Chapter 9 -Information Security-

Chapter 9
Information Security
Tujuan Pembelajaran
►    Memahami kebutuhan organisasi untuk keamanan informasi dan kontrol .
►    Ketahuilah informasi keamanan terkait dengan semua sumber informasi, bukan hanya perangkat keras dan data.
►    Mengetahui tiga tujuan utama keamanan informasi.
►    Ketahuilah yang mengatur keamanan informasi yang terdiri dari dua bidang: manajemen keamanan informasi (ISM) dan manajemen keamanan bisnis (BCM).
►    Lihat hubungan logis antara tantangan, risiko dan kontrol.
►    ahu apa keamanan keamanan utama.
►    Tahu apa masalah keamanan utama.
►    Kenali masalah keamanan e-commerce dan bagaimana perusahaan kartu kredit meminta dengan mereka.
►    Menjadi akrab dengan cara formal untuk terlibat dalam manajemen risiko.
►    Mengetahui proses untuk menerapkan kebijakan keamanan informasi.
►    Kenali lebih banyak kontrol keamanan yang lebih populer.
►    Dapatkan hubungan keluarga dengan pemerintah dan industri yang berhubungan dengan informasi.
►    Tahu bagaimana mendapatkan sertifikasi profesional dalam keamanan dan kontrol.
►    Mengetahui jenis rencana yang termasuk dalam rencana kontinjensi.
Kebutuhan Organisasi untuk Keamanan dan Kontrol
Ø   Pengalaman industri terinspirasi untuk:
§   Tempatkan tindakan pencegahan keamanan yang dimaksudkan untuk menyelamatkan atau mengurangi peluang kerusakan atau kerusakan.
§   Menyediakan organisasi kemampuan untuk menyelesaikan operasi setelah gangguan.
Ø   Undang-Undang Patriot dan Kantor Keamanan Dalam Negeri
§   st  masalah keamanan vs hak-hak individu.
§   nd  masalah keamanan ketersediaan vs (yaitu, HIPPA).
Informasi keamanan
►    Keamanan sistem yang didukung pada perlindungan perangkat keras, data, perangkat lunak, Fasilitas komputer, dan pribadi.
►    Keamanan informasi menjelaskan perlindungan baik peralatan komputer dan non-komputer, Fasilitas, data, dan informasi dari pihak ketiga yang tidak didukung.
§   Menerbitkan Mesin Fotokopi, Faks, semua jenis media, dokumen kertas
Tujuan Keamanan Informasi
v Informasi   keamanan untuk mencapai tiga tujuan utama:
•       kerahasiaan: melindungi data dan informasi perusahaan dari pengungkapan kepada orang yang tidak diundang.
•       Membeli: memastikan data dan informasi perusahaan hanya tersedia bagi mereka yang diminta untuk digunakan.
•       Integritas: sistem informasi harus mewakili sistem fisik yang mereka wakili.
  Sistem informasi perusahaan harus melindungi data dan informasi yang mendukung, memastikan bagi pengguna yang menyetujui, mengatur kepercayaan atas akurasinya.
Manajemen Keamanan Informasi
►    Manajemen keamanan informasi (ISM) adalah aktivitas keamanan sumber daya informasi tetap aman.
►    Business Continuity Management (BCM) adalah kegiatan yang mempekerjakan perusahaan dan sumber daya yang menyediakan informasi setelah bencana.
►    Petugas Keamanan Sistem Informasi Perusahaan (CISSO) bertanggung jawab atas keamanan sistem informasi perusahaan.
►    Petugas Penjaminan Informasi Perusahaan (CIAO) melaporkan kepada CEO dan mengelola unit tersebut.
Manajemen Keamanan Informasi
►    Prihatin dengan merumuskan kebijakan keamanan informasi perusahaan.
►    Keputusan manajemen risiko adalah targetkan keamanan sumber informasi perusahaan pada risiko (ancaman yang dikenakan) yang dikeluarkan.
►    Patokan keamanan informasi adalah tingkat keamanan yang diminta yang ada di dalam tanah normal harus ditawarkan pada yang sesuai dengan intrusi yang tidak sah.
•       Tolok ukur adalah tingkat kinerja yang disetujui.
•       Didefinisikan oleh pemerintah dan Asosiasi industri apa yang menjadi kepercayaan bagi komponen dari program keamanan informasi yang baik.
►    Patokan disetujui adalah kompilasi perusahaan yang disetujui patokan keamanan informasi dan standar yang disetujui oleh otoritas industri
 Ancaman
► Ancaman keamanan informasi adalah seseorang, organisasi, perlindungan, atau informasi yang menyebabkan kerugian pada sumber informasi perusahaan.  
► Ancaman internal dan eksternal 
§ Internal termasuk karyawan perusahaan, pekerja sementara, konsultan, kontraktor, dan bahkan mitra bisnis.  
§ Setinggi 81% kejahatan komputer telah dilakukan oleh karyawan.  
§ Ancaman internal yang menyebabkan kerusakan yang lebih penting karena pengetahuan yang lebih rumit tentang sistem.  
► Tindakan kecelakaan dan disengaja 
Jenis ancaman
► Perangkat lunak berbahaya ( malware ) terdiri dari program lengkap atau segmen kode yang dapat menyerang sistem dan melakukan fungsi yang tidak ditentang oleh pemilik sistem (yaitu, mengambil file, pindah sistem, dll).  
► Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa diundang ke pengguna dan menanamkan izin sendiri di dalam program boot lain dan sektor.  
► Cacing tidak dapat mereplikasi dirinya sendiri di dalam sistem, tetapi dapat mengirimkan persetujuannya dengan cara e-mail.  
► Kuda Trojan  didistribusikan oleh pengguna utilitas dan kompilasi utilitas digunakan, menghasilkan perubahan yang tidak diperlukan dalam sistem; tidak dapat diterapkan atau menduplikasi sendiri. 
► Adware menghasilkan pesan iklan intrusif.  
► Spyware mengumpulkan data dari mesin pengguna.  
Risiko
► Risiko keamanan informasi adalah hasil potensial yang tidak diinginkan dari keamanan informasi oleh keamanan informasi.  
§ Semua risiko mewakili tindakan yang tidak sah.  
► Pengungkapan dan ancaman yang tidak sah 
► Penggunaan yang tidak sah 
► Kehancuran yang tidak sah dan penyangkalan Layanan 
► Modifikasi tidak sah 
Pertimbangan E-Niaga
► Kartu kredit sekali pakai (AMEX) -sebuah tindakan yang disetujui pada 60 untuk 70% dari konsumen yang takut akan kartu kredit yang timbul dari penggunaan internet.  
Visa ►  10 praktik keamanan yang diperlukan untuk pengecer ditambah 3 praktik umum untuk keamanan informasi dalam semua kegiatan pengecer.  
· Program keamanan informasi pemegang kartu ( cisp ) ditambah praktik yang diperlukan          
Manajemen risiko
► Mendefinisikan risiko terdiri dari empat subteps. 
§ Mengidentifikasi aset bisnis untuk dilindungi dari risiko.  
§ Kenali risikonya.  
§ Menentukan tingkat dampak pada perusahaan harus memiliki risiko terwujud.  
§ Menganalisis Resolusi perusahaan.  
► Keparahan 
§ Dampak parah memerlukan perusahaan keluar dari bisnis atau sangat meningkatkan kemampuannya untuk mengerjakan.   
§ Dampak signifikan yang menyebabkan kerusakan yang signifikan dan biaya, tetapi perusahaan akan bertahan.   
§ Dampak kecil yang menyebabkan kerusakan yang khas operasi sehari-hari.   
Laporan analisis risiko
► Temuan analisis risiko harus didokumentasikan dalam laporan yang memuat informasi seperti berikut untuk  setiap risiko : 
§ Deskripsi risiko  
§ Sumber risiko  
§ Tingkat keparahan risiko  
§ Kontrol yang diterapkan pada risiko  
§ Pemilik dari risiko  
§ Tindakan yang disarankan untuk mengatasi risiko  
§ Kerangka waktu yang direkomendasikan untuk mengatasi risiko  
§ Apa yang dilakukan untuk mengurangi risiko  
Kebijakan keamanan informasi
► Lima tahapan pelaksanaan: 
§ Tahap 1: inisiasi proyek.  
§ Tahap 2: Pengembangan kebijakan.  
§ Tahap 3: konsultasi dan persetujuan.  
§ Tahap 4: Kesadaran dan pendidikan.  
§ Tahap 5: Diseminasi Kebijakan.  
Kontrol
► Kontrol adalah sebuah kebijakan yang diimplementasikan dengan baik untuk melindungi perusahaan dari risiko atau untuk perlindungan dari kebijakan pada perusahaan harus mereka lakukan.  
► Kontrol teknis adalah mereka yang dibangun ke dalam sistem oleh pengembang sistem selama siklus pengembangan sistem pengembangan.  
§ Sertakan auditor internal pada tim proyek.  
§ Berdasarkan teknologi hardware dan software.  
Kontrol teknis
► Kontrol Akses adalah dasar untuk keamanan terhadap ancaman oleh orang yang tidak dilindungi.  
► Kontrol Akses tiga langkah proses disertakan: 
§ Identifikasi pengguna.  
§ Otentikasi pengguna.  
§ Otorisasi pengguna .  
► Profil pengguna -deskripsi dari pengguna yang sah; digunakan dalam persetujuan dan otorisasi. 
► Sistem deteksi intrusi ( IDS ) yang berusaha memperbaiki keamanan  sebelum menggunakan  peluang untuk menimbulkan kerusakan.  
► Virus perlindungan Perangkat lunak yang efektif terhadap virus yang diangkut dalam email. 
§ Mengidentifikasi pesan pembawa virus dan mengizinkan pengguna.  
► Dalam ancaman seperti mengklasifikasikan internal dalam kategori seperti:  
§ Kemungkinan Ancaman disengaja.  
§ Potensi ancaman disengaja.  
§ Mencurigakan.  
§ Berbahaya.  
Firewall
► Firewall bertindak sebagai filter dan penghalang yang memindahkan aliran data ke dan dari perusahaan dan internet. Tiga jenis firewall adalah:  
► Penyaringan paket  adalah router yang dilengkapi dengan data tabel dari alamat IP yang mencerminkan kebijakan penyaringan diposisikan antara internet dan jaringan internal, dapat menggunakan firewall. 
§ Router adalah perangkat jaringan yang menghubungkan arus lalu lintas jaringan.   
§ Alamat IP adalah satu set dari empat angka (masing-masing dari 0 hingga 255) yang sepenuhnya unik setiap komputer yang terhubung ke internet.   
► Tingkat Circuit firewall dipasang antara internet dan perusahaan tetapi lebih dekat ke komunikasi Medium (Circuit) dari router.  
§ untuk jumlah tinggi dan penyaringan yang akan dilakukan.  
► Firewall tingkat aplikasi  antara router dan komputer yang melakukan aplikasi. 
§ akan diberikan untuk menyelesaikan pemeriksaan keamanan tambahan yang akan dilakukan.  
Kontrol kriptografi dan fisik
► Kriptografi adalah penggunaan kode dengan cara proses matematis.  
► Data dan informasi dapat dienkripsi karena berada di penyimpanan dan atau ditransmisikan melalui jaringan. 
► Jika orang yang tidak sah mendapatkan akses, enkripsi membuat data dan informasi tidak terbaca dan penggunaan yang tidak sah. 
► Protokol khusus seperti  set  (transaksi elektronik aman) melakukan pemeriksaan keamanan menggunakan tanda tangan digital yang dikembangkan untuk digunakan dalam e-commerce. 
► Ekspor teknologi yang diizinkan untuk Kuba, Iran, Irak, Libya, Korea Utara, Sudan, dan Suriah. 
► Kontrol fisik terhadap gangguan yang tidak sah seperti kunci pintu, cetakan telapak tangan, cetakan suara, kamera pengintai, dan penjaga keamanan.  
· Cari pusat komputer di daerah yang lebih rentan terhadap bencana alam seperti gempa bumi, banjir, dan badai         
Kontrol formal
► Kontrol formal termasuk pembuatan kode etik, prosedur yang diharapkan dan praktik, pemantauan, dan perlindungan yang bervariasi dari pedoman yang ditetapkan.  
§ Manajemen menunjukkan cukup waktu untuk mengumumkannya.  
§ Didokumentasikan secara tertulis.  
§ Diharapkan berlaku untuk jangka panjang.  
► Manajemen Top harus disetujui secara aktif dalam perjanjian dan penegakan mereka. 
Kontrol informal
► Pendidikan. 
► Pelatihan program. 
► Program Pengembangan manajemen. 
► Dimaksudkan untuk memastikan perusahaan mendukung dan mendukung program keamanan. 
► Praktek bisnis yang baik untuk pengeluaran lebih dari untuk mengendalikan dari biaya yang diharapkan dari pengeluaran yang alamat. 
§ Menetapkan kontrol pada tingkat yang tepat.  
Bantuan pemerintah dan industri
► Inggris Raya BS7799. Standar Inggris mengatur pengaturan kontrol terpisah. Mereka pertama kali diterbitkan oleh British Standards Institute di 1995, kemudian diterbitkan oleh organisasi standar internasional sebagai ISO 17799 di 2000, dan dibuat tersedia untuk calon pengadopsi online di 2003.  
► BSI yang dilindungi manual baseline. Rekomendasi baseline juga diikuti oleh Bundesamt Jerman Fur Sicherheit in der Informationstechnik (BSI). Garis dasar yang disediakan untuk memberikan keamanan yang wajar persyaratan persetujuan yang normal. Garis dasar juga dapat digunakan sebagai dasar untuk tingkat atas yang lebih tinggi kompilasi yang diinginkan.  
► COBIT. COBIT, dari sistem informasi audit dan kontrol Asosiasi dan Yayasan (ISACAF), memenangkan proses yang dapat diterima perusahaan dalam mengembangkan standar, memberikan perhatian khusus pada saat memperoleh dan mengelola dokumentasi.  
► Gassp. Prinsip keamanan sistem yang disetujui secara umum (GASSP) adalah produk dari Dewan riset Nasional AS. Penekanan adalah alasan untuk menetapkan kebijakan keamanan.  
► ISF standar praktik yang baik. Keamanan informasi Forum standar praktik yang baik yang diperlukan, mencurahkan perhatian terhadap program yang diharapkan jika program ini akan berhasil. 2005 edisi yang membahas topik tersebut sebagai pesan instan yang aman, keamanan server web, dan perlindungan virus.  
Peraturan pemerintah
► Baik Amerika Serikat dan Inggris yang menetapkan standar dan peraturan perundang-undangan yang diperlukan untuk mendapatkan persetujuan tentang keamanan informasi. 
► Standar keamanan komputer pemerintah AS. 
§ Tetapkan standar keamanan organisasi yang harus dipenuhi.  
§ Menyetujui program perangkat lunak yang menghargai sistem pengguna dan membantu mereka dalam mengonfigurasi sistem mereka untuk memenuhi standar.  
► Inggris anti terorisme, Crime and Security Act (atcsa) 2001. 
Standar industri
► Pusat Keamanan Internet (CIS) adalah organisasi nirlaba yang membantu pengguna komputer membuat sistem mereka lebih aman.  
§ Tolok ukur CIS membantu pengguna mengamankan sistem informasi mereka dengan menerapkan kontrol khusus teknologi.   
§ Alat penilaian CIS memungkinkan pengguna menghitung tingkat keamanannya, membandingkannya dengan tolok ukur, dan melengkapi laporan yang memandu pengguna dan administrator sistem untuk mengamankan sistem.   
Sertifikasi Profesi
► Mulai tahun 1960-an profesi itu mulai menawarkan program sertifikasi: 
§ Audit dan kontrol Asosiasi sistem informasi ( ISACA )   
§ Sertifikasi keamanan sistem informasi internasional konsorsium ( ISC )   
§ Sans ( sysadmin, audit, Jaringan, keamanan )  Institute   
Manajemen kesinambungan bisnis
► Business Continuity Management ( bcm ) adalah kegiatan yang ditujukan untuk operasi yang diselesaikan setelah gangguan sistem informasi.  
► Kegiatan Penyanyi disebut  Perencanaan Bencana , Maka Rencana  kontinjensi LEBIH positif. 
► Rencana kontinjensi adalah elemen  kunci  dalam perencanaan kontinjensi; ini adalah dokumen yang ditulis secara resmi yang merinci yang akan diambil dalam hal terjadi masalah, atau masalah, dalam setiap bagian dari operasi perusahaan.  
Subrencana kontinjensi
► Rencana Darurat menentukan tindakan Yang menjamin Keselamatan  karyawan  ketika Bencana Menyerang.  
§ Sertakan sistem alarm, prosedur evakuasi, dan sistem pemadaman kebakaran.  
► Cadangan rencana adalah ketentuan untuk penyediaan cadangan dalam hal fasilitas biasa rusak atau rusak di luar penggunaan. Cadangan dapat diperoleh dengan berbagai kombinasi redundansi, keragaman, dan mobilitas.  
► Catatan penting adalah mereka dokumen kertas, mikroform, dan media penyimpanan magnetik dan optik yang diperlukan untuk dibawa pada bisnis perusahaan.  
► Rencana Penting Catatan menentukan bagaimana Catatan Penting akan dilindungi Dan Harus mencakup Salinan Cadangan offsite.  

Comments

Post a Comment

Popular posts from this blog

Chapter 14 -The Virtual Office-

Kantor Virtual pengantar · Otomatisasi dimulai di pabrik Kontrol numerik (NC) Kontrol numerik langsung (DNC) CAD / CAM Robotika · Otomatisasi kantor (OA) dimulai dengan IBM pada tahun 1960-an Pengolah kata Pita Magnetik / Mesin Ketik Selectric · Sistem otomasi kantor ditandai oleh komunikasi · Otomasi Kantor (OA) Sistem elektronik formal dan informal Komunikasi informasi Orang-orang di dalam dan di luar perusahaan terpengaruh Digunakan oleh manajer, profesional, sekretaris, dan karyawan administrasi manajer dan profesional secara kolektif dikenal sebagai pekerja pengetahuan Kantor Virtual · Pekerjaan kantor dapat dilakukan di hampir semua lokasi geografis · Harus dihubungkan dengan komunikasi elektronik · Dampak Muncul dengan penampilan mikroprosesor berbiaya rendah Teleprosesing Telecommuting · Keuntungan Kantor Virtual · Mengurangi biaya fasilitas · Mengurangi biaya peralatan · Jaringan komunikasi formal · Pengurangan penghentian kerja · Kontribusi sosial Mereka yang tidak dapat ...
Read more

Chapter 16 -Sistem Informasi Eksekutif (EIS or ESS) dalam Sistem Informasi berbasis Tingkatan Organisasi-

Image
SISTEM INFORMASI EKSEKUTIF EIS adalah jenis sistem informasi manajemen. Mendukung eksekutif senior dengan menyediakan akses mudah ke informasi internal dan eksternal untuk memenuhi tujuan strategis organisasi. Ini dianggap sebagai bentuk khusus DSS. Menurut saya, EIS adalah alat sumber daya: sistem yang memberikan akses cepat ke eksekutif informasi kunci pilihan yang diperlukan untuk pengambilan keputusan Menurut Matthews dan Shoe Bridge –EIS adalah penyampaian informasi dan sistem komunikasi berbasis komputer yang dirancang untuk mendukung kebutuhan eksekutif puncak 1 FITUR SISTEM INFORMASI EKSEKUTIF ·            Bor DownCapabilities ·            Dirancang dengan mempertimbangkan faktor penentu keberhasilan manajemen ·            Akses status, analisis tren dan pelaporan pengecualian. ·         ...
Read more