Monday, February 15, 2016

Faktor Manusia dalam Keamanan Komputer

Faktor manusia

penting, daerah yang luas

mempertimbangkan topik utama beberapa:
-
kesadaran keamanan, pelatihan, dan pendidikan
-
kebijakan keamanan organisasi
-
keamanan personel
-
E-mail dan Internet kebijakan penggunaan

________________________________________
Kesadaran Keamanan, Pelatihan, dan
Pendidikan

topik menonjol dalam berbagai standar

memberikan manfaat:
-
meningkatkan perilaku karyawan
-
meningkatkan akuntabilitas karyawan
-
mengurangi kewajiban untuk perilaku karyawan
-
mematuhi peraturan dan kontrak
kewajiban
________________________________________

Belajar
Rangkaian kesatuan

________________________________________
Kesadaran

berusaha untuk menginformasikan dan fokus karyawan
perhatian pada masalah keamanan
-
ancaman, kerentanan, dampak, tanggung jawab

harus disesuaikan dengan kebutuhan organisasi

menggunakan berbagai cara
-
peristiwa, bahan promo, briefing, doc kebijakan

harus memiliki kebijakan keamanan karyawan
dokumen
________________________________________
Latihan

mengajarkan apa yang harus dilakukan orang-orang dan bagaimana mereka melakukannya
untuk aman melakukan tugas-tugas IS

meliputi meliputi spektrum:
-
pengguna umum

praktek keamanan komputer yang baik
-
programmer, pengembang, pengelola

pola pikir keamanan, pengembangan kode aman
-
manajer

pengorbanan yang melibatkan risiko keamanan, biaya, manfaat
-
eksekutif

tujuan manajemen risiko, pengukuran, kepemimpinan
________________________________________
Pendidikan

paling mendalam

ditargetkan pada profesional keamanan yang pekerjaannya
membutuhkan keahlian dalam keamanan

lebih pengembangan karir karyawan

sering disediakan oleh sumber luar
-
program kuliah
-
program pelatihan khusus
________________________________________
Kebijakan Keamanan Organisasi

"Pernyataan resmi dari aturan yang orang
diberikan akses ke teknologi organisasi dan
aset informasi harus mematuhi "

juga digunakan dalam konteks lain
________________________________________
Kebijakan Keamanan Organisasi

perlu dokumen kebijakan keamanan tertulis

untuk menentukan perilaku yang dapat diterima, diharapkan
praktek, dan tanggung jawab
-
membuat jelas apa dilindungi dan mengapa
-
mengartikulasikan prosedur keamanan / kontrol
-
menyatakan tanggung jawab untuk perlindungan
-
memberikan dasar untuk menyelesaikan konflik

harus mencerminkan keputusan keamanan eksekutif
-
melindungi info, mematuhi hukum, memenuhi tujuan org
________________________________________
Siklus Hidup Kebijakan Keamanan
________________________________________
Kebijakan Dokumen Tanggung Jawab

kebijakan keamanan perlu dukungan luas

terutama dari manajemen puncak

harus dikembangkan oleh tim termasuk:
-
administrator keamanan situs, staf teknis TI, pengguna
kelompok admin, tim keamanan respon insiden,
perwakilan kelompok pengguna, bertanggung jawab
manajemen, penasihat hukum
________________________________________
Dokumen Konten

apa alasan untuk kebijakan?

yang mengembangkan kebijakan?

yang menyetujui kebijakan tersebut?

yang kewenangannya menopang kebijakan?

yang hukum / peraturan yang didasarkan pada?

yang akan menegakkan kebijakan?

bagaimana kebijakan ditegakkan?

siapakah kebijakan mempengaruhi?

informasi apa aset harus dilindungi?

apa yang pengguna benar-benar diperlukan untuk melakukan?

bagaimana seharusnya pelanggaran keamanan dilaporkan?

apa tanggal tanggal / berakhirnya efektif itu?
________________________________________
Topik Kebijakan Keamanan

prinsip

struktur pelaporan organisasi

keamanan fisik

perekrutan, manajemen, dan menembak

perlindungan data

keamanan komunikasi

perangkat keras

perangkat lunak

sistem operasi
________________________________________
Topik Kebijakan Keamanan cont.

dukungan teknis

pribadi

mengakses

akuntabilitas

pembuktian keaslian

tersedianya

pemeliharaan

pelanggaran pelaporan

keberlangsungan bisnis

informasi pendukung
________________________________________
Sumber

ISO 17799
-
standar internasional yang populer
-
memiliki seperangkat kontrol
-
kerangka nyaman untuk penulis kebijakan

COBIT
-
set berorientasi bisnis standar
-
termasuk keamanan dan kontrol TI praktek

Standar Praktek Baik untuk Informasi
Keamanan

orgs lain, misalnya CERT, CIO
________________________________________
Personil Keamanan

perekrutan, pelatihan, perilaku pemantauan, dan penanganan
keberangkatan

pelanggaran keamanan karyawan terjadi:
-
tanpa disadari membantu komisi pelanggaran
-
sengaja melanggar kontrol atau prosedur

ancaman meliputi:
-
mendapatkan akses tidak sah, mengubah data, produksi menghapus
dan back up data, menabrak sistem, sistem menghancurkan,
menyalahgunakan sistem, memegang data sandera, mencuri strategis atau
data pelanggan untuk spionase perusahaan atau skema penipuan
________________________________________
Keamanan dalam Proses Hiring

tujuan:
-
"Untuk memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga
memahami tanggung jawab mereka, dan cocok untuk
peran mereka dipertimbangkan untuk, dan untuk mengurangi risiko pencurian,
penipuan atau penyalahgunaan fasilitas "

perlu pemeriksaan latar belakang yang sesuai, skrining, dan
perjanjian kerja
________________________________________
Latar Belakang Cek & Screening

masalah:
-
resume meningkat
-
keengganan mantan majikan untuk memberikan referensi yang baik atau buruk
karena takut tuntutan hukum

pengusaha perlu membuat upaya yang signifikan untuk melakukan
pemeriksaan latar belakang / screening
-
mendapatkan pekerjaan rinci sejarah / pendidikan
-
pemeriksaan yang wajar pada keakuratan rincian
-
telah mengalami anggota staf wawancara

untuk beberapa posisi sensitif, tambahan intensif
investigasi dijamin
________________________________________
Perjanjian kerja

karyawan harus setuju untuk menandatangani dan ketentuan
dan kondisi kontrak kerja mereka,
yang harus mencakup:
-
informasi dan keamanan organisasi mereka
tanggung jawab
-
kerahasiaan dan non-pengungkapan perjanjian
-
perjanjian untuk mematuhi kebijakan keamanan organisasi
________________________________________
Selama Kerja

tujuan keamanan karyawan saat ini:

memastikan karyawan, kontraktor, pengguna pihak ketiga sadar
info ancaman keamanan & kekhawatiran

tahu tanggung jawab dan kewajiban mereka

dilengkapi untuk mendukung kebijakan keamanan organisasi di
pekerjaan mereka, dan mengurangi risiko kesalahan manusia

perlu kebijakan keamanan dan pelatihan

prinsip-prinsip keamanan:
-
setidaknya hak istimewa
-
pemisahan tugas
-
ketergantungan yang terbatas pada personil kunci
________________________________________
Pemutusan hubungan kerja

tujuan keamanan pemutusan:

memastikan karyawan, kontraktor, pihak ketiga pengguna exit
organisasi atau perubahan kerja secara tertib

bahwa kembalinya semua peralatan dan penghapusan semua
hak akses selesai

tindakan penting:
-
menghapus nama dari daftar akses yang berwenang
-
menginformasikan penjaga bahwa akses umum tidak diperbolehkan
-
menghapus kode akses pribadi, mengubah kombinasi kunci,
memprogram ulang sistem kartu akses, dll
-
memulihkan semua aset
________________________________________
Email & Internet Gunakan Kebijakan

E-mail & akses internet bagi karyawan adalah
umum di kantor dan beberapa pabrik

semakin memiliki e-mail dan penggunaan Internet
kebijakan dalam kebijakan keamanan organisasi

karena kekhawatiran mengenai
-
waktu kerja yang hilang
-
sumber daya komputer / comms dikonsumsi
-
risiko mengimpor malware
-
kemungkinan kerusakan, pelecehan, perilaku buruk
________________________________________
Kebijakan disarankan

penggunaan bisnis hanya

lingkup kebijakan

kepemilikan konten

pribadi

standar perilaku

penggunaan pribadi wajar

kegiatan yang melanggar hukum dilarang

kebijakan keamanan

kebijakan perusahaan

hak perusahaan

tindakan disipliner
________________________________________
Contoh
Polis

________________________________________
Ringkasan

memperkenalkan beberapa topik penting yang berkaitan dengan
faktor manusia

kesadaran keamanan, pelatihan & pendidikan

kebijakan keamanan organisasi

keamanan personel

E-mail dan Internet Gunakan Kebijakan

No comments:

Post a Comment