Kebijakan Keamanan Dasar

Tujuan Kebijakan Keamanan :

1.      Melindungi orang

Yaitu menetapkan aturan perilaku yang diharapkan pengguna, administrator sistem, manajemen, personel keamanan.

a.       Memberi wewenang personel keamanan untuk memantau, menyelidiki dengan cara yang mungkin tidak dapat dibedakan dari peretas jika tidak ada kebijakan, serta mendefinisikan dan mengesahkan konsekuensi dari pelanggaran.

b.      Memungkinkan orang untuk mengambil tindakan yang diperlukan tanpa takut akan pembalasan.

2.      Melindungi informasi yang tersimpan

Kebijakan yang ditulis dengan baik berisi definisi yang cukup tentang apa yang harus dilakukan sehingga dapat diidentifikasi dan diukur atau dievaluasi.


Jenis Kebijakan :

1.      Kebijakan Program, yaitu kebijakan untuk menentukan nada keseluruhan dari pendekatan keamanan organisasi. Biasanya pedoman diberikan dengan kebijakan ini untuk memberlakukan jenis kebijakan lain dan menentukan siapa yang bertanggung jawab, serta dapat memberi arahan sesuai standar industri dari organisasi ( seperti : ISO (International Organization for Standardization), BSI (the British Standards Institute), IEEE (Institute of Electrical and Electronic Engineers), NIST (the National Institute of Standards and Technology), dan hukum dan peraturan pemerintah yang berlaku.

2.      Kebijakan Khusus Masalah, yaitu kebijakan untuk memenuhi kebutuhan spesifik dalam organisasi (seperti : prosedur kata sandi, penggunaan internet).

3.      Kebijakan Khusus Sistem, yaitu kebijakan untuk mengatur sistem organisasi yang berbeda fungsinya.


Konten Kebijakan mencakup :

1.      Tujuan : Menjelaskan alasan dari kebijakan

2.      Dokumen terkait : Daftar dokumen atau kebijakan lain yang mempengaruhi konten kebijakan

3.      Pembatalan : Mengidentifikasikan setiap kebijakan sebelumnya yang dibatalkan saat kebijakan ini berlaku

4.      Latar belakang : Memberi informasi tentang perlunya kebijakan

5.      Ruang lingkup : Menyatakan kisaran cakupan kebijakan (apa atau kepada siapa kebijakan berlaku)

6.      Pernyataan kebijakan : Mengindentifikasikan prinsip panduan aktual (apa yang harus dilakukan)

7.      Tindakan : Menentukan tindakan apa dan kapan harus dilakukan

8.      Tanggung jawab : Menyatakan siapa yang bertanggung jawab untuk apa

9.      Kepemilikan : Mengidentifikasikan siapa yang mensponsori kebijakan dan dari siapa ia mendapat wewenangnya serta menentukan siapa yang dapat mengubah kebijakan

Kebijakan untuk memberi panduan yang dimaksudkan harus mendefinisikan :

1.      Jenis pengecualian yang dapat dibuat dan untuk waktu berapa lama

2.      Siapa yang berwewenang membuat

3.      Proses tinjauan apa yang harus diikuti untuk evaluasi pengecualian darurat

4.      Apa tindak lanjut yang harus terjadi dan kapan mendapat manfaatnya

5.      Jadwal apa yang harus diikuti untuk menyelesaikan tindakan apa pun yang perlu dilakukan penutupan

Pertimbangan ini melindungi aset organisasi (dengan mendefinisikan perubahan yang dapat diterima dan tidak) dan orang yang bertanggung jawab (dengan mendefinikan pihak yang bertanggung jawab untuk membuat keputusan dan mengambil tindakan).

Kebijakan Keamanan Khusus

Kebijakan keamanan harus mencari keseimbangan antara akses (kinerja dan kemudahan penggunaan) dan keamanan (integritas, ketersediaan, keselamatan).

Kebijakan keamanan yang baik akan mempertimbangkan risiko dan keentanan serta menyediakan cakupan komperehensif infrastruktur organisasi.

Contoh kebijakan di bidang keamanan :

BSI (British Standards Institude) mensponsori penciptaan kode praktik standar Inggris untuk Manajemen Keamanan Infoemasi (BS 7799), yang bertujuan menyediakan sarana untuk memastikan pelanggan bahwa bisnis menyediakan layanan yang aman dan informasi ditangani dengan aman. Diterbitkan 1 Desember 2000, sebagai standar internasional (ISO / IEC 17799).

ISO / IEC 17799 menyediakan lebih dari 125 pedoman keamanan yang dibagi menjadi 10 pos utama, yang memungkinkan identifikasi kontrol keamanan dengan cara yang sesuai untuk organisasi tertentu. 

ISO / IEC 17799 menyediakan kontrol keamanan untuk komputer dan jaringan, serta panduan tentang kebijakan keamanan, kesadaran keamanan staf, perencanaan kesinambungan bisnis, dan persyaratan hukum.

ISO / IEC 17799 adalah standar yang menentukan kontrol keamanan yang harus diselidiki dan ditinjau secara menyeluruh sebelum dimasukkan ke dalam rencana bisnis atau prosedur operasi dengan tujuan membantu organisasi mengelola risiko dengan tepat. 

Peran dan Tanggung Jawab

Komponen utama kebijakan dalam organisasi tertentu yaitu peran dan tanggung jawab dalam organisasi tersebut, karena kebijakan dibuat, diikuti dan ditegakkan oleh orang – orang yang berperan dalam organisasi.

Kebijakan di Tingkat Berbeda

Hirarki umum kebijakan dalam suatu organisasi, seperti :

1.      Kebijakan Perusahaan, terdiri dari dokumen tingkat tinggi dalam organisasi yang menyediakan arahan umum untuk diterapkan pada tingkat yang lebih rendah di perusahaan

2.      Kebijakan divisi, amplifikasi kebijakan di seluruh perusahaan serta panduan implementasi.

3.      Kebijakan lokal, berisi informasi untuk organisasi lokal atau elemen perusahaan

4.      Kebijakan masalah khusus, berisi informasi terkait isu spesifik, misalnya kebijkan firewall atau anti-virus

5.      Prosedur keamanan dan daftar periksa, terdiri dari Standar Operasional Prosedur (SOP) setempat

Dalam organisasi tipikal, kebijakan yang ditulis untuk menerapkan arahan tingkat yang lebih tinggi tidak dapat mengabaikan persyaratan atau ketentuan yang ditetapkan pada tingkat yang lebih tinggi. Kebijakan keamanan harus selalu sesuai dengan undang-undang kejahatan komputer lokal, negara bagian, dan federal serta undang-undang pemerintah lain yang berlaku.

Mengevaluasi Kebijakan Keamanan

Berikut langkah – langkah yang dapat diikuti :

1.      Verifikasi bahwa kebijakan keamanan berisi elemen paling umum

2.      Periksa kebijakan keamanan untuk melihat kejelasannya

Cara sederhana untuk mengujinya, yaitu dengan mewawancarai salah satu individu yang diidentifikasikan dalam kebijakan sebagai penanggung jawab dari beberapa tindakan dan menentukan apakah dia memahami dan sesuai dengan perannya seperti yang dijelaskan dalam kebijakan

3.      Periksa kebijakan keamanan untuk melihat keringkasannya

Dokumen kebijakan harus menggambarkan apa yang diinginkan tentang suatu subjek spesifik, bukan bagaimana cara untuk mencapainya

4.      Periksa kebijakan untuk melihat apakah realitas atau tidak

Kebijakan keamanan seharusnya tidak mengharuskan orang untuk mencoba mengimplementasikan hal-hal yang tidak dapat diimplementasikan atau tidak boleh diimplementasikan. Ini dapat dengan mudah terjadi ketika suatu kebijakan melampaui penetapan pedoman dan arahan dan mulai menentukan perincian implementasi.

5.      Periksa kebijakan untuk melihat apakah kebijakan tersebut memberikan panduan yang cukup untuk prosedur spesifik yang akan dikembangkan darinya.

Kebijakan membahas apa yang harus dilakukan dan mengapa. 

Prosedur menentukan bagaimana hal-hal dilakukan dan bagaimana kebijakan akhirnya diimplementasikan.

6.      Periksa kebijakan untuk melihat kekonsistenan kebijakan dan pedoman tingkat tinggi

Kebijakan keamanan juga harus sesuai dengan hukum kejahatan komputer lokal, negara bagian, dan federal serta peraturan pemerintah yang berlaku.

7.      Periksa kebijakan untuk melihat apakah kebijakan berwawasan ke depan

Kebijakan keamanan tidak boleh dikaitkan dengan teknologi atau orang saat ini, dan mungkin bahkan tidak dengan organisasi atau proses saat ini.

8.      Periksa kebijakan agar ketentuan tetap terbaru

Kebijakan keamanan harus ditinjau secara berkala. Revisi dalam implementasi harus mencerminkan pelajaran dari insiden baru-baru ini dan ancaman baru terhadap keamanan organisasi.

9.      Periksa apakah kebijakan keamanan sudah tersedia

Kebijakan keamanan harus dimasukkan dalam buku pegangan anggota organisasi dan diposting untuk referensi.

4 hal utama dalam mengevaluasi kebijakan apapun, yaitu :

1.      Apakah konsisten dengan kebijakan dan panduan tingkat tinggi?

2.      Apakah ini berwawasan ke depan (dan karenanya kebal terhadap kebutuhan untuk sering berubah)?

3.      Apakah ada jadwal peninjauan, dan apakah saat ini valid?

4.      Apakah sudah tersedia?

Mengembangkan Kebijakan Keamanan Masalah Khusus

Contoh masalah : Anti-virus

Langkah – langkah :

1.      Pilih cakupan kebijakan

Lingkup, dalam arti yang berbeda mencakup proses yang terkait dengan perlindungan anti-virus. 

Kebijakan anti-virus berfungsi sebagai dokumen otorisasi untuk serangkaian prosedur. Pada tingkat yang sangat tinggi, kebijakan tersebut mungkin membahas bagaimana memilih produk perangkat lunak dan memastikan penyebaran komprehensifnya, bagaimana membatasi jalur masuk yang mungkin, apa yang harus dilakukan ketika virus terdeteksi, bagaimana cara mengandung kerusakan pada sistem yang terinfeksi, dan bagaimana menggunakan perangkat lunak untuk memastikan cakupan desktop.

2.      Lapisi pertahanan anda

Perlindungan anti-virus harus berlapis (pertahanan mendalam) sehingga jika satu sistem gagal mengandung virus, ia diblokir di sistem berikutnya.

3.      Identifikasi tanggung jawab

Pengguna harus dilatih untuk tidak mengganggu atau memotong berfungsinya perangkat lunak anti-virus pada sistem mereka. Mitra harus memahami dengan jelas harapan organisasi terhadap perlindungan anti-virus

4.      Ukur efektivitasnya

Setiap kebijakan anti-virus (bersama dengan setiap kebijakan dan proses) harus mencakup cara untuk mengukur kepatuhan. Untuk kebijakan anti-virus, pengukuran ini mencakup pelaporan kemunculan virus. Lebih disukai, pelaporan akan otomatis; ini akan mengurangi beban personil dan mungkin meningkatkan kelengkapan data sebagai bagian dari produk anti-virus.