Apa saja aspek keamanan sistem informasi?

Aspek keamanan sistem informasi: 95% pencerobohan ralat manusia

Memahami aspek keamanan sistem informasi sangat penting bagi setiap organisasi demi melindungi aset digital daripada ancaman luaran dan dalaman. Kesedaran terhadap faktor manusia mengurangkan risiko kebocoran maklumat sensitif secara signifikan. Pelajari elemen kritikal ini untuk memastikan data syarikat kekal selamat dan mengelakkan kerugian besar akibat pencerobohan siber.

Memahami Aspek Keamanan Sistem Informasi dalam Era Digital

Aspek keamanan sistem informasi melibatkan pemisahan jelas antara proses autentikasi (pengesahan identiti) dan otorisasi (had tindakan) untuk memastikan perlindungan data yang maksimum. Secara asasnya, keselamatan maklumat berputar di sekitar tiga pilar utama keselamatan maklumat yang dikenali sebagai CIA Triad: Kerahasiaan (Confidentiality), Integriti (Integrity), dan Ketersediaan (Availability).

Penggunaan mekanisme autentikasi pelbagai faktor atau MFA terbukti mengurangkan risiko pencerobohan akaun secara berkesan.^[1] Namun, ada satu kesilapan kecil yang sering dilakukan oleh pemilik perniagaan - walaupun mereka sudah memasang sistem paling mahal - yang saya akan kongsikan di bahagian kawalan ketersediaan nanti. Keselamatan bukan sekadar memasang perisian; ia adalah tentang membina budaya yang sedar akan risiko.

Tiga Pilar Utama: CIA Triad sebagai Fondasi Keselamatan

Ramai yang keliru antara keselamatan maklumat dan keselamatan siber. Keselamatan maklumat merangkumi perlindungan data dalam apa jua bentuk, manakala keselamatan siber lebih fokus kepada aset digital. Fondasi bagi kedua-duanya tetap sama, iaitu memastikan data tidak dibaca oleh orang yang salah, tidak diubah tanpa kebenaran, dan sentiasa boleh dicapai apabila diperlukan.

1. Kerahasiaan (Confidentiality)

Aspek ini memastikan bahawa maklumat hanya boleh diakses oleh individu atau sistem yang mempunyai kebenaran. Langkah utama termasuklah enkripsi data dan kawalan capaian yang ketat. Inilah sebabnya mengapa anda memerlukan kata laluan yang kuat and MFA.

Nasihat saya? Jangan sesekali menganggap data anda tidak bernilai. Penggodam tidak memilih mangsa berdasarkan saiz syarikat, tetapi berdasarkan kelemahan sistem. Dalam pengalaman saya menguruskan infrastruktur awan, pencerobohan sering bermula daripada nota kata laluan yang ditinggalkan di atas meja atau dikongsi melalui aplikasi sembang yang tidak selamat.

2. Integriti (Integrity)

Integriti bermaksud memastikan data adalah tepat, lengkap, dan tidak diusik semasa penghantaran atau penyimpanan. Bayangkan jika sistem perbankan anda tersilap menukar angka kosong dalam baki akaun anda - itulah kegagalan integriti. Mekanisme seperti hashing dan tandatangan digital digunakan untuk mengesahkan bahawa fail tidak diubah sejak ia dicipta.

Kajian - dan ini mungkin mengejutkan anda - menunjukkan bahawa ralat manusia menyumbang kepada 95% daripada pencerobohan keselamatan siber di seluruh dunia. Selalunya ia bukan penggodam genius, tetapi pekerja yang tersilap memadam data atau menukar tetapan konfigurasi pelayan secara tidak sengaja. Manusia adalah pautan terlemah. Titik.

3. Ketersediaan (Availability)

Sistem yang paling selamat di dunia tidak berguna jika ia tidak boleh digunakan. Ketersediaan memastikan data dan perkhidmatan boleh diakses apabila diperlukan oleh pengguna yang sah. Ini melibatkan penyelenggaraan perkakasan, sandaran data (backup), dan pelan pemulihan bencana yang mantap.

Ingat kesilapan kecil yang saya sebutkan tadi? Ia adalah kegagalan menguji sandaran. Ramai pemilik perniagaan membayar untuk perkhidmatan sandaran awan setiap bulan, tetapi tidak pernah cuba untuk mengembalikan data tersebut sehinggalah pelayan mereka rosak. Apabila mereka cuba melakukan pemulihan, barulah mereka sedar fail tersebut rosak atau tidak lengkap. Jangan jadi seperti mereka. Uji sandaran anda sekarang.

Aspek Tambahan: Autentikasi, Otorisasi, dan Nirsangkal

Selain daripada CIA Triad, terdapat beberapa aspek kritikal lain yang sering diabaikan oleh pengguna awam tetapi sangat penting untuk profesional IT.

Nirsangkal (Non-repudiation) memastikan seseorang tidak boleh menafikan bahawa mereka telah melakukan sesuatu tindakan dalam sistem, seperti menghantar e-mel atau meluluskan transaksi kewangan. Ini biasanya dicapai melalui log audit yang terperinci dan tandatangan digital. Tanpa nirsangkal, pertikaian undang-undang dalam dunia digital akan menjadi sangat sukar untuk diselesaikan.

Jarang sekali kita melihat sistem yang sempurna, tetapi nirsangkal memberikan kita jejak digital yang tidak boleh dipertikaikan. Ia adalah kotak hitam bagi sistem informasi anda.

Autentikasi vs Otorisasi: Apa Perbezaannya?

Autentikasi (Authentication)

- Berlaku sebelum otorisasi dalam aliran kerja sistem

- Kata laluan, biometrik (cap jari), dan kod MFA

- Mengesahkan identiti pengguna (Siapakah anda?)

Otorisasi (Authorization) (Disyorkan)

- Berlaku selepas identiti pengguna berjaya disahkan

- Peranan pengguna (Admin vs User) dan keizinan fail

- Menentukan had tindakan (Apa yang anda boleh lakukan?)

Kisah Amin: Pelajaran Mahal tentang Kata Laluan dan MFA

Amin, pemilik syarikat pemasaran digital di Kuala Lumpur, menganggap sistem syarikatnya selamat kerana dia menggunakan kata laluan yang panjang. Namun, dia tidak mengaktifkan MFA kerana menganggapnya menyusahkan proses kerja harian kakitangannya.

Suatu pagi, akaun e-mel pentadbir syarikatnya telah diceroboh melalui serangan phishing. Penggodam menggunakan akses tersebut untuk menukar butiran invois pelanggan, menyebabkan kerugian ribuan ringgit dalam masa hanya 4 jam sahaja.

Amin pada mulanya panik dan mahu menutup terus akses internet pejabat. Namun, selepas berbincang dengan rakannya yang merupakan pakar IT, dia menyedari bahawa pencerobohan itu sebenarnya boleh dihalang dengan satu langkah mudah yang diabaikannya.

Selepas kejadian itu, Amin mewajibkan MFA untuk semua akaun. Kesannya, percubaan pencerobohan menurun secara drastik dan keyakinan pelanggan terhadap keselamatan data mereka meningkat sebanyak 80 peratus dalam tempoh tiga bulan.