1.
Melindungi
orang
Yaitu
menetapkan aturan perilaku yang diharapkan pengguna, administrator sistem,
manajemen, personel keamanan.
a.
Memberi
wewenang personel keamanan untuk memantau, menyelidiki dengan cara yang mungkin
tidak dapat dibedakan dari peretas jika tidak ada kebijakan, serta
mendefinisikan dan mengesahkan konsekuensi dari pelanggaran.
b.
Memungkinkan
orang untuk mengambil tindakan yang diperlukan tanpa takut akan pembalasan.
2.
Melindungi
informasi yang tersimpan
Kebijakan yang
ditulis dengan baik berisi definisi yang cukup tentang apa yang harus dilakukan
sehingga dapat diidentifikasi dan diukur atau dievaluasi.
Jenis Kebijakan :
Jenis Kebijakan :
1.
Kebijakan
Program, yaitu kebijakan untuk menentukan nada keseluruhan dari pendekatan
keamanan organisasi. Biasanya pedoman diberikan dengan kebijakan ini untuk
memberlakukan jenis kebijakan lain dan menentukan siapa yang bertanggung jawab,
serta dapat memberi arahan sesuai standar industri dari organisasi ( seperti :
ISO (International Organization for Standardization), BSI (the British
Standards Institute), IEEE (Institute of Electrical and Electronic Engineers), NIST
(the National Institute of Standards and Technology), dan hukum dan peraturan
pemerintah yang berlaku.
2.
Kebijakan
Khusus Masalah, yaitu kebijakan untuk memenuhi kebutuhan spesifik dalam
organisasi (seperti : prosedur kata sandi, penggunaan internet).
3.
Kebijakan
Khusus Sistem, yaitu kebijakan untuk mengatur sistem organisasi yang berbeda
fungsinya.
Konten Kebijakan mencakup :
Konten Kebijakan mencakup :
1.
Tujuan
: Menjelaskan alasan dari kebijakan
2.
Dokumen
terkait : Daftar dokumen atau kebijakan lain yang mempengaruhi konten kebijakan
3.
Pembatalan
: Mengidentifikasikan setiap kebijakan sebelumnya yang dibatalkan saat
kebijakan ini berlaku
4.
Latar
belakang : Memberi informasi tentang perlunya kebijakan
5.
Ruang
lingkup : Menyatakan kisaran cakupan kebijakan (apa atau kepada siapa kebijakan
berlaku)
6.
Pernyataan
kebijakan : Mengindentifikasikan prinsip panduan aktual (apa yang harus
dilakukan)
7.
Tindakan
: Menentukan tindakan apa dan kapan harus dilakukan
8.
Tanggung
jawab : Menyatakan siapa yang bertanggung jawab untuk apa
9.
Kepemilikan
: Mengidentifikasikan siapa yang mensponsori kebijakan dan dari siapa ia
mendapat wewenangnya serta menentukan siapa yang dapat mengubah kebijakan
Kebijakan untuk memberi panduan yang
dimaksudkan harus mendefinisikan :
1.
Jenis
pengecualian yang dapat dibuat dan untuk waktu berapa lama
2.
Siapa
yang berwewenang membuat
3.
Proses
tinjauan apa yang harus diikuti untuk evaluasi pengecualian darurat
4.
Apa tindak
lanjut yang harus terjadi dan kapan mendapat manfaatnya
5.
Jadwal
apa yang harus diikuti untuk menyelesaikan tindakan apa pun yang perlu
dilakukan penutupan
Pertimbangan ini
melindungi aset organisasi (dengan mendefinisikan perubahan yang dapat diterima
dan tidak) dan orang yang bertanggung jawab (dengan mendefinikan pihak yang
bertanggung jawab untuk membuat keputusan dan mengambil tindakan).
Kebijakan Keamanan Khusus
Kebijakan keamanan harus mencari
keseimbangan antara akses (kinerja dan kemudahan penggunaan) dan keamanan
(integritas, ketersediaan, keselamatan).
Kebijakan keamanan yang baik akan
mempertimbangkan risiko dan keentanan serta menyediakan cakupan komperehensif
infrastruktur organisasi.
Contoh kebijakan di bidang keamanan :
BSI (British Standards Institude) mensponsori penciptaan kode
praktik standar Inggris untuk Manajemen Keamanan Infoemasi (BS 7799), yang
bertujuan menyediakan sarana untuk memastikan pelanggan bahwa bisnis
menyediakan layanan yang aman dan informasi ditangani dengan aman. Diterbitkan 1
Desember 2000, sebagai standar internasional (ISO / IEC 17799).
ISO / IEC 17799 menyediakan lebih dari 125 pedoman keamanan yang
dibagi menjadi 10 pos utama, yang memungkinkan identifikasi kontrol keamanan
dengan cara yang sesuai untuk organisasi tertentu.
ISO / IEC 17799 menyediakan kontrol keamanan untuk komputer dan
jaringan, serta panduan tentang kebijakan keamanan, kesadaran keamanan staf,
perencanaan kesinambungan bisnis, dan persyaratan hukum.
ISO / IEC 17799 adalah standar yang menentukan kontrol keamanan
yang harus diselidiki dan ditinjau secara menyeluruh sebelum dimasukkan ke
dalam rencana bisnis atau prosedur operasi dengan tujuan membantu organisasi
mengelola risiko dengan tepat.
Peran dan Tanggung Jawab
Komponen utama kebijakan dalam
organisasi tertentu yaitu peran dan tanggung jawab dalam organisasi tersebut,
karena kebijakan dibuat, diikuti dan ditegakkan oleh orang – orang yang
berperan dalam organisasi.
Kebijakan di Tingkat Berbeda
Hirarki umum kebijakan dalam suatu
organisasi, seperti :
1.
Kebijakan
Perusahaan, terdiri dari dokumen tingkat tinggi dalam organisasi yang
menyediakan arahan umum untuk diterapkan pada tingkat yang lebih rendah di
perusahaan
2.
Kebijakan
divisi, amplifikasi kebijakan di seluruh perusahaan serta panduan implementasi.
3.
Kebijakan
lokal, berisi informasi untuk organisasi lokal atau elemen perusahaan
4.
Kebijakan
masalah khusus, berisi informasi terkait isu spesifik, misalnya kebijkan
firewall atau anti-virus
5.
Prosedur
keamanan dan daftar periksa, terdiri dari Standar Operasional Prosedur (SOP)
setempat
Dalam
organisasi tipikal, kebijakan yang ditulis untuk menerapkan arahan tingkat yang
lebih tinggi tidak dapat mengabaikan persyaratan atau ketentuan yang ditetapkan
pada tingkat yang lebih tinggi. Kebijakan keamanan harus selalu sesuai
dengan undang-undang kejahatan komputer lokal, negara bagian, dan federal serta
undang-undang pemerintah lain yang berlaku.
Mengevaluasi Kebijakan Keamanan
Berikut langkah – langkah yang dapat
diikuti :
1.
Verifikasi
bahwa kebijakan keamanan berisi elemen paling umum
2.
Periksa
kebijakan keamanan untuk melihat kejelasannya
Cara sederhana
untuk mengujinya, yaitu dengan mewawancarai salah satu individu yang
diidentifikasikan dalam kebijakan sebagai penanggung jawab dari beberapa
tindakan dan menentukan apakah dia memahami dan sesuai dengan perannya seperti
yang dijelaskan dalam kebijakan
3.
Periksa
kebijakan keamanan untuk melihat keringkasannya
Dokumen kebijakan
harus menggambarkan apa yang diinginkan tentang suatu subjek spesifik, bukan
bagaimana cara untuk mencapainya
4.
Periksa
kebijakan untuk melihat apakah realitas atau tidak
Kebijakan
keamanan seharusnya tidak mengharuskan orang untuk mencoba mengimplementasikan
hal-hal yang tidak dapat diimplementasikan atau tidak boleh
diimplementasikan. Ini dapat dengan mudah terjadi ketika suatu kebijakan
melampaui penetapan pedoman dan arahan dan mulai menentukan perincian
implementasi.
5.
Periksa
kebijakan untuk melihat apakah kebijakan tersebut memberikan panduan yang
cukup untuk prosedur spesifik yang akan dikembangkan darinya.
Kebijakan
membahas apa yang harus dilakukan dan mengapa.
Prosedur
menentukan bagaimana hal-hal dilakukan dan bagaimana kebijakan akhirnya
diimplementasikan.
6.
Periksa
kebijakan untuk melihat kekonsistenan kebijakan dan pedoman tingkat tinggi
Kebijakan
keamanan juga harus sesuai dengan hukum kejahatan komputer lokal, negara
bagian, dan federal serta peraturan pemerintah yang berlaku.
7.
Periksa
kebijakan untuk melihat apakah kebijakan berwawasan ke depan
Kebijakan
keamanan tidak boleh dikaitkan dengan teknologi atau orang saat ini, dan
mungkin bahkan tidak dengan organisasi atau proses saat ini.
8.
Periksa
kebijakan agar ketentuan tetap terbaru
Kebijakan
keamanan harus ditinjau secara berkala. Revisi dalam implementasi harus
mencerminkan pelajaran dari insiden baru-baru ini dan ancaman baru terhadap
keamanan organisasi.
9.
Periksa
apakah kebijakan keamanan sudah tersedia
Kebijakan
keamanan harus dimasukkan dalam buku pegangan anggota organisasi dan diposting
untuk referensi.
4 hal utama dalam mengevaluasi kebijakan apapun, yaitu :
1.
Apakah
konsisten dengan kebijakan dan panduan tingkat tinggi?
2.
Apakah
ini berwawasan ke depan (dan karenanya kebal terhadap kebutuhan untuk sering
berubah)?
3.
Apakah
ada jadwal peninjauan, dan apakah saat ini valid?
4.
Apakah
sudah tersedia?
Mengembangkan Kebijakan Keamanan Masalah Khusus
Contoh masalah : Anti-virus
Langkah – langkah :
1.
Pilih
cakupan kebijakan
Lingkup, dalam arti yang berbeda mencakup proses yang terkait
dengan perlindungan anti-virus.
Kebijakan anti-virus berfungsi sebagai dokumen otorisasi untuk
serangkaian prosedur. Pada tingkat yang sangat tinggi, kebijakan tersebut
mungkin membahas bagaimana memilih produk perangkat lunak dan memastikan
penyebaran komprehensifnya, bagaimana membatasi jalur masuk yang mungkin, apa
yang harus dilakukan ketika virus terdeteksi, bagaimana cara mengandung
kerusakan pada sistem yang terinfeksi, dan bagaimana menggunakan perangkat
lunak untuk memastikan cakupan desktop.
2.
Lapisi
pertahanan anda
Perlindungan anti-virus harus berlapis (pertahanan mendalam)
sehingga jika satu sistem gagal mengandung virus, ia diblokir di sistem
berikutnya.
3.
Identifikasi
tanggung jawab
Pengguna harus dilatih untuk tidak mengganggu atau memotong
berfungsinya perangkat lunak anti-virus pada sistem mereka. Mitra harus
memahami dengan jelas harapan organisasi terhadap perlindungan anti-virus
4.
Ukur
efektivitasnya
Setiap kebijakan anti-virus (bersama dengan setiap kebijakan dan
proses) harus mencakup cara untuk mengukur kepatuhan. Untuk kebijakan
anti-virus, pengukuran ini mencakup pelaporan kemunculan virus. Lebih
disukai, pelaporan akan otomatis; ini akan mengurangi beban personil dan
mungkin meningkatkan kelengkapan data sebagai bagian dari produk
anti-virus.