“Pencegahan Dalam Pengendalian Administratif”
Pencegahan yang dimaksud disini adalah teknik yang sangat personal untuk melatih kebiasaan orang-orang untuk menjaga kerahasiaan, integritas dan ketersediaan data dan program. Yang termasuk dalam pencegahan ini adalah :
- Kesadaran Keamanan Informasi Dan Pelatihan Teknis
Pelatihan untuk menanamkan kesadaran keamanan informasi adalah suatu langkah pencegahan dengan membuat user mengerti keuntungan menerapkan keamanan informasi tersebut. Sehingga diharapkan user dapat menciptakan iklim yang mendukung.
Pelatihan teknis kepada user dapat menolong untuk mencegah terjadinya masalah-masalah keamanan yang biasanya terjadi akibat kesalahan dan kelalaian user, misalnya back-up dan virus; serta memberikan pemahaman/pelatihan mengenai keadaan darurat, agar user dapat mengambil tindakan tepat saat terjadi bencana.
- Pemisahan Atau Pembagian Tugas
Yang dimaksud adalah user yang berbeda mendapatkan bertanggung jawab yang berbeda atas tugas-tugas yang berbeda yang merupakan bagian dari keseluruhan proses. Hal ini dilakukan untuk menghindari seorang user menguasai seluruh proses yang membuka peluang bagi kolusi dan manipulasi.
- Prosedur Rekruitmen Dan Pemberhentian Karyawan TI
Prosedur rekruitmen yang tepat akan mencegah organisasi mempekerjakan orang yang berpotensi merusak sistem. Prosedur pemberhentian karyawan TI perlu dibuat dengan cermat agar aset/sumber daya organisasi tidak ikut terbawa keluar, dengan cara menarik seluruh kewenangan atas akses sistem informasi yang dimiliki, misalnya menghapus password log-on ID atau mengganti semua kunci aksesnya.
- Prosedur Dan Kebijakan Keamanan
Merupakan kunci pembentukan program keamanan informasi yang efektif. Kebijakan dan prosedur ini mencakup penggunaan sumber daya komputer, penentuan informasi sensitif, pemindahan sumber daya komputer, pengendalian alat-alat komputer dan media, pembuangan data sensitif yang sudah tidak berguna dan pelaporan keamanan terhadap data dan komputer. Kebijakan dan prosedur ini harus merupakan refleksi dari kebijakan umum organisasi dalam upaya melindungi informasi dan sumber daya komputer.
- Pengawasan
Harus sejalan dengan kebijakan dan prosedur yang telah ditetapkan oleh organisasi, terutama pada sumber daya organisasi yang sensitif dan rentan terhadap penyalahgunaan wewenang.
- Perencanaan Keadaan Darurat Dan Pemulihan Dari Bencana
Adalah sebuah dokumen yang berisi prosedur untuk menghadapi keadaan darurat, back-up operasional, dan pemulihan instalasi komputer baik sebagian atau seluruhnya yang rusak akibat bencana. Yang paling penting dalam perencanaan ini adalah membuat instalasi komputer bekerja normal kembali dalam waktu yang sesingkat-singkatnya.
- Registrasi
User perlu melakukan registrasi untuk mendapatkan akses komputer dalam organisasi dan user harus bertanggung jawab atas semua sember daya komputer yang digunakannya.
- Pendeteksian Dalam Pengendalian Administratif”
Pendeteksian ini digunakan untuk menentukan seberapa baik prosedur dan kebijakan keamanan dilakukan. Yang termasuk dalam pendeteksian ini adalah :
- Evaluasi Dan Audit Keamanan
Adalah untuk membantu manajemen agar dapat dengan cepat mengambil tindakan jika terdapat hal-hal yang melenceng dari garis kebijakan dan prosedur yang telah ditetapkan. Evaluasi dan audit ini sebaiknya dilakukan secara periodik.
- Rotasi Tugas Dan Cuti Karyawan TI
Adalah untuk mencegah terjadinya hal-hal yang merugikan sistem seperti membuat kesalahan atau merusak sistem akibat kejenuhan.
- Penyelidikan
Digunakan untuk mencari potensi resiko atas kinerja sistem dan juga digunakan untuk menyeleksi karyawan TI agar dapat ditempatkan pada posisi yang tepat. Hasil penyelidikan dapat digunakan juga untuk memberikan security clearance atas karyawan dan aset organisasi.
“Prosedur Kontrol Administratif”
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas. Kontrol ini mencakup hal-hal berikut:
- Mempublikasikan kebijakan control yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
- Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
- Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan pelatihan yang diperlukan.
- Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
- Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
