Cara melindungi dari ancaman eksternal dan lingkungan menurut ISO 27001 A.11.1.4 Keamanan fisik memainkan peran penting dalam perlindungan informasi, karena bahkan kontrol teknis dan administratif yang dirancang, diimplementasikan, dan dipelihara dengan baik, baik yang terkait dengan TI atau dari beberapa area lain, tidak banyak membantu jika suatu peristiwa secara fisik memengaruhi lingkungan atau aset tempat kontrol tersebut bekerja. Misalnya, prosedur dan perangkat lunak canggih untuk pencadangan tersebut tidak banyak membantu jika seseorang, atau sesuatu, merusak media atau perangkat keras tempat operasi dilakukan, atau jika Anda tidak dapat mencapai lokasi media cadangan untuk mengambilnya. Dan, untuk membuat segalanya sedikit lebih rumit, ada peristiwa fisik dengan kemungkinan kecil untuk terjadi, tetapi itu dapat menyebabkan banyak kerusakan, dan yang Anda miliki sedikit atau...

Read More ›

Cara menerapkan perlindungan fisik peralatan sesuai dengan ISO 27001 A.11.2 Sebagian besar perusahaan saat ini memiliki metode dan kontrol perlindungan peralatan fisik untuk melindungi diri dari perangkat lunak berbahaya (virus, trojan, dll.), Untuk mencegah karyawan mengakses situs berbahaya (memfilter alamat melalui server proxy), atau untuk mengenkripsi informasi saat dikirim/diterima melalui email. Namun, saya sering menemukan perusahaan yang mengabaikan perlindungan fisik peralatan, mungkin karena banyak perusahaan berpikir bahwa masalah keamanan ditangani jika mereka membeli anti-virus, proxy, atau solusi perangkat lunak bagus lainnya. Mengenai perlindungan fisik peralatan,  saya suka membedakan antara dua jenis tindakan: tindakan yang secara langsung mempengaruhi peralatan (misalnya: pemeliharaan peralatan, penggunaan kembali peralatan, dll.), Dan yang secara tidak langsung mempengaruhi peralatan (seperti utilitas pendukung, keamanan kabel, dll.). Omong-omong, artikel...

Read More ›

Keamanan fisik dalam ISO 27001: Cara melindungi area aman Informasi dan aset TI Anda tidak terletak di antah berantah. Mereka membutuhkan atap, dinding, pintu, dan kondisi operasi yang memadai. Sama seperti manusia. Perangkat lunak memiliki pintu belakang (tidak selalu dieksploitasi untuk tindakan jahat) seperti halnya bangunan mana pun. Banyak fitur keamanan TI dibangun di atas prinsip dan solusi keamanan fisik "lama". Adapun TI, tanpa kontrol keamanan fisik yang tepat, aset informasi kami berisiko. Apa itu area aman? Area aman adalah situs tempat Anda menangani informasi sensitif atau melindungi peralatan dan personel TI yang berharga untuk mencapai tujuan bisnis. Dalam konteks keamanan fisik, istilah "situs" berarti bangunan, kamar, atau kantor yang menampung semua layanan dan fasilitas (listrik, pemanas, AC). Peran utama...

Read More ›

Cara Menggunakan Kriptografi Sesuai dengan Kontrol ISO 27001 A.8.24 Saat ini, informasi bergerak terus-menerus dari satu bagian dunia ke bagian lain melalui email, transaksi online, USB flash drive, dan hard drive eksternal. Di luar fasilitas organisasi, informasinya ada di banyak tempat, seperti server ISP, router, sakelar, pemasok eksternal, gendongan, dan lainnya, sebelum tiba di tujuan akhirnya. Pernahkah Anda berpikir bahwa informasi ini dapat diakses oleh orang-orang di luar organisasi Anda? Berhati-hatilah jika Anda ingin dilindungi dari akses yang tidak sah, Anda perlu mengenkripsi informasinya! Untuk memperjelas siapa yang harus melakukan apa, dan bagaimana, kebijakan kontrol kriptografi dapat banyak membantu Anda. Jadi, untuk menjaga "setir di tangan Anda," kebijakan kriptografi mempertimbangkan beberapa poin. Izinkan saya menunjukkan kepada Anda apa yang harus...

Read More ›

Manajemen Aset Sesuai dengan ISO 27001: Cara Menangani Register Aset / Inventaris Aset Sayangnya, jika Anda sudah mengembangkan register aset tetap, itu tidak akan cukup untuk mematuhi ISO 27001, Konsep inventaris aset (kadang-kadang disebut register aset) dalam keamanan informasi sangat berbeda dari konsep register aset tetap dalam akuntansi. Berikut adalah manajemen aset ISO 27001 yang segera dijelaskan. Manajemen aset ISO 27001 didefinisikan dalam standar melalui tiga kontrol ini: A.5.9 – Inventarisasi informasi dan aset terkait lainnya A.5.10 – Penggunaan informasi dan aset terkait lainnya yang dapat diterima A.5.11 – Pengembalian aset Apa itu aset menurut ISO 27001? Pertama, mari kita perjelas apa arti aset dalam konteks ISO 27001 – anehnya, baik revisi ISO/IEC 27001 tahun 2022, maupun revisi ISO/IEC 27000...

Read More ›

Bagaimana Autentikasi Dua Faktor Memungkinkan Kepatuhan Terhadap Kontrol Akses ISO 27001 Kontrol akses adalah salah satu landasan keamanan. Jika Anda tidak dapat mengontrol siapa yang mengakses apa, Anda tidak dapat memastikan keamanan sama sekali. Karena itu, kontrol akses tetap menjadi fokus utama tim keamanan dan pelaku kesalahan. Saat ini, penggunaan kata sandi, token, atau biometrik yang sederhana tidak cukup untuk mencegah akses yang tidak sah. Kompleksitas serangan dan nilai aset membutuhkan lebih banyak, sehingga organisasi beralih ke otentikasi multi-faktor, terutama otentikasi dua faktor. Namun, meskipun ini mewakili peningkatan keamanan yang jelas, bagaimana hal itu cocok dengan kerangka kerja keamanan yang sudah ada? Artikel ini akan menyajikan kontrol mana dari ISO 27001 yang dapat memperoleh manfaat dari adopsi kontrol akses autentikasi...

Read More ›

Pemilik Risiko VS. Pemilik Aset dalam ISO 27001:2013 Revisi ISO 27001 tahun 2013 memperkenalkan konsep baru: pemilik risiko. Karena konsep ini membawa cukup banyak kebingungan dengan praktisi keamanan informasi, berikut penjelasan tentang apa itu pemilik risiko, dan apakah konsep pemilik aset dari revisi ISO 27001 yang lama tahun 2005 masih berlaku. Pemilik Aset VS. Pemilik Risiko Pemilik aset dalam ISO 27001 bertanggung jawab atas pengelolaan aset sehari-hari, seperti data elektronik dan salinan cetak, serta perangkat keras, perangkat lunak, layanan, orang, dan fasilitas. Pemilik risiko bertanggung jawab untuk mengelola ancaman dan kerentanan yang mungkin dieksploitasi. Apa pemilik aset, menurut ISO 27001? Pemilik aset dalam ISO 27001 bertanggung jawab atas pengelolaan aset sehari-hari, seperti data elektronik dan salinan cetak, serta perangkat keras,...

Read More ›

Cara menangani kontrol akses menurut ISO 27001 Kontrol akses biasanya dianggap sebagai aktivitas teknis yang berkaitan dengan pembukaan akun, pengaturan kata sandi, dan hal-hal serupa – dan memang benar: kontrol akses memang mencakup semua hal ini, tetapi kontrol akses tidak dimulai sebagai hal teknis. Ini dimulai sebagai keputusan bisnis. Mari kita lihat apa yang diperlukan ISO 27001: ini mendefinisikan kontrol akses di bagian A.9 dari Lampiran A, total 14 kontrol (ditempatkan dalam 4 subbagian) – lebih dari 12% dari semua kontrol dalam standar ini – yang berarti topik ini jelas sangat penting. Mari kita lihat seperti apa kontrol ini. Persyaratan bisnis untuk kontrol akses (subbagian A.9.1) Subbagian ini mengharuskan Anda untuk menyiapkan Kebijakan Kontrol Akses, dan untuk menentukan pengguna mana...

Read More ›

Cara mengelola keamanan dalam manajemen proyek sesuai dengan ISO 27001 A.6.1.5 Keamanan dalam manajemen proyek adalah bagian penting dari ISO 27001 – banyak orang bertanya-tanya bagaimana cara mengaturnya, dan apakah proyek mereka harus dicakup dengan kontrol ini sama sekali. Baca artikel ini untuk menemukan jawabannya... Kemungkinan Anda pernah mendengar bahwa "keamanan informasi tidak harus dilihat sebagai produk; itu harus dilihat sebagai sebuah proses." Ini menyiratkan, antara lain, bahwa keamanan informasi hadir dalam setiap pembentukan organisasi, menjadi pilar yang sama, dan berfungsi sebagai dukungan silang untuk seluruh organisasi. Apa yang kita butuhkan untuk membangun keamanan informasi dalam manajemen proyek? Sertakan tujuan keamanan informasi dalam tujuan proyek. Lakukan penilaian risiko pada tahap awal proyek. Lakukan perawatan risiko yang diidentifikasi. Jadikan kebijakan keamanan...

Read More ›