ACCESS CONTROL
Beberapa prinsip
dari akses control :
Ø Least privilege
Prinsip dimana anggota organiasasi dapat mengakses jumlah minimum
informasi untuk waktu tertentu dalam menyelesaikan tugas mereka.
Contoh: user hanya bisa read-only saja tapi tidak bisa melakukan create,
update dan delete.
Ø Need to know
Membatasi akses pengguna ke informasi spesifik, sesuai dengan kepentingan
yang berhubungan dengan pekerjaan yang harus dilakukan.
Contoh : manager membutuhkan update dalam mengganti employee’s pay rate,
jadi diberikan hak akses read and update.
Ø Separation of duties
Sebuah kontrol mensyaratkan bahwa tugas signifikan dibagi sedemikian rupa
sehingga lebih dari satu individu bertanggung jawab untuk penyelesaian tugas
mereka.
Kategori dari
akses control :
v Preventative
( kontrol yang membantu organisasi menghindari insiden. )
v Deterrent
( kontrol yang menghalangi atau mencegah insiden yang baru terjadi. )
v Detective
v ( kontrol yang mendeteksi atau
mengidentifakasi sebuah insiden atau ancaman ketika insiden terjadi. )
v Corrective
( kontrol untuk mengurangi/memperbaiki kerusakan yang terjadi selama
insiden. )
v Recovery
( kontrol yang memulihkan kondisi operasi kembali kepada kondisi normal.
)
v Compensating
( kontrol yang menyelesaikan kekurangan. )
Mandatory Access
Control : menyatakan setiap user memiliki hak akses yang berbeda-beda terhadap
penggunaan sumber daya informasi, dimana data & pengguna/user
diklasifikasikan secara terstruktur.
Security Management
Models :
·
Iso
27000 series
ISO-27000 adalah serangkaian standar yang menawarkan kerangka kerja untuk
membantu organisasi dalam mengembangkan keamanan sistem informasi dengan
menanamkan praktik terbaik dan panduan rinci mengenai segala macam masalah keamanan
sistem informasi.
·
NIST
Security Models
Model keamanan sistem informasi yang dikeluarkan oleh badan standar nasional dan teknologi – Amerika
Serikat tanpa dikenakan biaya
·
COBIT(Control
Objectives for Information and Related Technology)
Adalah suatu panduan standar praktek manajemen teknologi informasi
standar COBIT dikeluarkan oleh IT Governance Insitute yang merupakan bagian
dari ISACA. COBIT 4.0 merupakan versi terbaru.
COBIT memiliki 4 cakupan domain, yaitu :
COBIT memiliki 4 cakupan domain, yaitu :
ü Perencanaan dan organisasi (plan and
organise)
ü Pengandaan dan implementasi (aquire
and implement)
ü Pengantaran dan dukungan (deliver and
support)
ü Pengawasan dan evaluasi (monitor and
evaluation)
