Upload File

sim bab. 16 (lengkap)

22
CHAPTER 16 INFORMATION SECURITY BAB I PENDAHULUAN Dalam beberapa tahun terakhir, peluang ketenagakerjaan untuk Spesialis Informasi Keamanan secara signifikan mengalami peningkatan. Kalau kita telusuri melalui internet – memakai mesin pencari Google – sedikitnya ada sekitar 164.000 hasil pencarian untuk frase “Information Security Specialist”. Ada alasan untuk ini: Seperti industri ekonomi bergerak ke arah informasi berbasis ekonomi, informasi mereka dan kerahasiaan dan keamanan menjadi lebih penting. Kita hanya perlu melihat sebuah kekuasaan dari informasi seperti industri perbankan, asuransi, investasi dan peningkatan investasi dalam gudang data intelijen bisnis dan aplikasi untuk melihat peningkatan pentingnya informasi dalam bisnis. Pada masa awal-awal keamanan informasi, standar yang dipakai adalah kata sandi, aturan firewall, enkripsi, dan keamanan teknologi. Namun, saat ini pemakaian teknologi tersebut sudah kurang memadai walaupun jenis teknologi tentu membantu mengurangi risiko serangan eksternal, mereka juga lebih kurang efektif dalam serangan oleh pihak dalam (atau mantan karyawan). Sebagai contoh, sumber utama dari pencurian hak kekayaan intelektual, rahasia dagang dan penelitian dan pengembangan ilmu pengetahuan adalah karyawan yang berwenang untuk memiliki akses ke informasi yang mereka curi.

Upload: ecca-caca-caca

Post on 15-Sep-2015

31 views

Category:

Documents


1 download

Report

DESCRIPTION

information security

TRANSCRIPT

KEAMANAN INFORMASI

CHAPTER 16INFORMATION SECURITY

BAB I

PENDAHULUAN

Dalam beberapa tahun terakhir, peluang ketenagakerjaan untuk Spesialis Informasi Keamanan secara signifikan mengalami peningkatan. Kalau kita telusuri melalui internet memakai mesin pencari Google sedikitnya ada sekitar 164.000 hasil pencarian untuk frase Information Security Specialist. Ada alasan untuk ini: Seperti industri ekonomi bergerak ke arah informasi berbasis ekonomi, informasi mereka dan kerahasiaan dan keamanan menjadi lebih penting. Kita hanya perlu melihat sebuah kekuasaan dari informasi seperti industri perbankan, asuransi, investasi dan peningkatan investasi dalam gudang data intelijen bisnis dan aplikasi untuk melihat peningkatan pentingnya informasi dalam bisnis. Pada masa awal-awal keamanan informasi, standar yang dipakai adalah kata sandi, aturan firewall, enkripsi, dan keamanan teknologi. Namun, saat ini pemakaian teknologi tersebut sudah kurang memadai walaupun jenis teknologi tentu membantu mengurangi risiko serangan eksternal, mereka juga lebih kurang efektif dalam serangan oleh pihak dalam (atau mantan karyawan). Sebagai contoh, sumber utama dari pencurian hak kekayaan intelektual, rahasia dagang dan penelitian dan pengembangan ilmu pengetahuan adalah karyawan yang berwenang untuk memiliki akses ke informasi yang mereka curi.Sebagai tambahan, sekarang, perlindungan terhadap kerahasiaan dan integritas dari sebuah organisasi informasi juga disyaratkan oleh hukum di Amerika. Sebagai contoh: Hukum The Sarbanes-Oxley mesyaratkan informasi tentang kontrol yang sesuai untuk semua perusahaan publik, hukum The Grarnn-leach Bliley memberi mandat kerahasiaan standar yang ketat untuk semua kredit keuangan dan laporan-organisasi, baik yang bersifat umum atau swasta, dan The Health insurance Portability and Accountability Act (HIPAA) mensyaratkan standar privasi yang tinggi untuk catatan medis Hukuman bagi yang melanggar undang-undang tersebut dapat berkisar dari tuntutan perdata dan pidana denda pada kejahatan yang parah untuk pelanggaran yang berat dan diulang.Makalah ini akan berfokus pada aspek manajerial informasi security termasuk manajemen risiko, kebijakan keamanan, kontinuitas perencanaan bisnis, perusahaan rekaman dan manajemen pendekatan sistem kontrol audit, dan kepatuhan. Hal ini tidak dimaksudkan untuk meniadakan pentingnya teknologi keamanan dengan cara apapun. Manajer TI yang bertanggung jawab untuk mengidentifikasi dan menerapkan teknologi keamanan yang tepat untuk informasi, berdasarkan penilaian dari organisasi dari risiko. BAB II

TINJAUAN PUSTAKA

E- CRIMEKejahatan elektronik (e-crime) didefinisikan sebagai pelanggaran pidana di mana sebuah komputer atau e-media yang digunakan dalam komisi dari kejahatan (CSO Magazine, 2005) Sebuah survei keamanan eksekutif dan penegakan hukum personil menemukan bahwa rata-rata sejumlah 86 kejahatan elektronik pada tahun ini dan kerugian yang lebih dari $ 500.000 per organisasi, meskipun beberapa responden yang tidak dapat menentukan dolar kerugian yang sebenarnya. Jenis kerugian dari kejahatan elektronik dapat berupa berbagai bentuk. Dalam survei yang sama (CSO Magazine, 2005), hanya 12 persen dari responden mengatakan organisasi mereka mengalami beberapa jenis kerugian keuangan kritis atau operasional, tetapi 12 persen lainnya dilaporkan berbahaya untuk organisasi reputasi (karena publisitas dari kejahatan). Hanya dalam beberapa tahun terakhir, ada pelanggaran besar keamanan dipimpin ke eksposur kredit dan kartu debit data yang disimpan oleh pengecer (lihat Figur 16,1). Pelanggaran terbesar sampai saat ini berlangsung selama satu periode 18 bulan, dan melibatkan record lebih dari 45 juta kartu (lihat kotak berjudul "Pencurian Data Pelanggan di TIX"). Dalam sebuah survei, lebih dari setengah dari responden organisasi ini telah mengalami jenis kejahatan berupa serangan virus, malicious code, atau spyware dan phishing, yang berasal dari luar organisasi. Meski karenanya pihak luar menempatkan cyber-security terbesar menghambatnya dalam organisasi, pihak dalam masih melanjutkan pencarian sumber kejahatan elektronik yang diperkirakan mencapai 20% dari kejadian (dimana sumber telah teridentifikasi). Kejahatan pihak dalam adalah memperoleh akses tidak terotorisasi terhadap suatu informasi, sistem atau jaringan, atau penyebab terbongkarnya rahasia perusahaan atau informasi yang bersifat sensitif. Kejahatan ini juga dapat dilakukan oleh individu kepada perusahaan dimana ia mengambil keuntungan pada perusahaan atau melakukan pelanggaran. Sebagai contoh, pegawai IT perusahaan asuransi yang telah dipecat dari perusahaan menanamkan sebuah bom logic yang terpasang setelah dia meninggalkan perusahaan dan menghancurkan lebih dari 160.000 data yang digunakan untuk membayar gaji komisi bulanan (Baase, 1997). Banyak perusahaan mencoba untuk meminimalisir jenis resiko ini dengan sesegera mungkin menghilangkan password komputer dari pegawai yang telah keluar, atau dikeluarkan.

Cyberattacks pada komputer dan pemilik situs web sangat meningkat selama decade terakhir ini. Beberapa serangan melibatkan satu komputer, dan ada pula yang ditujukan untuk melibatkan ribuan. Pelaku dapat berupa hacker atau cracker. Hacker biasanya tidak berniat untuk menyakiti manusia, dan membenarkan tindakan mereka sebagai membantu dalam garis besar kerentanan dalam praktik keamanan komputer atau perangkat lunak produk tertentu (terutama sistem operasi Microsoft).Kejahatan elektronik yang lain mengarah pada pencurian informasi atau uang dari individu termasuk para pegawai. Sebagai contoh, ketidakhatian pengguna bisa digelapkan dengan spoofing, suatu teknik dimana sebuah website yang meniru situs yang sah sudah diatur untuk tujuan menyesatkan atau mengacaukan pengguna Internet. Sebuah papan pesan atau e-mail mungkin dia digunakan agar korban langsung ke situs palsu, atau mungkin hanya menggunakan varian lain yang dekat dari situs ke orang-orang yang salah melakukan pengetikan. Teknik yang Digunakan untuk Melakukan Serangan Komputer

1. Virus kecil unit kode yang menyerang program yang dijalankan atau file dibuka, virus membuat salinan sendiri yang dirilis menyerbu ke program lain atau file di komputer.2. Worm (cacing) adalah virus yang memiliki kemampuan untuk menyalin diri dari komputer ke komputer, biasanya melalui jaringan.3. A Trojan horse adalah program pelanggar keamanan yang diperkenalkan ke dalam komputer dan bertindak sebagai cara untuk mengacau masukkan kembali ke komputer di masa depan. Mungkin samar-samar sebagai sesuatu yang bersalah, seperti screen saver atau permainan.4. Logic bomb merupakan program yang diperkenalkan ke dalam komputer dan menentukan untuk mengambil tindakan pada waktu tertentu atau saat terjadi event tertentu.5. Penolakan serangan layanan oleh sejumlah besar komputer di internet dan meminta mereka untuk secara bersamaan mengirimkan pesan berulang-ulang untuk menargetkan komputer, sehingga yang baik overloading komputer input buffer atau gangguan pada saluran commucations ke komputer yang sangat sah sehingga pengguna tidak dapat memperoleh akses.

Manajemen Risiko Informasi Semua keamanan informasi seharusnya dengan risiko menejemen. Isu penting menentukan keseimbangan antara biaya dan keuntungan dari risiko menejemen. Contohnya, anda pribadi tidak ingin membayar $ 10,000 untuk melindungi dari kerugian $ 5,000 dan perusahaan tidak tahu. Tapi bagaimana menentukan jumlahnya ? Tantangan disini adalah estimasi kerugian, menentukan bagaimana perusahaan membayar untuk keamanan yang relative mudah. Pertama, manajemen harus menentukan informasi asset dan memberikan nilai prioritas. Kedua, manajemen harus menentukan bagaimana organisasi/perusahaan dapat menjalankan fungsi khusus informasi asset. Ketiga, manajer departemen dan pemilik dari asset informasi untuk pengembangan dan aplikasi keamanan prosedur untuk melindungi asset. Sumber yang baik yang digunakan adalah : Pengalaman perusahaan, dan pengalaman rata-rata

Biaya kejadian tahunan (OAR) adalah hanya penilaian bagaimana sering kerugian ini terjadi pada masing-masing tahun. Pengalihan kali ini SLE untuk mendapatkan AEL

Setelah penjelasan risiko analisis kwalitatif untuk semua informasi asset, biaya AEL. Figure 16.6 (dapat dilihat pada buku Brown hal 610) adalah figure kegunaan analisis risiko biaya dan manfaat.

KEPATUHAN TERHADAP PERUNDANGAN KEAMANAN INFORMASI

Sarbanes-Oxley (SOX)

The Sarbanes-Oxley Act of 2002 (SOX) disahkan dalam merespons skandal perusahaan perusahaan yang berbadan hokum seperti Enron, banyak pekerja telah kehilangan tidak hanya pekerjaan mereka tetapi juga tabungan mereka untuk pengunduran diri yang dipaksakan. SOX mempunyai dampak yang besar atas akuntansi, pencatatan dan pengawasan yang teratur untuk semua perusahaan yang bergerak dalam bisnis perdagangan umum di Amerika Serikat.

Untukmenghindari kekuatiran pertanggungjawaban menurut undang-undang, manager membutuhkan pengetahuan berikut:

Record Retention: pernyataan khusus SOX bahwa perusahaan perusahaan harus memelihara semua e-mail yang relevan dalam daftar, untuk penomoran tahun bentuk yang mudah, jaminan bahwa auditor bias dengan gampang memilih dokumen-dokumen yang penting. Peraturan ini telah memacu pertumbuhan dari software .electronic record managent (ERM)

IT Audit Controls: Bagian 404 dari SOX menyatakan bahwa perusahaan perdagangan umum di Amerika Serikat harus menyususn dokumen dan memelihara pengawasan internal laporan keuangan. Pejabat perusahaan diwajibkan untuk mengevaluasi keefektifan pengawasan internal selama 90 hari sebelum laporan. Bagian 404 juga meminta manajemen untuk menerbitkan laporan pengawasan internal seperti laporan tahunan SEC.

The Committee of Sponsoring Organizations (COSO) membuat sebuah kerangka penilaian pengawasan bagi auditor. Pedoman COSO sekarang mewajibkan CIO untuk bertanggungjawab langsung terhadap keamanan, keakuratan, dan kehandalan dari system informasi pengelolaan dan pelaporan data keuangan.

Kerangka COSO berdampak khususnya terhadap tehnologi informasi dalam 5 bagian berikut:

1. Risk Assesstment:manajemen pertama harus mengadakan risiko penilaian dari pengaruh dan keabsahan system informasi pengumumuan keuangan

2. Control Environment: philosophy management mengenai apakah melibatkan pekerja dalam keputusan berpengaruh terhadap kualitas asuransi, keamanan dan kerahasiaan dari system informasi mereka.

3. Control Activities: maksudnya kelompok pelaksana dan kualitas asuransi harus berdiri sendiri.

4. Monitoring: manajemen harus menciptakan system yang menyediakan kecepatan dan keakuratan internal audit, dan harus melakukan pemeriksaan keuangan ini atas ketepatan jadwal untuk risiko mutu mereka.

5. Information and Communication : manajemen IT harus bisa membuktikan pengelolaanbahwa mereka memenuhi SOX

Gramm-Leach-Bliley Act of 1999 (GLBA)

GLBA memerintahkan semua organisasi untuk meningkatkan pemeliharaan kerahasiaan dari seluruh informasi keuangan klien atau customer mereka.

Hukum GLB disini memberikan wewenang untuk 8 perwakilan pemerintah dan menyebutkan untuk menjelaskan The Finacial Privacy Rule and the Safeguar Rule.

The Financial Privacy Rule

The Financial Privacy Rule meminta institusi keuangan memberikan customer mereka kebebasan memberitahukan ,kumpulan informasi intitusi keuangan sudah jelas dan memberikan praktek.

Health Insurance Portability and Accountability Act (HIPAA)

Perlakuan organisasi dengan transaksi elektronik dari pencatatan medis, pembayaran medis atau pengiriman berita, klaim asuransi, permintaan persyaratan atau informasi penyerahan medis harus dipenuhi dengan HIPAA.

Organisasi j ika menggunakan HIPAA, manajemennya harus bekerja sebagai berikut:

1. Mengangkat petugas untuk bertanggungjawab untuk memenuhi HIPAA

2. Staff yang terbiasa dengan issu kunci memenuhi HIPAA

3. Mengetahui bagaimana hukum khususnya mempengaruhi organisasi

4. Memastikan dalampenulisan dan dengan pemerikasaan keuangan bahwa semua bisnis organisasi yang relevan bekerja dengan HIPAA terpenuhi juga.

The PATRIOT Act

The PATRIOT Act banyak menurunkan persyaratan bagi pemerintahan untuk kemudahan informasi.

The Patriot Act mengizinkan korban dari kejahatan computer untuk meminta bantuan penyelenggaraan hokum dalam memonitor pelanggaran computer mereka.

The Patriot Act memperluas undang-undang pencucian uang sejak 1986 begitu pula perintah bagi institusi keuangan untuk mengarsip a Currency Transaction Report (CTR) untuk seluruh transaksi tunai terbanyak $ 10,000. Juga kerugian the Bank Secrecy Act dari 1970 untuk pengakuan dasar standar menurut undang-undang.

DEVELOPING AN INFORMATION SECURITY POLICY

Pada saat ini setiap perusahaan perlu memiliki kebijakan keamanan informasi yang jelas dan dimasukkan dalam akun risiko informasi yang harus diatur. Selain itu terdapat kebutuhan akan patuh pada hukum seperti yang didiskusikan sebelumnya. Disini tidak terdapat imlikasi kebijakan keamanan: jika kebijakan tidak tertulis, maka dikatakan tidak terdapat kebijakan akuntansi, dan perusahaan perdagangan milik pemerintah yang tidak memiliki kebijakan keamanan secara otomatis dikatakan tidak patuh dengan Sarbanes-Oxley.

If your security policy is not written down, your organization has no security policy.

Perusahaan asuransi saat ini tidak akan menjamin perusahaan yang tidak memiliki kebijakan keamanan yang tertulis dengan jelas. Seperti inilah lingkungan bisnis saat ini, dan hal ini akan berlanjut pada abad kedua puluh satu.

Kebijakan keamanan harus ditulis oleh top manajemen dan harus menyatakan apa yang diperbolehkan dan apa yang tidak, serta tidak boleh ada muatan keragu-raguannya. Seseorang juga tidak harus mengganti hukum sipil dan kriminal yang sudah ada di kebijakan keamanan perusahaan tersebut. Jadi kebijakan harus menyatakan secara eksplisit tindakan apa saja yang dilarang dan hukuman apa yang diberikan bagi pelanggar peraturan.

Hal ini memberikan pertimbangan yang dibutuhkan oleh manajemen untuk memberhentikan dengan cepat karyawan yang bertindak melanggar. Perusahaan mungkin belum mengetahui apakah karyawan tersebut melakukan tindakan melanggar hukum atau tidak, tetapi jika manajemen dapat membuktikan dengan jelas kebijakan keamanan mana yang dilanggar, maka manajemen memiliki dasar yang jelas untuk pemecatan karyawan.

Meskipun kebijakan keamanan perusahaan lain tidak akan persis sama, namun kebijakan tambahan seringkali ditemukan di internet dan sumber lain. Detail implementasi kebijakan yang sesungguhnya harus dimuat dalam prosedur manual dan tidak dalam kebijakan keamanan itu sendiri.

Who should develop the security policy?

Security policy committee. Karena lingkungan teknologikal dan hukum seringkali berubah, maka security policy committee harus memiliki peraturan, jadwal rapat untuk melakukan perubahan dan voting atas perubahan yang terjadi atau tambahan kebijakan. Pembuatan kebijakan keamanan adalah tugas yang penting daripada suatu tujuan akhir.

What should be in the security policy?

Suatu kebijakan keamanan yang meliputi seluruh dampak integritas dan kerahasiaan informasi perlu ditulis. Suatu perusahaan mungkin memiliki banyak kebijakan informasi (Barman dalam Brown et al., 2009;613), atau mungkin hanya memiliki satu saja, kebijakan keamanan yang komprehensif adalah suatu ringkasan. Area kebijakan pada umumnya adalah:

a. Access control policiesb. External access policiesc. User and physical policiesPassword kebijakan manajemen dan kebijakan formal pada penggunaan yang dapat diterima, umumnya digunakan untuk mencegah atau mengurangi kejahatan elektronik.

How strict should a security policy be?

Sifat kaku dari kebijakan harus sesuai dengan estimasi risiko perusahaan.

When and how should an organization develop a security policy to address a new situation?

Kebijakan baru harus dibuat secepat mungkin karena semakin panjang suatu operasi perusahaan tanpa kebijakan yang lengkap maka semakin besar risiko informasi dan hukum.

How should policies be disseminated?

Perusahaan harus membuat suatu kebijakan mudah untuk diperoleh seluruh karyawannya (termasuk kontraktor) agar mereka mengetahui versi kebijakan keamanan perusahaan yang paling update. Pendistribusian kebijakan dalam bentuk hard-copy masih sering digunakan. Yang terbaru pendistribusian melalui e-mail atau mem-posting-nya secara online (pada intranet perusahaan atau jaringan internal keamanan lainnya). Selain itu perusahaan harus menyimpan dan mengarsip seluruh transaksi yang telah disetujui sebagai bukti perjanjian karena dapat dibutuhkan di masa mendatang.

PLANNING FOR BUSINESS CONTINUITY

Pada masa lalu, organisasi IT fokus pada perencanaan penanggulangan bencana, dimana rencana yang dibuat untuk mengatasi bencana alam yang tidak dapat diperkirakan, seperti banjir, tornado, badai atau kebakaran. Sebagai contoh, banyak perusahaan mencari external service provider untuk menyediakan pemrosesan backup data yang terpusat dan pendukung telekomunikasi. Penelitian telah menunjukkan bahwa ketidakmampuan suatu perusahaan untuk meringkas aktivitas bisnis yang normal dalam jangka waktu yang masuk akal setelah terjadi gangguan besar merupakan kunci prediktor dari kegagalan bisnis.

Namun demikian, business continuity planning (BCP) meliputi lebih banyak hal lagi daripada hanya sekedar pemulihan dari bencana alam. Hal tersebut meliputi penempatan perencanaan untuk menjamin bahwa pekerja dan pemrosesan bisnis dapat berlanjut ketika berhadapan dengan gangguan besar yang tidak dapat diantisipasi. Sebagaimana yang diperlajari oleh banyak perusahaan setelah penyerangan teroris di AS tanggal 9 September (McNurlin dan Sprague dalam Brown et al., 2009;615), kelanjutan bisnis juga harus memiliki:

1. Ruang kerja pengganti untuk manusia dengan menggunakan komputer dan saluran telepon

2. Tempat backup IT yang tidak terlalu dekat tapi juga tidak terlalu jauh

3. Perencanaan evakuasi yang up-to-date yang diketahui semua orang dan telah dipraktekkan

4. Backed-up laptop dan departemental servers, karena banyak informasi perusahaan ditempatkan pada mesin ini daripada dalam data center5. Membantu manusia dari bencana dengan memberikan akses yang mudah pada phone lists, e-mail lists dan bahkan instant messenger lists, sehingga manusia dapat berkomunikasi dengan orang yang disayanginya dan kolega-koleganya.

Proses untuk menciptakan BCP dimulai dengan analisa dampak bisnis yang meliputi hal-hal berikut ini:

1. Menentukan proses bisnis yang kritikal dan departemen- departemennya

2. Menentukan ketergantungan diantara mereka

3. Menguji seluruh gangguan yang mungkin terjadi pada sistim ini

4. Mengumpulkan informasi kuantitatif dan kualitatif atas ancaman yang dapat terjadi

5. Menyediakan penolong untuk sistem restoring.

Untuk item nomor 3, beberapa ketergantungan yang mempengaruhi akses ke informasi organisasional jelas sekali, seperti listrik, komunikasi dan koneksi internet. Sedangkan yang lainnya mungkin kurang jelas, seperti maximum tolerable downtime bagi masing-masing sistim aplikasi. Secara tradisional, hal ini dapat diukur dalam kategori sebagai berikut:

Lower-priority = 30 hari

Normal = 7 hari

Important = 72 jam

Urgent = 24 jam

Critical = < hari.

Pengukuran di atas tentunya menghasilkan ranking kuantitatif, selama tetap mempergunakan pertimbangan kualitatif mengenai kekuatan dari gangguan, yang kemudian digunakan untuk menentukan suatu bantuan yang sesuai untuk sistim restorasi.

BCP juga harus menyatakan siapa yang bertanggung jawab untuk melakukan pekerjaan di masing-masing kondisi. Log dan dokumentasi lainnya harus tersedia untuk implementasi rencana. Akhirnya, rencana BCP harus diuji dan auditor memerlukan periode pengujian dalam kerangka waktu yang jelas berdasarkan jenis industri perusahaan.

Pengujian BCP mungkin merupakan bagian proses yang membutuhkan biaya besar, seperti permintaan menarik staf dari pekerjaan normalnya untuk mensimulasikan situasi serupa pada saat gangguan terjadi. Bagi perusahaan pengujian BCP membebankan uang, waktu dan sumber daya dalam jangka pendek dan juga dapat menyebabkan produktivitas yang lebih rendah untuk sementara waktu.

ELECTRONIC RECORDS MANAGEMENT (ERM)

ERM yang telah berkembang di hukum AS akhir-akhir ini telah mensyaratkan bahwa perusahaan harus menyimpan catatan yang dimilikinya untuk periode waktu minimum, seperti Sarbanes-Oxley Section 802, The Internal Revenue Service dan The Health Information Portability and Accountability Act (HIPAA). Terdapat lebih dari dua belas hukum penting di AS yang mensyaratkan penyimpanan dan perlindungan informasi, dan pada Desember 2006 aturan yang lebih eksplisit mengenai bagaimana perusahaan harus menangani suatu respon terhadap suatu litigasi permintaan dokumen elektronik telah dibangun.

Pada umumnya banyak bisnis telah menyepelekan digital liability-nya untuk melakukan tindakan yang diambilnya. Misalnya, eksekutif Microsoft dengan jelas tidak memikirkan konsekuensi ketika mengirim e-mail tentang Netscape.

Digital liability management mensyaratkan penjaminan bahwa manajer harus memiliki pengetahuan mengenai risiko yang terdapat dalam information mismanagement, kebutuhan atas kebijakan yang tepat dan lingkungan hukum & regulatori yang dihadapi perusahaan. Seluruh digital liability management harus didasarkan pada analisa risiko. Hal ini terlihat jelas, namun sejarah bisnis disaring dari berbagai kasus yang telah dihadapi perusahaan dimana mereka tidak dapat menilai risiko atas tindakan yang diambilnya.

Kompleksitas yang rumit pada perusahaan besar, yang dikombinasikan dengan perubahan hukum nasional & internasional dan meningkatnya penggunaan dokumen elektronik, mensyaratkan suatu pendekatan sentralisasi bagi electronic records management (ERM). Pada banyak perusahaan, suatu investasi tidak hanya untuk ERM specialist tetapi juga ERM komersial, selain itu ERM software mungkin juga perlu disesuaikan.

Pada umumnya, seorang manajer ERM (atau seorang komite ERM) harus bertanggung jawab terhadap hal-hal berikut ini:

1. Pendefinisian atas apa yang terdapat dalam catatan elektronik. Catatan elektronik tidak hanya meliputi e-mail, tetapi juga catatan keuangan, R & D, IM massages, database pelanggan dan transaksi dan banyak lagi lainnya.

2. Penganalisaan lingkungan bisnis saat ini dan pembuatan kebijakan ERM yang sesuai.

3. Pengklasifikasian catatan khusus berdasarkan kategori pentingnya, persyaratan regulatori dan durasi.

4. Pengontetikkan catatan dengan penjagaan logs dan prosedur yang akurat untuk membuktikan bahwa inilah yang merupakan pencatatan aktual dan bahwa mereka belum diubah.

5. Pengaturan kepatuhan terhadap kebijakan. Kebijakan ERM harus memiliki kontrol yang tepat, penjelasan apa yang telah dilakukan, kapan dilakukan, siapa yang melakukannya, dengan logs dan kontrol untuk membuktikan bahwa kebijakan tersebut sudah sesuai dengan peraturan.

Amandemen terhadap U.S. Federal Rules of Civil Procedures yang membawa dampak pada Desember 2006 menempatkan pokok baru pada catatan manajer yang berkenaan dengan tujuan penyimpanan catatan dan perolehan informasi yang tepat waktu dalam merespon litigasi potensial. Sejak kegagalan mematuhi eDiscovery ammandements ini dapat menyebabkan diberikannya beberapa sangsi keuangan, maka praktek ERM yang baik menjadi suatu bagian manajemen risiko informasi yang penting (Volonino et al. dalam Brown et al., 2009;617).The Chief Information Security Role

Banyak organisasi yang saat ini mengimplementasikan aturan CISO. CISO bertanggung jawab untuk melakukan pendekatan berkesinambungan atas risiko sekuritas informasi pada organisasi dan untuk mengembangkan kemungkinan-kemungkinan terbaik dalam menghadapi persaingan pasar. Dan CISO tidaklah harus memiliki staff ahli teknisi komputer di bidang teknologi sekuritas. Namun, CISO tidak diperbolehkan untuk menyampikan pada staf teknisi lain mengenai teknologi yang saat ini sedang dipergunakan organisasi dalam sekuritas informasi.

Tujuan utama dari adanya CISO bukanlah untuk mengeleminir seluruh risiko informasi. Namun lebih pada

1. mengidentifikasi dan memprioritaskan solusi atas risiko-risiko yang relevan terjadi.

2. Mengeliminasi resiko yang dapat diatasi dengan dana investadi yang relevan

3. Melakukan mitigasi atas kemungkinan risiko yang lain hingga tercapai point of diminished return pada investasi sekuritas, meskipun tentu saja hal ini sulit dilakukan

Globalisasi bisnis yang membawa perkembangan risiko sekuritas informasi contohnya:

Banyak organisasi yang memutuskan untuk joint venture

Organisasi melakukan strategi aliansi riset dan pengembangan

Organisasi menyiapkan manufaktur untuk setiap produk baru

Organisasi menggunakan outsourcing berbentuk firma/ pihak ketiga yang memprotes pemberian upah dan klaim data

Beberapa firma juga memanfaatkan kondisi ini dengan menggunakan ASPs (Aplication Service Provider) yang dapat menyimpan data pelanggan dari multi organisasi.BAB III

TELAAH JURNAL

Jurnal dengan judul Ethical and Legal Issues for the Information Systems Professional menyajikan secara garis besar bahwa saat ini kita sedang berada di suatu jaman di mana setiap rutinitas yang kita jalani selalu berhadapan dengan isu seperti ekspose informasi secara pribadi, keamanan secara digital untuk system organisasi ataupun pribadi, pencurian identitas, spyware, phishing, Internet yang bersifat pornografi dan spam. Permasalahan ini dari waktu ke waktu telah telah menarik perhatian dan telah menjadi bagian dari konsumsi publik Amerika setiap saat. Dengan kondisi yang demikian, sebagian publik Amerika menganjurkan pembuatan perundang-undangan sebagai perlindungan bagi pemerintah pusat dengan niat untuk melindungi keseluruhan penduduk secara umum dari kejahatan yang akan dialami organisasi baik itu kerugian keuangan dan sipil atau penuntutan perkara jahat.

Sistem informasi organisasi terutama para profesional, yang selalu berhubungan dengan isu ini diharapkan untuk dapat mengendalikan institusinya untuk memperkecil resiko.

Penulisan ini akan menganalisis perkembangan isu dari resiko secara digital dan suatu undang-undang yang dibuat dari perspektif etika. Hubungan dari resiko ini sangat penting dan etis untuk dilakukan oleh para profesional sistem informasi di dalam organisasi. Cost-benefit merupakan perspektif yang akan digunakan untuk mendiskusikan efek dari perundang-undangan pada setiap organisasi dan masyarakat secara umum.

Sumber Ethical and Legal Issues for the Information Systems ProfessionalThomas A Pollack Association Dean / Director of Undergraduate Studies Kathleen S. Hartzel Division Chair of Information Systems Management Duquesne University School of Business Administration

BAB IV

KESIMPULAN

Selain meningkatkan investasi pada keamanan teknologi informasi, banyak organisasi juga meningkatkan investasi pada manajemen electroic records dan spesialis keamanan informasi. Tujuan dilakukannya hal ini adalah untuk menimimalkan risiko organisasi pada tingkat biaya yang rendah. Hal ini tidak berarti bahwa organisasi telah menjadi benar-benar aman. Lebih dari itu, hal tersebut untuk menuju pengetahuan manajemen informasi dan teknis terkini, sehingga organisasi perlu menimalkan risiko sebaik mungkin, baik berasal dari penilaian manajemen risiko, sumber dayanya, dan lingkungan peraturan yag berlaku saat ini.

Selain itu suatu organisasi harus patuh terhadap peraturan-peraturan yang ada. Ketidakpatuhan bukanlah sebuah opsi, dan pegawai perusahaan harus dididik pada semua peraturan-peraturan yang relevan dengan posisi dan organisasi mereka.

Manajemen sistem informasi harus dilihat sebagai suatu proses. Manajer IT bertanggung jawab untuk menilai dan mengimplementasikan teknologi sekuriti, serta menilai risiko baru yang berkaitan dengan teknologi baru. CISO, manajer high-level lainnya, atau komite organisasi harus bertanggung jawab dalam menilai akibat dari perubahan peraturan atau perubahan-perubahan lingkungan kerja, dan mengembangkan dan mengimplementasikan kebijakan keamanan informasi baru untuk menempatkan mereka. Keamanan informasi membutuhkan penyesuaian yang berkelanjutan, berdasarkan informasi yang tidak sempurna mengenai lingkungan eksternal.SLE x AOR = AEL


Skripsi BAB 3 Lengkap

Bab IV - Lengkap

Ujian Teori Sim C Lengkap

BAB I Promkes Lengkap

BAB I sd IV Lengkap

Bab 5 Lengkap

Bab I-VII Lengkap

Lengkap Bab 1, 2, 3,4

BAB I Lengkap

Sim bab 4 praktek

Bab IV Baru Lengkap

Bab 3 lukisan teknik lengkap

Bab II Tapi Nyaris Lengkap

KT Anak Lengkap (BAB I & BAB II)

Sim bab 10 teori

BAB II Matriks Lengkap Sosbud

Bab Lengkap

SIM TEORI BAB 9

SIM TEORI BAB 2

SIM TEORI BAB 10

BAB 1 - 5 LENGKAP

SIM TEORI BAB 11

Bab sistem-ekskresi-manusia-lengkap

Bab III Sim Arie

Fisika Keramik Bab 2 Lengkap

Ppt sim (bab iii)

BAB 1 Laporan Lengkap

Bab 1 Sampai 3 Lengkap

Sim bab 4 teori

Spesifikasi Lengkap Nokia 110 Dual SIM

BAB 1sampai 5 Lengkap

BAB II SIM

Laporan KP Lengkap Dari Bab I Sampai Bab V

Bab Sistem Ekskresi Manusia Lengkap

Sim bab 6 teori