Dalam melakukan konfigurasi router mikrotik untuk jaringan yang kita miliki, hal yang sangat penting dan perlu diperhatikan adalah mengenai keamanan router. Sebagai Admin jaringan jangan sampai lupa untuk melakukan proteksi atau mengamankan router dari pihak pihak luar yang tidak bertanggung jawab.

Langkah – langkah yang perlu dilakukan untuk mengamankan Router Mikrotik sebagai berikut :

1. Ganti Username dan Password Router Mikrotik
Sudah bukan rahasia lagi kalau Router Mikrotik mempunyai Username dan Password bawaan pabrik yaitu Username : Admin, dan Password : (blank). Sebaiknya Username Password default tersebut kita disable, dihapus atau kita ubah, agar tidak digunakan orang lain. Untuk menghapus dan melakukan disable User Default silakan buat terlebih dahulu User yang memiliki hak akses (group) Full. Untuk melakukan management User bisa masuk ke menu System -> Users

Selain disable, kita juga bisa membuat user baru dengan hak akses Read. Dalam memberikan hak akses Read yang perlu diperhatikan adalah jangan sampai lupa nonaktifkan (un-cek) policies “reboot”. Karena Secara default Group Read masih bisa melakukan Reboot.

2. Ubah atau Matikan Service yang Tidak Diperlukan
Service di Router Mikrotik secara default sudah terbuka, jadi kita harus mengantisipasi beberapa service yang kita gunakan untuk melakukan remote ke router. Caranya kita bisa menonaktifkan service tersebut, mengubah port defaultnya atau membatasi hanya beberapa ip address saja yang boleh akses menggunakan port tersebut.

Pengaturan ini dapat dilakukan pada menu IP �> Services

3. Non-Aktifkan Neighbors Discovery
Mikrotik memiliki protocol yang dapat melakukan broadcast domain melalui layer 2 sehingga membuat perangkat Mikrotik bisa saling menemukan jika berada di jaringan layer 2 yang sama, namanya adalah Mikrotik Neighbor Discovery Protocol(MNDP). Perangkat yang support MNDP dan CDP dapat menemukan atau mengetahui informasi router lain seperti informasi identity Router, MAC-Address,dan IP-Address. Contoh paling mudah saat kita akan melakukan winbox di tab Neighbors akan terlihat beberapa informasi Router yang terkoneksi layer 2 dengan laptop kita.

Agar Router tidak memberikan informasi tersebut, sebagai admin jaringan sebaiknya lakukan disable discovery interface. Terutama Interface yang terkoneksi langsung dengan pihak umum misalnya interface wireless untuk jaringan hotspot, interface ethernet untuk jaringan PC client warnet, dan sebagainya.

Pengaturan ini dapat dilakukan pada menu IP �> Neighbors

Tiga langkah cara mengamankan Router Diatas secara detail sudah pernah dibahas pada artikel Langkah Pertama Menjaga Keamanan Router

4. Non-Aktifkan atau Ubah Fitur MAC Server
Dengan melakukan disable pada discovery interface bukan berarti Router tidak bisa di remote menggunakan MAC-Address. Jika sebelumnya sudah menyimpan atau mengetahui MAC-Address Router, masih bisa di remote menggunakan MAC-Address. Jika menginginkan Router tidak bisa diremote menggunakan MAC-Address baik melalui Winbox ataupun via telnet, matikan Fitur MAC-Server di Router. Tools -> MAC-Server 

Atau Anda hanya ingin MAC-Winbox dari interface yang  terkoneksi dengan PC Anda saja misal Ether2. Cara melakukannya buat terlebih dahulu MAC-Winbox Interface ke Arah Ether2 selanjutnya disable interface “all”

5. Aktifkan Firewall Filter Untuk Akses Service Router (DNS dan Web Proxy)
Router Mikrotik yang kita tempatkan sebagai Gateway Utama, sering mengaktifkan fitur Allow-remote-request DNS dan web proxy. Kedua fitur tersebut bisa dimanfaatkan oleh pihak luar terutama web proxy yang kadang membuat trafik international kita sering penuh padahal tidak ada user lokal yang menggunakannya.

Untuk mengatasi hal tersebut kita harus mengaktifkan filter pada Firewall agar pihak luar tidak bisa memanfaatkan DNS kita dan Web Proxy kita. 

Jangan lupa buat juga action drop untuk trafik DNS yang menggunakan protocol udp. 

6. Non-Aktifkan Btest Server
Router Mikrotik juga memiliki fitur Btest Server, yang bisa digunakan untuk melakukan test koneksi yang sudah terbentuk. Tetapi fitur ini jika tiba-tiba di manfaatkan oleh pihak luar, Router kita di paksa untuk men-generate trafik atau menerima trafik bandwith test bisa jadi bandwidth yang kita miliki habis atau tiba-tiba CPU load kita menjadi 100%. Tentu sebagai admin jaringan tidak menginginkan hal itu, lebih baik fitur ini dimatikan.

Pengaturan dapat dilakukan pada menu Tools �> BTest Server

Artikel mengenai penggunaan Bandwidth test bisa di lihat di halaman berikut Bandwidth Test Menggunakan Mikrotik

7. Ubah pin atau Non-Aktifkan Fitur LCD
Beberapa Router Mikrotik sudah dilengkapi dengan LCD yang juga bisa digunakan untuk menambahkan perintah-perintah sederhana langsung dari LCD tersebut. Jika router yang memiliki LCD tersebut di tempatkan di tempat yang terjangkau orang banyak sebaiknya lakukan pengubahan pin atau Non-Aktifkan Fitur LCD agar orang lain tidak iseng mengotak atik router kita. Penjelasan mengenai LCD di Mikrotik bisa di lihat di Artikel Pengaturan LCD Display Mikrotik

8. Lakukan Backup secara berkala serta Enkripsi dan Ambil File backupnya
Agar tidak perlu konfigurasi ulang sebaiknya kita lakukan Backup secara berkala. Apalagi setelah selesai konfigurasi lakukan backup konfigurasi, dan jangan lupa pindahkan file backup tersebut ke PC atau laptop Anda. Untuk menjaga keamanan file backup bisa Anda lakukan Enkripsi saat akan melakukan backup konfigurasi. Untuk detailnya bisa dilihat di Artikel Backup Konfigurasi Mikrotik

9. Aktifkan Bootloader Protector
Fitur Bootloader Protector digunakan untuk melakukan proteksi terhadap gangguan fisik yang bisa saja terjadi pada routerboard terutama proteksi terhadap tombol reset yang ada di router Mikrotik. Contoh implementasinya sudah pernah kami bahas artikel Protected Bootloader

10.Amankan Fisik Router
Mikrotik adalah perangkat hardware elektronik sebagaimana perangkat elektronik lainnya yang membutuhkan perawatan Fisik seperti :

• Proteksi kabel power agar jangan terlalu sering di cabut colok
• Ruang pendingin untuk menjaga suhu perangkat mikrotik
• Perlindungan terhadap lonjangan listrik menggunakan UPS, atau yang melewati POE sebaiknya gunakan Arester.

Saat ini dengan semakin banyaknya sosialisasi tentang Industri 4.0, semakin banyak perusahaan yang melakukan transformasi digital, baik transformasi terhadap bisnis saat ini maupun membuat bisnis bisnis digital yang baru. Penggunaan teknologi informasi yang masif menuntut perusahaan agar dapat beradaptasi dengan cepat, baik dalam konteks pemenuhan sumber daya manusia, kapasitas dan kapabilitas teknologi yang digunakan, serta kegiatan / proses operasional TI. Mengelola TI, khususnya untuk perusahaan skala besar, tentunya tidak mudah dan memiliki banyak tantangan, baik dari faktor eksternal (misalnya regulasi dan kompetisi bisnis digital) maupun internal (misalnya kemampuan go to market yang cepat).

Dalam konteks tata kelola TI yang baik, teknologi bukanlah satu-satunya faktor penentu efektivitas, pengukuran kinerja, dan keberhasilan pengelolaan TI. Dalam keamanan informasi, kita mengenal istilah “human is the weakest link in cybersecurity”, faktor kapabilitas sumber daya manusia dan proses-proses internal pendukung memegang peranan yang sangat penting karena pada akhirnya, penggunaan teknologi yang optimal dan pelaksanaan proses yang efektif ditentukan juga oleh kapabilitas manusia yang melaksanakannya.

Keamanan Informasi Sebagai Bagian dari Tata Kelola TI

Selayaknya tata kelola TI (IT governance) yang diturunkan dari tata kelola perusahaan (Corporate Governance), keamanan informasi merupakan salah satu bagian dari praktik tata kelola TI yang baik. Jika mengacu pada COBIT5, sebagai salah satu framework untuk tata kelola TI, berikut adalah gambaran umum dari posisi keamanan informasi.

Pada COBIT5, keamanan informasi terdapat pada dua area proses, yaitu: APO13 Manage Security (area Planning) dan DSS05 Manage Security Services (area Operations). Jika pembaca familiar dengan COBIT5, memiliki dokumen COBIT5 Enabling, dan juga perusahaan telah menerapkan tata kelola TI yang baik, maka dalam konteks pemenuhan terhadap kebutuhan tata kelola TI, setiap area proses di COBIT5 (termasuk keamanan informasi tentunya) memiliki indikator kinerja / Key Performance Indikator (KPI). Berikut adalah beberapa contoh indikator kinerja untuk proses keamanan informasi berdasarkan COBIT5.

Perlu diperhatikan bahwa COBIT5 hanya memberikan panduan dan referensi dasar dalam penentuan indikator kinerja keamanan informasi. Tentunya penggunaan indikator kinerja (khususnya untuk keamanan informasi) tiap organisasi dapat berbeda, meskipun pada industri yang sama. Perbedaan tersebut minimal dipengaruhi oleh strategi TI, operating model, dan profil risiko organisasi dimana ketiga hal ini diturukan dari strategi bisnis dan korporasi, model operasional bisnis, dan enterprise risk. Pada dasarnya, penyusunan indikator kinerja keamanan informasi juga dapat diturunkan dari indikator kinerja TI, dimana dalam pengembangannya dapat mengacu kepada IT Balanced Scorecard.

IT Balanced Scorecard

Dalam konteks organisasi/korporasi, pada umumnya kriteria pengukuran kinerja / metrics disusun dengan mengacu pada model Balanced Scorecard yang dikembangkan oleh Kaplan dan Norton. Balanced Scorecard sendiri terdiri dari empat area perspektif, yaitu finance, customer, internal business perspective, dan learning and growth. Dalam konteks IT, menurut Win Van Grembergen, terdapat IT Balanced Scorecard yang terdiri dari empat area berikut:

Pada beberapa kesempatan, penulis pernah mendapatkan pertanyaan tentang bagaimana menyelaraskan indikator kinerja / KPI keamanan informasi terhadap bisnis. Jika perusahaan menerapkan balanced scorecard sebagai basis utama dalam penyusunan KPI, maka IT balanced scorecard dapat digunakan juga sebagai acuan dasar penyusunan KPI keamanan informasi. Berikut adalah contoh KPI dasar yang dapat diturunkan dari IT balanced scorecard.

Pertanyaan Sulit tentang Nilai/Value dari Keamanan Informasi

Dalam konteks investasi, apapun itu (termasuk IT) pasti akan muncul pertanyaan utama terkait value atau benefit investasi tersebut terhadap perusahaan, khususnya terhadap revenue, profit, dan berbagai pengukuran kinerja perusahaan yang lainnya. Saat berdiskusi dengan rekan, ada yang pernah berpendapat bahwa investasi di security itu tidak ada Return on Investment (ROI)-nya. Apakah benar? Tergantung. Selama cost to protect lebih kecil dari cost of loss / breach, berarti investasi tersebut masih oke.

Sebenernya ada beberapa pertanyaan yang muncul ketika saya berdiskusi dengan orang-orang non-IT (bahkan non-IT Security).

1. Bagaimana sih cara mendapatkan dukungan dari top management untuk program keamanan informasi kita?
2. Apakah layanan keamanan informasi yang kita berikan sudah dapat memenuhi kebutuhan bisnis?
3. Bagaimana kapabilitas kita dalam menangani insiden keamanan informasi?
4. Bagaimana mekanisme investasi dan budgeting untuk keamanan informasi?
5. Kapan investasi keamanan informasi balik modal?
6. Seberapa aman sih organisasi kita?
7. Apa saja sih yang harus dilakukan untuk mengamankan organisasi kita dari serangan siber?
8. Perlu gak sih bikin strategi keamanan informasi? IT strategic plan aja gak cukup? Kan udah mencakup keamanan informasi juga (biasanya)

Saya yakin pasti akan ada banyak pertanyaan lagi. Oleh sebab itu, menyampaikan bagaimana keamanan informasi yang ideal bagi organisasi kepada (khususnya) unit bisnis non-IT tentu menjadi tantangan sendiri. Beberapa alasannya adalah.

a. “Memanusiakan” bahasa keamanan informasi. Tantangan bagi rekan-rekan yang banyak di pengelaman teknis (tidak hanya security sebenarnya), adalah bagaimana membuat bahasa teknis IT dimengerti oleh orang non IT. Sebagian besar orang IT masih berpikir semua hal teknis dapat menyelesaikan semua masalah, padahal komunikasi yang efektif juga menjadi faktor kunci dalam menyelesaikan masalah terkait IT, khususnya keamanan informasi.

b. Sulitnya mendapatkan data/informasi yang dibutuhkan. Visibility terhadap seluruh aset organisasi menjadi hal fundamental yang sangat penting. Visibility dalam hal ini tidak terbatas pada hal terkait inventori aset IT saja, namun juga akses dalam mendapatkan, mengelola, dan menghasilkan insights kepada organisasi.

c. Beda organisasi, beda cara mainnya. Perbedaan strategi bisnis dan IT serta struktur organisasi sangat memengaruhi bagaimana pengelolaan, pemantauan, dan pelaporan atas keamanan informasi.

d. Tidak ada standar yang pakem untuk information securtity reporting. Sejauh saya tahu, tidak ada standar baku dalam melakukan pelaporan atas kinerja manajemen keamanan informasi. Ada standar keamanan informasi (misalnya ISO 27000 series), ada juga framework keamanan informasi (misal NIST), namun sulit untuk menentukan best practice yang best untuk setiap organisasi. Oleh sebab itu, biasanya saya menggunakan istilah good practice.

Dashboard untuk Keamanan Informasi

Pelaporan kinerja biasanya dalam bentuk pencapaian Key Performance Indicatior (KPI) dan metrics-nya, serta ditampilkan dalam bentuk dashboard, baik itu dalam bentuk excel file maupun menggunakan tools visualisasi. Terlepas dari bentuk penyajian dashboard, biasanya traditional dashboard berfokus hanya pada data yang didaptkan tanpa memperhatikan konteks dan kebutuhan dari stakeholder yang menjadi pengguna dari dashboard tersebut.

Penyusunan metrics yang baik dapat mendukung decision making dari top management secara baik pula. Ada sebuah rumus :

Information = Data + Value + Context

Umumnya, informasi didefinisikan sebagai sekumpulan data yang memiliki arti. Menurut saya, kita perlu menambahkan value dan context yang tepat. Dalam proses decisiong making, top management tentu butuh informasi. Tapi informasi yang seperti apa? Decision making akan efektif jika mempertimbangkan informasi yang tepat, dalam bentuk yang tepat, dan waktu yang tepat juga.

Komponen-komponen yang tepat tersebut diperlukan agar proses decision making dapat mengakomodasi:

1. Kemampuan dalam merespon perubahan dimana diharapkan proses decision making harusmempertimbangkan faktor internal dan eksternal organisasi.
2. Kemampuan dalam menyelaraskan keputusan terhadap strategi, visi, dan misi organisasi.
3. Kemampuan dalam memaksimalkan efektivitas dan efisiensi dari informasi yang didapatkan.

Metrics yang Tepat dapat Menentukan Perubahan yang Lebih Baik

Organisasi tidak dapat menunggu sampai mereka mencapai tingkat kematangan (maturity) yang diinginkan untuk mulai mengukur kinerja manajemen keamanan informasi. Berdasarkan pengalaman saya dalam menyusun strategi keamanan informasi bagi klien-klien saya, selalu muncul pertanyaan terkait pentingnya maturity dalam mengukur dan meningkatkan kapabiltas manajemen keamanan informasi di organisasi tersebut.

Seberapa penting sih maturity ???

Berbicara tentang maturity, dalam konteks apapun, banyak organisasi yang terjebak dengan angka baik current level maupun future level. Memang ada peribahasa: “you cannot manage what you cannot measure”, namun berfokus pada angka saja, tanpa memperhatikan kesiapan kapabilitas organisasi saat ini juga rasanya kurang oke. Kapabilitas dalam arti kemampuan SDM, kesiapan teknologi, budget, dan faktor-faktor lain yang perlu dipertimbangkan. Angka, dalam konteks metrics, adalah suatu keniscayaan yang mau tidak mau harus ditentukan. Menurut saya, mengukur kinerja memang harus menggunakan metrics yang tepat, namun untuk pengukuran kapabilitas, organisasi jangan hanya berfokus pada angka semata.

Apa sih manfaat metrics untuk pengukuran kinerja? Metrics dapat membantu organisasi dalam:

1. Mengidentifikasi area-area improvement yang memiliki risiko tinggi
2. Mendapatkan visibilitas ke beberapa proses internal organisasi
3. Memformaliasi fungsi dan layanan keamanan informasi dengan mengukur secara kuantitatif kinerja yang diharapkan
4. Melaporkan kinerja kegiatan operasional dan kualitas layanan keamanan informasi yang diberikan
5. Meningkatkan program keamanan informasi yang berkelanjutan dan peningkatan kinerja menuju sasaran strategis yang diharapkan oleh organisasi

Siklus Pengukuran Kinerja Keamanan Informasi

Tidak ada standar khusus yang cocok untuk semua organisasi dalam melakukan proses pengukuran kinerja keamanan informasi. Namun, dari beberapa referensi yang saya baca, kurang lebihnya siklus pengukuran kinerja dapat digambarkan sebagai berikut.

Setiap proses pasti butuh input. Tentunya dalam melakukan pengukuran kinerja keamanan informasi, strategi keamanan informasi menjadi input utama. Strategi tersebut dapat mencakup beberapa aspek, misalnya dari sisi objectives/goals, proses, layanan, dan fungsi organisasi. Strategi keamanan informasi disusun dengan mempertimnbangkan faktor internal dan eksternal, mencakup regulasi, tren industri, kebutuhan bisnis, profil risiko, dan lain-lain.

Setiap proses pasti menghasilkan output. Output dalam hal ini tentu harus memiliki nilai/value bagi organisasi, khususnya dalam melakukan decision making terhadap area keamanan informasi. Setidaknya ada tiga nilai yang diharapkan, yaitu strategic aligment terhadap strategi organisasi, adaptif dalam merespon perubahan, dan memastikan kegiatan operasional dilakukan secara efektif dan efisien.

Proses pengukuran kinerja manajemen keamanan informasi setidaknya terdiri dari empat proses utama.

1. Measure. Pemantauan dan analisis data yang relevan.

Proses ini terdiri dari proses mengumpulan data, agregasi data, korelasi data, analisis data (tren, komparasi, cross-reference dengan threat landscape eksternal, lingkungan internal, dan lain-lain), serta asesmen atas pencapaian indikator/metrics kinerja.

2. Report. Menghasilkan insights yang actionable dan implementatble atas kegiatan operational, status program, dan kondisi postur keamanan informasi.

Proses ini terdiri dari proses menghasilkan data, melaporkan metrics, aktivitas follow-up terhadap hal-hal yang menjadi perhatian lebih, prioritisasi langkah perbaikan dalam konteks target/goal yang bersifat strategis dan taktikal (short term).

3. Improve. Menerapkan keputusan top management.

Melakukan langkah perbaikan, memantau proses implementasi, memperbaiki langkah perbaikan, dan mengubah atau menyesuaikan metrics sesuai kebutuhan.

4. Maintain. Mendukung relevansi dan penerapan metrics keseluruhan program keamanan informasi.

Melakukan review dan analisis atas program keamanan informasi (terhadap strategi bisnis, strategi IT, threat landscape, dan lain-lain). melakukan identifikasi langkah peningkatan kinerja, melakukan analisis tambahan yang diperlukan, mengimplementasikan langkah perbaikan (misalnya mengembangkan metrics tambahan), dan memonitor proses implementasi.

Information Security Program sebagai Acuan Penentuan Metrics

Dalam terminologi manajemen proyek, bahasa gampangnya, program merupakan sekumpulan proyek yang sejenis atau memiliki tema yang sama. Dalam konteks keamanan informasi, program dapat diartikan sebagai framework / kerangka kerja, solusi-solusi keamanan informasi, maupun sekumpulan proyek-proyek keamanan informasi yang ditentukan berdasarkan strategi keamanan informasi. Terlepas dari definisi program yang mungkin dapat berbeda, saya menekankan perlunya suatu acuan utama (bisa dibilang juga sebagai framework) untuk dapat menyelaraskan obyektif, strategi, dan tata kelola, dan manajemen keamanan informasi terhadap strategi bisnis dan strategi IT.

Saya memiliki beberapa pengalaman dalam menyusun dan melakukan asesmen terhadap strategi dan program keamanan informasi untuk beberapa jenis organisasi. Dari beberapa pengalaman yang ada, penyusunan framework menjadi hal yang sangat fundamental dan penting bagi organisasi karena framework ini menjadi acuan bagi organisasi untuk:

1. Menentukan kapabilitas yang ingin dicapai
2. Menentukan arahan atau strategi ke depan
3. Menentukan kriteria penilaian dan pengukuran kinerja
4. Memantau proses continual improvement

Gambar 4 merupakan salah satu contoh kerangka dalam pengelolaan program keamanan informasi yang saya ambil dari beberapa framework dan pengalaman pribadi. Apakah framework di atas applicable untuk semua organisasi? Tidak juga. Tentunya setiap organisasi bisa memiliki framework yang berbeda. Memang setahu saya, ada organisasi yang menggunakan standard ISO 27001/27002 sebagai framework keamanan informasi mereka. Literally benar-benar mengacu ke sana. Tapi banyak juga yang menjadikan ISO 27001/27002 hanya sebagai salah satu referensi dalam penyunan framework keamanan informasi. Pada lain kesempatan, saya akan tulis tentang penyusunan strategi dan program keamanan informasi.

Penyusunan Metrics Keamanan Informasi

Terdapat banyak cara dalam menyusun dan menentukan metrics untuk keamanan informasi. Namun, berdasarkan pengalaman pribadi, terlepas dari teori dan referensi yang ada, terdapat beberapa hal utama yang harus dijadikan landasan utama dalam menyusun metrics keamanan informasi.

1. Strategi keamanan informasi
2. Profil risiko organisasi (risiko-risiko utama yang berkaitan dengan IT dan Keamanan informasi)
3. Regulasi
4. Kerangka / framework keamanan informasi

Tidak kalah pentingnya juga bahwa dalam penyusunan metrics keamanan informasi, perlu mempertimbangkan kapabilitas organisasi dalam mengelola keamanan informasi yang mencakup aspek people (skills and ecxperience), penguasaan teknologi saat ini, dan tentunya budget.

Contoh Metrics Keamanan Informasi

Hal ini sebenarnya menjadi pertanyaan di awal ketika membahas metrics, selain alasan atas urgensinya metrics keamanan informasi bagi organisasi. Pelaporan kinerja pada umumnya berupa dashboard dengan tujuan agar mudah untuk dipahami dan dipantau khususnya oleh top management. Tentunya dashboard berisi indikator kinerja dan metrics yang harus dicapai. Untuk membuat dashboard, tentu kita perlu isinya, yang notabene metrics. Untuk menentukan metrics, tentu kita harus menentukan dimensi atau area apa saja yang menjadi cakupan. Untuk menentukan dimensi / area yang menjadi cakupan, tentunya kita perlu memahami konteks, obyektif, dan strategi dari program keamanan informasi yang telah ditentukan.

Berikut adalah contoh area yang menjadi metrics.

Kenapa strategic projects menjadi salah satu metrics yang penting? Simple, strategic projects means high budgets, proyek besar pasti duitnya besar. Cost/biaya merupakan hal vital yang harus dikelola dengan baik. Jika kita tidak bisa menjustifikasi cost untuk investasi keamanan informasi, setidaknya kita harus memantau penggunaan budget dengan baik untuk menghindari biaya yang berlebih dan juga kurangnya penyerapan anggaran. Kemudian, kenapa insiden menjadi salah satu metrics yang penting? Karena dalam kegiatan operasional IT (juga keamanan informasi), kita pasti tidak akan luput dari insiden. Insiden pasti terjadi, pertanyaannya adalah “kapan”? Pertanyaan berikutnya adalah “apakah kita siap?”. Tidak harus semua insiden dilaporkan kepada top management. Setidaknya kita harus menentukan key/top incident yang pada umumnya ditentukan dari besarnya dampak insiden tersebut.

Kesimpulan

Keamanan informasi merupakan bagian dari tata kelola IT yang tentunya harus dikelola secara benar, efektif, dan efisien. Selayaknya kegiatan operasional dan investasi IT yang harus diukur, keamanan informasi memiliki perlakuan yang sama, yaitu harus diukur secara tepat. Pengukuran kinerja yang tepat dapat dilakukan jika organisasi memahami bagaimana proses penyusunan dan penentuan indikator kinerja (dan metrics) yang tepat serta selaras dengan obyektif organisasi. Metrics untuk keamanan informasi memiliki asosiasi yang sangat kuat terhadap strategi dan framework dari manajemen keamanan informasi. Pada lain kesempatan, saya tulis tentang bagaimana pengalaman saya dalam menyusun strategi dan mengembangkan program keamanan informasi untuk klien-klien saya.

Referensi:

1. https://sloanreview.mit.edu/article/the-trouble-with-cybersecurity-management/

2. https://assets.kpmg/content/dam/kpmg/pdf/2014/05/cyber-security-not-just-technology.pdf

3. https://securityintelligence.com/break-through-cybersecurity-complexity-with-new-rules-not-more-tools/

4. https://chapters.theiia.org/milwaukee/News/ChapterDocuments/Cyber%20Security%20and%20Insider%20Risk%201.17.18.pdf

5. https://www.ey.com/Publication/vwLUAssets/EY-cyber-program-management/$FILE/EY-cyber-program-management.pdf

6. https://www.nist.gov/publications/cyber-security-metrics-and-measures

7. https://www.securityweek.com/cisos-and-quest-cybersecurity-metrics-fit-business

8. https://assets.kpmg/content/dam/kpmg/pdf/2016/06/KPMG-connecting-the-dots-a-proactive-approach-to-cyber-security-nz.pdf

9. http://filestest.smart.pr.s3-eu-west-1.amazonaws.com/60/50f560e98811e4ba43b37df128779b/Cyber-Security-Dashboard_-Monitor_-analyse-and-take-control-of-Cyber-Security.pdf

10. https://medium.com/@proferyk/mengukur-kinerja-manajemen-keamanan-informasi-34393a832909

Teknologi terus maju dan berkembang seiring dengan berjalannya waktu. Dengan berkembangnya teknologi tersebut, banyak keuntungan yang didapatkan oleh manusia. Seperti, dapat membantu mempercepat pekerjaan manusia, meningkatkan kualitas dan kuantitas layanan, mempermudah proses transaksi keuangan, dan lainnya. Tidak hanya dilihat dari segi keuntungannya saja, namun segi keamanan teknologi itu sendiri juga harus diperhatikan. Untuk mendukung hal tersebut, kita harus mengetahui beberapa cara agar Keamanan sistem IT kita terjaga, sebagai berikut ini:

1. Protect with passwords

Banyak serangan cyber yang berhasil meretas karena kata sandi (password) yang lemah. Semua akses ke jaringan maupun data, sangat sensitif dan harus dijaga dengan nama pengguna dan kata kunci yang unik. Sandi yang kuat berisi angka, huruf dan simbol. Disarankan untuk setiap pengguna menggunakan kata sandi yang unik.

2. Design safe systems

Batasi akses ke infrastruktur teknologi kita untuk mencegah mudahnya peretas dan pencuri merusak sistem kita. Hilangkan akses yang tidak perlu ke hardware maupun software kita, dan batasi hak akses pengguna hanya untuk peralatan dan program yang dibutuhkan saja. Bila memungkinkan, gunakan juga alamat email, login, server dan nama domain yang unik bagi setiap pengguna, kelompok kerja maupun departemen.

3. Conduct screening and background checks

Melakukan skrining dan pemeriksaan latar belakang pada karyawan perlu dilakukan. Sama halnya dengan meneliti kredibilitas mereka juga. Pada periode percobaan awal, akses terhadap data sensitif atau jaringan yang mencurigakan yang dilakukan oleh karyawan kita harus dilarang dan juga dibatasi, agar sistem IT kita menjadi aman.

4. Provide basic training

Pelanggaran keamanan yang tak terhitung jumlahnya kerap terjadi sebagai akibat kesalahan dan kecerobohan manusia. Kita dapat membantu dengan membangun budaya perusahaan yang menekankan pada keamanan komputer melalui program pelatihan yang memperingatkan berapa besarnya risiko pada penggunaan kata sandi, jaringan, program dan perangkat yang ceroboh.

5. Avoid unknown email attachements

Jangan pernah mengklik lampiran email yang tidak dikenal, yang kemungkinan bisa berisi virus komputer. Sebelum membukanya, hubungi pengirim untuk mengkonfirmasi isi pesan. Jika kita tidak mengenal pengirim tersebut, baiknya kita menghapus pesan, memblokir akun pengirim yang tidak dikenal, dan memperingatkan orang lain untuk melakukan hal yang sama.

6. Hang up and call back

Jika kita menerima panggilan dari orang yang tidak dikenal yang tiba-tiba ingin memberikan hadiah dan berpura-pura hadiah itu diberikan oleh perwakilan dari bank atau mitra lainnya, segera akhiri panggilan yang tidak dikenal tersebut. Kemudian hubungi kontak langsung ke organisasi tersebut, atau salah satu nomor call centernya untuk mengkonfirmasi bahwa panggilan yang kita terima tersebut sah/tidak.

7. Think before clicking

Untuk menghindari penipuan yang terjadi melalui email yang meminta informasi nama pengguna, kata sandi atau informasi pribadi, kita harus mempertimbangkannya kembali agar kita tidak terdorong ke sebuah situs web palsu yang mendorong calon korban untuk memasukkan data mereka sendiri.

8. Use a virus scanner, and keep all software up-to-date

Baik kita bekerja di rumah atau di jaringan kantor, disarankan untuk menginstal antivirus pada PC kita. Banyak penyedia jaringan sekarang menawarkan aplikasi antivirus secara gratis. Di samping itu, menjaga perangkat lunak agar terus up-to-date juga mampu mencegah virus masuk dan membuat keamanan sistem IT kita terjaga.

9. Keep sensitive data out of the cloud

Cloud computing menawarkan banyak manfaat dan penghematan biaya kepada bisnis kita. Namun layanan semacam itu juga dapat menimbulkan ancaman tambahan karena data ditempatkan di server jarak jauh yang dioperasikan oleh pihak ketiga yang mungkin memiliki masalah keamanan tersendiri.

10. Stay paranoid

Rusak atau robek semua hal termasuk dokumen dengan nama perusahaan, alamat dan informasi lainnya, termasuk logo vendor dan bank yang sedang ingin berurusan dengan kita. Jangan pernah meninggalkan laporan yang bersifat penting dan sensitif di meja kita. Ubah juga kata sandi secara teratur dan sering, terutama jika kita membaginya dengan rekan kerja. Hal ini sangat penting kita lakukan, untuk membuat keamanan sistem IT kita terjaga.

HDD (hard disk) menawarkan kapasitas dan harga murah. Performa SSD begitu cepat. SSHD memadukan semua fitur terbaik dari HDD dan SSD.

Anda kesulitan memahami perbedaan antara HDD (hard disk drive) SSD solid state drive), dan SSHD (solid state hybrid drive )? Terdapat sejumlah faktor penting yang dapat dipertimbangkan, jadi sebaiknya tentukan pilihan yang dapat memenuhi kebutuhan khusus Anda.

Berikut rincian kriteria utama untuk membantu menentukan pilihan hard disk yang tepat untuk Anda.

Bentuk dan ukuran

Tanpa komponen bergerak, SSD adalah pilihan penyimpanan tertipis yang tersedia. Sangat cocok untuk PC tipis dan ringan serta desain industri yang lebih kompleks. Untuk notebook standar, SSD tersedia dengan tinggi 7 mm. HDD tersedia dalam desain standar 7 mm dan 15 mm.

Kapasitas

Hard disk selalu menyediakan kapasitas besar. Ukuran penyimpanan hard disk secara eksponensial lebih besar daripada solid state drive, dan kapasitas saat ini untuk hard disk konsumen — saat ini mencapai hingga 12 TB — diperkirakan akan terus bertambah. Solid state hybrid drive juga menawarkan poin kapasitas maksimal dengan harga terjangkau, sementara solid state drive hanya terjangkau dengan kapasitas lebih rendah. Harga SSD berkapasitas tinggi semakin tinggi.

Kecepatan

SSD menghadirkan performa terbaik untuk menjalankan boot dan performa baca/tulis yang tinggi guna mendukung komputasi yang memerlukan kemampuan multitugas lebih baik. SSHD dapat menghadirkan performa serupa SSD saat menjalankan boot, pengaktifan, dan pemuatan. Hard disk biasanya menghadirkan performa yang memadai untuk sebagian besar platform PC yang dipasarkan dewasa ini.

Harga

Harga SSD berkapasitas rendah dapat dijangkau dalam kisaran 250GB hingga 500GB. Namun, SSD berkapasitas tinggi sangat mahal, khususnya saat diukur berdasarkan biaya per gigabyte. Hard disk menyediakan biaya terendah per gigabyte. SSHD menyediakan biaya per gigabyte yang sedikit lebih tinggi dibandingkan hard disk.

Daya tahan baterai

Solid state drive paling hemat daya. Solid state hybrid drive menempati posisi kedua dengan perbedaan tipis karena lebih sering berputar dibandingkan hard disk. Secara umum, penyimpanan tidak akan memengaruhi daya tahan baterai di komputer laptop lebih dari 10%. Daya prosesor dan layar LCD paling banyak berperan menghabiskan daya baterai.

Keandalan

Tingkat kegagalan pada teknologi SSD, HDD, dan SSHD memiliki peringkat yang sangat serupa. SSHD menggunakan bagian flash dan HDD secara lebih efisien daripada saat dipisahkan, jadi keduanya dianggap sangat andal.

Ketahanan

Ketahanan solid state drive dianggap lebih tinggi karena desainnya. Tanpa komponen bergerak, SSD tahan benturan, terjatuh, dan suhu ekstrem yang lebih tinggi.

Ringkasan

Saat meningkatkan penyimpanan laptop, memilih antara teknologi HDD, SSD, dan SSHD cukup sulit. Mungkin pertanyaan penting untuk diajukan adalah: Bagaimana cara Anda mendapatkan kapasitas maksimum yang hampir sama cepatnya dengan solid state, namun sesuai anggaran? Secara keseluruhan, solid state hybrid drive dapat memberikan kombinasi terbaik dari karakteristik performa dan pertimbangan anggaran untuk memenuhi kebutuhan Anda.