Diskusi ICT 23
Sekian, terima kasih.
Ameen, Mengkarak.
Terima kasih kembali. Pihak berkenaan juga telah mengakui masalah tersebut dan meminta maaf secara terbuka kepada pelanggan-pelanggan mereka. Ini adalah sikap yang perlu dicontohi dalam profesionalisme dunia teknologi maklumat. Setinggi ke tahap profesor atau memiliki ijazah sarjana doktor falsafah sekali pun, perlu ada beberapa kesilapan atau kelemahan yang tidak dijangka dan disedari. Sekiranya berlaku, akuilah kesilapan itu dengan rendah diri dan azam yang kuat untuk menyelesaikannya.
Bagi perlindungan data atau keselamatan teknologi maklumat, ia perlu dilaksanakan secara proaktif iaitu perlu ada perancangan dalam melaksanakan kaedah-kaedah pencegahan keselamatan teknologi maklumat ini. Satu masalah dalam perkara ini adalah ia memerlukan modal yang tinggi dan tenaga kerja yang mahir. Di mana, hasilnya jua agak sukar untuk dijangkakan atau ditunjukkan kepada pihak pengurusan melainkan sehinggalah berlakunya pencerobohan data atau maklumat tersebut.
Di sini, pihak teknologi maklumat perlu bijaksana dalam membentang perancangan tersebut berserta dengan angka-angka pulangan pelaburan kepada syarikat. Ini kerana kos untuk mengembalikan data atau maklumat yang telah hilang atau rosak adalah sangat tinggi berbanding dengan kos pelaburan untuk pencegahan pencerobohan keselamatan teknologi maklumat. Ia perlu dianalisa dan dibuat perbandingan dengan lebih teliti.
Secara umumnya, saya nyatakan di sini perlu ada tiga perkara paling asas dalam perlaksanaan pencegahan pencerobohan keselamatan teknologi maklumat ini iaitu 3P yang merangkumi faktor-faktor perimeter keselamatan, pendidikan dan polisi.
Faktor perimeter keselamatan merupakan alat-alat dan teknik-teknik keselamatan yang perlu ada dalam sistem keselamatan teknologi maklumat seperti penggunaan Firewall, Intrusion Detection System, Intrusion Prevention System, perisian anti virus, teknik DMZ (Demilitirized Zone) dan sebagainya. Di sebalik itu, tenaga kerja yang pakar dan terlatih diperlukan untuk mengurus dan mengendalikan dengan baik perimeter-perimeter keselamatan teknologi maklumat ini. Satu sistem keselamatan teknologi maklumat yang menyeluruh perlu dilaksanakan ke atas kesemua infrastruktur dan kemudahan teknologi maklumat yang ada dalam sesebuah syarikat atau organisasi.
Kemudian, faktor pendidikan iaitu kesemua para pekerja dan pelanggan yang terlibat dengan penggunaan komputer dan sistem maklumat bagi sesebuah syarikat, perlu dididik dengan betul untuk menggunakannya dengan bijaksana dan selamat. Ini penting kerana dengan sistem perimeter keselamatan yang canggih belum tentu ia terjamin dapat melindungi keselamatan sesebuah maklumat atau data. Sebagai contoh, apabila berlaku pencerobohan sesuatu akaun bank pengguna di internet, pihak bank menyatakan mereka mempunyai sistem keselamatan yang kukuh dan menyalahkan pihak pengguna yang tidak mengendalikan dengan betul penggunaan akaun bank mereka.
Walhal, pengguna akaun bank tersebut tidak dididik dengan betul dan bijaksana oleh pihak bank terbabit. Mereka hanya mempromosi dengan gigih berkenaan dengan perbankan internet kepada pengguna tetapi tidak bagaimana menggunakan perbankan internet secara bijaksana dan selamat.
Pengguna dan pelanggan yang tidak dapat menggunakan infrastruktur teknologi maklumat dengan betul dan selamat akan menjadi sasaran kepada pihak penceroboh dengan pelbagai teknik penipuan seperti kejuruteraan sosial, phising, fraud dan sebagainya. Pihak jabatan teknologi maklumat perlu membuat banyak kempen kesedaran dengan menyediakan poster-poster panduan keselamatan siber dan sebagainya seperti apa yang dilakukan oleh pihak CyberSecurity Malaysia ketika ini untuk kempen penggunaan Internet yang selamat di kalangan rakyat di Malaysia. Pihak syarikat atau organisasi juga boleh berkerjasama dengan pihak CyberSecurity Malaysia.
Seterusnya adalah faktor polisi iaitu apa yang boleh dibuat dan apa yang tidak boleh dibuat oleh seseorang dalam mengendalikan sesuatu infrastruktur dan perkhidmatan teknologi maklumat bagi sesebuah syarikat atau organisasi. Setiap penggunaan perkhidmatan teknologi maklumat seperti komputer, Internet, sistem maklumat, rangkaian komputer dan sebagainya perlu ada polisi keselamatan tersendiri disamping polisi keselamatan teknologi maklumat yang umum. Ia merupakan faktor kawalan yang penting terhadap pengunaan kemudahan teknologi maklumat bagi sesebuah syarikat atau organisasi.
Sekiranya berlaku sesuatu yang tidak diingini, ada polisi keselamatan yang akan cuba mengimbanginya. Sebagai contoh, para pekerja tidak dibenarkan melayari laman web lucah, laman web sosial dan sebagainya pada masa bekerja. Sekiranya berlaku, ada tindakan susulan yang akan dikenakan kepada para pekerja terbabit oleh pihak syarikat seperti penggantungan kerja, denda dan sebagainya.
Kunci utama bagi perlindungan data pengguna bagi sesebuah syarikat adalah perlu diketahui berkenaan dengan di mana dan bagaimana data itu disimpan, siapa yang boleh mencapainya, bagaimana untuk melindungi data tersebut daripada dicuri, disebar dan dikongsi di kalangan penyangak teknologi maklumat dan bagaimana untuk melindungi pengguna daripada serangan penipuan menerusi e-mel palsu. Seterusnya akan dibincangkan panduan perlindungan data pengguna secara lebih spesifik dan teknikal.
Hadkan capaian kepada data penguna
Kebanyaakan data pengguna pada hari ini boleh dicapai secara terbuka menerusi talian Internet. Walau bagaimanapun, polisi keselamatan berkenaan data-data pengguna termasuk capaiannya amat jarang dikuatkuasakan di kalangan sesebuah syarikat.
Dalam sesebuah syarikat, kita selalu membuat analisa kepada pangkalan data penggguna untuk mengetahu siapa yang mencapainya dan jenis data apa yang dicapainya. Perlu diketahui bahawa tidak semua pengguna yang sah perlu mencapai kesemua jenis-jenis data yang tertentu. Dengan itu, amat perlu dihadkan capaiannya kepada beberapa orang pekerja sahaja.
Perkasakan keselamatan perisian dan rangkaian
Kebiasaannya, data-data kewangan disimpan dengan lebih selamat dan ketat. Malah, ada yang mengasingkan data-data tersebut bagi mengelakan ia dicapai daripada luar dan sebagainya. Jadi, maksud yang sama perlu dilakukan terhadap data-data pengguna yang mungkin kaedah-kaedah keselamatannya yang berbeza.
Perlaksanaan perkara ini oleh pihak syarikat boleh merujuk kepada mana-mana panduan yang disediakan oleh pihak-pihak berkuasa keselamatan siber di peringkat negara atau antarabangsa. Pihak yang boleh dirujuk di Malaysia adalah seperti CyberSecurity Malaysia. Ia juga boleh dirujuk di satu alamat URL iaitu :-
https://www.pcisecuritystandards.org/security_standards/index.php
Ia disediakan oleh sebuah badan antarabangsa iaitu sebuah lembaga bagi piawaian keselamatan data privasi individu.
Seterusnya, semua maklumat pengguna perlu dienkripkan pada peringkat pangkalan data lagi. Antara perimeter keselamatan yang boleh diaplikasikan untuk fokus kepada melindungi maklumat atau data pengguna ialah seperti teknik tokenisasi, perisian anti-phising, audit keselamatan dan lain-lain.
Minta Bantuan Perundangan
Apabila berlaku pencerobohan maklumat pengguna, saman boleh dikenakan oleh pihak pengguna kepada sesebuah syarikat. Pihak syarikat juga perlu mengeluarkan kos untuk mengembalikan semula data yang hilang atau rosak dan beberapa jenis pembayaran kepada pihak pengguna. Jadi, ia perlu meminta bantuan perundangan daripada pihak yang pakar untuk mengetahui apakah jenis perlindungan yang boleh disediakan dan apakah bentuk jaminan yang boleh diberikan sekiranya berlaku pencerobohan terhadap data pengguna.
Perbincangan dengan pihak pakar perundangan perlu dibuat untuk melindungi keselamatan bagi pihak pengguna dan organisasi yang mengendalikan sesebuah sistem maklumat. Dengan itu, perlu juga ditentukan nilai bayaran yuran perundangan dan penalti-penalti kewangan yang lain. Pihak pakar perundangan juga perlu menyediakan draf-draf dengan bahasa perundangan yang wajar bagi penyediaan laman web, dokumentasi pelanggan dan kontrak bagi pembekal.
Perkasakan keselamatan capaian data oleh pihak pembekal atau rakan kongsi
Kadang kala, ada maklumat pengguna perlu dicapai oleh pihak pembekal atau rakan kongsi. Dengan itu, pastikan mod capaiannya dilindungi dan berada dalam perimeter keselamatan yang baik. Sebagai contoh, menggunakan alamat IP untuk menentu kebolehcapaian bagi seseorang dalam konfigurasi firewall. Hanya lingkungan alamat IP yang berada dalam firewall sahaja yang boleh mencapai maklumat dan e-mel pengguna. Selain daripada itu, ia akan dihalang oleh perimeter firewall ini.
Sekiranya ada pihak ketiga yang menyimpan data pengguna bagi pihak organisasi, pastikan diketahui dengan mendalam berkenaan dengan bagaimana ia disimpan dan dilindungi sepenuhnya. Apakah perimeter-perimeter keselamatan yang digunakan oleh pihak tersebut?
Siapsiagakan para pekerja
Kesemua para pekerja perlu dilatih dan dididik untuk mengendalikan kemudahan dan infrastruktur teknologi maklumat dengan baik, beretika dan selamat. Ini memerlukan penyediaan panduan-panduan, polisi-polisi dan manual-manual yang boleh membantu para pekerja. Begitu juga dengan kempen-kempen kesedaran berkenaan dengan keselamatan teknologi maklumat.
Amalan-amalan beretika dan selamat perlu diaplikasikan oleh semua pekerja seperti penggunaan kata laluan yang kukuh, tidak sewenang-wenangnya berkongsi akaun komputer, bertanggung jawab dalam semua tindakan mencapai data pengguna dan sebagainya.
Akhir kata, tiga komponen atau elemen penting dalam keselamatan teknologi maklumat perlu diperkasakan iaitu perimeter keselamatan, pendidikan dan polisi. Begitu juga dengan pihak jabatan teknologi maklumat bagi sesebuah syarikat, ia memerlukan ramai tenaga mahir dan tenaga mahir ini akan fokus kepada perkara tertentu sahaja seperti keselamatan rangkaian komputer, keselamatan sistem maklumat dan pengkalan data, keselamatan e-mel dan internet dan sebagainya.
Bak kata pepatah melayu, sediakan payung sebelum hujan. Tindakan yang proaktif berupaya meminimakan risiko berlakunya pencerobohan keselamatan teknologi maklumat ini.
No comments:
Post a Comment
Harap menggunakan bahasa yang berbudi tinggi dan terima kasih di atas komen anda.