Fauzan Task - CIA (Confidentiality, Integrity, Availability)
Apa itu CIA Triad?
CIA Triad dalah suatu model yang dirancang dengan tujuan memandu kebijakan yang terkait keamanan informasi pada suatu organisasi. CIA itu sendiri terdiri dari 3 aspek yaitu Confidentiality, Integrity dan Availability. Unsur-unsur itulah yang dianggap sebagai tiga komponen Cyber Security yang paling penting di seluruh platform, terutama pada Web App.
- Confidentiality
Sederhananya, confidentiality ini bisa berarti sama dengan privasi. Ini juga merupakan serangkaian langkah-langkah yang perlu dilakukan untuk mencegah tereksposnya informasi sensitif dari jangkauan tangan orang-orang yang tidak berwenang. Tak hanya itu, juga harus dipastikan bahwa orang yang tepat sudah benar-benar mendapatkannya data yang dibutuhkan.
Akses di sini memang harus dibatasi agar hanya ditujukan bagi mereka yang berwenang dalam melihat data yang dipermasalahkan. Data biasanya juga dapat dikategorikan menurut jumlah dan jenis kerusakan yang bisa kejadian jika jatuh ke tangan yang tidak diinginkan. Nah, dampaknya akan terlihat dari lebih banyak atau lebih sedikit langkah yang perlu dilakukan sebagai implementasi dari kategori tersebut.
Menjaga kerahasiaan data ini juga bisa dilakukan dengan mengadakan pelatihan khusus bagi mereka yang mengetahui adanya dokumen tersebut. Pelatihan semacam itu biasanya akan mencakup edukasi terkait risiko keamanan yang bisa mengancam informasi/data penting yang ada. Aspek lebih lanjut dari pelatihan ini bisa mencakup pelajaran membuat kata sandi yang kuat dan praktik-praktik keamanan sejenis yang lainnya.
Adapun aplikasi yang bagus dari metode ini adalah yang biasa digunakan untuk memastikan kerahasiaan nomor rekening atau nomor perutean pada saat melakukan transaksi online. Hal itu biasa dilakukan dengan mengenkripsi data. Ini merupakan metode umum untuk memastikan kerahasiaan info yang ada.
Selain itu, memasukkan ID pengguna dan kata sandi juga menjadi bentuk prosedur standar dari metode Confidentiality. Tak hanya itu, ada juga otentikasi dua faktor. Pilihan lainnya sebenarnya banyak, termasuk biometric verification.
- Integrity
Integriy ini berarti menjaga konsistensi, akurasi, dan kepercayaan terhadap data untuk setiap waktu hingga seterusnya. Data tidak boleh diubah pada saat transit. Kemudian juga langkah-langkah tertentu perlu dilakukan untuk memastikan bahwa data tidak bisa diubah-ubah oleh orang yang tidak punya kepentingan sejalan (misalnya, para peretas yang ingin melakukan manipulasi data dsb).
Langkah-langkah tersebut juga termasuk izin dalam mengakses file dan batasan kontrol bagi akses pengguna. Kontrol ini bisa dipakai untuk mencegah perubahan yang keliru atau penghapusan tidak disengaja dari pengguna resmi yang bisa juga menjadi masalah. Jadi, intinya backup/redundant harus tersedia untuk memulihkan data yang sudah kena masalah agar bisa kembali ke keadaan yang semula.
- Availability
Availability adalah bisa diterapkan dengan sangat baik bila developer telah memastikan adanya pemeliharaan semua hardware secara ketat. Developer/pengembang juga perlu melakukan perbaikan hardware sesegera mungkin ketika diperlukan. Tak hanya itu, pengembang wajib memelihara lingkungan sistem operasi supaya bisa berfungsi dengan baik dan bebas dari konflik software-nya.
Penting juga bagi pengembang untuk tetap mengikuti semua peningkatan sistem/pembaharuan yang diperlukan dari waktu ke waktu. Ada lagi tugas lainnya, yaitu menyediakan bandwidth komunikasi yang memadai dan mencegah adanya bottleneck. Hal ini bisa mengurangi konsekuensi serius ketika masalah hardware benar-benar terjadi.
Untuk mencegah kehilangan data dari bencana, salinan backup bisa disimpan di lokasi yang secara geografis terisolasi, bahkan mungkin di tahan api atau tahan air. Peralatan keamanan ekstra atau perangkat lunak seperti firewall dan server proxy juga bisa diadakan untuk melindungi data dari time-offi dan serangan DDoS maupun gangguan jaringan yang lainny
Jadi intinya, Confidentiality dalam konteks ini merupakan seperangkat aturan yang membatasi akses ke informasi. Integrity itu adalah jaminan bahwa informasinya bisa dipercaya dan akurat. Terakhir, Availability adalah jaminan akses yang bisa diandalkan agar dapat mengolah informasi dari orang yang memiliki kewenangan.
Penerapan
Bergantung pada tujuan keamanan organisasi, industri, sifat bisnis, dan persyaratan peraturan yang berlaku, salah satu dari tiga prinsip ini mungkin lebih diutamakan daripada yang lain. Misalnya, kerahasiaan sangat penting dalam badan pemerintah tertentu (seperti badan intelijen); integritas menjadi prioritas di sektor keuangan di mana perbedaan antara $ 1,00 dan $ 1.000.000,00 dapat menjadi bencana besar; dan ketersediaan sangat penting baik di sektor e-commerce (di mana waktu henti dapat merugikan perusahaan jutaan dolar), dan sektor perawatan kesehatan (di mana nyawa manusia bisa hilang jika sistem kritis tidak tersedia).
Kesimpulan
Konsep kunci untuk memahami tentang triad CIA adalah bahwa memprioritaskan satu atau lebih prinsip dapat berarti mengorbankan prinsip lainnya. Misalnya, sistem yang membutuhkan kerahasiaan dan integritas tinggi dapat mengorbankan kinerja secepat kilat yang mungkin dihargai lebih tinggi oleh sistem lain (seperti e-commerce). Pertukaran ini tidak selalu merupakan hal yang buruk; itu adalah pilihan sadar. Setiap organisasi harus memutuskan bagaimana menerapkan prinsip-prinsip ini mengingat persyaratan unik mereka, diimbangi dengan keinginan mereka untuk memberikan pengalaman pengguna yang mulus dan aman.
Akses di sini memang harus dibatasi agar hanya ditujukan bagi mereka yang berwenang dalam melihat data yang dipermasalahkan. Data biasanya juga dapat dikategorikan menurut jumlah dan jenis kerusakan yang bisa kejadian jika jatuh ke tangan yang tidak diinginkan. Nah, dampaknya akan terlihat dari lebih banyak atau lebih sedikit langkah yang perlu dilakukan sebagai implementasi dari kategori tersebut.
Menjaga kerahasiaan data ini juga bisa dilakukan dengan mengadakan pelatihan khusus bagi mereka yang mengetahui adanya dokumen tersebut. Pelatihan semacam itu biasanya akan mencakup edukasi terkait risiko keamanan yang bisa mengancam informasi/data penting yang ada. Aspek lebih lanjut dari pelatihan ini bisa mencakup pelajaran membuat kata sandi yang kuat dan praktik-praktik keamanan sejenis yang lainnya.
Adapun aplikasi yang bagus dari metode ini adalah yang biasa digunakan untuk memastikan kerahasiaan nomor rekening atau nomor perutean pada saat melakukan transaksi online. Hal itu biasa dilakukan dengan mengenkripsi data. Ini merupakan metode umum untuk memastikan kerahasiaan info yang ada.
Selain itu, memasukkan ID pengguna dan kata sandi juga menjadi bentuk prosedur standar dari metode Confidentiality. Tak hanya itu, ada juga otentikasi dua faktor. Pilihan lainnya sebenarnya banyak, termasuk biometric verification.
- Integrity
Integriy ini berarti menjaga konsistensi, akurasi, dan kepercayaan terhadap data untuk setiap waktu hingga seterusnya. Data tidak boleh diubah pada saat transit. Kemudian juga langkah-langkah tertentu perlu dilakukan untuk memastikan bahwa data tidak bisa diubah-ubah oleh orang yang tidak punya kepentingan sejalan (misalnya, para peretas yang ingin melakukan manipulasi data dsb).
Langkah-langkah tersebut juga termasuk izin dalam mengakses file dan batasan kontrol bagi akses pengguna. Kontrol ini bisa dipakai untuk mencegah perubahan yang keliru atau penghapusan tidak disengaja dari pengguna resmi yang bisa juga menjadi masalah. Jadi, intinya backup/redundant harus tersedia untuk memulihkan data yang sudah kena masalah agar bisa kembali ke keadaan yang semula.
- Availability
Availability adalah bisa diterapkan dengan sangat baik bila developer telah memastikan adanya pemeliharaan semua hardware secara ketat. Developer/pengembang juga perlu melakukan perbaikan hardware sesegera mungkin ketika diperlukan. Tak hanya itu, pengembang wajib memelihara lingkungan sistem operasi supaya bisa berfungsi dengan baik dan bebas dari konflik software-nya.
Penting juga bagi pengembang untuk tetap mengikuti semua peningkatan sistem/pembaharuan yang diperlukan dari waktu ke waktu. Ada lagi tugas lainnya, yaitu menyediakan bandwidth komunikasi yang memadai dan mencegah adanya bottleneck. Hal ini bisa mengurangi konsekuensi serius ketika masalah hardware benar-benar terjadi.
Untuk mencegah kehilangan data dari bencana, salinan backup bisa disimpan di lokasi yang secara geografis terisolasi, bahkan mungkin di tahan api atau tahan air. Peralatan keamanan ekstra atau perangkat lunak seperti firewall dan server proxy juga bisa diadakan untuk melindungi data dari time-offi dan serangan DDoS maupun gangguan jaringan yang lainny
Jadi intinya, Confidentiality dalam konteks ini merupakan seperangkat aturan yang membatasi akses ke informasi. Integrity itu adalah jaminan bahwa informasinya bisa dipercaya dan akurat. Terakhir, Availability adalah jaminan akses yang bisa diandalkan agar dapat mengolah informasi dari orang yang memiliki kewenangan.
Penerapan
Bergantung pada tujuan keamanan organisasi, industri, sifat bisnis, dan persyaratan peraturan yang berlaku, salah satu dari tiga prinsip ini mungkin lebih diutamakan daripada yang lain. Misalnya, kerahasiaan sangat penting dalam badan pemerintah tertentu (seperti badan intelijen); integritas menjadi prioritas di sektor keuangan di mana perbedaan antara $ 1,00 dan $ 1.000.000,00 dapat menjadi bencana besar; dan ketersediaan sangat penting baik di sektor e-commerce (di mana waktu henti dapat merugikan perusahaan jutaan dolar), dan sektor perawatan kesehatan (di mana nyawa manusia bisa hilang jika sistem kritis tidak tersedia).
Kesimpulan
Konsep kunci untuk memahami tentang triad CIA adalah bahwa memprioritaskan satu atau lebih prinsip dapat berarti mengorbankan prinsip lainnya. Misalnya, sistem yang membutuhkan kerahasiaan dan integritas tinggi dapat mengorbankan kinerja secepat kilat yang mungkin dihargai lebih tinggi oleh sistem lain (seperti e-commerce). Pertukaran ini tidak selalu merupakan hal yang buruk; itu adalah pilihan sadar. Setiap organisasi harus memutuskan bagaimana menerapkan prinsip-prinsip ini mengingat persyaratan unik mereka, diimbangi dengan keinginan mereka untuk memberikan pengalaman pengguna yang mulus dan aman.
Komentar
Posting Komentar