Pada kesempatan kali ini kita akan membahas mengenai kebijakan keamanan teknologi informasi. Mengapa perlu dibuat kebijakan, tujuan dari kebijakan dan tipe kebijakan. Yuk disimak…
Kebijakan keamanan teknologi informasi atau kebijakan IT Security merupakan fondasi dari keamanan infrastruktur. Artinya kebijakan ini sangat penting untuk keberlangsungan sistem kedepannya. Kebijakan keamanan diperlukan untuk melindungi dan mengamankan teknologi informasi organisasi.
Tujuan kebijakan keamanan TI
Adapun tujuan dari kebijakan keamanan teknologi informasi antara lain:
- Mengelola batas antara bagian manajemen dengan bagian administrasi.
- Melindungi sumber daya komputer di organisasi.
- Mencegah perubahan data oleh pihak yang tidak memiliki otoritas.
- Mengurangi resiko penggunaan sumber daya oleh pihak yang tidak berwenang.
- Membagi hak akses setiap pengguna.
- Melindungi kepemilikan informasi.
- Melindungi penyingkapan data dari pihak yang tidak berwenang.
- Melindungi dari penyalahgunaan sumber daya dan hak akses.
Tipe-tipe kebijakan keamanan TI
Berikut ini adalah tipe-tipe kebijakan keamanan TI yaitu:
1. Promiscuos policy
Merupakan kebijakan yang sama sekali tidak membatasi penggunaan sumber daya. Artinya bisa dikatakan tidak ada kebijakan. jika organisasi menggunakan kebijakan ini maka akan sangat mudah bagi hacker untuk masuk ke dalam sistem. langkah-langkah hacker untuk masuk ke dalam sistem bisa dibaca di artikel ini.
2. Permissive policy
Merupakan kebijakan yang bersifat bebas namun terdapat area tertentu yang dibatasi. Pada kebijakan ini hendaknya selalu diperbaharui agar efektif
3. Prudent policy
Merupakan kebijakan keamanan maksimal. Hanya layanan tertentu saja yang dibuka, yaitu layanan yang benar-benar dibutuhkan. Pada kebijakan ini semua aktifitas pada sumber daya tercatat di dalam sistem. biasanya pada kebijakan ini diberlakukan enkripsi untuk sistem yang digunakan. apa itu enkripsi dan bagaimana bentuknya bisa dibaca di artikel ini.
4. Paranoid policy
Merupakan kebijakan yang membatasi hubungan dengan internet. Untuk benar-benar aman tidak membuat hubungan dengan jaringan internet.
Contoh kebijakan keamanan teknologi informasi
Di bawah ini adalah contoh dari kebijakan keamanan TI. Kebijakan yang dibuat melingkupi seluruh aspek dari teknologi informasi yang digunakan, mulai dari perangkat lunak dan perangkat keras. Simak yuk..
1. Kebijakan untuk akses kontrol
Didalam kebijakan ini berisi hak akses kontrol untuk pihak yang dapat menggunakan sumber daya tertentu. Akses kontrol dibedakan berdasarkan bagian-bagian.
2. Kebijakan untuk akses jarak jauh
Di dalam kebijakan ini diatur mengenai siapa saja yang bisa mengakses sumber daya dari jarak jauh, hanya akun tertentu yang bisa mengakses sistem dari jarak jauh.
3. Kebijakan untuk manajemen firewall
Manajemen firewall merupakan kebijakan yang terdiri dari rule atau aturan yang membatasi pengguna untuk mengakses sumber daya di luar dan di dalam jaringan.
4. Kebijakan untuk koneksi jaringan komputer
Kebijakan ini berisi kebijakan mengenai instalasi perangkat baru, perubahan data dan lain-lain.
5. Kebijakan untuk password
Pada kebijakan ini bagaimana membentuk password yang kuat untuk digunakan oleh setiap pengguna.
6. Kebijakan untuk akun pengguna
Didalam kebijakan ini berisi pembuatan akun berdasarkan hak aksesnya. Pengguna dibedakan menjadi top user seperti administrator dan direksi, middle user seperti manajer dan kepala bagian, common user adalah pegawai biasa. Setiap level user memiliki rule yang berbeda, jika top user bisa mengakses semua sumber daya.
7. Kebijakan untuk keamanan email
Merupakan kebijakan perusahaan yang membatasi pembuatan akun email organisasi untuk alasan keamanan.
Langkah-langkah dalam membuat dan impementasi kebijakan keamanan teknologi informasi
Membuat kebijakan keamanan tidaklah mudah, perlu analisa terlebih dahulu cakupan teknologi informasi yang digunakan sehingga tidak ada yang terlewatkan. Berikut ini adalah langkah-langkah dalam membuat kebijakan keamanan teknologi informasi:
1. Melakukan penilaian resiko
Langkah pertama adalah melakukan penilaian resiko untuk mengidentifikasi resiko terhadap aset yang ada.
2. Mempelajari pedoman kebijakan organisasi lain
Langkah kedua Jika organisasi lain telah mempunyai kebijakan keamanan teknologi informasi, maka tidak salahnya kita mempelajari kebijakan mereka. Sehingga dalam membuat kebijakan nantinya bisa membuat perbandingan mana yang lebih baik untuk diterapkan di organisasi kita.
3. Mengikutsertakan senior perusahaan
Langkah ketiga dalam membuat kebijakan tentunya senior lebih paham mengenai organisasi, tidak ada salahnya mengikutsertakannya dalam pembuatan kebijakan untuk membuat kebijakan yang menyeluruh untuk cakupan areanya.
4. Memastikan semua anggota mengetahui kebijakan
Langkah ke empat tahapan ini adalah tahapan terakhir, jika telah sampai pada tahap ini anggota organisasi dan seluruh yang terlibat di organisasi mengetahui, menandatangani, dan mengerti kebijakan yang dibuat.
Itulah penjelasan lengkap mengenai kebijakan keamanan teknologi informasi. semoga bermanfaat ya…