Kebijakan Keamanan Jaringan

Domain Keamanan Jaringan

Penting bagi para profesional keamanan jaringan untuk memahami alasan keamanan jaringan. Mereka juga harus memahami persyaratan organisasi untuk keamanan jaringan sebagaimana yang diwujudkan oleh 14 domain keamanan jaringan.

Domain menyediakan kerangka kerja untuk membahas keamanan jaringan dan memahami kebutuhan operasional yang harus dipenuhi oleh setiap organisasi.

Ada 14 domain keamanan jaringan yang ditetapkan oleh Organisasi Internasional untuk Standardisasi (ISO)/Komisi Elektroteknik Internasional (IEC). Dijelaskan oleh ISO/IEC 27001, 14 domain ini berfungsi untuk mengatur, pada tingkat tinggi, ranah informasi dan aktivitas yang luas di bawah payung keamanan jaringan. Domain-domain ini memiliki beberapa kesamaan signifikan dengan domain yang ditetapkan oleh sertifikasi Certified Information Systems Security Professional (CISSP).

Ke-14 domain tersebut dimaksudkan untuk berfungsi sebagai dasar umum untuk mengembangkan standar keamanan organisasi dan praktik manajemen keamanan yang efektif. Domain-domain tersebut juga membantu memfasilitasi komunikasi antarorganisasi.

Ke-14 domain ini menyediakan pemisahan elemen-elemen keamanan jaringan yang mudah. Meskipun tidak penting untuk menghafal 14 domain ini, penting untuk mengetahui keberadaan dan deklarasi formalnya oleh ISO. Dalam standar ISO 27001, domain-domain ini dikenal sebagai 14 set kontrol Lampiran A. Domain-domain ini akan menjadi referensi yang berguna dalam pekerjaan Anda sebagai profesional keamanan jaringan.

Kebijakan Keamanan Informasi : Lampiran ini dirancang untuk memastikan bahwa kebijakan keamanan dibuat, ditinjau, dan dipelihara.

Organisasi Keamanan Informasi : Ini adalah model tata kelola yang ditetapkan oleh suatu organisasi untuk keamanan informasi. Model ini menetapkan tanggung jawab untuk tugas keamanan informasi dalam suatu organisasi.

Keamanan Sumber Daya Manusia : Ini membahas tanggung jawab keamanan yang berkaitan dengan karyawan yang bergabung, pindah dalam, dan meninggalkan suatu organisasi.

Manajemen Aset : Ini menyangkut cara organisasi membuat inventaris dan skema klasifikasi untuk aset informasi.

Kontrol Akses : Ini menjelaskan pembatasan hak akses ke jaringan, sistem, aplikasi, fungsi, dan data.

Kriptografi : Ini menyangkut enkripsi data dan pengelolaan informasi sensitif untuk melindungi kerahasiaan, integritas, dan ketersediaan data.

Keamanan Fisik dan Lingkungan : Ini menjelaskan perlindungan fasilitas dan peralatan komputer fisik dalam suatu organisasi.

Keamanan Operasional : Ini menjelaskan pengelolaan kontrol keamanan teknis dalam sistem dan jaringan, termasuk pertahanan terhadap malware, pencadangan data, pencatatan dan pemantauan, pengelolaan kerentanan, dan pertimbangan audit. Domain ini juga berkaitan dengan integritas perangkat lunak yang digunakan dalam operasi bisnis.

Keamanan Komunikasi : Ini menyangkut keamanan data saat dikomunikasikan pada jaringan, baik dalam suatu organisasi maupun antara organisasi dan pihak ketiga seperti pelanggan atau pemasok.

Akuisisi, Pengembangan, dan Pemeliharaan Sistem : Hal ini memastikan bahwa keamanan informasi tetap menjadi perhatian utama dalam proses organisasi di seluruh siklus hidup, baik dalam jaringan pribadi maupun publik.

Hubungan Pemasok : Ini menyangkut spesifikasi perjanjian kontraktual yang melindungi aset informasi dan teknologi suatu organisasi yang dapat diakses oleh pihak ketiga yang menyediakan pasokan dan layanan kepada organisasi.

Manajemen Insiden Keamanan Informasi : Ini menjelaskan cara mengantisipasi dan menanggapi pelanggaran keamanan informasi.

Manajemen Kelangsungan Bisnis : Ini menjelaskan perlindungan, pemeliharaan, dan pemulihan proses dan sistem penting bagi bisnis.

Kepatuhan : Ini menjelaskan proses untuk memastikan kesesuaian dengan kebijakan, standar, dan peraturan keamanan informasi.

Kebijakan Bisnis

Kebijakan bisnis adalah pedoman yang dikembangkan oleh suatu organisasi untuk mengatur tindakannya. Kebijakan tersebut menetapkan standar perilaku yang benar bagi bisnis dan karyawannya. Dalam jaringan, kebijakan menetapkan aktivitas yang diizinkan di jaringan. Ini menetapkan dasar penggunaan yang dapat diterima. Jika perilaku yang melanggar kebijakan bisnis terdeteksi di jaringan, ada kemungkinan bahwa pelanggaran keamanan telah terjadi.

Kebijakan Keamanan

Kebijakan keamanan yang komprehensif memiliki sejumlah manfaat, termasuk yang berikut ini:

• Menunjukkan komitmen organisasi terhadap keamanan
• Menetapkan aturan untuk perilaku yang diharapkan
• Memastikan konsistensi dalam operasi sistem, perolehan dan penggunaan perangkat lunak dan perangkat keras, serta pemeliharaan
• Menetapkan konsekuensi hukum dari pelanggaran
• Memberikan dukungan manajemen kepada staf keamanan

Kebijakan keamanan digunakan untuk memberi tahu pengguna, staf, dan manajer tentang persyaratan organisasi untuk melindungi aset teknologi dan informasi. Kebijakan keamanan juga menetapkan mekanisme yang diperlukan untuk memenuhi persyaratan keamanan dan menyediakan dasar untuk memperoleh, mengonfigurasi, dan mengaudit sistem dan jaringan komputer untuk kepatuhan.

Kebijakan identifikasi dan otentikasi : Menentukan orang yang berwenang yang dapat memiliki akses ke sumber daya jaringan dan prosedur verifikasi identitas.

Kebijakan kata sandi : Memastikan kata sandi memenuhi persyaratan minimum dan diubah secara berkala.

Kebijakan Penggunaan yang Dapat Diterima (AUP) : Mengidentifikasi aplikasi dan penggunaan jaringan yang dapat diterima oleh organisasi. Ia juga dapat mengidentifikasi konsekuensi jika kebijakan ini dilanggar.

Kebijakan akses jarak jauh : Mengidentifikasi bagaimana pengguna jarak jauh dapat mengakses jaringan dan apa yang dapat diakses melalui konektivitas jarak jauh.

Kebijakan pemeliharaan jaringan : Menentukan sistem operasi perangkat jaringan dan prosedur pembaruan aplikasi pengguna akhir.

Prosedur penanganan insiden : Menjelaskan bagaimana insiden keamanan ditangani.

Salah satu komponen kebijakan keamanan yang paling umum adalah AUP. Ini juga dapat disebut sebagai kebijakan penggunaan yang tepat. Komponen ini menentukan apa yang boleh dan tidak boleh dilakukan pengguna pada berbagai komponen sistem. Ini termasuk jenis lalu lintas yang diizinkan di jaringan. AUP harus sejelas mungkin untuk menghindari kesalahpahaman.

Misalnya, AUP dapat mencantumkan situs web, grup berita, atau aplikasi yang menggunakan banyak pita lebar tertentu yang dilarang diakses oleh komputer perusahaan atau dari jaringan perusahaan. Setiap karyawan harus diminta untuk menandatangani AUP, dan AUP yang telah ditandatangani harus disimpan selama masa kerja.

 

Kebijakan BYOD

Banyak organisasi kini juga harus mendukung Bring Your Own Device (BYOD). Hal ini memungkinkan karyawan untuk menggunakan perangkat seluler mereka sendiri untuk mengakses sistem, perangkat lunak, jaringan, atau informasi perusahaan. BYOD memberikan beberapa manfaat utama bagi perusahaan, termasuk peningkatan produktivitas, pengurangan biaya TI dan operasional, mobilitas yang lebih baik bagi karyawan, dan daya tarik yang lebih besar dalam hal perekrutan dan mempertahankan karyawan.

Namun, manfaat ini juga membawa risiko keamanan informasi yang lebih besar karena BYOD dapat menyebabkan pelanggaran data dan tanggung jawab yang lebih besar bagi organisasi.

Kebijakan keamanan BYOD harus dikembangkan untuk mencapai hal-hal berikut:

• Menentukan tujuan program BYOD.
• Mengidentifikasi karyawan mana yang dapat membawa perangkat mereka sendiri.
• Mengidentifikasi perangkat mana yang akan didukung.
• Mengidentifikasi tingkat akses yang diberikan kepada karyawan saat menggunakan perangkat pribadi.
• Menguraikan hak untuk mengakses dan aktivitas yang diizinkan bagi personel keamanan pada perangkat.
• Mengidentifikasi peraturan mana yang harus dipatuhi saat menggunakan perangkat karyawan.
• Mengidentifikasi perlindungan yang harus diterapkan jika perangkat disusupi.

Akses yang dilindungi kata sandi : Gunakan kata sandi yang unik untuk setiap perangkat dan akun.

Kontrol konektivitas nirkabel secara manual : Matikan konektivitas Wi-Fi dan Bluetooth saat tidak digunakan. Hubungkan hanya ke jaringan tepercaya.

Terus perbarui : Selalu perbarui OS perangkat dan perangkat lunak lainnya. Perangkat lunak yang diperbarui sering kali berisi patch keamanan untuk menangkal ancaman atau eksploitasi terbaru.

Cadangkan data : Aktifkan pencadangan perangkat jika hilang atau dicuri.

Aktifkan "Temukan Perangkat Saya" : Berlangganan layanan pencari lokasi perangkat dengan fitur penghapusan jarak jauh. 

Menyediakan perangkat lunak antivirus : Menyediakan perangkat lunak antivirus untuk perangkat BYOD yang disetujui.

Gunakan perangkat lunak Manajemen Perangkat Seluler (MDM) : Perangkat lunak MDM memungkinkan tim TI untuk menerapkan pengaturan keamanan dan konfigurasi perangkat lunak pada semua perangkat yang terhubung ke jaringan perusahaan.

Kepatuhan terhadap Peraturan dan Standar

Ada pula peraturan eksternal terkait keamanan jaringan. Profesional keamanan jaringan harus memahami hukum dan kode etik yang mengikat para profesional Keamanan Sistem Informasi (INFOSEC).

Banyak organisasi yang diberi mandat untuk mengembangkan dan menerapkan kebijakan keamanan. Peraturan kepatuhan menentukan apa saja yang menjadi tanggung jawab organisasi untuk menyediakan dan kewajiban jika mereka gagal mematuhinya. Peraturan kepatuhan yang wajib dipatuhi oleh suatu organisasi bergantung pada jenis organisasi dan data yang ditangani oleh organisasi tersebut.