Siklus Hidup Keamanan Informasi Perusahaan

Banyak  organisasi yang memanfaatkan perangkat teknologi informasi berbasis jaringan baik  local maupun global untuk mendukung tujuan pengembangan organisasinya. Namun banyak yang tanpa disadari mengimplementasikan sistem jaringan computer tersebut tanpa dibarengi dan diimbangi dengan  sistem keamanan yang memadai sesuai dengan standar keamanan yang berlaku. Hal itu dikarenakan karena banyak  yang  tidak menggunakan prinsip­prinsip  pengamanan  sesuai standar, dan dalam mengimplementasikan tidak melalui tahap siklus hidup keamanan informasi.

Untuk mengatasi kendala itu, maka dari itu  sebuah organisasi harus memiliki patokan atau  standar baku  untuk menerapkan  sistem keamanan sesuai dengan  prinsip standar seperti yang  dikeluarkan oleh NIST. Selain itu sangat penting  sekali diperlukan komitmen implementasi keamanan, dengan cara menerapkan sesuai siklus hidup keamanan informasi oleh para user, system engineer, spesialis IT, manajer program dan petugas keamanan informasi.

Tujuan sistem keamanan informasi akan dapat  tercapai jika dalam tahapan pengamanan memenuhi prinsip rekayasa keamanan teknologi informasi. Tujuan dari prinsip­prinsip rekayasa keamanan teknologi informasi (TI) adalah untuk memberikan gambaran tentang prinsip systemlevel keamanan yang akan menjadi pertimbangan dalam merancang, mengembangkan, dan mengoperasikan pada sistem  informasi. Prinsip­prinsip  tersebut  akan digunakan oleh :

  • User ketika megembangkan dan mengevaluasi kebutuhan fungsional, atau sistem informasi operasi dalam organisasi.
  • System  Engineers dan Arsitek  yang merancang, mengimplementasikan, atau memodifikasi sistem informasi.
  • Spesialis IT pada semua fase siklus  hidup sistem (system life­cycle).
  • Manajer program dan petugas keamanan sistem informasi. (Program Managers and Information System Security Officers ­ISSO) untuk  meyakinkan implementasi keamanan yang memadai pada semua fase system lifecycle.

Sesuai dengan National  Institute of Standards  and  Technology (NIST) Special Publication 800­14, “Generally Accepted Principles and Practices for Securing Information Technology Systems,”. Siklus hidup pengembangan sistem  (system  development  life cycle  /SDLC) pada keamanan komputer adalah tahap-­tahap atau fase yang harus dilalui pada pengembangan keamanan computer melalui proses siklus hidup. Fase atau tahap tahap yang digunakan dalam prinsip  dan  praktek  untuk sistem  keamanan teknologi informasi adalah sebagai berikut :

  1. Inisiasi (initiation). Merupakan fase awal yang dibutuhkan untuk  menetapkan tujuan sistem seperti dokumentasi.
  2. Pengambangan dan akuisisi (development/acquisition). Pada fase ini sistem dirancang, dibeli, diprogram, dikembangkan, atau dikonstruksikan.
  3. Implementasi (Implementation). Merupakan fase dimana sistem  ditest dan diinstall. Aktifitasnya termasuk menginstalasi dan mengendalikan, test keamanan, sertifikasi, dan akreditasi.
  4. Operasi dan Pemeliharaan (Operation/Maintenance). Pada fase ini dimana sistem  bekerja atau  dijalankan. Sistem juga dilakukan modifikasi jika terjadi  penambahan software atau  hardware, dan memberikan identifikasi. Aktifitas lain yang dilakukan pada tahap  ini adalah jaminan operasional dan adminsitrasi, auditing dan minitoring.
  5. Penyelesaian dan Pembuangan (disposal). Fase ini merupakan bagian dari fase lifecycle yang melakukan  disposisi pada informasi, hardware dan software. Aktifitas  lain termasuk diantaranya adalah memindah  (moving), mengarsipkan (archiving), menyingkirkan (discarding), atau memusnahkan (destroying) informasi dan sanitasi media.

Prinsip  keamanan informasi akan  digunakan sebagai acuan dalam  mengembangkan sistem keamanan dalam sebuah organisasi oleh  para user, rekayasa sistem, spesialis IT, manajer program dan  petugas  keamanan sistem informasi. Prinsip  tersebut  memiliki 6  kelompok yaitu  sebagai  landasan keamanan, pokok keamanan, mudah digunakan, nyaman dan menyenangkan, dapat  mengurangi ancaman serangan, serta digunakan  untuk merancang dan menjaga keamanan. Selanjutnya dari prinsip  yang telah  ditentukan  akan digunakan untuk  landasan  dalam pengembangan siklus  hidup  informasi yang meliputi tahapan inisiasi, pengembangan  dan  akuisisi, implementasi, operasi dan  pemliharaan, penyelesaian dan pembuangan.

Sumber: Jurnal Teknologi Informasi DINAMIK Volume XII, No.2, Juli 2007 : 101­108

Rate this post

Bagikan:

ITGID Favourite Training

Training IT Masterplan
Training CISA
Training CISSP
Training CISM
Training CGEIT
Training CRISC
Training Penetration Testing
Training Cobit 5
Training CISCO
Training IT Disaster Recovery
Training BCM Awareness
Training Togaf

Bagaimana Risiko IT dikelola

[yikes-mailchimp form=”2″]

× Apa yang bisa kami bantu?