Bagian 2: Kerahasiaan, Privasi, Integritas Pengolahan, dan Ketersediaan
PENDAHULUAN
Sistem yang handal harus memenuhi lima prinsip:
- Keamanan Informasi (dibahas dalam Bab 7)
- Kerahasiaan
- Privasi
- Pengolahan integritas
- Ketersediaan
1. KERAHASIAAN
Sistem yang handal menjaga kerahasiaan informasi yang penting. Menjaga kerahasiaan mengharuskan manajemen mengidentifikasi informasi apa yang penting. Setiap organisasi akan mengembangkan definisi sendiri informasi apa yang perlu dilindungi. Kebanyakan definisi akan mencakup:
i. Rencana Bisnis
ii. Harga strategi
iii. Klien dan daftar pelanggan
iv. Dokumen Hukum
Untuk menjaga kerahasian suatu informasi, diperlukan prosedur pengendalian mendasar untuk melindungi kerahasiaan informasi yang penting, prosedur ini dikenal dengan istilah Enkripsi. Enkripsi ialah proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tambah bantuan pengentahuan khusus.
Informasi rahasia harus dienkripsi:
· Meskipun hanya disimpan
· atau data sering dikirim
Internet menyediakan transmisi murah, namun data mudah disadap. Enkripsi memecahkan masalah-masalah seperti ini. jika data dienkripsi sebelum mengirimnya, sebuah virtual private network (VPN) dibuat. Gunanya adalah Menyediakan fungsi jaringan milik pribadi Tetapi tetap menggunakan Internet.
menggunakan perangkat lunak VPN membuat saluran komunikasi pribadi, sering disebut sebagai terowongan. Terowongan dapat diakses hanya kepada pihak yang memiliki enkripsi dan kunci pengaman yang tepat.
Sangat penting untuk mengenkripsi informasi penting yang akan disimpan dalam perangkat yang mudah hilang atau dicuri, seperti laptop, telepon seluler, dan perangkat portabel lainnya. Banyak organisasi memiliki kebijakan mengenai cara menyimpan informasi penting pada perangkat. 81% pengguna mengaku mereka tetap melakukannya.
Tetapi ternyata Enkripsi saja tidak cukup untuk melindungi kerahasiaan. Ada beberapa hal juga yang diperlukan, seperti :
1. Akses kontrol
Untuk mencegah dari pihak yang tidak berhak memperoleh data dienkripsi, dan Karena tidak semua informasi rahasia dapat di enkripsi dalam penyimpanan. Kontrol otorisasi yang kuat harus digunakan untuk membatasi tindakan (membaca, menulis, mengubah, menghapus, menyalin, dll) pihak lain yang tidak berwewenang untuk mengakses informasi rahasia.
2. Akses ke sistem output juga harus dikendalikan
Jangan biarkan pengunjung untuk mengakses informasi tanpa pengawasan. Memerlukan karyawan untuk log out dari aplikasi apapun di komputer mereka sebelum meninggalkannya, sehingga karyawan lain tidak dapat akses sesuatu yang tidak sah.
komputer harus menggunakan screen saver yang dilindungi sandi yang secara otomatis berfungsi ketika tidak ada aktivitas selama jangka waktu tertentu.
3. Laporan harus dikodekan
untuk mencerminkan pentingnya informasi di dalamnya, dan karyawan harus dilatih untuk tidak meninggalkan laporan dengan informasi penting.
Kontrol untuk melindungi kerahasiaan harus terus menerus ditinjau dan dimodifikasi untuk menanggapi ancaman baru yang diciptakan oleh kemajuan teknologi.
2. PRIVASI
Dalam rangka Layanan kepercayaan, prinsip privasi erat kaitannya dengan prinsip kerahasiaan. Perbedaan utama adalah yang berfokus pada melindungi privasi informasi pribadi tentang pelanggan, bukan data organisasi. Kunci kontrol untuk privasi adalah sama yang sebelumnya terdaftar untuk kerahasiaan. terdaftar sepuluh praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi pelanggan:
- Manajemen
Organisasi menetapkan satu set prosedur dan kebijakan untuk melindungi privasi informasi pribadi yang dikumpulkan.
- Pemberitahuan
Memberikan pemberitahuan tentang kebijakan dan praktek ketika mengumpulkan informasi atau sesegera mungkin setelah itu.
- Pilihan dan persetujuan
Menjelaskan pilihan yang tersedia bagi individu dan memperoleh persetujuan mereka untuk pengumpulan dan penggunaan informasi pribadi mereka.
- Koleksi
Organisasi hanya mengumpulkan informasi yang diperlukan untuk memenuhi tujuan yang tercantum dalam kebijakan privasi.
- Gunakan dan retensi(menjaga/menyimpan)
Organisasi menggunakan informasi pribadi pelanggan 'hanya sesuai dengan kebijakan lain dan mempertahankan informasi yang hanya selama diperlukan.
- Akses
Organisasi ini menyediakan individu dengan kemampuan untuk mengakses, review, dan menghapus informasi pribadi yang disimpan tentang mereka.
- Pengungkapan kepada Pihak Ketiga
Organisasi mengungkapkan informasi pribadi nasabah kepada pihak ketiga hanya dengan kebijakan tertentu dan hanya kepada pihak ketiga yang memberikan perlindungan setara.
- Keamanan
Organisasi mengambil langkah yang wajar untuk melindungi informasi pribadi pelanggan dari kerugian atau pengungkapan yang tidak sah.
- Kualitas
Organisasi mempertahankan integritas informasi pribadi pelanggan.
- Monitoring dan penegakan
Organisasi menugaskan satu atau lebih karyawan bertanggung jawab untuk memastikan dan memverifikasi kepatuhan dengan kebijakan lain nya. Juga menyediakan prosedur untuk menanggapi keluhan pelanggan.
Organisasi harus mempertimbangkan enkripsi informasi pribadi pelanggan dalam penyimpanan. Mungkin dibenarkan secara ekonomis, karena beberapa hukum negara mengharuskan perusahaan untuk memberitahu semua pelanggan insiden keamanan. Organisasi perlu untuk melatih karyawan tentang bagaimana mengelola informasi pribadi yang dikumpulkan dari pelanggan.
selain isu yang terkait dengan privasi yang menjadi perhatian kedepan hal yang cukup menarik adalah pencurian identitas. Organisasi memiliki kewajiban etis dan moral untuk menerapkan kontrol untuk melindungi database yang berisi informasi pribadi pelanggan mereka.
Langkah-langkah yang individu dapat lakukan untuk meminimalkan risiko menjadi korban pencurian identitas meliputi:
- Jangan pernah mengirimkan informasi identitas pribadi dalam email tidak terenkripsi.
- Waspadalah terhadap email, telepon, dan permintaan cetak untuk "memastikan" informasi pribadi yang diminta pihak lain.
- Gunakan perangkat lunak khusus untuk benar-benar membersihkan media digital sebelum dibuang, atau menghancurkan secara fisik media.
- Monitor laporan kredit Anda secara teratur.
- Segera membatalkan kartu kredit jika hilang atau dicuri.
3. PENGOLAHAN INTEGRITAS
Ada enam kategori pengendalian yang dapat digunakan untuk menghasilkan system yang handal. Enam kategori dikelompokkan menjadi tiga. Tiga kategori / kelompok pengendalian integritas dirancang untuk memenuhi tujuan sebelumnya. Tiga ketegori itu yaitu:
· Kontrol Input
· Pengolahan kontrol
· Kontrol Output
A. Kontrol Input
Jika data yang dimasukkan ke dalam sistem tidak akurat atau tidak lengkap, output yang dihasilkan akan tidak lengkap. Perusahaan harus menetapkan prosedur pengendalian untuk memastikan bahwa sumber semua dokumen adalah resmi, akurat, lengkap, benar, dapat dipertanggungjawabkan, dan masuk ke dalam sistem atau dikirim ke tujuan pada waktu yang tepat.
Input berikut adalah kontrol integritas yang mengatur masukan:
a) Bentuk desain
Sumber dokumen dan bentuk lainnya harus dirancang untuk membantu memastikan bahwa kesalahan dan kelalaian yang diminimalkan (Bab 18).
b) Pembatalan dan penyimpanan dokumen
Dokumen yang telah dimasukkan harus dibatalkan, akan tetapi membatalkan dokumen tidak berarti menghancurkan dokumen. Tetapi harus dipertahankan selama diperlukan untuk memenuhi persyaratan hukum dan peraturan.
c) Otorisasi dan pemisahan tugas
Sumber dokumen harus disiapkan hanya oleh petugas yang berwenang bertindak sesuai dengan kewenangannya.
d) Visual scanning
Dokumen harus ditelusuri untuk kewajaran dan kepatutan.
B. Kontrol Pengolahan
Proses kontrol untuk menjamin data yang diolah dengan benar meliputi:
· Data yang cocok
Dua atau lebih item harus cocok sebelum pemrosesan dapat dilanjutkan. Contoh: Kuantitas ditagih pada tagihan vendor harus sesuai dengan kuantitas perintah pesanan pembelian dan jumlah yang diterima pada laporan penerima.
· File label
Eksternal label harus diperiksa secara visual untuk memastikan file yang benar dan paling saat ini sedang diperbarui.
· Perhitungan kembali total persediaan
total ini harus dibandingkan terhadap jumlah dalam catatan trailer.
· Dll
C. Kontrol Output
Hati-hati memeriksa output sistem memberikan kontrol tambahan atas integritas pengolahan.
Kontrol Output meliputi:
i. Pengguna review output
Pengguna harus hati-hati memeriksa output untuk kewajaran, kelengkapan, dan untuk memastikan mereka adalah penerima yang dimaksud.
ii. Rekonsiliasi prosedur
Secara berkala, semua transaksi dan update sistem lainnya harus disesuaikan untuk mengontrol laporan, file atas status laporan ter update.
iii. Rekonsiliasi data eksternal
Database total berkala harus disesuaikan dengan data yang ada di luar sistem.
Di samping menggunakan enkripsi untuk melindungi kerahasiaan informasi yang sedang dikirim, organisasi perlu kontrol untuk meminimalkan risiko kesalahan transmisi data. Bila unit penerima mendeteksi kesalahan transmisi data, meminta unit pengirim untuk mengirim ulang. Biasanya dilakukan secara otomatis. Kadang-kadang, sistem mungkin tidak dapat mencapai resubmission otomatis dan akan meminta pengirim untuk mengirim ulang data.
4. KETERSEDIAAN
Sistem yang handal tersedia untuk digunakan kapan pun diperlukan. Kegagalan sistem ketersediaan berasal dari berbagai sumber, termasuk:
a) Hardware dan kegagalan perangkat lunak
b) Alam dan bencana buatan
c) Human error
d) Worms dan virus
e) Denial-of-service serangan dan sabotase lainnya
kontrol yang tepat dapat mengurangi resiko downtime(keterlambatan) sistem yang signifikan disebabkan oleh ancaman yang telah di sebutkan di atas. Tidak mungkin untuk menghilangkan semua ancaman. Oleh karena itu, organisasi harus mengembangkan pemulihan bencana dan kelangsungan usaha berencana untuk memungkinkan mereka untuk segera melanjutkan operasi normal setelah peristiwa semacam itu.
Meminimalkan Risiko Sistem Downtime
Hilangnya ketersediaan sistem dapat menyebabkan kerugian keuangan yang signifikan, terutama jika sistem yang terkena adalah sangat penting. Organisasi dapat mengambil berbagai langkah untuk meminimalkan risiko downtime sistem.
Penggunaan komponen berlebihan dapat memberikan toleransi kesalahan, yang memungkinkan sistem untuk tetap berfungsi meskipun kegagalan komponen. Contoh komponen berlebihan: Dual prosesor .
Perencanaan Disaster Recovery dan Business Continuity
Pemulihan bencana dan rencana kelanjutan usaha sangat penting jika suatu organisasi berharap dapat bertahan pada bencana besar-besaran. Namun banyak perusahaan besar AS tidak memiliki pemulihan bencana yang memadai dan rencana kelangsungan bisnis. Pengalaman menunjukkan bahwa perusahaan yang mengalami bencana besar yang mengakibatkan hilangnya penggunaan sistem informasi mereka selama lebih dari beberapa hari memiliki peluang lebih besar dari 50% dari keluar dari bisnis.
Tujuan dari rencana pemulihan bencana dan kelangsungan bisnis adalah untuk:
· Minimalkan tingkat gangguan, kerusakan, dan kerugian
· melanjutkan operasi normal secepat mungkin
· Melatih dan membiasakan personil dengan operasi darurat
komponen kunci pemulihan bencana secara efektif dan rencana kelangsungan bisnis meliputi:
a. Data prosedur cadangan
b. Ketentuan untuk akses ke infrastruktur pengganti (peralatan, fasilitas, saluran telepon, dll)
c. Dokumentasi menyeluruh
d. Pengujian periodik
e. Asuransi yang memadai
1. Prosedur Backup Data
Data harus didukung secara teratur dan sering. Backup merupakan salinan tepat dari versi terbaru dari database. Hal ini dimaksudkan untuk digunakan dalam hal terjadi kegagalan hardware atau software. Proses menginstal salinan cadangan untuk digunakan disebut restorasi.
Sebuah salinan lengkap adalah salinan persis dari data yang tercatat pada media fisik lain (CD, DVD, dll)
Dua jenis backup yang mungkin:
I. Tambahan cadangan
Melibatkan hanya menyalin item data yang telah berubah sejak terakhir di backup.
II. Diferensial cadangan
Semua perubahan yang dibuat sejak full backup terakhir yang dapat disalin. Namun, biasanya akan memakan waktu lebih lama untuk melakukan backup daripada ketika incremental backup digunakan.
Apapun prosedur backup digunakan, beberapa salinan cadangan harus dibuat:
· Satu dapat disimpan di tempat untuk digunakan dalam insiden kecil.
· Setidaknya satu salinan tambahan harus disimpan diluar untuk digunakan dalam insiden besar seperti bencana.
2. Ketentuan untuk akses ke infrastruktur pengganti (peralatan, fasilitas, saluran telepon, dll)
Bencana besar benar-benar dapat menghancurkan pusat informasi pengolahan organisasi atau membuatnya tidak dapat diakses. Sebuah komponen kunci dari pemulihan bencana dan rencana kelanjutan usaha menggabungkan ketentuan untuk mengganti infrastruktur yang diperlukan, termasuk:
v Komputer
v Jaringan peralatan dan akses
v Telepon
v Peralatan kantor
v Persediaan
Bahkan mungkin perlu untuk mempekerjakan staf sementara
3. Dokumentasi Menyeluruh
yang penting dan perlu diperhatikan adalah Rencana pemulihan bencana itu sendiri, termasuk instruksi untuk memberitahu staf yang tepat dan langkah-langkah untuk melanjutkan operasi, harus didokumentasikan dengan baik. Pengalihan tanggung jawab untuk berbagai kegiatan. Dan Salinan semua dokumentasi harus disimpan baik on-site dan off-site.
4. Pengujian Periodik
pengujian periodik dan revisi mungkin atas komponen adalah yang paling penting dalam pemulihan bencana secara efektif dan rencana kelangsungan bisnis. Kebanyakan rencana pengujian awal mereka gagal, karena tidak mungkin untuk mengantisipasi segala sesuatu yang salah. Rencana harus diuji setidaknya setiap tahun untuk memastikan mereka mencerminkan perubahan terbaru dalam peralatan dan prosedur.
5. Asuransi Yang Memadai
Organisasi harus mendapatkan nilai pertanggungan yang memadai untuk membiayai sebagian atau seluruh biaya yang berkaitan dengan penerapan pemulihan bencana dan rencana kelangsungan bisnis.