1. SWOT
Analisis SWOT
Analisis SWOT adalah
metode perencanaan strategis yang digunakan untuk mengevaluasi kekuatan (Strengths), kelemahan
(Weaknesses), Peluang (Opportunities), dan ancaman (Threats)
dalam suatu spekulasi bisnis. Proses ini melibatkan penentuan tujuan yang
spesifik dari spekulasi bisnis atau proyek dan mengidentifikasi faktor internal
dan eksternal yang mendukung dan yang tidak dalam mencapai tujuan tersebut.
Analisis SWOT
diterapkan dengan cara menganalisis dan memilah berbagai hal yang mempengaruhi
keempat faktor nya, kemudian menerapkan nya dalam gambar matrik SWOT, dimana
aplikasinya adalah bagaimana kekuatan mampu mengambil keuntungan dari peluang
yang ada, bagaimana cara mengatasi kelemahan yang mencegah keuntungan dari
peluang yang ada, bagaimana kekuatan mampu menghadapi ancaman yang ada dan
bagaimana cara mengatasi kelemahan yang mampu membuat ancaman menjadi nyata
atau menciptakan sebuah ancaman baru.
Analisis SWOT berguna
sebagai teknik untuk memahami kekuatan (Strengths) dan Kelemahan (Weaknesses),
dan untuk mengidentifikasi keduanya dari kesempatan yang terbuka dan
menghadapi sebuah ancaman.
Kekuatan (Strengths)
·
Keuntungan apa saja yang organisasi dapatkan?
·
Apa yang dilakukan lebih baik daripada orang lain?
·
Apa sumber daya yang unik atau yang mempunyai biaya rendah dari
sumber daya tersebut yang dapat anda manfaatkan yang orang lain tidak bisa?
·
Apa yang orang lain lihat di pasar sebagai kekuatan mu?
·
Faktor apa yang berarti dalam “Mendapatkan Penjualan”?
·
Apa proposisi penjualan unik yang dilakukan organisasi?
Mempertimbangkan kekuatan (Strengths) yang
dimiliki oleh organisasi dari Internal Perspektif, dan dari sudut pandang
customer dan orang yang berada di “pasar”.
Kelemahan (Weaknesses)
·
Apa yang dapat diperbaiki/ditingkatkan?
·
Apa yang seharusnya dihindari?
·
Apa yang orang lihat di “pasar” anda cenderung melihat sebagai
kelemahan?
·
Apa faktor yang membuat kehilangan penjualan?
Mempertimbangkan hal ini dari internal dan
eksternal perspektif, lakukan yang dilakukan orang lain untuk melihat kelemahan
yang kamu tidak lihat atau tidak disadari, apakah kompetitor melakukan hal ini
lebih baik daripada kamu?.
Peluang (Opportunities)
·
Peluang apa yang dapat kamu temukan?
·
Trend Menarik apa yang kamu sadari?
Ancaman (Threats)
·
Rintangan apa yang Kamu Hadapi?
·
Apa yang dilakukan oleh kompetitor mu?
·
Apakah kualitas standar atau spesifikasi dari pekerjaan mu,
produk atau servis berubah?
·
Apakah perubahan teknologi dapat mengancam posisi mu?
·
Apakah kamu mempunyai masalah arus kas atau hutang?
·
Apakah kelemahan mu dapat mengancam bisnis mu?
Contoh SWOT
Sebuah Start up yang baru merintis melakukan
konsultasi dan menyusun analisis SWOT :
Kekuatan (Strengths)
·
Start up ini dapat merespon dengan sangat cepat, karena tidak
membutuhkan persetujuan manajemen yang lebih tinggi
·
Start up ini dapat memberikan hubungan yang baik dengan
customer, karena jumlah pekerjaan yang sedikit berarti memiliki banyak waktu
yang dikhususkan untuk customer.
·
Pemimpin konsultan pada Start up ini memiliki reputasi yang
kuat/bagus di “pasar”.
·
Start up ini dapat mengganti tujuan dengan cepat jika Start up
ini bisa mengetahui bahwa pemasaran yang dilakukan sekarang ini sudah tidak
bekerja lagi.
·
Start up ini memiliki overhead yang rendah, sehingga Start up
ini dapat menawarkan nilai yang baik kepada pelanggan.
Kelemahan(Weaknesses)
·
Perusahaan kami memiliki reputasi di pasar yang cukup
rendah/kecil.
·
Kami memiliki pekerja yang sedikit, dengan keahlian yang biasa
saja di banyak bidang.
·
Perusahaan kami rentan terhadap pekerja penting yang sakit atau
pergi meninggalkan perusahaan ini.
·
Arus kas Perusahaan kami akan menjadi tidak dapat diandalkan di
awal mulai.
Peluang(Opportunities)
·
Sektor bisnis Start up ini terus bertambah, dengan peluang masa
depan untuk sukses.
·
Pemerintah lokal ingin bekerja sama dengan bisnis lokal.
·
Kompetitor Start up ini mungkin lambat untuk mengadopsi
teknologi baru.
Ancaman(Threats)
·
Pengembangan di dalam teknologi mungkin merubah pasar diluar
kemampuan yang dimiliki start up ini untuk beradaptasi.
·
Perubahan kecil yang berfokus dari Kompetitor yang sudah expert
mungkin dapat memusnahkan posisi di pasar apapun yang perusahaan ini raih.
Sebagai hasil dari analisis mereka, konsultasi
mungkin memutuskan untuk menspesialisasikan terhadap respon yang cepat, nilai
yang baik untuk servis bisnis lokal dan pemerintah lokal.
2.
ISO/IEC 27040:2015
Analisis ISO/IEC 27040:2015
ISO / IEC 27040: 2015 memberikan
panduan teknis terperinci tentang bagaimana organisasi dapat menentukan tingkat
mitigasi risiko yang tepat dengan menggunakan pendekatan yang teruji dan
konsisten terhadap perencanaan, desain, dokumentasi, dan implementasi keamanan
penyimpanan data. Ini mendukung
konsep umum yang ditentukan dalam ISO / IEC 27001.
Standar Internasional ini relevan bagi para manajer
dan staf yang berkepentingan dengan manajemen risiko keamanan informasi dalam
suatu organisasi dan, jika diperlukan, pihak eksternal yang mendukung kegiatan
tersebut. Tujuan untuk Standar Internasional ini adalah untuk:
·
mempublikasikan
risiko,
·
membantu
organisasi dalam mengamankan data mereka dengan lebih baik,
·
memberikan
dasar untuk merancang dan mengaudit kontrol keamanan penyimpanan.
ISO / IEC 27040 memberikan panduan pelaksanaan
spesifik dan terperinci yang relevan dengan keamanan penyimpanan untuk kontrol
keamanan umum yang dijelaskan dalam ISO / IEC 27002. Standar
Internasional ini bukan referensi atau dokumen normatif untuk persyaratan
keamanan peraturan dan legislatif karena bervariasi di setiap negara.
Struktur standar
27040: 2015
memiliki tujuh klausa pendek dan tiga lampiran, yang mencakup:
1.
Ruang
lingkup standar
2.
Daftar
standar lain yang sangat diperlukan untuk memahami dan menggunakan ISO / IEC
27040
3. Terminologi
yang diimpor dari standar lain atau didefinisikan dalam standar ini
4.
Daftar
singkatan dan akronim yang digunakan dalam standar
5. Gambaran
umum tentang konsep penyimpanan dan penyimpanan penyimpanan kunci serta
informasi tentang risiko terkait
6. Menjelaskan
kontrol yang mendukung arsitektur teknis keamanan penyimpanan, termasuk
Penyimpanan Langsung Terpasang (DAS), jaringan penyimpanan, manajemen
penyimpanan, penyimpanan berbasis blok, penyimpanan berbasis file, penyimpanan
berbasis objek, dan layanan keamanan.
7. Memberikan
panduan untuk desain dan penerapan keamanan penyimpanan (misalnya, prinsip
desain; keandalan data, ketersediaan, dan ketahanan; retensi data; kerahasiaan
data dan integritas; visualisasi; dan pertimbangan desain dan implementasi)
· Lampiran
A. Panduan spesifik media untuk sanitasi, termasuk penghapusan kriptografi
(paralel NIST SP 800-88r1)
· Lampiran
B. Tabel untuk memilih kontrol keamanan yang sesuai berdasarkan sensitivitas
data atau prioritas keamanan (kerahasiaan, integritas, atau ketersediaan)
· Lampiran
C. Deskripsi tentang konsep keamanan dan penyimpanan yang penting
(mini-tutorial)
·
Bibliografi.
Daftar standar dan spesifikasi yang memiliki pengaruh pada bahan dalam ISO /
IEC 27040. Perlu dicatat bahwa bibliografi adalah salah satu
daftar referensi yang lebih komprehensif tentang keamanan penyimpanan.
Mendukung kontrol untuk keamanan penyimpanan
Unsur utama dari
ISO / IEC 27040 standar difokuskan pada identifikasi kontrol keamanan untuk
berbagai jenis sistem penyimpanan dan arsitektur, termasuk yang berikut:
·
Rekomendasi
untuk membantu mengamankan Penyimpanan Terlampir Langsung (DAS)
·
Cakupan
luas keamanan untuk teknologi jaringan penyimpanan dan topologi dengan
penekanan pada Storage Area Network atau SAN (mis., Fibre Channel, iSCSI, FCoE,
dll.) Dan Network Attached Storage atau NAS (mis., NFS dan SMB / CIFS)
·
Mengidentifikasi
masalah keamanan penting dan panduan untuk manajemen penyimpanan
·
Keamanan
untuk sistem penyimpanan berbasis blok dengan Fibre Channel dan antarmuka IP
(di atas dan di luar materi jaringan penyimpanan)
·
Keamanan
untuk sistem penyimpanan berbasis file dengan antarmuka NFS, SMB / CIFS, dan
pNFS (di atas dan di luar materi jaringan penyimpanan)
·
Keamanan
untuk penyimpanan cloud, penyimpanan berbasis objek (OSD) dan Content
Addressable Storage (CAS)
·
Rekomendasi
untuk layanan keamanan penyimpanan (sanitasi, kerahasiaan data, dan pengurangan
data)
Panduan desain dan implementasi untuk keamanan
penyimpanan
Meskipun peningkatan kekuatan
komputer pribadi dan workstation departemen, masih ada ketergantungan pada
pusat data terpusat karena kebutuhan untuk integrasi data, konsistensi data,
dan kualitas data. Dengan pertumbuhan volume data penting yang luar biasa,
banyak organisasi yang mengadopsi arsitektur penyimpanan-sentris untuk
infrastruktur TIK mereka. Akibatnya, keamanan penyimpanan memainkan peran
penting dalam mengamankan data ini, dan dalam banyak contoh, keamanan berfungsi
sebagai garis pertahanan terakhir dari kedua musuh internal dan eksternal.
Desain solusi
keamanan penyimpanan dipandu oleh prinsip-prinsip keamanan inti sambil
mempertimbangkan sensitivitas data, kekritisan dan nilai. Bagian 6 dari standar
(Kontrol Pendukung) memberikan panduan tentang penerapan kontrol yang relevan
dengan penyimpanan dalam mengimplementasikan solusi yang dirancang. Bahan-bahan
di bagian ini dibagi lagi menjadi:
· Prinsip
desain keamanan penyimpanan (Pertahanan secara mendalam, domain Keamanan,
Ketahanan desain, dan Inisialisasi Aman)
Keandalan,
ketersediaan, dan ketahanan data (termasuk Cadangan dan replikasi serta
Pemulihan Bencana dan Kesinambungan Bisnis)
·
Retensi
data (Retensi jangka panjang dan Pendek hingga menengah)
·
Kerahasiaan
data dan integritas
·
Virtualisasi
(Penyimpanan virtualisasi dan Penyimpanan untuk sistem virtual)
·
Pertimbangan
desain dan implementasi (Enkripsi dan isu-isu manajemen kunci, penyimpanan dan
kebijakan Menyelaraskan, Kepatuhan, Aman multi-sewa, Aman gerakan data otonom)
Media sanitasi
"Sanitasi"
adalah istilah teknis untuk memastikan bahwa data yang tersisa pada penyimpanan
pada akhir masa pakainya tidak dapat diakses untuk tingkat upaya tertentu. Atau
dengan kata lain, sanitasi adalah proses yang menjamin suatu organisasi tidak
melakukan pelanggaran data dengan melakukan repurpos, penjualan, atau membuang
perangkat penyimpanan.
Sanitasi dapat
mengambil banyak bentuk tergantung pada kepekaan informasi dan tingkat upaya
yang kemungkinan besar akan diinvestasikan dalam usaha untuk memulihkan
informasi. Metode yang digunakan dalam sanitasi berkisar dari sederhana menimpa
penghancuran kunci kriptografi untuk data terenkripsi (teknik ini dikenal
sebagai penghapusan kriptografi) untuk penghancuran fisik media penyimpanan.
Standar ini memberikan panduan untuk membantu organisasi memilih metode
sanitasi yang tepat untuk datanya.
Rincian spesifik
tentang sanitasi disediakan dalam serangkaian tabel di Lampiran A, yang
didasarkan pada Publikasi Khusus NIST 800-88 Revisi 1. Tabel
dirancang agar vendor dapat membuat referensi khusus untuk mereka, berdasarkan
pada jenis media, daripada menggunakan sumber usang seperti DoD 5220.22-M (dari
1995).
Memilih kontrol keamanan penyimpanan yang tepat
Pengembang ISO /
IEC 27040 tidak bermaksud bahwa semua panduan harus dilaksanakan (yaitu, semua
atau tidak sama sekali). Akibatnya,
Lampiran B dibuat untuk membantu organisasi memilih kontrol yang tepat
berdasarkan pada sensitivitas data ( tinggi atau rendah) atau prioritas
keamanan, berdasarkan kerahasiaan, integritas, dan ketersediaan. Untuk
mendukung pemilihan ini, semua kontrol keamanan penyimpanan dalam ISO / IEC
27040 tercantum dalam 13 tabel yang berbeda bersama dengan informasi yang
menunjukkan bagaimana setiap kontrol relevan dari kedua sensitivitas data dan
perspektif keamanan prioritas.
Perlu dicatat
bahwa meskipun Lampiran B bersifat informatif, sangat mungkin bahwa auditor
akan menggunakannya sebagai dasar untuk daftar periksa ketika meninjau keamanan
sistem penyimpanan dan ekosistem.
Konsep keamanan penting
Salah satu
tantangan dalam mengembangkan ISO / IEC 27040 adalah bahwa ada dua audiens
target yang berbeda:
1.
profesional
penyimpanan dan
2.
profesional
keamanan.
Untuk membantu kedua
komunitas, Lampiran C dihuni dengan informasi tutorial yang berguna Untuk
yang berikut:
·
Otentikasi
·
Otorisasi
dan kontrol akses
·
Hard
disk yang mengenkripsi sendiri (SED)
·
Sanitasi
·
Logging
·
N_Port
ID Virtualization (NPIV)
·
Keamanan
Channel Fiber
·
Protokol
Interoperabilitas Manajemen Kunci OASIS (KMIP)
Contoh Kasus Framework ISO/IEC 27040
Contoh Kasus Framework ISO/IEC 27040
ISO / IEC 27040: 2015
membahas risiko keamanan penyimpanan dan ancaman pada tingkat tinggi tetapi
artikel ini ditulis dalam konteks Fibre Channel. Daftar berikut adalah
ringkasan ancaman utama yang mungkin dihadapi implementasi dan penerapan Fibre
Channel.
· Pencurian Penyimpanan
Data: Pencurian media penyimpanan atau perangkat penyimpanan dapat digunakan
untuk mengakses data serta untuk menolak penggunaan data secara sah.
· Menghirup Penyimpanan
Lalu Lintas: Lalu lintas penyimpanan pada jaringan penyimpanan khusus atau
jaringan bersama dapat diendus melalui tap jaringan pasif atau pemantauan lalu
lintas dalam mengungkapkan data, metadata, dan protokol penyimpanan signaling.
Jika lalu lintas yang diendus mencakup detail otentikasi, mungkin bagi
penyerang untuk memutar ulang9 (retransmit) informasi ini dalam upaya untuk
meningkatkan serangan.
·
Gangguan Jaringan:
Terlepas dari teknologi jaringan yang mendasarinya, perangkat lunak apa pun
atau gangguan kemacetan ke jaringan antara pengguna dan sistem penyimpanan dapat
menurunkan atau menonaktifkan penyimpanan.
·
WWN Spoofing: Seorang
penyerang mendapatkan akses ke sistem penyimpanan untuk mengakses /
memodifikasi / menolak data atau metadata.
·
Menyimpan
Masquerading: Penyerang memasukkan perangkat penyimpanan jahat untuk mengakses
/ memodifikasi / menolak data atau metadata yang disediakan oleh host.
·
Korupsi Data: Korupsi
data yang disengaja atau disengaja dapat terjadi ketika host yang salah
mendapatkan akses ke penyimpanan.
·
Rogue Switch: Seorang
penyerang memasukkan tombol nakal untuk melakukan pengintaian pada fabric
(misalnya konfigurasi, kebijakan, parameter keamanan, dll.) Atau memfasilitasi
serangan lain.
·
Denial of Service
(DoS): Penyerang dapat mengganggu, memblokir atau memperlambat akses ke data
dalam berbagai cara dengan membanjiri jaringan penyimpanan dengan pesan
kesalahan atau pendekatan lain dalam upaya untuk membebani sistem tertentu
dalam jaringan.
tersedia untuk
memastikan konfigurasi yang konsisten dan kontrol akses yang tepat.
Elemen inti dari
keamanan Fibre Channel adalah ANSI INCITS 496-2012, Teknologi Informasi – Fibre
Channel – Protokol Keamanan – 2 (FC-SP-2) standar, yang mendefinisikan protokol
untuk: mengotentikasi entitas Fibre Channel, mengatur kunci enkripsi sesi,
menegosiasikan parameter untuk memastikan integritas frame-by-frame dan
kerahasiaan, dan menentukan dan mendistribusikan kebijakan di seluruh kain Fibre
Channel . Juga perlu dicatat bahwa FC-SP-2 mencakup elemen kepatuhan, yang agak
unik untuk standar FC.
Arsitektur keamanan
yang didefinisikan oleh FC-SP-2 mencakup komponen-komponen berikut:·
Infrastruktur
Otentikasi : Menentukan beberapa
arsitektur·
infrastruktur
otentikasi: berbasis rahasia,
berbasis sertifikat, berbasis kata sandi, dan otentikasi berbasis kunci
pra-berbagi.·
Autentikasi : Mendefinisikan protokol otentikasi
yang memungkinkan entitas untuk memastikan identitas entitas yang berkomunikasi.
Dua entitas dapat bernegosiasi apakah otentikasi diperlukan dan protokol
otentikasi mana yang dapat digunakan. Otentikasi didefinisikan untuk
switch-to-switch, node-to-switch, dan node-to-node menggunakan salah satu dari
protokol berikut:Saat menggunakan ISO / IEC 27040 untuk mengidentifikasi
kontrol Fibre Channel yang relevan, penting untuk diingat bahwa materi ini
berada di setidaknya dua tempat:·
jaringan penyimpanan dan
· penyimpanan berbasis blok
Panduan ISO / IEC 27040 yang terkait dengan penggunaan Fibre Channel sebagai bagian dari SAN berfokus pada pengendalian node FCP (mis., Host, penyimpanan), menerapkan kontrol berbasis switch, dan mengendalikan interkoneksi FC SANS. Berikut ini ringkasan panduannya:
Panduan ISO / IEC 27040 yang terkait dengan penggunaan Fibre Channel sebagai bagian dari SAN berfokus pada pengendalian node FCP (mis., Host, penyimpanan), menerapkan kontrol berbasis switch, dan mengendalikan interkoneksi FC SANS. Berikut ini ringkasan panduannya:
· Kontrol akses
node FCP dengan membatasi akses host pada switch menggunakan teknik seperti
Access Control Lists (ACLs), binding lists, dan kebijakan fabric FC-SP-2. Untuk
host virtual, gunakan HBA yang diaktifkan NPIV (N_Port_ID Virtualisasi) untuk
menetapkan N_Port_IDs individu ke virtual host.
·
Mengimplementasikan kontrol berbasis switch dengan membatasi interkoneksi
switch menggunakan teknik seperti ACL, binding binding, dan kebijakan fabric
FC-SP-2. Selain itu, zonasi harus digunakan dalam kain FC SAN dengan preferensi
untuk zonasi keras; hati-hati menggunakan zona default dan set zona (menganggap
postur privilege terkecil). Jika zonasi dasar bukanlah ukuran keamanan yang
cukup kuat untuk lingkungan target, gunakan teknik yang lebih kuat seperti
FC-SP Zoning di mana didukung oleh vendor. Terakhir, tetapi tidak sedikit,
nonaktifkan port yang tidak digunakan pada sakelar.
· Interconnect FC SANs
yang berbeda secara aman dengan mengkonfigurasi switch, extender, router, dan
gateway yang diperlukan untuk memenuhi persyaratan. Sayangnya, ISO / IEC 27040
tidak memberikan rincian tambahan tentang apa yang dimaksud dengan “untuk memenuhi
persyaratan.”
Secara keseluruhan,
ISO / IEC 27040 tidak memberikan panduan ekstensif tentang mengamankan FC SAN.
Demikian pula, ISO / IEC 27040 menyediakan panduan terbatas yang terkait dengan
perangkat Fibre Channel, di atas dan di luar apa yang dapat diimplementasikan
dalam FC SAN, termasuk:
·
Penggunaan LUN masking, penyaringan WWN, dan mekanisme kontrol akses
lainnya untuk membatasi akses ke penyimpanan.
·
Memanfaatkan tindakan keamanan FCP seperti otentikasi bersama menggunakan FC-SP-2
AUTH-A dengan semua host dan switch, memanfaatkan layanan otentikasi terpusat
(bila mungkin. Untuk informasi sensitif yang meninggalkan kawasan lindung
menggunakan enkripsi tautan
·
Untuk data sensitif / teregulasi atau bernilai tinggi, terapkan data pada
enkripsi istirahat dan tindakan manajemen kunci yang sesuai pada perangkat
penyimpanan atau media
.Mirip dengan data
pada enkripsi istirahat, gunakan langkah-langkah sanitasi yang disesuaikan
dengan media atau logis untuk melindungi data sensitif / teregulasi atau
bernilai tinggi. Yang terakhir ini dapat sangat membantu untuk penyimpanan
virtual, terutama ketika perangkat penyimpanan dan media yang sebenarnya tidak
dapat ditentukan.
3.
ISO/IEC
TR 13335
Analisis
ISO/IEC TR 13335
ISO
(the International Organization for Standardization) dan IEC (the International
Electrotechnical Commission) membentuk sistem khusus untuk standardisasi di
seluruh dunia. Badan-badan nasional yang menjadi anggota ISO atau IEC
berpartisipasi dalam pengembangan Standar Internasional melalui komite teknis
yang dibentuk oleh organisasi masing-masing untuk menangani bidang-bidang
tertentu dari aktivitas teknis. Komite teknis ISO dan IEC berkolaborasi dalam
bidang kepentingan bersama. Organisasi internasional lainnya, pemerintah dan
non-pemerintah, dalam hubungannya dengan ISO dan IEC, juga mengambil bagian
dalam pekerjaan. Standar Internasional disusun sesuai dengan aturan yang
diberikan dalam Arahan ISO / IEC, Bagian 3.
Di
bidang teknologi informasi, ISO dan IEC telah membentuk komite teknis gabungan,
ISO / IEC JTC 1. Konsep Standar Internasional yang diadopsi oleh komite teknis
gabungan diedarkan ke badan nasional untuk pemungutan suara. Publikasi sebagai
Standar Internasional membutuhkan persetujuan oleh setidaknya 75% dari badan
nasional yang memberikan suara.
Dalam
keadaan luar biasa, ketika komite teknis telah mengumpulkan data dari jenis
yang berbeda dari yang biasanya diterbitkan sebagai Standar Internasional
("State of the Art", misalnya), ia dapat memutuskan dengan suara
mayoritas sederhana dari anggota yang berpartisipasi untuk mempublikasikan
Laporan Teknis. Laporan Teknis sepenuhnya bersifat informatif dan tidak harus
ditinjau sampai data yang diberikannya dianggap tidak lagi valid atau berguna.
Perhatian
tertarik pada kemungkinan bahwa beberapa elemen dari bagian ISO / IEC TR 13335
ini mungkin merupakan subjek hak paten. ISO dan IEC tidak bertanggung jawab
untuk mengidentifikasi salah satu atau semua hak paten tersebut.
ISO / IEC TR 13335-4
disiapkan oleh Panitia Teknis Bersama ISO / IEC JTC 1, Teknologi informasi,
Subkomite SC 27, teknik Keamanan TI.
ISO / IEC TR 13335
terdiri dari bagian-bagian berikut, di bawah ini adalah judul umum Teknologi
informasi - Panduan untuk pengelolaan Keamanan TI:
- Bagian 1: Konsep dan
model untuk Keamanan TI
- Bagian 2: Mengelola
dan merencanakan Keamanan TI
- Bagian 3: Teknik
untuk manajemen Keamanan TI
- Bagian 4: Pemilihan
safeguards
- Bagian 5: Safeguards
untuk koneksi eksternal
Tujuan
Tujuan
dari Laporan Teknis ini (ISO / IEC TR 13335) adalah untuk memberikan panduan,
bukan solusi, pada aspek manajemen keamanan TI. Orang-orang di dalam organisasi
yang bertanggung jawab atas keamanan TI harus dapat menyesuaikan materi dalam
laporan ini untuk memenuhi kebutuhan khusus mereka.
Tujuan utama dari
Laporan Teknis ini adalah:
• untuk mendefinisikan
dan menjelaskan konsep yang terkait dengan manajemen keamanan TI,
• untuk
mengidentifikasi hubungan antara manajemen keamanan TI dan manajemen TI secara
umum,
• untuk menyajikan
beberapa model yang dapat digunakan untuk menjelaskan keamanan TI, dan
• untuk memberikan
panduan umum tentang manajemen keamanan TI.
Bagian
ISO/IEC TR 13335
ISO
/ IEC TR 13335 diatur menjadi lima bagian :
Bagian 1 memberikan
gambaran umum tentang konsep dasar dan model yang digunakan untuk menggambarkan
manajemen keamanan TI. Bahan ini cocok untuk manajer yang bertanggung jawab
atas keamanan TI dan bagi mereka yang bertanggung jawab untuk keseluruhan
program keamanan organisasi.
Bagian 2 menjelaskan
aspek manajemen dan perencanaan. Ini relevan untuk manajer dengan tanggung
jawab yang berkaitan dengan sistem TI organisasi, yaitu :
• Manajer TI yang
bertanggung jawab untuk mengawasi desain, implementasi, pengujian, pengadaan,
atau pengoperasian sistem TI, atau
• manajer yang
bertanggung jawab atas kegiatan yang memanfaatkan sistem TI secara substansial.
Bagian 3 menjelaskan
teknik keamanan yang relevan dengan mereka yang terlibat dengan kegiatan
manajemen selama siklus hidup proyek, seperti perencanaan, perancangan,
implementasi, pengujian, akuisisi, atau operasi.
Bagian 4 dan 5
memberikan panduan untuk pemilihan safeguards, dan bagaimana ini dapat didukung
oleh penggunaan model dan kontrol baseline. Ini juga menjelaskan bagaimana ini
melengkapi teknik keamanan yang dijelaskan pada bagian 3, dan bagaimana metode
penilaian tambahan dapat digunakan untuk pemilihan pengamanan.
Contoh
Kasus
Klausa
6 memberikan pengantar untuk mengamankan seleksi dan konsep keamanan garis
dasar. Klausul 7 hingga 10 berurusan dengan pembentukan keamanan dasar untuk
sistem TI. Untuk memilih perlindungan yang tepat, perlu untuk membuat beberapa
penilaian dasar, tidak peduli apakah analisis risiko yang lebih rinci akan
mengikuti nanti. Penilaian ini dijelaskan dalam klausul 7 yang mencakup
pertimbangan:
• jenis sistem TI apa
yang terlibat (misalnya, PC yang berdiri sendiri, atau terhubung ke jaringan),
• apakah lokasi sistem
TI itu dan kondisi lingkungan sekitarnya
• safeguards apa yang sudah
ada atau direncanakan, dan
• apakah penilaian yang
dilakukan memberikan cukup informasi untuk memilih perlindungan garis dasar
untuk sistem TI?
Klausul 8 memberikan
gambaran umum tentang perlindungan yang akan dipilih, dibagi ke dalam
perlindungan organisasi dan fisik (yang dipilih sesuai dengan kebutuhan,
kekhawatiran dan kendala keamanan relevan) dan perlindungan khusus sistem TI,
keduanya dikelompokkan ke dalam kategori upaya perlindungan. Untuk setiap
kategori upaya perlindungan, tipe pengamanan yang paling umum dijelaskan,
termasuk penjelasan singkat tentang perlindungan yang ditujukan untuk mereka
berikan. Pengaman khusus dalam kategori ini, dan uraian terperinci mereka,
dapat ditemukan dalam dokumen keamanan awal yang direferensikan dalam lampiran
A sampai H dokumen ini. Untuk memfasilitasi penggunaan dokumen-dokumen ini,
referensi silang antara kategori perlindungan dokumen ini dan bab-bab dari
berbagai dokumen dalam lampiran disediakan dalam tabel untuk setiap kategori
upaya perlindungan.
Jika diputuskan bahwa
jenis penilaian yang dijelaskan dalam ayat 7 cukup rinci untuk pemilihan
pengamanan, klausul 9 memberikan daftar pengamanan yang berlaku untuk
masing-masing sistem TI yang dijelaskan dalam 7.1. Jika kerangka pengaman
dipilih berdasarkan jenis sistem TI, baseline terpisah mungkin diperlukan untuk
workstation yang berdiri sendiri, workstation jaringan atau server. Untuk
mencapai tingkat keamanan yang diperlukan, semua yang diperlukan untuk memilih
perlindungan yang berlaku di bawah keadaan tertentu, adalah untuk
membandingkannya dengan kerangka pengaman yang sudah ada (atau direncanakan),
dan untuk menerapkan yang belum dilaksanakan.
Jika diputuskan bahwa
penilaian yang lebih mendalam diperlukan untuk pemilihan pengamanan yang
efektif dan sesuai, klausa 10 memberikan dukungan untuk pemilihan tersebut
dengan mempertimbangkan pandangan tingkat tinggi masalah keamanan (sesuai
dengan pentingnya informasi) dan kemungkinan ancaman. Oleh karena itu, di
bagian ini, kerangka pengaman disarankan sesuai dengan masalah keamanan yang
diidentifikasi, dengan mempertimbangkan ancaman yang relevan, dan akhirnya
jenis sistem TI dipertimbangkan. Gambar 1 memberikan gambaran tentang cara-cara
untuk memilih kerangka pengaman yang dijelaskan dalam klausul 7, 9, dan 10.
Klausul 9 dan 10
keduanya menjelaskan cara untuk memilih perlindungan dari dokumen perlindungan
keamanan awal, yang dapat diterapkan baik untuk sistem TI, atau untuk membentuk
satu set pengamanan yang berlaku untuk berbagai sistem TI dalam keadaan yang
ditentukan. Dengan berfokus pada jenis sistem TI yang dipertimbangkan,
pendekatan yang diusulkan dalam pasal 9 menghasilkan kemungkinan bahwa beberapa
risiko tidak dikelola secara memadai, dan bahwa beberapa upaya perlindungan
dipilih yang tidak diperlukan atau tidak sesuai. Pendekatan yang disarankan
dalam klausul 10 untuk fokus pada masalah keamanan dan ancaman terkait
kemungkinan akan menghasilkan seperangkat pengamanan yang lebih optimal. Pasal
9 dan 10 dapat digunakan untuk mendukung pemilihan upaya perlindungan tanpa
penilaian yang lebih rinci dalam semua kasus yang termasuk dalam cakupan
perlindungan garis dasar. Namun, jika penilaian yang lebih rinci, yaitu
analisis risiko rinci, digunakan, klausul 9 dan 10 masih dapat mendukung
pemilihan upaya perlindungan.
Klausul 11 membahas
situasi di mana diputuskan bahwa analisis risiko rinci diperlukan karena
kekhawatiran dan kebutuhan keamanan yang tinggi. Panduan analisis risiko
disediakan dalam ISO / IEC TR 13335-3. Klausul 11 menjelaskan hubungan antara
bagian 3 dan 4 ISO / IEC TR 13335 dan bagaimana hasilnya
Referensi
·
"ISO
/ IEC 27040". Katalog Standar ISO. ISO. Diperoleh 2014-06-15.
· Eric
A. Hibbard; Richard Austin (2007). "SNIA Storage Security Best Current
Practices (BCPs)". Asosiasi Industri Penyimpanan Jaringan.
· Eric
A. Hibbard (2012). "Tutorial Keamanan SNIA: Keamanan Penyimpanan - ISO /
IEC Standard" (PDF). Asosiasi Industri Penyimpanan Jaringan.
·
"Publikasi
Khusus 800-88r1" (PDF). Institut Nasional Standar dan Teknologi (NIST).
