English

Manajemen Akses Informasi

Hal penting yang harus dilakukan adalah mengelola siapa yang mempunyai akses ke informasi yang mana yang disimpan oleh organisasi Anda. Ini berarti secara fisik mengaktifkan dan membatasi akses ke berbagai informasi, dan juga mempunyai kemampuan untuk memantau siapa yang mengakses atau telah mengakses informasi apa, dan kapan.

Hal yang sama berlaku baik jika data Anda disimpan dan / atau direplikasi di server lokal atau server jarak jauh atau di cloud.

Risiko

  • Karyawan yang mengakses, mengubah, membagi atau menghapus fail sensitif seperti daftar gaji atau catatan personel atau data rahasia perusahaan.
  • Karyawan yang mengakses aplikasi tanpa memiliki wewenang untuk menggunakannya.
  • Penipuan, pencurian identitas, sabotase, pemerasan, spionase.

Kontrol akses – wewenang

Anda harus mengontrol siapa yang dapat mengakses berbagai fail, folder dan aplikasi yang berbeda – baik secara perorangan atau grup – dengan menggunakan Active Directory jika Anda memiliki Windows Server, atau dengan metode serupa dalam sistem operasi lain. Contohnya, setiap orang dalam departemen accounts bisa mempunyai akses ke buku pembelian, tapi hanya mereka dengan privilese akses tambahan yang dapat melihat detail gaji. Pastikan hal-hal berikut diterapkan:

  • Sering tinjau siapa yang mempunyai akses ke informasi, dan ubah privilese sesuai kebutuhan.
  • Batasi jumlah dan cakupan karyawan yang mempunyai ‘hak administrator’.
  • Pertimbangkan baik-baik bagaimana hak akses harus dialokasikan. Contohnya, dalam organisasi lebih besar hal ini dapat dilakukan berdasarkan peran seseorang, bukan berdasarkan masing-masing orang.
  • Pertimbangkan untuk hanya memberi privilese kepada akun pengguna jika privilese tersebut penting untuk pekerjaan pengguna tersebut. Contohnya, pengguna backup tidak perlu menginstal perangkat lunak, tapi hanya menjalankan backup dan aplikasi terkait backup. Blokir privilese lain seperti menginstal perangkat lunak baru (dikenal sebagai ‘prinsip dengan privilese terendah’).
  • Pertimbangkan untuk menerapkan kontrol tambahan atas pengguna yang mempunyai privilese akses khusus, misalnya pemantauan yang lebih ketat.
  • Setiap karyawan harus mempunyai ID pengguna unik – login dengan nama pengguna dan autentikasi dengan kata sandi. Nama pengguna dan kata sandi ini harus diperlakukan seperti kunci kantor atau kode alarm perorangan, dan tidak dibagi atau bocor dalam cara apa pun.
  • Pada organisasi yang lebih besar, ketika catatan (record) dibuat untuk seorang karyawan baru, pastikan orang yang berbeda yang menyiapkan record karyawan, pengaturan gaji dan akses IT (dikenal sebagai ‘segregasi tugas’).
  • Pastikan semua komputer meminta login aman dan semua diatur untuk secara otomatis log out jika tidak digunakan selama lebih dari beberapa menit.
  • Kehati-hatian harus diterapkan terkait hak akses mana yang diberikan kepada karyawan ketika mereka bergabung dengan organisasi, atau jabatan / senioritas berubah.
  • Hapus privilese akses pengguna segera setelah mereka berhenti bekerja di perusahaan.

Kontrol akses – autentikasi

Setelah seorang pengguna telah mengidentifikasi dirinya sendiri (dengan memasukkan nama pengguna) maka mereka mempunyai wewenang untuk mengakses fail, folder atau aplikasi tertentu, mereka harus ditanyakan kredensialnya untuk membuktikan identitas mereka. Terdapat tiga metode dasar untuk membuktikan identitas:

  • Sesuatu yang mereka miliki seperti kartu pintar, kunci atau token elektronik – atau kunci enkripsi acak unik.
  • Sesuatu yang mereka ketahui, seperti kata sandi, PIN atau nama gadis ibu kandung.
  • Sesuatu dari diri mereka, seperti pindaian biometrik (sidik jari atau iris).

Gunakan salah satu faktor ini, biasanya kata sandi, yang memberikan suatu tingkat keyakinan atas identitas seseorang.

Penggunaan autentikasi dua atau tiga faktor lebih aman karena lebih menyulitkan peniruan.

Terkait kata sandi, penting Anda memastikan hal-hal berikut diterapkan:

  • Pastikan karyawan menggunakan kata sandi yang kuat. Buat sistem untuk hanya menerima kata sandi yang kuat dan untuk menghentikan dan mengunci setelah beberapa kali upaya masuk menggunakan kata sandi yang salah.
  • Edukasi pengguna tentang pentingnya kata sandi dan risiko social engineering.
  • Ubah kata sandi standar.
  • Dorong dilakukannya penggantian kata sandi pada interval rutin yang sudah ditentukan sebelumnya.
  • Ketika Anda membuang peralatan yang tidak digunakan lagi, pastikan kata sandi dan informasi rahasia lainnya telah dihapus dari peralatan itu.

Lihat Juga…

Jargon Buster

A Glossary of terms used in this article:

Username (nama pengguna)

Suatu nama kode yang, dengan kata sandi, membuka kunci akun pengguna.

User account (akun pengguna)

Memberikan akses individual atas fail dan program dalam komputer. Akses seringkali dikendalikan menggunakan login.

Smart card (kartu pintar)

Suatu jenis autentikasi pengguna yang mengandalkan kartu berukuran kartu kredit dengan chip yang menyatu di dalamnya.

Server

Suatu komputer yang menyajikan fail atau layanan ke komputer lain melalui jaringan atau internet.

PIN

Personal Identification Number atau Nomor Identifikasi Pribadi

Operating system (sistem operasi)

Perangkat lunak yang memungkinkan komputer atau perangkat seluler Anda beroperasi.

Identity theft (pencurian identitas)

Kejahatan berpura-pura menjadi seseorang dengan menggunakan informasi pribadi mereka – untuk mendapat keuntungan finansial.