security roles and titles
-
Upload
abu-bakar-asshiddiqie -
Category
Documents
-
view
25 -
download
0
description
Transcript of security roles and titles
Tugas kelompok Dosen pembimbing
Keamanan Sistem Informasi ANGRAINI, S.Kom, M.Eng
Implementasi Program Pendidikan, Pelatihan,
Kesadaran Keamanan Informasi
Disusun Oleh :
Ketua:
Wahyu Hidayat Ibrahim
Anggota:
Heruma Wibowo
Mulyono
Ramadhana Putra
JURUSAN SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SULTAN SYARIF KASIM RIAU
2013
Implementasi Program Pendidikan, Pelatihan, Kesadaran Keamanan Informasi
Security Education Training and Awareness (SETA) adalah sebuah Pendidikan Keamanan, Pelatihan dan Kesadaran. Program dapat didefinisikan sebagai program pendidikan yang dirancang untuk mengurangi jumlah pelanggaran keamanan yang terjadi melalui kurangnya kesadaran karyawan keamanan.
Sebuah program SETA menetapkan nada keamanan untuk karyawan dari sebuah organisasi, terutama jika dibuat bagian dari orientasi karyawan. Program kesadaran menjelaskan peran karyawan dalam bidang Keamanan Informasi. Tujuan dari upaya kesadaran keamanan adalah partisipasi. Teknologi saja tidak bisa memecahkan masalah yang dikendalikan oleh individu.
Program kesadaran keamanan, pelatihan keamanan, dan pendidikan keamanan menawarkan tiga manfaat utama:
Dapat memperbaiki perilaku karyawan Dapat menginformasikan anggota organisasi tentang di mana untuk melaporkan
pelanggaran kebijakan Memungkinkan organisasi untuk memiliki karyawan yang bertanggung jawab
atas tindakan mereka
Tujuan dari SETA adalah untuk meningkatkan keamanan dalam tiga cara :
- Dengan membangun pengetahuan yang mendalam , sesuai kebutuhan, untuk merancang, melaksanakan, atau mengoperasikan program keamanan untuk organisasi dan sistem .
- Dengan mengembangkan keterampilan dan pengetahuan sehingga pengguna komputer dapat melakukan pekerjaan mereka dengan menggunakan sistem IT yang lebih aman .
- Dengan meningkatkan kesadaran akan kebutuhan untuk melindungi sumber daya sistem .
Function Description CommentsPenilaian Risiko mengidentifikasi dan
mengevaluasi risiko hadir di ITinisiatif dan / atau sistem
Mengidentifikasi sumber risiko dan dapat menawarkan nasihat tentang kontrol yang dapat mengurangi risiko
Manajemen Risiko mengimplementasikan atau mengawasi penggunaan kontrol untuk mengurangi risiko
Sering dipasangkan dengan penilaian risiko
Pengujian sistem Mengevaluasi patch yang digunakan untuk menutup kerentanan perangkat lunak dan pengujian penerimaan
Biasanya bagian dari respon insiden dan / atau fungsi-fungsi manajemen risiko
sistem baru untuk memastikan kepatuhan terhadap kebijakan dan efektivitas
Kebijaksanaan Memelihara dan mempromosikan kebijakan keamanan informasi di seluruh organisasi
Harus dikoordinasikan dengan proses kebijakan organisasi-lebar
Penilaian Legal Menjaga kesadaran yang direncanakan dan aktualhukum dan dampaknya, dan koordinat dengan penasehat hukum luar dan lembaga penegak hukum
Hampir selalu eksternal terhadap keamanan informasi dan departemen TI
Incident Response Menangani respon awal terhadap potensi Insiden, mengelola eskalasi insiden yang sebenarnya, dan mengkoordinasikan tanggapan awal terhadap insiden dan bencana
Sering lintas fungsional dan diambil dari beberapa departemen harus mencakup manajemen menengah untuk mengelola proses eskalasi
perencanaan Penelitian, menciptakan, memelihara, dan mempromosikan rencana keamanan informasi, sering menggunakan pendekatan manajemen proyek untuk perencanaan yang berbeda dengan perencanaan strategis untuk seluruh organisasi
Harus berkoordinasi dengan proses kebijakan organisasi-lebar
Pengukuran Menggunakan sistem kontrol yang ada (dan sistem pengumpulan data mungkin khusus) untuk mengukur semua aspek informasikeamanan lingkungan
Manajemen bergantung pada statistik tepat waktu dan akurat untuk membuat keputusan
Function Description CommentsPemenuhan Memverifikasi bahwa sistem
dan administrator jaringan memperbaiki kerentanan diidentifikasi segera dan benar
Menimbulkan masalah bagi layanan pelanggan yang baik karena sulit untuk berfokus pada pelanggan dan untuk menegakkan kepatuhan pada saat yang sama
sentralisasiotentikasi
Mengatur pemberian dan pencabutan jaringan dan sistem mandat untuk semuaanggota organisasi
Sering didelegasikan ke help desk atau staf dihubungannya dan colocated dengan fungsi divisi bantuan
sistem Keamananadministrasi
Mengelola konfigurasi sistem komputer, yang sering diatur ke dalam kelompok dengan sistem operasi yang mereka jalankan
Banyak organisasi mungkin awalnya ditugaskan semua fungsi keamanan untuk kelompok-kelompok inidi luar fungsi keamanan informasi; ini bisa menjadi sumber konflik ketika organisasi memperbarui informasi merekaprogram keamanan
latihan Kereta staf umum di topik keamanan informasi, staf TI khusus dalam tekniskontrol, dan staf keamanan informasi internal di daerah khusus keamanan informasi, termasuk topik-topik teknis dan manajerial
Beberapa atau semua fungsi ini dapat dilakukandalam hubungannya dengan pelatihan perusahaan tiiiledepartemen
Keamanan Jaringanadministrasi
Mengelola konfigurasi jaringan komputer, sering disusun dalam kelompok dengandaerah jaringan logis (yaitu, WAN, LAN, DMZ) ataulokasi geografis
Banyak organsizations mungkin awalnya ditugaskan beberapa fungsi keamanan untuk inikelompok di luar keamanan informasi fungsi, yang mungkin memerlukan dekat koordinasi atau penugasan
Penilaian Kerentanan Menempatkan paparan dalam aset informasi sehingga kerentanan ini dapat diperbaiki sebelum kelemahan dieksploitasi
Kadang-kadang disebut pengujian penetrasiTim atau unit hacking etis: sering diserahkan kepada konsultan "tim harimau"
Tabel 5-1 fungsi yang dibutuhkan untuk melaksanakan program keamanan
SECURITY EDUCATION
Program pelatihan keamanan informasi harus mengatasi isu-isu berikut :
- Komponen pendidikan keamanan informasi yang dibutuhkan dari semua profesional keamanan informasi
- Persyaratan pendidikan umum yang semua profesional teknologi informasi harus miliki
Kurikulum pendidikan TI perlu mempersiapkan siswa untuk bekerja dalam lingkungan yang menghargai lingkungan komputasi yang aman dan etis. seperti dicatat oleh irvin, Chin, dan frinke dalam artikel " mengintegrasikan keamanan ke dalam kurikulum "
suatu sistem pendidikan yang memupuk pengetahuan keamanan komputer yang tepat akan meningkatkan kemungkinan bahwa generasi berikutnya dari pekerja IT akan memiliki latar belakang yang diperlukan untuk merancang dan mengembangkan sistem yang direkayasa dapat diandalkan dan aman.
MENGEMBANGKAN KURIKULUM INFORMASI KEAMANAN
Lembaga merancang kurikulum formal dalam keamanan informasi harus hati-hati memetakan hasil belajar yang diharapkan dari kurikulum yang direncanakan untuk tujuan pembelajaran saja untuk membangun tubuh pengetahuan yang akan diajarkan. Peta pengetahuan ini, yang dapat membantu siswa potensial menilai program keamanan informasi, mengidentifikasi keterampilan dan pengetahuan yang diperoleh oleh kelompok lulusan program. Di tingkat sarjana, perencana program memeriksa daerah lulusan diharapkan untuk bekerja, dan kemudian menentukan keterampilan dan pengetahuan yang diperlukan.
Menciptakan peta pengetahuan bisa sulit karena banyak akademisi yang tidak menyadari berbagai subdisiplin dalam bidang keamanan informasi, yang masing-masing mungkin memiliki persyaratan pengetahuan yang berbeda. misalnya, seorang mahasiswa yang ingin fokus manajerial perlu dididik kebijakan, perencanaan, administrasi kepegawaian, dan topik yang relevan lainnya, dan dengan demikian akan ingin mengambil kursus seperti yang buku ini tulis. Sebaliknya, seorang mahasiswa yang kepentingannya lebih teknis ingin kursus di bidang hardware spesifik seperti Windows Network Security, firewall dan IDPSs, atau akses remote dan otentikasi.
Gambar 5-11 menunjukkan proses kompleks pemetaan posisi keamanan informasi untuk peran yang dimainkannya dan persyaratan pengetahuan inti yang sesuai peran tersebut.
Peran ini maka harus hati-hati dipetakan ke domain pengetahuan yang diperlukan . Misalnya, CISO mungkin perlu memiliki pemahaman kerja semua bidang pengetahuan, sementara administrator firewall mungkin perlu keahlian hanya dalam satu atau dua bidang. Kedalaman pengetahuan ditandai dengan tingkat penguasaan menggunakan taksonomi mapan tujuan pembelajaran atau skala sederhana seperti " pemahaman > prestasi > kemampuan > penguasaan. "
Setelah bidang pengetahuan diidentifikasi, bidang pengetahuan umum dikumpulkan ke dalam domain pengajaran, dari mana kursus dapat diciptakan. Program harus dirancang sedemikian rupa sehingga siswa dapat memperoleh pengetahuan dan keterampilan yang diperlukan setelah selesainya program. Misalnya, dalam sebuah program untuk administrator firewall, kelas pengantar ( untuk memberikan pemahaman ) mungkin diikuti oleh kelas keamanan teknis ( untuk memberikan keahlian ), yang mungkin diikuti oleh kelas administrasi firewall ( untuk memberikan kemahiran dan penguasaan ).
SECURITY TRAINING
Pelatihan keamanan menyediakan anggota organisasi dengan informasi rinci dan instruksi yang memungkinkan mereka untuk melakukan tugas mereka dengan aman.
Keamanan Komputer Act tahun 1987 mensyaratkan badan-badan federal untuk memberikan pelatihan berkala wajib dalam kesadaran keamanan komputer dan praktek komputer diterima semua karyawan yang terlibat dengan manajemen, penggunaan, atau pengoperasian sistem komputer mereka.
Pelatihan paling efektif jika dirancang untuk kategori tertentu dari pengguna. Semakin dekat pelatihan ini dirancang untuk memenuhi kebutuhan spesifik, lebih efektif.
Ada dua metode untuk menyesuaikan pelatihan bagi pengguna. Yang pertama adalah dengan latar belakang fungsional: user umum, user manajerial, dan pengguna teknis. Yang kedua adalah dengan tingkat keterampilan: pemula, menengah, dan lanjutan. Karena model pelatihan tradisional terbiasa menggunakan tingkat keterampilan sebagai hidangan kriteria kustomisasi, pembahasan yang lebih rinci yang mengikuti berfokus pada pengembangan pelatihan oleh bidang fungsional.
Pelatihan untuk Pengguna Umum, Salah satu metode untuk memastikan bahwa kebijakan dibaca dan dipahami oleh pengguna umum adalah untuk memberikan pelatihan tentang kebijakan tersebut. Strategi ini memungkinkan pengguna untuk mengajukan pertanyaan dan menerima bimbingan khusus, dan memungkinkan organisasi untuk mengumpulkan surat-surat yang diperlukan kepatuhan. Pengguna umum juga membutuhkan pelatihan pada rincian teknis tentang bagaimana melakukan pekerjaan mereka dengan aman, termasuk praktek-praktek keamanan yang baik, manajemen password, kontrol akses khusus, dan pelaporan pelanggaran.
Waktu yang tepat untuk melakukan jenis pelatihan ini adalah selama orientasi karyawan. Pada saat kritis ini, karyawan dididik tentang berbagai kebijakan organisasi.
Pelatihan untuk Pengguna Manajerial, Manajerial mungkin memiliki kebutuhan pelatihan yang sama sebagaimana pengguna umum, tetapi manajer biasanya mengharapkan bentuk pelatihan yang lebih pribadi, ditandai oleh kelompok-kelompok yang lebih kecil dan lebih banyak interaksi dan diskusi. Dukungan di tingkat eksekutif dapat meyakinkan manajer untuk menghadiri acara pelatihan, yang pada gilirannya memperkuat program pelatihan keseluruhan.
Pelatihan untuk Pengguna Teknis, Pelatihan teknis untuk staf TI, staf keamanan, dan pengguna umum kompeten secara teknis lebih rinci dari pengguna umum atau pelatihan manajerial, dan karena itu mungkin memerlukan konsultan penggunaan atau organisasi pelatihan dari luar. Ada metode untuk memilih atau mengembangkan pelatihan teknis lanjutan:
• Dengan kategori pekerjaan misalnya, pengguna teknis terhadap manajer
• Dengan fungsi pekerjaan misalnya, akuntansi vs pemasaran vs operasi area fungsional
• Dengan produk teknologi misalnya, e-mail client, basis data
Teknik pelatihan
Teknik pelatihan yang baik adalah penting untuk keberhasilan pelatihan sebagai pengetahuan yang mendalam tentang area subyek. Seperti yang dijelaskan oleh Charles Trepper dalam artikelnya "'Pelatihan Pengembang lebih efisien"
Dengan menggunakan metode yang salah justru dapat menghambat transfer pengetahuan dan menyebabkan biaya yang tidak perlu dan frustrasi , karyawan kurang terlatih. Program pelatihan yang baik, terlepas dari metode penyampaian, mengambil keuntungan dari teknologi pembelajaran terbaru dan praktik terbaik. Perkembangan terakhir termasuk penggunaan kurang dari program publik terpusat dan lebih banyak pelatihan di tempat. Pelatihan sering diperlukan untuk satu atau beberapa individu, belum tentu untuk kelompok besar. Menunggu sampai ada kelompok besar yang cukup untuk kelas dapat biaya perusahaan kehilangan productwit - V . Praktik terbaik lainnya termasuk peningkatan penggunaan pendek, modul berorientasi pada tugas dan sesi pelatihan, tersedia selama minggu kerja normal, yang segera dan konsisten. Konsep baru dalam pelatihan juga menyediakan siswa dengan pelatihan yang mereka butuhkan, saat mereka membutuhkannya praktek sering disebut pelatihan just-in -time.
Metode penyampaian Pemilihan metode penyampaian pelatihan tidak selalu didasarkan pada hasil terbaik bagi peserta pelatihan. Seringkali faktor-faktor lain, sebagian
besar biasanya anggaran, penjadwalan, dan kebutuhan organisasi. Datang pertama . Tabel 5-4 berisi metode penyampaian yang paling umum .
Metodekeuntungan
kerugian
One- on-One: Seorang
pelatih yang berdedikasi
bekerja dengan masing-
masing peserta pelatihan di
daerah tertentu.
• Informal
• Pribadi
• Disesuaikan dengan
kebutuhan dari peserta
pelatihan
• Dapat sesuai dengan
kebutuhan dijadwalkan
untuk melatih
Sumber Daya intensif, ke
titik yang tidak efisien
Kelas Formal: Seorang
pelatih tunggal bekerja
dengan beberapa trainee
dalam pengaturan formal.
• rencana pelatihan formal,
efisien
• Peserta dapat belajar dari
satu sama lain
• Interaksi dengan pelatih
mungkin
• Biasanya dianggap biaya-
efektif
• Relatif tidak fleksibel
• Mungkin tidak cukup
responsif terhadap
kebutuhan semua trainee
• Sulit untuk jadwal,
terutama jika lebih dari satu
sesi yang dibutuhkan
Pelatihan Berbasis
Komputer (CBT):
Software dikemas yang
memberikan pelatihan pada
peserta pelatihan
workstation.
• Fleksibel, tidak ada
persyaratan khusus
penjadwalan
• bisa datang dan pergi
sesuka peserta pelatihan
• Dapat hemat biaya
• Software bisa sangat mahal
• Konten tidak boleh
disesuaikan dengan
kebutuhan organisasi
Distance Learning / Web
Seminar
Peserta menerima presentasi
seminar di computer
mereka. Beberapa model
memungkinkan
telekonferensi untuk umpan
balik suara; lain memiliki
• Bisa langsung, atau dapat
diarsipkan dan dilihat pada
kenyamanan peserta
pelatihan
• Dapat rendah atau tanpa
biaya
• Jika diarsipkan, bisa sangat
fleksibel, dengan tidak ada
mekanisme untuk umpan
balik melatih semua
• Jika langsung, bisa sulit
untuk jadwal
teks pertanyaan dan umpan
balik.
Pengguna Support Group,,
Dukungan dari komunitas
pengguna umumnya
difasilitasi oleh vendor
tertentu sebagai mekanisme
untuk menambah dukungan
untuk produk atau perangkat
lunak
• Memungkinkan pengguna
untuk belajar dari satu sama
• Biasanya dilakukan dalam
pengaturan sosial informal
yang tegas
• Tidak menggunakan model
pelatihan formal
• Berpusat pada topik atau
produk tertentu
On-the Job Training:
Peserta mempelajari secara
spesifik pekerjaan mereka
saat bekerja, menggunakan
perangkat lunak, perangkat
keras, dan prosedur mereka
akan terus untuk digunakan.
• Sangat diterapkan pada
tugas di tangan
• Murah
• Pendekatan tenggelam atau
berenang
• Dapat mengakibatkan kerja
di bawah standar
• kinerja sampai melatih
semua bangkit untuk
mempercepat
Belajar Mandiri
(Noncomputerized): Peserta
mempelajari bahan sendiri,
biasanya ketika tidak aktif
melakukan pekerjaan
mereka
• Biaya terendah untuk
organisasi
• Menempatkan bahan di
tangan peserta pelatihan
• Peserta dapat memilih
materi yang mereka
butuhkan untuk FOKUS
pada yang paling
• melangkah sendiri
Pergeseran tanggung jawab
untuk pelatihan dengan
dukungan formal terbatas
Table 5-4 Training delivery methods
Memilih Staf Pelatihan Untuk memberikan pelatihan karyawan, organisasi dapat menggunakan program pelatihan lokal, departemen pendidikan berkelanjutan, atau lembaga pelatihan eksternal lain. Atau dapat menyewa seorang pelatih profesional, konsultan, atau
seseorang dari lembaga terakreditasi untuk melakukan pelatihan di tempat . Hal ini juga dapat mengatur dan menyelenggarakan pelatihan in-house yang menggunakan karyawan sendiri. Opsi terakhir ini tidak boleh dilakukan tanpa pertimbangan hati-hati. Pelatihan yang efektif memerlukan seperangkat keterampilan khusus dan kemampuan. Mengajar kelas lima atau lebih rekan-rekan ( atau bawahan ) sangat berbeda dengan menawarkan nasihat untuk rekan kerja .
Melaksanakan Pelatihan Meskipun setiap organisasi mengembangkan strategi sendiri berdasarkan teknik yang dibahas di atas , mengikuti metodologi tujuh langkah umum berlaku :
Langkah I: Identifikasi cakupan program, tujuan, dan sasaran.
Langkah 2: Identifikasi pelatihan staf.
Langkah 3: Identifikasi sasaran.
Langkah 4: Memotivasi manajemen dan karyawan.
Langkah 5: Mengelola program.
Langkah 6: Mempertahankan program.
Langkah 7: Evaluasi program.
Identifikasi Staf Pelatihan Apakah pelatih adalah seorang ahli di rumah atau menyewa profesional, organisasi harus hati-hati sesuai dengan kemampuan pelatihan dengan kebutuhan kelas. Hal ini juga penting bahwa pelatih tahu bagaimana berkomunikasi dan berbagi informasi dan gagasan secara efektif.
Identifikasi Sasaran Audiens, program pelatihan keamanan yang membedakan antara kelompok masyarakat, hanya menyajikan informasi yang dibutuhkan oleh audiens tertentu, dan menghilangkan informasi yang tidak relevan menghasilkan hasil terbaik. Dalam organisasi yang lebih besar, beberapa individu akan masuk ke dalam lebih dari satu kelompok. Dalam organisasi yang lebih kecil, hal itu mungkin tidak diperlukan untuk menarik perbedaan antara kelompok.
Anda dapat membagi karyawan ke dalam kelompok untuk pelatihan sebagai berikut :
• Menurut tingkat kesadaran : Memisahkan individu ke dalam kelompok-kelompok sesuai dengan tingkat kesadaran mungkin memerlukan penelitian untuk menentukan seberapa baik karyawan mengikuti prosedur keamanan komputer atau memahami bagaimana keamanan komputer cocok dengan pekerjaan mereka.
• Dengan tugas pekerjaan umum atau fungsi : Individu dapat dikelompokkan sebagai penyedia data, data prosesor , atau pengguna data.
• Menurut kategori pekerjaan tertentu : Banyak organisasi menetapkan individu untuk kategori pekerjaan. Karena setiap kategori pekerjaan umumnya memiliki tanggung jawab pekerjaan yang berbeda, pelatihan untuk masing-masing tentu akan berbeda. Contoh kategori pekerjaan termasuk manajemen umum, manajemen teknologi, pengembangan aplikasi, dan keamanan .
• Menurut tingkat pengetahuan komputer: ahli komputer mungkin menemukan program yang berisi informasi yang sangat teknis lebih berharga dari satu isu manajemen meliputi dalam keamanan komputer. Sebaliknya, seorang pemula komputer akan mendapat manfaat lebih dari program pelatihan yang menyajikan dasar.
• Dengan jenis teknologi atau sistem yang digunakan: Teknik keamanan yang digunakan untuk masing-masing produk dari rak atau sistem aplikasi biasanya bervariasi. Pengguna aplikasi utama biasanya memerlukan pelatihan khusus untuk aplikasi tersebut.
Memotivasi Manajemen dan Karyawan Untuk berhasil menerapkan kesadaran dan program pelatihan, adalah penting untuk mendapatkan dukungan dari manajemen dan karyawan. Untuk alasan ini, perancang program SETA harus mempertimbangkan menggabungkan teknik motivasi ke dalam program. Teknik motivasi harus menunjukkan kepada manajemen dan karyawan bagaimana partisipasi dalam program pelatihan keamanan akan menguntungkan organisasi. Untuk memotivasi manajer, misalnya, membuat mereka sadar akan potensi kerugian dan peran pelatihan dalam keamanan komputer. Karyawan harus memahami bagaimana keamanan komputer menguntungkan mereka dan organisasi.
Mengelola Program Beberapa pertimbangan penting diterapkan ketika mengelola program pelatihan keamanan:
• Visibilitas: The visibilitas program pelatihan keamanan memainkan peran kunci dalam keberhasilan. Upaya untuk mencapai tempat yang sangat menonjol dalam organisasi harus dimulai pada tahap awal pengembangan program pelatihan keamanan.
• Metode Pelatihan: Metode yang digunakan dalam program pelatihan keamanan harus konsisten dengan materi yang disajikan dan harus disesuaikan dengan kebutuhan audiens yang spesifik itu. Beberapa metode pelatihan dan kesadaran dan teknik yang terdaftar sebelumnya dalam " Pelatihan Teknik " .
• Topik Pelatihan: Topik harus dipilih berdasarkan kebutuhan audiens .
• Materi pelatihan: Secara umum, materi pelatihan berkualitas tinggi lebih baik diterima, tetapi lebih mahal. Untuk mengurangi biaya, Anda dapat memperoleh materi pelatihan dari organisasi lain. Memodifikasi bahan yang ada biasanya lebih murah daripada mengembangkannya dari awal .
• Presentasi Pelatihan: Masalah presentasi untuk dipertimbangkan termasuk frekuensi pelatihan ( misalnya , setiap tahun atau sesuai kebutuhan ) , panjang presentasi ( misalnya , 20 menit untuk presentasi umum , satu jam untuk update , atau satu minggu untuk off-site class ) , dan gaya presentasi ( misalnya , formal, informal , berbasis komputer , lucu ) .
Mempertahankan Upaya Program harus dilakukan untuk mengikuti perubahan dalam teknologi komputer dan persyaratan keamanan. Sebuah program pelatihan yang memenuhi kebutuhan organisasi hari ini mungkin menjadi tidak efektif jika organisasi mulai menggunakan aplikasi baru atau perubahan lingkungan, seperti dengan menghubungkan ke Internet. Demikian juga, program kesadaran dapat menjadi usang jika undang-undang, kebijakan organisasi, atau praktek penggunaan umum berubah. Sebagai contoh, jika program kesadaran menggunakan contoh-contoh dari Thunderbird (program e-mail client yang populer) untuk melatih karyawan tentang kebijakan baru untuk penggunaan e-mail ketika organisasi benar-benar menggunakan klien e-mail Out look, karyawan dapat mengabaikan program pelatihan keamanan, dan oleh asosiasi, pentingnya keamanan komputer.
Mengevaluasi Program Organisasi dapat mengevaluasi program pelatihan mereka dengan memastikan seberapa banyak informasi yang disimpan, apa tingkat prosedur keamanan komputer sedang diikuti, dan sikap terhadap keamanan komputer. Hasil evaluasi tersebut akan membantu mengidentifikasi dan memperbaiki masalah. Beberapa metode evaluasi populer (yang dapat digunakan dalam hubungannya dengan satu sama lain) adalah:
• Menggunakan evaluasi peserta pelatihan untuk mengumpulkan umpan balik
• Mengamati seberapa baik karyawan mengikuti prosedur keamanan yang direkomendasikan setelah dilatih
• Pengujian karyawan pada material setelah telah dibahas dalam pelatihan
• Pemantauan jumlah dan jenis insiden keamanan komputer melaporkan sebelum dan setelah program pelatihan dilaksanakan
SECURITY AWARENESS
Salah satu metode keamanan paling sering dilaksanakan, tetapi yang paling efektif adalah program kesadaran keamanan.
Program kesadaran keamanan : ( 1 ) mengatur panggung untuk pelatihan dengan mengubah sikap organisasi, menyadari pentingnya keamanan dan konsekuensi merugikan dari kegagalan , dan ( 2 ) mengingatkan pengguna prosedur yang harus diikuti .
Sebuah program kesadaran keamanan menjaga keamanan informasi di garis depan pikiran pengguna setiap hari. Kesadaran berfungsi untuk menanamkan rasa tanggung jawab
dan tujuan karyawan yang menangani dan mengelola informasi, dan itu mengarahkan karyawan untuk lebih peduli lingkungan kerja mereka. Ketika mengembangkan program kesadaran, pastikan untuk :
• Fokus pada orang, baik sebagai bagian dari masalah dan sebagai bagian dari solusi.
• Menahan diri dari menggunakan jargon teknis, berbicara dengan bahasa yang bisa pengguna mengerti.
• Gunakan setiap tempat yang tersedia untuk mengakses semua pengguna .
• Tentukan setidaknya satu tujuan pembelajaran kunci, menyatakan dengan jelas, dan memberikan rincian yang memadai dan cakupan untuk memperkuat pembelajaran itu.
• Jauhkan hal-hal ringan, menahan diri dari " berkhotbah " kepada pengguna .
• Jangan membebani pengguna dengan terlalu banyak detail atau terlalu besar volume informasi.
• Membantu pengguna memahami peran mereka dalam keamanan informasi dan bagaimana pelanggaran keamanan yang dapat mempengaruhi pekerjaan mereka .
• Manfaatkan in- house Media komunikasi untuk menyampaikan pesan .
• Membuat program kesadaran formal; merencanakan dan mendokumentasikan semua tindakan.
• Memberikan informasi yang baik tapi awal, daripada informasi yang sempurna tapi terlambat.
Sepuluh Perintah Informasi keamanan Pelatihan Kesadaran
I. Keamanan informasi adalah orang, bukan teknis
II. Jika Anda ingin mereka mengerti, berbicara bahasa mereka.
III. Jika mereka tidak bisa melihatnya, mereka tidak akan mempelajarinya.
IV. Membuat titik sehingga Anda dapat mengidentifikasinya dengan begitu
mereka bisa.
V. Jangan pernah kehilangan rasa humor.
VI. Membuat titik Anda, mendukungnya, dan menyimpulkan.
VII. Selalu membiarkan penerima tahu bagaimana perilaku yang Anda minta akan
mempengaruhi mereka.
VIII. Naik kuda jinak. [Artinya, menyebarkan informasi tentang masalah terkenal
dan metode agar tetap segar dalam pikiran masyarakat.]
IX. Meresmikan metodologi pelatihan Anda.
X. Selalu tepat waktu, bahkan jika itu berarti menyelipkan jadwal untuk
memasukkan informasi penting