Assalamu‘alaikum wr. wb.
Halo gais! Sebelumnya, kita telah sudah membahas tentang Identification, Authentication, dan Authorization (IAA). Sekarang, kita akan membahas tentang 3 Jenis dari Security Controls, yaitu Physical, Administrative, Technical Network Controls. Mari kita bahas pada Artikel ini sampai tuntas.
Sumber Artikel Materi : Purplesec.us
Kurangnya kontrol keamanan menempatkan kerahasiaan, integritas, dan ketersediaan informasi dalam risiko. Risiko ini juga meluas ke keselamatan orang dan aset dalam suatu organisasi.
Pada artikel ini, saya akan menjelaskan apa itu kontrol keamanan dan perbedaan antara masing-masing jenis. Selanjutnya, saya akan membahas tujuan yang ingin dicapai oleh setiap kontrol dengan contoh-contoh di sepanjang jalan.
Pada akhirnya, Anda akan memiliki pemahaman yang lebih baik tentang kontrol keamanan dasar dalam keamanan dunia maya.
A. Pengertian Security Control
Kontrol keamanan adalah penanggulangan atau pengamanan yang digunakan untuk mengurangi kemungkinan ancaman akan mengeksploitasi kerentanan.
Misalnya, menerapkan pelatihan kesadaran keamanan di seluruh perusahaan untuk meminimalkan risiko serangan rekayasa sosial pada jaringan, orang, dan sistem informasi Anda.
Tindakan mengurangi risiko disebut juga Mitigasi Risiko (Risk Mitigation).
 |
| Risk Mitigation (Purplesec.us) |
Meskipun hampir tidak mungkin untuk mencegah semua ancaman, mitigasi berupaya mengurangi risiko dengan mengurangi kemungkinan ancaman mengeksploitasi kerentanan.
Mitigasi risiko dicapai dengan menerapkan berbagai jenis kontrol keamanan tergantung pada :
- Tujuan penanggulangan atau pengamanan.
- Tingkat di mana risiko perlu diminimalkan.
- Tingkat keparahan kerusakan yang dapat ditimbulkan oleh ancaman.
Tujuan keseluruhan penerapan kontrol keamanan seperti yang disebutkan sebelumnya adalah untuk membantu mengurangi risiko dalam suatu organisasi.
Dengan kata lain, tujuan utama penerapan kontrol keamanan adalah untuk mencegah atau mengurangi dampak insiden keamanan.
Implementasi yang efektif dari kontrol keamanan didasarkan pada klasifikasinya dalam kaitannya dengan insiden keamanan.
Jenis klasifikasi umum tercantum di bawah ini bersama dengan deskripsi yang sesuai :
- Pengendalian preventif berusaha untuk mencegah suatu insiden terjadi.
- Kontrol detektif mencoba untuk mendeteksi insiden setelah terjadi.
- Kontrol korektif mencoba untuk membalikkan dampak dari suatu insiden.
- Kontrol pencegahan mencoba untuk mencegah individu menyebabkan insiden.
- Kontrol kompensasi adalah kontrol alternatif yang digunakan ketika kontrol utama tidak layak.
Menerapkan kontrol yang tercantum bukanlah masalah sepele.
Misalnya, organisasi yang menempatkan prioritas tinggi pada pengurangan risiko biasanya memiliki profil risiko, yang menggambarkan biaya potensial dari risiko yang berdampak negatif dan sumber daya manusia yang diperlukan untuk menerapkan pengendalian.
Layering Security Controls
Layering adalah pendekatan yang menggabungkan beberapa kontrol keamanan untuk mengembangkan apa yang disebut strategi pertahanan mendalam.
Defense-in-depth adalah strategi keamanan umum yang digunakan di mana beberapa lapisan kontrol diterapkan.
 |
| Layering Security Controls |
Dengan menggabungkan kontrol ke dalam beberapa lapisan keamanan, Anda memastikan bahwa jika satu lapisan gagal menangkal ancaman, lapisan lain akan membantu mencegah pelanggaran di sistem Anda.
Setiap lapisan keamanan bekerja untuk menangkal ancaman tertentu, yang membutuhkan program keamanan dunia maya untuk berinvestasi dalam berbagai teknologi dan proses untuk mencegah sistem atau orang disusupi.
Misalnya, solusi deteksi dan respons Endpoint sangat bagus dalam mencegah virus dan malware menginfeksi komputer dan server.
Namun, deteksi titik akhir tidak dilengkapi untuk mencatat dan memantau lalu lintas di jaringan seperti SIEM, atau mendeteksi dan mencegah serangan secara real-time seperti IPS.
C. Memahami Dasar-dasar Risiko & Ancaman
Sebelum kita menyelami jenis kontrol, penting untuk terlebih dahulu memahami risiko dan ancaman dunia maya yang dibantu untuk dimitigasi.
1. Risiko
Risiko dalam keamanan dunia maya adalah kemungkinan bahwa ancaman akan mengeksploitasi kerentanan yang mengakibatkan kerugian. Kerugian bisa berupa informasi, keuangan, kerusakan reputasi, dan bahkan merusak kepercayaan pelanggan.
2. Ancaman
Ancaman adalah peristiwa apa pun yang berpotensi mengganggu kerahasiaan, integritas, dan ketersediaan (CIA) informasi.
Ancaman datang dari luar organisasi dan dari mana saja di dunia yang terhubung ke internet. Orang dalam seperti karyawan yang tidak puas dengan terlalu banyak akses, atau orang dalam yang jahat juga menjadi ancaman bagi bisnis.
Perhatikan, ancaman orang dalam tidak selalu berbahaya. Misalnya, seorang karyawan mengklik email phishing yang menginstal malware tidak berarti karyawan tersebut bermaksud untuk menyebabkan kerugian.
Terakhir, ancaman juga dapat berupa bencana alam atau risiko buatan manusia seperti varian malware baru.
3. Kerentanan (Vulnerabilities)
Kerentanan adalah kelemahan atau kelemahan dalam perangkat lunak, perangkat keras, atau proses organisasi, yang ketika disusupi oleh ancaman, dapat mengakibatkan insiden keamanan.
4. Insiden Keamanan
Insiden keamanan adalah kejadian yang benar-benar atau berpotensi membahayakan kerahasiaan, integritas, atau ketersediaan sistem informasi atau informasi yang diproses, disimpan, atau ditransmisikan oleh sistem atau yang merupakan pelanggaran atau ancaman pelanggaran kebijakan keamanan, prosedur keamanan, atau kebijakan penggunaan yang dapat diterima.
Sekarang setelah kita memiliki pemahaman yang lebih baik tentang konsep risiko dasar, mari jelajahi bagaimana kontrol keamanan diterapkan.
D. Jenis-jenis Security Control
1. Technical Security Controls
Pada tingkat paling dasar, kontrol teknis, juga dikenal sebagai kontrol logika, menggunakan teknologi untuk mengurangi kerentanan pada perangkat keras dan perangkat lunak. Alat perangkat lunak otomatis diinstall dan dikonfigurasi untuk melindungi aset ini.
Kontrol keamanan juga dapat dibedakan berdasarkan tujuannya :
- Kontrol preventif bertujuan untuk mencegah insiden keamanan;
- Kontrol detektif bertujuan untuk mendeteksi insiden saat terjadi, atau setelah kejadian;
- Kontrol korektif bertujuan untuk mengurangi dampak setelah insiden terjadi;
- Kontrol pencegah bertujuan untuk mencegah penyerang melakukan upaya;
- Kontrol kompensasi dapat digunakan jika kontrol lain tidak berfungsi.
Di bawah ini adalah dua contoh umum dari Jenis Kontrol Teknis (Technical Control Types) :
- Daftar Kontrol Akses (ACL) – Filter lalu lintas jaringan yang dapat mengontrol lalu lintas masuk atau keluar. ACL umum di router atau firewall, tetapi juga dapat dikonfigurasi di perangkat apa pun yang berjalan di jaringan, dari host, perangkat jaringan, dan server.
- Aturan Konfigurasi – Kode instruksional yang memandu eksekusi sistem saat informasi melewatinya. Vendor peralatan jaringan memiliki aturan konfigurasi eksklusif yang mengelola pengoperasian objek ACL mereka.
Dan inilah Contoh Technical Control meliputi :
a. Enkripsi
Enkripsi adalah kontrol teknis pelindung yang mengacak informasi sehingga pengguna yang tidak sah tidak dapat mengaksesnya. Melalui enkripsi, "plaintext" yang dapat dibaca diubah menjadi "ciphertext" yang tampak seperti omong kosong dari karakter yang tampaknya acak.
Tetapi enkripsi tidak acak. Sebaliknya, ia menggunakan algoritme dan pola untuk membuat data tidak terbaca. Jika pengguna memiliki kunci yang tepat, mereka kemudian dapat mengacak data dan mengaksesnya.
Enkripsi adalah kontrol pelindung: tujuannya adalah untuk mencegah pengguna yang tidak berwenang mengakses data.
b. Firewall
Firewall memantau lalu lintas jaringan yang masuk dan keluar dan memblokir lalu lintas yang tidak diinginkan. Ini pada dasarnya adalah perbatasan antara satu jaringan dan lainnya – paling sering antara jaringan pribadi dan internet.
Setelah terpasang, firewall memeriksa semua lalu lintas yang masuk atau keluar dari jaringan. Jika paket informasi yang diberikan melanggar aturan yang telah ditetapkan firewall, maka paket tersebut dapat diblokir agar tidak lewat.
Firewall adalah detektif dan kontrol teknis preventif: keduanya memonitor ancaman dan mencegah mereka mengakses jaringan.
c. Software Antivirus
Perangkat lunak antivirus berjalan di latar belakang perangkat, terus memantau ancaman. Setiap kali Anda mengunduh atau membuka file baru, perangkat lunak antivirus dengan cepat memindai dari virus dan malware lainnya.
Secara berkala, perangkat lunak antivirus Anda juga akan menjalankan pemindaian perangkat yang lebih menyeluruh. Jika pernah mendeteksi sesuatu yang mencurigakan, biasanya akan memberi tahu pengguna dan menanyakan tindakan apa yang ingin mereka ambil. Seperti firewall, perangkat lunak antivirus berfungsi sebagai detektif sekaligus kontrol pencegahan.
Sekali waktu, pengguna harus menginstal perangkat lunak antivirus pihak ketiga untuk melindungi komputer mereka. Namun saat ini, firewall dan perangkat lunak antivirus sudah terpasang di sebagian besar sistem operasi konsumen secara default.
d. Manajemen Kata Sandi
Manajemen kata sandi melintasi batas antara kontrol administratif dan teknis. Jika sebuah perusahaan memiliki kebijakan kata sandi yang jelas, itu adalah kontrol administratif. Jika perusahaan menggunakan teknologi untuk menegakkannya – katakanlah, dengan meminta kata sandi dengan panjang tertentu – itu juga merupakan kontrol teknis.
Persyaratan kata sandi pada dasarnya adalah kontrol pencegahan. Dengan mewajibkan kata sandi memenuhi tingkat kerumitan tertentu, kebijakan tersebut mencegah serangan brute force sederhana untuk memecahkan kata sandi dalam hitungan menit. Otentikasi multi-faktor juga bersifat preventif, mempersulit penyerang untuk membobol akun seseorang.
Jika sistem kata sandi mengunci pengguna setelah sejumlah percobaan, itu juga dianggap sebagai kontrol pencegah. Dan jika sistem memberi tahu pengguna melalui email atau teks bahwa beberapa upaya gagal baru saja terjadi, itu juga merupakan kontrol detektif, memperingatkan orang atau organisasi bahwa serangan mungkin telah dilakukan.
e. Cadangan
Cadangan adalah contoh bagus dari kontrol keamanan korektif. Jika rak server terbakar, Anda dapat kehilangan sistem atau data utama. Tetapi jika Anda memiliki salinan cadangan data, Anda dapat memulihkan banyak atau semua informasi yang hilang.
Ada lebih dari satu cara untuk mencadangkan data. Beberapa organisasi mungkin melakukan pencadangan penuh setiap hari. Orang lain mungkin mengandalkan cadangan inkremental, yang hanya mencadangkan file yang telah berubah sejak pencadangan terbaru.
Perhatikan bahwa meskipun pencadangan tentu saja merupakan kontrol teknis, pencadangan juga dapat dianggap sebagai kontrol administratif jika organisasi memiliki kebijakan pencadangan yang jelas.
f. Model Kontrol Akses
Struktur model kontrol akses yang dapat mengakses apa yang ada di sistem atau organisasi tertentu. Banyak organisasi mengikuti prinsip hak istimewa paling rendah dalam hal data sensitif: setiap pengguna hanya memiliki akses yang cukup untuk melakukan tugas pekerjaannya.
Model akses yang paling umum adalah kontrol akses diskresioner. Di bawah sistem ini, setiap objek memiliki pemilik yang kemudian dapat menentukan akses apa yang dimiliki pengguna lain. Anda dapat membaca lebih lanjut tentang berbagai model kontrol akses di panduan utama kami.
Model kontrol akses bersifat administratif dan teknis. Mereka bahkan dapat memperluas ke kontrol fisik juga: jika seorang penjaga di pos jaga memeriksa ID terhadap daftar sebelum menaikkan gerbang sehingga orang dapat lewat, itu adalah contoh tindakan kontrol akses.
Model kontrol akses sebagian besar bersifat preventif. Tujuan mereka adalah untuk mencegah orang yang tidak berhak mendapatkan akses ke informasi dan sumber daya yang seharusnya tidak dapat mereka akses.
g. Sistem Keamanan Fisik
Sistem keamanan fisik sering bertepatan dengan kontrol teknis. Kamera keamanan dan sensor gerak dihitung sebagai keduanya. Sistem ini dapat mendeteksi dan mencegah serangan. Sebuah kamera pada dasarnya dirancang untuk mengenali penyusup, dan kehadiran kamera juga dapat mencegah orang bahkan untuk mencoba masuk.
Keamanan bukan hanya tentang mencegah penyusup. Alarm kebakaran dan sistem sprinkler mengurangi risiko seperti halnya sistem keamanan, memenuhi syarat sebagai kontrol keamanan korektif fisik dan teknis.
2. Administrative Security Controls
Kontrol keamanan administratif mengacu pada kebijakan, prosedur, atau pedoman yang menentukan personel atau praktik bisnis sesuai dengan tujuan keamanan organisasi. Banyak organisasi saat ini menerapkan beberapa jenis proses orientasi untuk memperkenalkan Anda kepada perusahaan dan memberi Anda sejarah organisasi.
Selama proses orientasi, Anda mungkin diminta untuk meninjau dan mengakui kebijakan keamanan organisasi. Dengan mengakui bahwa Anda telah membaca kebijakan organisasi sebagai karyawan baru, maka Anda bertanggung jawab untuk mematuhi kebijakan perusahaan organisasi tersebut.
Untuk menerapkan kontrol administratif, kontrol keamanan tambahan diperlukan untuk pemantauan dan penegakan terus menerus.
Misalnya, kebijakan keamanan adalah kontrol manajemen, tetapi persyaratan keamanannya diterapkan oleh orang (kontrol operasional) dan sistem (kontrol teknis).
Suatu organisasi mungkin memiliki kebijakan penggunaan yang dapat diterima yang menentukan perilaku pengguna, termasuk tidak mengunjungi situs web berbahaya. Kontrol keamanan untuk memantau dan menegakkan bisa dalam bentuk filter konten web, yang dapat menerapkan kebijakan dan log secara bersamaan.
Remediasi serangan phishing adalah contoh lain yang menggunakan kombinasi kontrol manajemen dan operasi.
Kontrol keamanan untuk membantu menggagalkan phishing, selain kontrol manajemen atas kebijakan penggunaan yang dapat diterima itu sendiri, mencakup kontrol operasional, seperti melatih pengguna agar tidak terjebak dalam penipuan phishing, dan kontrol teknis yang memantau email dan penggunaan situs web untuk tanda-tanda aktivitas phishing.
a. Kebijakan Keamanan
Kebijakan perusahaan adalah persyaratan tertulis yang harus diikuti karyawan. Biasanya, setiap kebijakan perusahaan membahas satu titik perhatian utama. Itu membuat informasi dalam kohesi kebijakan, memastikan bahwa detail yang diperlukan tercakup dengan baik dan membatasi kesalahpahaman yang berkaitan dengan topik.
Kebijakan keamanan bertujuan untuk memastikan tindakan yang benar di antara karyawan, menjaga keamanan sistem dengan mempromosikan perilaku yang diinginkan atau mencegah tindakan yang tidak diinginkan. Di bawah ini adalah beberapa contoh dari beberapa kebijakan keamanan administratif yang diterapkan di banyak perusahaan.
i. Kebijakan Kata Sandi
Kebijakan kata sandi menetapkan persyaratan untuk penggunaan kata sandi, termasuk standar kerumitan, frekuensi perubahan, dan jadwal penggunaan ulang. Mungkin juga menguraikan persyaratan tambahan, seperti praktik terbaik tentang menyimpan informasi kata sandi.
ii. Kebijakan Kontrol Akses
Kebijakan kontrol akses menguraikan aturan tentang siapa yang dapat mengakses berbagai sumber daya dalam suatu organisasi. Biasanya dimulai dengan dokumen yang menentukan tingkat akses dalam organisasi. Setelah pedoman tersedia, kebijakan tersebut diterapkan, menyelaraskan akses karyawan dengan tingkat yang telah disepakati.
Dalam kebanyakan kasus, kebijakan dengan hak istimewa paling rendah adalah pendekatan terbaik. Ini memastikan bahwa karyawan hanya memiliki akses ke sumber daya yang benar-benar diperlukan untuk peran mereka. Apa pun yang tidak relevan secara langsung kemudian dibatasi.
iii. Kebijakan Pengumpulan Data
Kebijakan pengumpulan data menguraikan di mana dan bagaimana berbagai jenis informasi dapat berada dalam sistem perusahaan. Ini dapat mencakup aturan tentang menyimpan data sensitif di server, komputer, atau perangkat seluler tertentu, serta saat enkripsi wajib.
Selain itu, kebijakan pengumpulan data biasanya menjelaskan apa yang dianggap sebagai data sensitif oleh organisasi. Beberapa perusahaan terikat oleh peraturan yang lain tidak. Akibatnya, menguraikan persyaratan terkait industri dalam kebijakan pengumpulan data adalah hal biasa, memastikan karyawan sepenuhnya menyadari apa yang diperlukan berdasarkan bidang mereka.
iv. Kebijakan Penggunaan Perangkat
Dengan banyaknya perusahaan yang melakukan remote sepenuhnya atau sebagian, perangkat dapat menimbulkan risiko besar bagi organisasi. Melalui kebijakan terkait laptop dan perangkat seluler lainnya, perusahaan dapat menguraikan jenis perangkat apa yang diperbolehkan, dan aktivitas yang dapat dilakukan melalui perangkat tersebut.
b. Kesadaran dan Pelatihan Keamanan
Pendidikan keamanan adalah elemen kunci lain untuk menjaga kontrol keamanan administratif. Melalui program pelatihan formal, pekerja belajar tentang risiko yang ada di lingkungan, membuat mereka lebih sadar akan vektor serangan potensial.
Selain itu, berbagi detail tentang kebijakan perusahaan dan praktik terbaik berorientasi keamanan biasanya merupakan bagian dari proses. Itu memastikan bahwa karyawan mengetahui apa yang diharapkan dari mereka, serta apa yang harus mereka lakukan saat menghadapi berbagai situasi.
Seringkali, kegiatan pelatihan perlu terjadi secara teratur. Seiring dengan memasukkan instruksi keamanan formal selama orientasi karyawan, sebaiknya mewajibkan kursus penyegaran tahunan. Dengan begitu, Anda dapat menyadarkan karyawan akan ancaman baru, penyesuaian kebijakan, perubahan prosedur, atau hal lain yang dapat memengaruhi tindakan mereka dalam berbagai skenario.
c. Penilaian dan Tes Keamanan
Kontrol keamanan administratif dapat melibatkan berbagai aktivitas berorientasi deteksi. Seringkali, ini membantu menentukan apakah berbagai kebijakan dan prosedur digunakan dengan benar, serta untuk mengidentifikasi lubang potensial yang dapat dieksploitasi.
Penilaian risiko dan penilaian kerentanan keduanya dapat masuk dalam kategori ini. Mereka melibatkan langkah-langkah aktif untuk memeriksa kebijakan dan prosedur untuk menentukan apakah ada kekurangan, menciptakan peluang untuk mengatasinya. Selain itu, mereka membantu menentukan kemungkinan sistem dikompromikan, serta tingkat kerusakan yang akan terjadi jika terjadi insiden.
Pengujian penetrasi juga dapat memenuhi syarat sebagai kontrol keamanan administratif. Sekali lagi, ini dirancang untuk mengeksplorasi kemampuan kebijakan, prosedur, dan praktik yang ada, dengan tujuan menentukan apakah ada masalah yang dapat dieksploitasi.
Seringkali, penggunaan penilaian dan tes sedang berlangsung. Kebijakan dan prosedur tidak dijamin mencerminkan praktik terbaik selamanya. Ancaman baru muncul secara konsisten. Akibatnya, evaluasi berkelanjutan sangat penting, menciptakan peluang untuk memperbarui kebijakan dan proses saat diperlukan.
d. Perencanaan kontingensi (Contingency Planning)
Perencanaan kontingensi melibatkan pembuatan pendekatan strategis untuk berbagai insiden. Meskipun pembuatan rencana bersifat proaktif, langkah-langkah yang diuraikan sebagian besar bersifat reaktif. Ini memberi organisasi kerangka kerja untuk tindakan setelah masalah muncul, berfungsi sebagai peta jalan yang menggerakkan perusahaan menuju pemulihan.
Dalam banyak kasus, rencana darurat lebih dekat dengan kumpulan prosedur daripada satu prosedur. Ini dapat mencakup kelangsungan bisnis dan perencanaan pemulihan bencana, prosedur respons serangan dunia maya, dan proses manajemen krisis. Saat disatukan, berbagai rencana mencakup berbagai insiden, memastikan bahwa organisasi siap untuk mengambil tindakan yang tepat terlepas dari peristiwa yang terjadi.
e. Manajemen Perubahan (Change Management)
Dalam hal keamanan, perubahan pada sistem, proses, atau sumber daya dapat menimbulkan risiko yang tidak terduga. Manajemen perubahan adalah pertahanan bersama terhadap hal yang tidak terduga, meningkatkan kemungkinan bahwa aset akan tetap aman.
Manajemen perubahan memenuhi syarat sebagai kontrol keamanan administratif karena fokus utamanya adalah memastikan tindakan yang benar di antara personel. Seperti kebijakan, itu mendefinisikan perilaku yang diinginkan dalam konteks tertentu.
Dengan manajemen perubahan, perusahaan menetapkan kebijakan dan pedoman yang menentukan bagaimana perubahan prosedur dan sistem internal dan eksternal dapat atau tidak dapat bergerak maju. Tujuannya adalah untuk memastikan bahwa perubahan yang tidak disetujui dan tidak diperiksa tidak diberlakukan. Sebaliknya, pemeriksaan menyeluruh menjadi wajib, mengurangi kemungkinan konsekuensi yang tidak diinginkan.
3. Physical Security Controls
Kontrol fisik adalah penerapan langkah-langkah keamanan dalam struktur yang ditentukan yang digunakan untuk menghalangi atau mencegah akses tidak sah ke materi sensitif.
Kontrol keamanan dapat jatuh dalam beberapa kategori. Misalnya, kamera keamanan dan sebagian besar sistem alarm modern bersifat teknis dan fisik.
Kontrol keamanan juga dapat dibedakan berdasarkan tujuannya :
- Kontrol preventif bertujuan untuk mencegah insiden keamanan;
- Kontrol detektif bertujuan untuk mendeteksi insiden saat terjadi, atau setelah kejadian;
- Kontrol korektif bertujuan untuk mengurangi dampak setelah insiden terjadi;
- Kontrol pencegah bertujuan untuk mencegah penyerang melakukan upaya;
- Kontrol kompensasi dapat digunakan jika kontrol lain tidak berfungsi.
Kontrol keamanan fisik dapat mencapai salah satu tujuan di atas. Di bawah ini, kami akan membahas ikhtisar beberapa kontrol keamanan fisik yang umum.
Contoh Pengendalian Fisik (Physical Control) adalah :
a. Penjaga Keamanan (Security Guards)
Penjaga keamanan menawarkan perlindungan multi-segi terhadap intrusi fisik. Mereka mungkin memeriksa kartu identitas untuk menentukan apakah seseorang diizinkan memasuki gedung atau area, atau bertindak sebagai pencegah bagi individu yang tidak berwenang yang mempertimbangkan upaya masuk. Selain itu, mereka mungkin memantau umpan kamera keamanan untuk perilaku yang mencurigakan, mengambil tindakan jika terjadi sesuatu yang tidak sah.
b. Pagar, Kandang, dan Tembok (Fences, Cages, and Walls)
Pagar, sangkar, dan dinding meningkatkan keamanan dengan menciptakan penghalang fisik yang harus dilintasi orang untuk mengakses ruang atau peralatan tertentu. Seringkali, ini bertindak sebagai satu lapisan dalam rencana keamanan yang lebih luas, menunda atau mencegah mereka yang tidak berwenang untuk mengakses area tertentu untuk masuk.
Saat menghadapi pagar, sangkar, atau dinding, individu yang tidak berwenang harus melewati penghalang. Misalnya, mereka mungkin harus memanjat pagar, memotong sangkar, atau menerobos tembok. Ini menciptakan langkah ekstra bagi siapa pun yang ingin masuk ke suatu area, mempersulit dan menambah waktu yang dibutuhkan untuk mencapai ruang atau peralatan.
c. Pintu dengan Kunci (Doors with Locks)
Pintu yang dapat dikunci adalah penghalang lain untuk masuk. Mereka menciptakan titik masuk bagi individu yang berwenang sambil mencegah mereka yang tidak diizinkan masuk begitu saja ke suatu area.
Ada berbagai kunci yang tersedia yang dapat meningkatkan keamanan fisik. Bersamaan dengan kunci tradisional, kombinasi, kode PIN, pemindai RFID, dan kunci biometrik semuanya tersedia. Setiap opsi memiliki pro dan kontra, menawarkan berbagai tingkat keamanan secara keseluruhan.
PIN dan kunci kombinasi memungkinkan setiap orang yang berwenang memiliki kode mereka sendiri, membuat entri dapat dilacak. Risiko dari pendekatan ini termasuk orang yang berwenang menebak kode, serta orang yang berwenang menuliskannya dan ditemukan.
Kunci pemindai RFID biasanya bekerja bersama dengan kartu ID karyawan. Pendekatan ini juga dapat dilacak dan menghilangkan risiko yang terkait dengan kode yang ditebak atau ditulis. Namun, jika ID berakhir di tangan orang yang tidak berwenang, mereka dapat menggunakannya untuk masuk.
Dengan kunci biometrik, ciri fisik individu yang berwenang adalah yang membuka pintu. Misalnya, sidik jari, sidik suara, pemindaian wajah, dan data biologis serupa semuanya termasuk dalam kategori ini. Secara umum, itu menjadikan opsi ini paling aman. Namun, sistemnya bisa mahal.
d. Kartu ID (KTP)
KTP memainkan peran penting dalam keamanan fisik. Mereka mengizinkan penjaga keamanan atau orang lain di sekitarnya untuk menentukan apakah seseorang diizinkan untuk berada di suatu area dengan cepat. Plus, mereka dapat berfungsi sebagai kunci pintu keamanan, tergantung pada jenis yang digunakan.
e. Alarm Keamanan
Sistem alarm mendeteksi entri yang tidak sah dan memberi tahu personel tertentu tentang gangguan. Karena sistem biasanya berbasis perangkat – seperti sensor di jendela atau pintu – mereka memenuhi syarat sebagai keamanan fisik, meskipun ada komponen teknis.
Seiring dengan kemampuan deteksi, alarm keamanan dapat menjadi pencegah. Jika tanda yang mengumumkan kehadiran mereka ditampilkan secara mencolok di seluruh area atau fasilitas, individu yang tidak berwenang dapat memutuskan untuk tidak mencoba masuk karena kemungkinan tertangkap lebih tinggi.
f. Kamera Pengawas
Dengan kamera pengintai, Anda memperoleh kemampuan untuk mengamati area fasilitas bahkan jika Anda tidak secara fisik berada di area tersebut. Mereka memungkinkan pemantauan perilaku, meningkatkan kemungkinan aktivitas mencurigakan atau upaya akses tidak sah diketahui dengan cepat. Selain itu, mereka memungkinkan Anda membuat catatan tentang apa yang terjadi di suatu area, memberi Anda rekaman video yang dapat Anda tinjau setelah percobaan atau pelanggaran yang berhasil.
Kehadiran kamera keamanan juga dapat bertindak sebagai pencegah. Seperti alarm keamanan, jika orang yang tidak berwenang mengetahui bahwa kamera sedang merekam tindakan mereka, mereka cenderung tidak akan mencoba masuk.
g. Petir (Lighting)
Dalam hal langkah-langkah keamanan fisik yang diabaikan, pencahayaan adalah salah satu yang terbesar. Ketika titik masuk dengan akses terbatas menyala dengan baik, itu membuat tempat itu kurang menarik bagi siapa pun yang tidak diizinkan masuk. Peluang menembus penghalang fisik akan terlihat meningkat secara signifikan jika ruang tersebut diterangi dengan terang. Plus, ini memastikan bahwa rekaman kamera dari individu tersebut sejelas mungkin.
Pencahayaan tradisional yang selalu menyala dan lampu pendeteksi gerakan dapat menjadi pencegah yang kuat. Namun, sangat penting untuk segera mengganti bohlam yang terbakar untuk memastikan tidak ada jendela peluang.
h. Alat Pembuangan Peralatan (Equipment Disposal Tools)
Peralatan lama yang berisi data sensitif atau sebelumnya terhubung ke sistem internal bukanlah sesuatu yang harus dibuang ke tempat sampah biasa atau didaur ulang tanpa beberapa langkah tambahan. Gagal membuangnya dengan benar berarti individu yang tidak berwenang mungkin dapat meninjau data perusahaan atau mengakses sistem pribadi hanya karena informasi atau izin tidak dihapus dengan benar dari perangkat.
Meskipun banyak solusi untuk masalah ini bersifat teknis, ada juga opsi yang memenuhi syarat sebagai keamanan fisik. Penghancur hard drive adalah contoh utama, meskipun itu bukan satu-satunya alat dalam kategori ini.
i. Alat Pembuangan Dokumen (Document Disposal Tools)
Membuang dokumen sensitif dengan benar adalah bentuk lain dari keamanan fisik. Penghancur potongan mikro – juga disebut penghancur potongan keamanan atau potongan partikel – biasanya yang paling aman, karena mereka memotong kertas menjadi potongan sekecil mungkin, membuat perakitan ulang praktis tidak mungkin dilakukan. Itu membuatnya ideal untuk dokumen yang sangat sensitif. Untuk keamanan menengah, mesin penghancur kertas pengunci mungkin cukup.
Namun, Anda juga perlu memperhitungkan perusahaan daur ulang dan pendekatan penjemputan yang Anda gunakan. Jika kertas akan disimpan dalam kaleng daur ulang yang tidak aman di area yang dapat diakses publik atau diambil oleh layanan non-khusus, seperti perusahaan limbah kota atau kabupaten, menggunakan mesin penghancur mikro untuk semua orang mungkin merupakan ide yang lebih baik. Jika kertas berada dalam kaleng yang aman dan diambil oleh layanan daur ulang kertas khusus yang berorientasi pada keamanan, menggunakan opsi penghancuran yang tidak terlalu kuat mungkin dapat menjadi pilihan.
E. Melakukan Penilaian Kontrol Keamanan (Performing A Security Control Assessment)
Penilaian Kontrol Keamanan adalah komponen penting untuk mengukur status dan kinerja kontrol keamanan organisasi.
Perhatikan definisi Penilaian Kontrol Keamanan berikut :
Pengujian dan/atau evaluasi manajemen, operasional, dan kontrol keamanan teknis dalam sistem informasi untuk menentukan sejauh mana kontrol diterapkan dengan benar, beroperasi sebagaimana dimaksud, dan menghasilkan hasil yang diinginkan sehubungan dengan pemenuhan persyaratan keamanan untuk sistem. sistem.
Pengujian kontrol keamanan adalah komponen penting dari keseluruhan tata kelola Sistem Manajemen Keamanan Informasi organisasi.
Bergantung pada jenis organisasinya, persyaratan peraturan mengamanatkan penilaian yang konsisten dan berkelanjutan, sedangkan organisasi non-publik tidak tunduk pada persyaratan peraturan.
Saat ini, bukan hanya praktik terbaik untuk memantau kontrol keamanan, tetapi persyaratan yang diperlukan untuk menjaga sistem tetap aman dan bebas dari praktik target peretas, yang ingin menembus jaringan apa pun yang memiliki keamanan lemah di sekeliling dan secara internal.
1. Penilaian Keamanan Umum (Common Security Assessments)
Contoh penilaian keamanan meliputi :
- Tugas beresiko
- Penilaian Kerentanan
- Pengujian Penetrasi
2. Penilaian Risiko Keamanan (Security Risk Assessments)
Penilaian risiko keamanan melibatkan banyak langkah dan membentuk tulang punggung rencana manajemen risiko Anda secara keseluruhan.
Penilaian risiko penting karena digunakan untuk mengidentifikasi aset atau area yang menghadirkan risiko, kerentanan, atau paparan tertinggi bagi perusahaan. Ini kemudian mengidentifikasi risiko yang dapat memengaruhi aset tersebut.
 |
| Security Risk Assessments |
3. Penilaian Kerentanan (Vulnerability Assessments)
Penilaian kerentanan mengacu pada proses mengidentifikasi risiko dan kerentanan dalam jaringan komputer, sistem, perangkat keras, aplikasi, dan bagian lain dari ekosistem TI.
Penilaian kerentanan adalah komponen penting dari siklus hidup manajemen kerentanan, membantu melindungi sistem dan data dari akses tidak sah dan pelanggaran data.
Penilaian kerentanan biasanya memanfaatkan alat seperti pemindai kerentanan untuk mengidentifikasi ancaman dan kelemahan dalam infrastruktur TI organisasi yang mewakili potensi kerentanan atau paparan risiko.
 |
| Vulnerability Assessments |
5. Pengujian Penetrasi (Penetration Testing)
Pengujian penetrasi adalah metode untuk menguji aplikasi web, jaringan, atau sistem komputer untuk mengidentifikasi kerentanan keamanan yang dapat dieksploitasi.
Tujuan utama keamanan secara keseluruhan adalah untuk mencegah pihak yang tidak berwenang mengakses, mengubah, atau mengeksploitasi jaringan atau sistem. Ini bertujuan untuk melakukan apa yang akan dilakukan oleh aktor jahat.
Alasan utama tes penetrasi sangat penting untuk keamanan organisasi adalah karena tes tersebut membantu personel mempelajari cara menangani segala jenis pembobolan dari entitas jahat.
Tes pena berfungsi sebagai cara untuk memeriksa apakah kebijakan keamanan organisasi benar-benar efektif. Mereka melayani sebagai jenis latihan kebakaran untuk organisasi.
Tes penetrasi juga dapat memberikan solusi yang akan membantu organisasi untuk tidak hanya mencegah dan mendeteksi penyerang tetapi juga untuk mengusir penyusup tersebut dari sistem mereka dengan cara yang efisien.
Itu dia Penjelasan tentang Physical, Administrative, Technical Network Controls. Semoga Bermanfaat bagi Mahasiswa TI.
Terima Kasih 😄😘👌👍 :)
Wassalamu‘alaikum wr. wb.