketersediaan: Informasi dapat diakses dan dapat digunakan ketika dibutuhkan dan sistem yang bersangkutan dapat bertahan dari serangan dan membaik dari atau mencegah kesalahan
  • Kerahasiaan: Informasi diamati oleh atau dibuka hanya untuk orang yang berhak.
  • Integritas: Informasi tuntas, akurat, dan terlindungi dari modifikasi yang tidak berwenang,
  • Kewenangan: Kewenangan memusatkan labelling yang benar atau atribusi dari inforasi yang dicegah, contohnya, originator email membuat email tersebut tampak seperti email yang dari orang laon. Kewenangan adalah tentang memastikan bahwa transaksi bisnis, juga pertukaran informasi antar perusahaan atau rekan, dapat dipercaya.
  • Non-repudiasi: Mekanisme yang mencegah originator transaksi yang menolak bahwa mereka mengorijinasi atau mencegah penerima menolak menerimanya.

Kebijakan Keamanan Informasi

Kebijakan keamanan informasi harus didukung dan disejajarkan ke kebijakan keamanan bisnis. Ini harus termasuk kebijakan yang mencaku penggunaan aset IT, email, internet, dokumen penting, remote access, akses menggunakan pihak ketiga (seperti supplier), dan aset sekali pakai. Dengan tambahan, ini menjelaskan pendekatan untuk mereset password, mengatur kontrol anti-virus dan mengklasifikasi informasi. Kebijakan ini harus tersedia untuk semua konsumen danpengguna juga untuk para staf IT, dan pemenuhan kebijakan ini harus direferensikan dalam semua persetujuan internal dan kontrak eksternal. Kebijakan ini juga harus ditinjau ulang dan direvisi minimal setahun sekali.

Sistem Manajemen Keamanan Informasi

Sistem Manajemen Keamanan Informasi (information security management system [ISMS] – juga disebut sebagai kerangka keamanan) membantu membangun program keamanan dengan harga terjangkau untuk mendukung tujuan bisnis. Bagan 18.1 Memberikan contoh kerangka yang digunakan secara luas dan didasari oleh standar ISO 27001 yang memberikan 5 tingkat ISMS dan jangkauannya dalam setiap tingkatnya.

Gambar 18.1: Kerangka ISMS (Sumber: The Cabinet Office ITIL Service Transition ISBN 978-0-113313-06-8)
Gambar 18.1: Kerangka ISMS (Sumber: The Cabinet Office ITIL Service Transition ISBN 978-0-113313-06-8)

Tujuan ISMS adalah untuk memastikan kontrol yang tepat, peralatan, dan prosedut yang dibangun untuk mendukung kebijakan keamanan informasi.

Manajemen Akses

Manajemen akses adalah proses untuk mengontrol akses ke data dan informasi untuk memastikan bahwa pengguna yang berwenanglah yang mempunyai akses sekaligus mencegah akses oleh pengguna tak dikenali. Proses manajemen akses boleh dijadikan tanggung jawab fungsi yang didedikasikan tapi terkadang dikeluarkan oleh fungsi teknikal dan manajemen aplikasi

Jika meja pelayanan beroperasi sebagai kontak tunggal, biasanya harus menerima berbagai permintaan pelayanan untuk mengganti hak akses atau membuat hak akses baru dan juga boleh diotorisasi oleh pemilik kebijakan keamanan untuk menerima hak-hak baru. Biasanya ini terjadi ketika orang baru masuk ke dalam organisasi atau ada suplier baru, namun juga terjadi ketika seseorang pindah dari satu departemen ke departemen lain atau mengganti peran. Hak akses harus ditarik ketika seseorang meninggalkan organisasi.

Proses manajemen akses harus termasuk memonitori akses untuk mengamankan informasi jadi jika ada kejadian yang berhubungan dengan keamanan muncul, penyebabnya dapat terlacak dan berbagai resiko keamanan dapat diketahui dan dihapus. Memonitor juga akan mengidentifikasi akses tak dikenal dan contoh password yang error yang akan menjadi acuan kemingkinan ancaman keamanan

Manajemen Fasilitas – Kontrol Akses Fisik

Manajemen keamanan informasi menerangkan kebijakan akses kontrol dan mengindentifikasi kebutuhan keamanan fisik dan siapa yang seharusnya mengakses situs yang mana (contoh: data centre). Manajemen fasilitas bertanggung jawab untuk menjalankan kebijakan ini. Komponen utama kontrol akses fisik adalah:

  • Instalasi, pemeliharaan, dan manajemen keamanan akses kontrol fisik seperti kuci dan penghalang dan alat pengintai;
  • Memonitori akses fisik ke daerah yang terlindungi;
  • Merekrut staf keamanan fisik;
  • Pemeliharaan denah yang menunjukkan area dengan akses terbatas kontrol keamanan yang relevan

Satu dari kebocoran keamanan paling umum adalah dengan ‘social engineering’: istilah yang biasanya merujuk pada hanya dengan berbicara ke fasilitas aman (contoh: dengan berpura-pura menjadi kontraktor sah, berpura-pura menjadi seseorang atau mengikui orang yang sah ke pintu yang terbuka). Karena alasan ini, akses keamanan tidak hanya dikontrol secara baik namun juga secara berkala dimonitor sehingga keocoran dapat terdeteksi dan kontrol keamanan dapat meningkat.

Hubungan dengan Layanan Proses Manajemen Lain

Untuk satu tingkat ke yang lain, semua antarmuka proses lain dengan manajemen keamanan.

Manajemen ketersediaan

Keamanan informasi dan akses manajemen adalah kontributor kunci dari manajemen ketersediaan karena tanpa tingkat perlindungan yang tepat, ketersediaan dan integritas data dan sistem diragukan

Meja pelayanan

Meja pelayanan biasanya mempunyai wewenang untuk merespon permintaan perubahan hak akses dan password dan berkontribusi untuk operasional manajemen keamanan

Proses Lain

Antarmuka proses lain adalah dengan:

  • Manajemen kejadian dan maslah (merespon dan meresolusi isu yang berhubungan dengan keamanan);
  • Manajemen kelancaran layanan IT (desain yang dipertimbangkan dan resiko saat dites);
  • Manajemen perubahan (dampak penaksiran terhadap kontrol keamanan);
  • Manajemen konfigurasi (berdampingan dengan klasifikasi keamanan untuk CI);
  • Manajemen kapasitas (ketika memperkenalkan teknologi baru);
  • Manajemen supplier (untuk memastikan perawatan kontrol keamanan untuk aktivitas operasional yang dikeluarkan oleh pihak ketiga).

Metriks

Mettriks manajemen keamanan dibutuhkan untuk memastikan bahwa organisasi dapat memenuhi syarat keamanan baik internal maupun eksternal dalam SLA, kontrak, legislasi, dan penguasaan. Metriks dapat digunakan untuk kegunaan ini termasuk:

  • Banyaknya kejadian yang berhubungan dengan keamanan waktu per unit;
  • Persentase kejadian yang berhubungan dengan keamanan yang berdampak pada pelayanan pengguna;
  • Banyaknya masalah audit keamanan dan resiko yang diidentifikasi;
  • Persentase masalah audit keamanan dan resiko yang diperbaiki;
  • Banyaknya prubahan dan perilisan back-out karena masalah keamanan;
  • Waktu rata-rata untuk menginstal patches keamanan

Peran

Manajer keamanan IT bertanggung jawab untuk menegaskan kebijakan keamanan informasi dan menjalankan ISMS. Setelah semuanya telah ditetapkan, pekerjaan manajer keamanan IT-lah untuk memastikan bahwa semua kontrol yang dibutuhkan sudah ada pada tempatnya, orang-orang menyadari kebijakan itu dan tanggung jawab mereka dan sistem keamanan telah berfungsi dengan baik. Manajer keamanan IT adalah titik fokus untuk segala masalah keamanan.

Tim pelayanan operasi bertanggung jawab untuk melaksanakan aktvitas perharinya untuk mengatus keamanan operasional. Sangatlah pernting bahwa peran ini dibuat terpisah dari manajemen keamanan untuk mencegah terjadinya konflik. Peran operasional termasuk:

  • Menjaga ketertiban dan melaporkan;
  • Menyediakan dukungan dan bantuan teknis;
  • Mengatur kontrol keamanan;
  • Penyaringan individual;
  • Menyediakan pelatihan dan kesadaran;
  • Memastikan bahwa kontrol keamanan sudah dijadikan acuan pada dokumentasi operasional

Manajer fasilitas bertanggung jawab untuk keamanan fisik dalam situs organisasi dan fasilitas komputer

 

Diterjemahkan dari: IT Service Management ISBN 9781906124939