Langkah-langkah utama untuk program pelaksanaan
keamanan tersebut adalah sebagai berikut:
1.
Mempersiapkan
rencana (Preparation of a Project Plan)
Mempersiapkan
segala sesuatunya seperti perencanaan proyek yang memiliki tujuan review, ruang
lingkup, tugas yang harus dipatuhi, organisasi dari tim proyek, pendanaan dan
jadwal untuk menyelesaikan tugas.
2.
Mengindentifikasi
asset (Identification of Assets)
Dalam
melakukan proses ini perlu beberapa kategori, seperti:
a.
Personnel (end users, analyst, programmers, operators,
clerks, Guards)
b.
Hardware
(Mainfarme, minicomputer, microcomputer, disk,
printer, communication lines,
concentrator, terminal)
c.
Fasilitas (Furniture, office space, computer room,
tape storage rack)
d.
Dokumentasi
(System and program doc.,database doc.,standards plans, insurance
policies, contracts)
e.
Persediaan (Negotiable instrument, preprinted forms,
paper, tapes, cassettes)
f.
Data/Informasi (Master files, transaction files,
archival files)
g.
Software Aplikasi (Debtors, creditors, payroll,
bill-of-materials, sales, inventory)
h.
Sistem Software (Compilers, utilities, DBMS, OS,
Communication Software, Spreadsheets)
3. Penilaian asset (Valuation of Asset)
Langkah ke
tiga adalah penilaian kekayaan, yang merupakan
langkah paling sulit. Parker (1981) menggambarkan ketergantungan penilaian
pada siapa yang
ditanya untuk memberikan penilaian, cara penilaian
atas kekayaan yang
hilang (lost), waktu periode untuk perhitungan atas hilangnya
kekayaan, dan umur asset.
4. Mengindentifikasi ancaman ( Threats
Identification )
Mengidentifikasi
ancaman dalam bentuk eksternal maupun internal yang mengancam sistem informasi.
a.
Sumber ancaman eksternal meliputi nature/acts of God,
contractors, other Resource Suppliers, Competitors, Debt and Equity Holders, Governmnets,
Environmentalist dan Criminals/hackers.
b.
Sumber ancaman internal meliputi Management (contoh
kesalahan dalam penyediaan sumber daya, perencanaan dan control yang tidak
cukup), Employee (contoh Errors, pencurian,
penipuan, sabotase, pemerasan, penggunaan layanan yg tidak sah), dan Unreliable
system (contoh Kesalahan H/W, kesalahan S/W, kesalahan fasilitas).
5. Menilai kemungkinan suatu ancaman (Assess Likehood
of Threats)
Menilai
ancaman yang mungkin akan terjadi dalam waktu periode tertentu. Contohnya yaitu
perusahaan asuransi dapat
menyediakan informasi tentang kemungkinan terjadinya kebakaran api dalam satu
waktu periode tertentu.
6.
Eksposur
Analisis (Exposures Analys)
Evaluasi
dari kemungkinan adanya ancaman yang akan berhasil. Tahap analisis expose
terdiri dari 4 tugas yaitu Identifikasi control ditempat, penilaian keandalan
control ditempat, evaluasi kemungkinan bahwa insiden ancaman akan berhasil dan
menilai kerugian yang dihasilkan dari ancaman.
7.
Penyesuaian
control (Adjust Controls)
Cakupannya meliputi
cara mengelola resiko, termasuk kebijakan, prosedur, pedoman, praktek atau
struktur organisasi yang dapat di administrasikan, secara teknis, manajemen,
atau sifat hokum.
8.
Mempersiapkan
laporan keamanan (Prepare Security Report)
Insiden keamanan informasi akan dikomunikasikan
dengan cara yang memungkinkan tindakan korektif yang tepat waktu yang akan
diambil. Pelaporan insiden formal dan prosedur tambahan akan dibentuk dan
dikomunikasikan kepada semua pengguna. Tanggung jawab dan prosedur akan
dibentuk untuk menangani insiden keamanan informasi setelah pelaporan.
Strategi dan Taktik Keamanan Sistem
Informasi
Strategi
dan taktik keamanan Sistem Informasi terbagi menjadi 4, yaitu :
1.
Keamanan
Fisik
Lapisan
yang sangat mendasar pada keamanan sistem informasi adalah keamanan fisik pada
komputer. Siapa saja yang memiliki hak akses ke sistem. Jika hal itu tidak
diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.
2.
Kunci
Komputer
Banyak
case PC modern menyertakan atribut penguncian. Biasanya berupa soket pada
bagian depan case yang memungkinkan kita memutar kunci yang disertakan ke
posisi terkunci atau tidak.
3.
Keamanan
BIOS
BIOS
adalah software tingkat rendah mengonfigurasi atau memanipulasi hardware. Kita bisa
menggunakan BIOS untuk mencegah orang lain me-reboot ulang komputer kita dan
memanipulasi sistem komputer kita.
4.
Mendeteksi
Gangguan Keamanan Fisik
Hal
pertama yang harus diperhatikan adalah pada saat komputer akan di-reboot. Oleh karena
sistem operasi yang kuat dan stabil, saat yang tepat bagi komputer untuk reboot
adalah ketika kita meng-upgrade SO, menukar hardware dan sejenisnya.