Hal-hal apa saja yang harus diperhatikan dalam Penilaian Keamanan Teknologi Informasi ?

Keamanan Informasi atau Information Security adalah proteksi peralatan komputer, fasilitas, data, dan informasi, baik komputer maupun non-komputer dari penyalahgunaan oleh pihak-pihak yang tidak terotorisasi/ tidakberwenang.

Hal-hal apa saja yang harus diperhatikan dalam Penilaian Keamanan Teknologi Informasi atau Information Technology Security Assessment ?

Mengingat banyak dan pentingnya informasi, maka aturan-aturan mengenai pengamanan informasi dan sistem harus mencakup sekurang-kurangnya terdapat prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logical security, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi.

Informasi menurut McLoad merupakan data yang telah di proses atau data yang memiliki arti, sedangkan menurut Whitten informasi merupakan bentuk kombinasi data yang di harapkan memiliki arti bagi penerima. [1] Informasi dan sistem merupakan aset yang sangat berharga di era global pada setiap organisasi. Pentingnya ke keamanan informasi inilah yang mendoro berbagai perusahaan mulai menerapkan pemeliharaan program yang bertujuan untuk pengamanan data informasi.[2]

TUJUAN


Tujuan penilaian keamanan juga dikenal dengan istilah audit keamanan, peninjauan keamanan dan penilaian keamanan jaringan yang dimana untuk memastikan bahwa pengawasan dan pengendalian keamanan harus terkontrol dan memastikan perlindungan berjalan dengan baik.

Tujuan dari keamanan teknologi informasi yaitu:

  • Meminimalisir ancaman keamanan informasi yang berupa internal maupun esternal, disengaja maupun tidak di sengaja dan ancaman yang bersifat fisik seperti serangan Ddos.
  • Melindungi data dan informasi-informasi tertentu dari pihak yang tidak bertanggungjawab dengan sengaja mengambil, merusak atau memodifikasi sistem informasi pihak tertentu.
  • Mengantisipasi ancaman yang di sebabkan oleh personal security, tipe keamanan jenis ini adalah faktor terlemah yang di sebabkan oleh manusia itu sendiri. Kejahatan seperti ini sering di sebut dengan social engineering.[3]

ASPEK-ASPEK KEAMANAN INFORMASI


  • Confidentiality
    Aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.[/details]

  • Integrity
    Aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.

  • Availability
    Aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

PROFESSIONAL CERTIFICATIONS


Sertifikasi Vendor untuk melakukan penilaian keamanan dapat menggunakan strandar-standar tertentu seperti :

  • CISSP
  • CISM
  • CISA
  • ISO / IEC 27001: 2013 Auditor / Lead Auditor
  • CRISC
  • QSA / ISA

Refrensi

[1]http://www.simplypsychology.org/information-processing.html
[2]http://csrc.nist.gov/publications/secpubs/Federal_IT_SAF_2000.pdf
[3]http://ccbtechnology.com/four-signs-need-network-assessment/
[4] http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/
https://danielmiessler.com/study/security-assessment-types/#gs.pc1Q3Y4