Tugas kelompok Dosen pembimbing

Keamanan Sistem Informasi ANGRAINI, S.Kom, M.Eng

Implementasi Program Pendidikan, Pelatihan,

Kesadaran Keamanan Informasi

Disusun Oleh :

Ketua:

Wahyu Hidayat Ibrahim

Anggota:

Heruma Wibowo

Mulyono

Ramadhana Putra

JURUSAN SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SULTAN SYARIF KASIM RIAU

2013

Implementasi Program Pendidikan, Pelatihan, Kesadaran Keamanan Informasi

Security Education Training and Awareness (SETA) adalah sebuah Pendidikan Keamanan, Pelatihan dan Kesadaran. Program dapat didefinisikan sebagai program pendidikan yang dirancang untuk mengurangi jumlah pelanggaran keamanan yang terjadi melalui kurangnya kesadaran karyawan keamanan.

Sebuah program SETA menetapkan nada keamanan untuk karyawan dari sebuah organisasi, terutama jika dibuat bagian dari orientasi karyawan.  Program kesadaran menjelaskan peran karyawan dalam bidang Keamanan Informasi.  Tujuan dari upaya kesadaran keamanan adalah partisipasi.  Teknologi saja tidak bisa memecahkan masalah yang dikendalikan oleh individu.

Program kesadaran keamanan, pelatihan keamanan, dan pendidikan keamanan menawarkan tiga manfaat utama:

Dapat memperbaiki perilaku karyawan Dapat menginformasikan anggota organisasi tentang di mana untuk melaporkan

pelanggaran kebijakan Memungkinkan organisasi untuk memiliki karyawan yang bertanggung jawab

atas tindakan mereka

Tujuan dari SETA adalah untuk meningkatkan keamanan dalam tiga cara :

- Dengan membangun pengetahuan yang mendalam , sesuai kebutuhan, untuk merancang, melaksanakan, atau mengoperasikan program keamanan untuk organisasi dan sistem .

- Dengan mengembangkan keterampilan dan pengetahuan sehingga pengguna komputer dapat melakukan pekerjaan mereka dengan menggunakan sistem IT yang lebih aman .

- Dengan meningkatkan kesadaran akan kebutuhan untuk melindungi sumber daya sistem .

Function Description CommentsPenilaian Risiko mengidentifikasi dan

mengevaluasi risiko hadir di ITinisiatif dan / atau sistem

Mengidentifikasi sumber risiko dan dapat menawarkan nasihat tentang kontrol yang dapat mengurangi risiko

Manajemen Risiko mengimplementasikan atau mengawasi penggunaan kontrol untuk mengurangi risiko

Sering dipasangkan dengan penilaian risiko

Pengujian sistem Mengevaluasi patch yang digunakan untuk menutup kerentanan perangkat lunak dan pengujian penerimaan

Biasanya bagian dari respon insiden dan / atau fungsi-fungsi manajemen risiko

sistem baru untuk memastikan kepatuhan terhadap kebijakan dan efektivitas

Kebijaksanaan Memelihara dan mempromosikan kebijakan keamanan informasi di seluruh organisasi

Harus dikoordinasikan dengan proses kebijakan organisasi-lebar

Penilaian Legal Menjaga kesadaran yang direncanakan dan aktualhukum dan dampaknya, dan koordinat dengan penasehat hukum luar dan lembaga penegak hukum

Hampir selalu eksternal terhadap keamanan informasi dan departemen TI

Incident Response Menangani respon awal terhadap potensi Insiden, mengelola eskalasi insiden yang sebenarnya, dan mengkoordinasikan tanggapan awal terhadap insiden dan bencana

Sering lintas fungsional dan diambil dari beberapa departemen harus mencakup manajemen menengah untuk mengelola proses eskalasi

perencanaan Penelitian, menciptakan, memelihara, dan mempromosikan rencana keamanan informasi, sering menggunakan pendekatan manajemen proyek untuk perencanaan yang berbeda dengan perencanaan strategis untuk seluruh organisasi

Harus berkoordinasi dengan proses kebijakan organisasi-lebar

Pengukuran Menggunakan sistem kontrol yang ada (dan sistem pengumpulan data mungkin khusus) untuk mengukur semua aspek informasikeamanan lingkungan

Manajemen bergantung pada statistik tepat waktu dan akurat untuk membuat keputusan

Function Description CommentsPemenuhan Memverifikasi bahwa sistem

dan administrator jaringan memperbaiki kerentanan diidentifikasi segera dan benar

Menimbulkan masalah bagi layanan pelanggan yang baik karena sulit untuk berfokus pada pelanggan dan untuk menegakkan kepatuhan pada saat yang sama

sentralisasiotentikasi

Mengatur pemberian dan pencabutan jaringan dan sistem mandat untuk semuaanggota organisasi

Sering didelegasikan ke help desk atau staf dihubungannya dan colocated dengan fungsi divisi bantuan

sistem Keamananadministrasi

Mengelola konfigurasi sistem komputer, yang sering diatur ke dalam kelompok dengan sistem operasi yang mereka jalankan

Banyak organisasi mungkin awalnya ditugaskan semua fungsi keamanan untuk kelompok-kelompok inidi luar fungsi keamanan informasi; ini bisa menjadi sumber konflik ketika organisasi memperbarui informasi merekaprogram keamanan

latihan Kereta staf umum di topik keamanan informasi, staf TI khusus dalam tekniskontrol, dan staf keamanan informasi internal di daerah khusus keamanan informasi, termasuk topik-topik teknis dan manajerial

Beberapa atau semua fungsi ini dapat dilakukandalam hubungannya dengan pelatihan perusahaan tiiiledepartemen

Keamanan Jaringanadministrasi

Mengelola konfigurasi jaringan komputer, sering disusun dalam kelompok dengandaerah jaringan logis (yaitu, WAN, LAN, DMZ) ataulokasi geografis

Banyak organsizations mungkin awalnya ditugaskan beberapa fungsi keamanan untuk inikelompok di luar keamanan informasi fungsi, yang mungkin memerlukan dekat koordinasi atau penugasan

Penilaian Kerentanan Menempatkan paparan dalam aset informasi sehingga kerentanan ini dapat diperbaiki sebelum kelemahan dieksploitasi

Kadang-kadang disebut pengujian penetrasiTim atau unit hacking etis: sering diserahkan kepada konsultan "tim harimau"

Tabel 5-1 fungsi yang dibutuhkan untuk melaksanakan program keamanan

SECURITY EDUCATION

Program pelatihan keamanan informasi harus mengatasi isu-isu berikut :

- Komponen pendidikan keamanan informasi yang dibutuhkan dari semua profesional keamanan informasi

- Persyaratan pendidikan umum yang semua profesional teknologi informasi harus miliki

Kurikulum pendidikan TI perlu mempersiapkan siswa untuk bekerja dalam lingkungan yang menghargai lingkungan komputasi yang aman dan etis. seperti dicatat oleh irvin, Chin, dan frinke dalam artikel " mengintegrasikan keamanan ke dalam kurikulum "

suatu sistem pendidikan yang memupuk pengetahuan keamanan komputer yang tepat akan meningkatkan kemungkinan bahwa generasi berikutnya dari pekerja IT akan memiliki latar belakang yang diperlukan untuk merancang dan mengembangkan sistem yang direkayasa dapat diandalkan dan aman.

MENGEMBANGKAN KURIKULUM INFORMASI KEAMANAN

Lembaga merancang kurikulum formal dalam keamanan informasi harus hati-hati memetakan hasil belajar yang diharapkan dari kurikulum yang direncanakan untuk tujuan pembelajaran saja untuk membangun tubuh pengetahuan yang akan diajarkan. Peta pengetahuan ini, yang dapat membantu siswa potensial menilai program keamanan informasi, mengidentifikasi keterampilan dan pengetahuan yang diperoleh oleh kelompok lulusan program. Di tingkat sarjana, perencana program memeriksa daerah lulusan diharapkan untuk bekerja, dan kemudian menentukan keterampilan dan pengetahuan yang diperlukan.

Menciptakan peta pengetahuan bisa sulit karena banyak akademisi yang tidak menyadari berbagai subdisiplin dalam bidang keamanan informasi, yang masing-masing mungkin memiliki persyaratan pengetahuan yang berbeda. misalnya, seorang mahasiswa yang ingin fokus manajerial perlu dididik kebijakan, perencanaan, administrasi kepegawaian, dan topik yang relevan lainnya, dan dengan demikian akan ingin mengambil kursus seperti yang buku ini tulis. Sebaliknya, seorang mahasiswa yang kepentingannya lebih teknis ingin kursus di bidang hardware spesifik seperti Windows Network Security, firewall dan IDPSs, atau akses remote dan otentikasi.

Gambar 5-11 menunjukkan proses kompleks pemetaan posisi keamanan informasi untuk peran yang dimainkannya dan persyaratan pengetahuan inti yang sesuai peran tersebut.

Peran ini maka harus hati-hati dipetakan ke domain pengetahuan yang diperlukan . Misalnya, CISO mungkin perlu memiliki pemahaman kerja semua bidang pengetahuan, sementara administrator firewall mungkin perlu keahlian hanya dalam satu atau dua bidang. Kedalaman pengetahuan ditandai dengan tingkat penguasaan menggunakan taksonomi mapan tujuan pembelajaran atau skala sederhana seperti " pemahaman > prestasi > kemampuan > penguasaan. "

Setelah bidang pengetahuan diidentifikasi, bidang pengetahuan umum dikumpulkan ke dalam domain pengajaran, dari mana kursus dapat diciptakan. Program harus dirancang sedemikian rupa sehingga siswa dapat memperoleh pengetahuan dan keterampilan yang diperlukan setelah selesainya program. Misalnya, dalam sebuah program untuk administrator firewall, kelas pengantar ( untuk memberikan pemahaman ) mungkin diikuti oleh kelas keamanan teknis ( untuk memberikan keahlian ), yang mungkin diikuti oleh kelas administrasi firewall ( untuk memberikan kemahiran dan penguasaan ).

SECURITY TRAINING

Pelatihan keamanan menyediakan anggota organisasi dengan informasi rinci dan instruksi yang memungkinkan mereka untuk melakukan tugas mereka dengan aman.

Keamanan Komputer Act tahun 1987 mensyaratkan badan-badan federal untuk memberikan pelatihan berkala wajib dalam kesadaran keamanan komputer dan praktek komputer diterima semua karyawan yang terlibat dengan manajemen, penggunaan, atau pengoperasian sistem komputer mereka.

Pelatihan paling efektif jika dirancang untuk kategori tertentu dari pengguna. Semakin dekat pelatihan ini dirancang untuk memenuhi kebutuhan spesifik, lebih efektif.

Ada dua metode untuk menyesuaikan pelatihan bagi pengguna. Yang pertama adalah dengan latar belakang fungsional: user umum, user manajerial, dan pengguna teknis. Yang kedua adalah dengan tingkat keterampilan: pemula, menengah, dan lanjutan. Karena model pelatihan tradisional terbiasa menggunakan tingkat keterampilan sebagai hidangan kriteria kustomisasi, pembahasan yang lebih rinci yang mengikuti berfokus pada pengembangan pelatihan oleh bidang fungsional.

Pelatihan untuk Pengguna Umum, Salah satu metode untuk memastikan bahwa kebijakan dibaca dan dipahami oleh pengguna umum adalah untuk memberikan pelatihan tentang kebijakan tersebut. Strategi ini memungkinkan pengguna untuk mengajukan pertanyaan dan menerima bimbingan khusus, dan memungkinkan organisasi untuk mengumpulkan surat-surat yang diperlukan kepatuhan. Pengguna umum juga membutuhkan pelatihan pada rincian teknis tentang bagaimana melakukan pekerjaan mereka dengan aman, termasuk praktek-praktek keamanan yang baik, manajemen password, kontrol akses khusus, dan pelaporan pelanggaran.

Waktu yang tepat untuk melakukan jenis pelatihan ini adalah selama orientasi karyawan. Pada saat kritis ini, karyawan dididik tentang berbagai kebijakan organisasi.

Pelatihan untuk Pengguna Manajerial, Manajerial mungkin memiliki kebutuhan pelatihan yang sama sebagaimana pengguna umum, tetapi manajer biasanya mengharapkan bentuk pelatihan yang lebih pribadi, ditandai oleh kelompok-kelompok yang lebih kecil dan lebih banyak interaksi dan diskusi. Dukungan di tingkat eksekutif dapat meyakinkan manajer untuk menghadiri acara pelatihan, yang pada gilirannya memperkuat program pelatihan keseluruhan.

Pelatihan untuk Pengguna Teknis, Pelatihan teknis untuk staf TI, staf keamanan, dan pengguna umum kompeten secara teknis lebih rinci dari pengguna umum atau pelatihan manajerial, dan karena itu mungkin memerlukan konsultan penggunaan atau organisasi pelatihan dari luar. Ada metode untuk memilih atau mengembangkan pelatihan teknis lanjutan:

• Dengan kategori pekerjaan misalnya, pengguna teknis terhadap manajer

• Dengan fungsi pekerjaan misalnya, akuntansi vs pemasaran vs operasi area fungsional

• Dengan produk teknologi misalnya, e-mail client, basis data

Teknik pelatihan

Teknik pelatihan yang baik adalah penting untuk keberhasilan pelatihan sebagai pengetahuan yang mendalam tentang area subyek. Seperti yang dijelaskan oleh Charles Trepper dalam artikelnya "'Pelatihan Pengembang lebih efisien"

Dengan menggunakan metode yang salah justru dapat menghambat transfer pengetahuan dan menyebabkan biaya yang tidak perlu dan frustrasi , karyawan kurang terlatih. Program pelatihan yang baik, terlepas dari metode penyampaian, mengambil keuntungan dari teknologi pembelajaran terbaru dan praktik terbaik. Perkembangan terakhir termasuk penggunaan kurang dari program publik terpusat dan lebih banyak pelatihan di tempat. Pelatihan sering diperlukan untuk satu atau beberapa individu, belum tentu untuk kelompok besar. Menunggu sampai ada kelompok besar yang cukup untuk kelas dapat biaya perusahaan kehilangan productwit - V . Praktik terbaik lainnya termasuk peningkatan penggunaan pendek, modul berorientasi pada tugas dan sesi pelatihan, tersedia selama minggu kerja normal, yang segera dan konsisten. Konsep baru dalam pelatihan juga menyediakan siswa dengan pelatihan yang mereka butuhkan, saat mereka membutuhkannya praktek sering disebut pelatihan just-in -time.

Metode penyampaian Pemilihan metode penyampaian pelatihan tidak selalu didasarkan pada hasil terbaik bagi peserta pelatihan. Seringkali faktor-faktor lain, sebagian

besar biasanya anggaran, penjadwalan, dan kebutuhan organisasi. Datang pertama . Tabel 5-4 berisi metode penyampaian yang paling umum .

Metodekeuntungan

kerugian

One- on-One: Seorang

pelatih yang berdedikasi

bekerja dengan masing-

masing peserta pelatihan di

daerah tertentu.

• Informal

• Pribadi

• Disesuaikan dengan

kebutuhan dari peserta

pelatihan

• Dapat sesuai dengan

kebutuhan dijadwalkan

untuk melatih

Sumber Daya intensif, ke

titik yang tidak efisien

Kelas Formal: Seorang

pelatih tunggal bekerja

dengan beberapa trainee

dalam pengaturan formal.

• rencana pelatihan formal,

efisien

• Peserta dapat belajar dari

satu sama lain

• Interaksi dengan pelatih

mungkin

• Biasanya dianggap biaya-

efektif

• Relatif tidak fleksibel

• Mungkin tidak cukup

responsif terhadap

kebutuhan semua trainee

• Sulit untuk jadwal,

terutama jika lebih dari satu

sesi yang dibutuhkan

Pelatihan Berbasis

Komputer (CBT):

Software dikemas yang

memberikan pelatihan pada

peserta pelatihan

workstation.

• Fleksibel, tidak ada

persyaratan khusus

penjadwalan

• bisa datang dan pergi

sesuka peserta pelatihan

• Dapat hemat biaya

• Software bisa sangat mahal

• Konten tidak boleh

disesuaikan dengan

kebutuhan organisasi

Distance Learning / Web

Seminar

Peserta menerima presentasi

seminar di computer

mereka. Beberapa model

memungkinkan

telekonferensi untuk umpan

balik suara; lain memiliki

• Bisa langsung, atau dapat

diarsipkan dan dilihat pada

kenyamanan peserta

pelatihan

• Dapat rendah atau tanpa

biaya

• Jika diarsipkan, bisa sangat

fleksibel, dengan tidak ada

mekanisme untuk umpan

balik melatih semua

• Jika langsung, bisa sulit

untuk jadwal

teks pertanyaan dan umpan

balik.

Pengguna Support Group,,

Dukungan dari komunitas

pengguna umumnya

difasilitasi oleh vendor

tertentu sebagai mekanisme

untuk menambah dukungan

untuk produk atau perangkat

lunak

• Memungkinkan pengguna

untuk belajar dari satu sama

• Biasanya dilakukan dalam

pengaturan sosial informal

yang tegas

• Tidak menggunakan model

pelatihan formal

• Berpusat pada topik atau

produk tertentu

On-the Job Training:

Peserta mempelajari secara

spesifik pekerjaan mereka

saat bekerja, menggunakan

perangkat lunak, perangkat

keras, dan prosedur mereka

akan terus untuk digunakan.

• Sangat diterapkan pada

tugas di tangan

• Murah

• Pendekatan tenggelam atau

berenang

• Dapat mengakibatkan kerja

di bawah standar

• kinerja sampai melatih

semua bangkit untuk

mempercepat

Belajar Mandiri

(Noncomputerized): Peserta

mempelajari bahan sendiri,

biasanya ketika tidak aktif

melakukan pekerjaan

mereka

• Biaya terendah untuk

organisasi

• Menempatkan bahan di

tangan peserta pelatihan

• Peserta dapat memilih

materi yang mereka

butuhkan untuk FOKUS

pada yang paling

• melangkah sendiri

Pergeseran tanggung jawab

untuk pelatihan dengan

dukungan formal terbatas

Table 5-4 Training delivery methods

Memilih Staf Pelatihan Untuk memberikan pelatihan karyawan, organisasi dapat menggunakan program pelatihan lokal, departemen pendidikan berkelanjutan, atau lembaga pelatihan eksternal lain. Atau dapat menyewa seorang pelatih profesional, konsultan, atau

seseorang dari lembaga terakreditasi untuk melakukan pelatihan di tempat . Hal ini juga dapat mengatur dan menyelenggarakan pelatihan in-house yang menggunakan karyawan sendiri. Opsi terakhir ini tidak boleh dilakukan tanpa pertimbangan hati-hati. Pelatihan yang efektif memerlukan seperangkat keterampilan khusus dan kemampuan. Mengajar kelas lima atau lebih rekan-rekan ( atau bawahan ) sangat berbeda dengan menawarkan nasihat untuk rekan kerja .

Melaksanakan Pelatihan Meskipun setiap organisasi mengembangkan strategi sendiri berdasarkan teknik yang dibahas di atas , mengikuti metodologi tujuh langkah umum berlaku :

Langkah I: Identifikasi cakupan program, tujuan, dan sasaran.

Langkah 2: Identifikasi pelatihan staf.

Langkah 3: Identifikasi sasaran.

Langkah 4: Memotivasi manajemen dan karyawan.

Langkah 5: Mengelola program.

Langkah 6: Mempertahankan program.

Langkah 7: Evaluasi program.

Identifikasi Staf Pelatihan Apakah pelatih adalah seorang ahli di rumah atau menyewa profesional, organisasi harus hati-hati sesuai dengan kemampuan pelatihan dengan kebutuhan kelas. Hal ini juga penting bahwa pelatih tahu bagaimana berkomunikasi dan berbagi informasi dan gagasan secara efektif.

Identifikasi Sasaran Audiens, program pelatihan keamanan yang membedakan antara kelompok masyarakat, hanya menyajikan informasi yang dibutuhkan oleh audiens tertentu, dan menghilangkan informasi yang tidak relevan menghasilkan hasil terbaik. Dalam organisasi yang lebih besar, beberapa individu akan masuk ke dalam lebih dari satu kelompok. Dalam organisasi yang lebih kecil, hal itu mungkin tidak diperlukan untuk menarik perbedaan antara kelompok.

Anda dapat membagi karyawan ke dalam kelompok untuk pelatihan sebagai berikut :

• Menurut tingkat kesadaran : Memisahkan individu ke dalam kelompok-kelompok sesuai dengan tingkat kesadaran mungkin memerlukan penelitian untuk menentukan seberapa baik karyawan mengikuti prosedur keamanan komputer atau memahami bagaimana keamanan komputer cocok dengan pekerjaan mereka.

• Dengan tugas pekerjaan umum atau fungsi : Individu dapat dikelompokkan sebagai penyedia data, data prosesor , atau pengguna data.

• Menurut kategori pekerjaan tertentu : Banyak organisasi menetapkan individu untuk kategori pekerjaan. Karena setiap kategori pekerjaan umumnya memiliki tanggung jawab pekerjaan yang berbeda, pelatihan untuk masing-masing tentu akan berbeda. Contoh kategori pekerjaan termasuk manajemen umum, manajemen teknologi, pengembangan aplikasi, dan keamanan .

• Menurut tingkat pengetahuan komputer: ahli komputer mungkin menemukan program yang berisi informasi yang sangat teknis lebih berharga dari satu isu manajemen meliputi dalam keamanan komputer. Sebaliknya, seorang pemula komputer akan mendapat manfaat lebih dari program pelatihan yang menyajikan dasar.

• Dengan jenis teknologi atau sistem yang digunakan: Teknik keamanan yang digunakan untuk masing-masing produk dari rak atau sistem aplikasi biasanya bervariasi. Pengguna aplikasi utama biasanya memerlukan pelatihan khusus untuk aplikasi tersebut.

Memotivasi Manajemen dan Karyawan Untuk berhasil menerapkan kesadaran dan program pelatihan, adalah penting untuk mendapatkan dukungan dari manajemen dan karyawan. Untuk alasan ini, perancang program SETA harus mempertimbangkan menggabungkan teknik motivasi ke dalam program. Teknik motivasi harus menunjukkan kepada manajemen dan karyawan bagaimana partisipasi dalam program pelatihan keamanan akan menguntungkan organisasi. Untuk memotivasi manajer, misalnya, membuat mereka sadar akan potensi kerugian dan peran pelatihan dalam keamanan komputer. Karyawan harus memahami bagaimana keamanan komputer menguntungkan mereka dan organisasi.

Mengelola Program Beberapa pertimbangan penting diterapkan ketika mengelola program pelatihan keamanan:

• Visibilitas: The visibilitas program pelatihan keamanan memainkan peran kunci dalam keberhasilan. Upaya untuk mencapai tempat yang sangat menonjol dalam organisasi harus dimulai pada tahap awal pengembangan program pelatihan keamanan.

• Metode Pelatihan: Metode yang digunakan dalam program pelatihan keamanan harus konsisten dengan materi yang disajikan dan harus disesuaikan dengan kebutuhan audiens yang spesifik itu. Beberapa metode pelatihan dan kesadaran dan teknik yang terdaftar sebelumnya dalam " Pelatihan Teknik " .

• Topik Pelatihan: Topik harus dipilih berdasarkan kebutuhan audiens .

• Materi pelatihan: Secara umum, materi pelatihan berkualitas tinggi lebih baik diterima, tetapi lebih mahal. Untuk mengurangi biaya, Anda dapat memperoleh materi pelatihan dari organisasi lain. Memodifikasi bahan yang ada biasanya lebih murah daripada mengembangkannya dari awal .

• Presentasi Pelatihan: Masalah presentasi untuk dipertimbangkan termasuk frekuensi pelatihan ( misalnya , setiap tahun atau sesuai kebutuhan ) , panjang presentasi ( misalnya , 20 menit untuk presentasi umum , satu jam untuk update , atau satu minggu untuk off-site class ) , dan gaya presentasi ( misalnya , formal, informal , berbasis komputer , lucu ) .

Mempertahankan Upaya Program harus dilakukan untuk mengikuti perubahan dalam teknologi komputer dan persyaratan keamanan. Sebuah program pelatihan yang memenuhi kebutuhan organisasi hari ini mungkin menjadi tidak efektif jika organisasi mulai menggunakan aplikasi baru atau perubahan lingkungan, seperti dengan menghubungkan ke Internet. Demikian juga, program kesadaran dapat menjadi usang jika undang-undang, kebijakan organisasi, atau praktek penggunaan umum berubah. Sebagai contoh, jika program kesadaran menggunakan contoh-contoh dari Thunderbird (program e-mail client yang populer) untuk melatih karyawan tentang kebijakan baru untuk penggunaan e-mail ketika organisasi benar-benar menggunakan klien e-mail Out look, karyawan dapat mengabaikan program pelatihan keamanan, dan oleh asosiasi, pentingnya keamanan komputer.

Mengevaluasi Program Organisasi dapat mengevaluasi program pelatihan mereka dengan memastikan seberapa banyak informasi yang disimpan, apa tingkat prosedur keamanan komputer sedang diikuti, dan sikap terhadap keamanan komputer. Hasil evaluasi tersebut akan membantu mengidentifikasi dan memperbaiki masalah. Beberapa metode evaluasi populer (yang dapat digunakan dalam hubungannya dengan satu sama lain) adalah:

• Menggunakan evaluasi peserta pelatihan untuk mengumpulkan umpan balik

• Mengamati seberapa baik karyawan mengikuti prosedur keamanan yang direkomendasikan setelah dilatih

• Pengujian karyawan pada material setelah telah dibahas dalam pelatihan

• Pemantauan jumlah dan jenis insiden keamanan komputer melaporkan sebelum dan setelah program pelatihan dilaksanakan

SECURITY AWARENESS

Salah satu metode keamanan paling sering dilaksanakan, tetapi yang paling efektif adalah program kesadaran keamanan.

Program kesadaran keamanan : ( 1 ) mengatur panggung untuk pelatihan dengan mengubah sikap organisasi, menyadari pentingnya keamanan dan konsekuensi merugikan dari kegagalan , dan ( 2 ) mengingatkan pengguna prosedur yang harus diikuti .

Sebuah program kesadaran keamanan menjaga keamanan informasi di garis depan pikiran pengguna setiap hari. Kesadaran berfungsi untuk menanamkan rasa tanggung jawab

dan tujuan karyawan yang menangani dan mengelola informasi, dan itu mengarahkan karyawan untuk lebih peduli lingkungan kerja mereka. Ketika mengembangkan program kesadaran, pastikan untuk :

• Fokus pada orang, baik sebagai bagian dari masalah dan sebagai bagian dari solusi.

• Menahan diri dari menggunakan jargon teknis, berbicara dengan bahasa yang bisa pengguna mengerti.

• Gunakan setiap tempat yang tersedia untuk mengakses semua pengguna .

• Tentukan setidaknya satu tujuan pembelajaran kunci, menyatakan dengan jelas, dan memberikan rincian yang memadai dan cakupan untuk memperkuat pembelajaran itu.

• Jauhkan hal-hal ringan, menahan diri dari " berkhotbah " kepada pengguna .

• Jangan membebani pengguna dengan terlalu banyak detail atau terlalu besar volume informasi.

• Membantu pengguna memahami peran mereka dalam keamanan informasi dan bagaimana pelanggaran keamanan yang dapat mempengaruhi pekerjaan mereka .

• Manfaatkan in- house Media komunikasi untuk menyampaikan pesan .

• Membuat program kesadaran formal; merencanakan dan mendokumentasikan semua tindakan.

• Memberikan informasi yang baik tapi awal, daripada informasi yang sempurna tapi terlambat.

Sepuluh Perintah Informasi keamanan Pelatihan Kesadaran

I. Keamanan informasi adalah orang, bukan teknis

II. Jika Anda ingin mereka mengerti, berbicara bahasa mereka.

III. Jika mereka tidak bisa melihatnya, mereka tidak akan mempelajarinya.

IV. Membuat titik sehingga Anda dapat mengidentifikasinya dengan begitu

mereka bisa.

V. Jangan pernah kehilangan rasa humor.

VI. Membuat titik Anda, mendukungnya, dan menyimpulkan.

VII. Selalu membiarkan penerima tahu bagaimana perilaku yang Anda minta akan

mempengaruhi mereka.

VIII. Naik kuda jinak. [Artinya, menyebarkan informasi tentang masalah terkenal

dan metode agar tetap segar dalam pikiran masyarakat.]

IX. Meresmikan metodologi pelatihan Anda.

X. Selalu tepat waktu, bahkan jika itu berarti menyelipkan jadwal untuk

memasukkan informasi penting