Keselamatan data - Sejauh mana syarikat melindunginya?
By MOHD RIDZWAN MD IMAN
11th June 2003 (Utusan Malaysia)

KAJIAN terbaru terhadap 2,000 syarikat-syarikat terkenal dunia mendapati kebanyakan daripada syarikat tersebut mempunyai kelemahan dari segi pengurusan sistem keselamatan memandangkan kurangnya pemahaman dalam bidang tersebut.

Sebagi contoh, kajian Stanford University dan Hong Kong University of Science and Technology itu mendapati lebih separuh daripada responden mengambil masa antara dua hingga 14 hari bagi menamatkan kemudahan akses kakitangan yang ditamatkan pekerjaannya.

Keadaan ini sudah tentu amat membimbangkan kerana jika kakitangan yang ditamatkan perkhidmatan masih mempunyai akses kepada sistem syarikat, adalah dikhuatiri mereka mampu melakukan perkara yang tidak diingini.

Sebagai contoh, seorang kakitangan di sebuah bank pelaburan terkenal yang telah meninggalkan syarikat itu dan telah bertugas di sebuah syarikat pesaing, masih boleh mendapatkan mel suara beliau dan juga mendapat pengumuman dalaman syarikat walaupun selepas sebulan beliau meninggalkan syarikat itu.

Kajian ini telah membuktikan yang syarikat-syarikat di seluruh dunia masih tidak memberi penekanan yang besar dalam bidang keselamatan maklumat dan sudah tentu perkara yang sama turut berlaku kepada syarikat dan organisasi tempatan.

Keselamatan komputer sebenarnya adalah satu bidang yang keperluannya sangat tinggi dalam perniagaan masa kini memandangkan penggunaan teknologi maklumat (IT) yang meluas dalam operasi harian sesebuah syarikat.

Sehubungan itu syarikat seharusnya mempunyai sistem pengurusan terbaik dalam menangani masalah keselamatan data atau maklumat, dan mendapatkan sijil pengiktirafan mengenainya merupakan satu jalan terbaik dalam menangani masalah tersebut.

The British Standards Institute (BSI) telah memperkenalkan sijil standard dalam sistem pengurusan keselamatan keselamatan maklumat (ISMS) dan standard terbaru ialah BS7799 Part 2 (BS7799-2) yang diperkenalkan oleh SIRIMQAS International Sdn. Bhd. (anak syarikat SIRIM Berhad) di negara ini.

Pelaksanaan ISMS akan membolehkan pihak pengurusan kanan organisasi memantau dan mengawal keselamatan, meminimakan risiko perniagaan dan memastikan sistem keselamatan memenuhi segala keperluan yang diperlukan oleh syarikat, pelanggan dan perundangan.

Menurut SIRIMQAS, organisasi yang telah mendapat pensijilan BS7799-2 atau MS ISO 17799 tersebut telah mempunyai sistem yang mampu melindungi kerahsiaan, integriti dan kesediaan maklumat yang diterima, disimpan dan dipindahkan secara dalam talian.

Memandangkan perkhidmatan tersebut masih baru, setakat ini hanya sebuah syarikat yang telah mendapat sijil tauliah BS7799 iaitu e-Cop.net Surveillance Sdn. Bhd., syarikat kerjasama e-Cop.net Pte. Ltd. dari Singapura dan Ancom Berhad.

e-Cop.net, syarikat penyedia perkhidmatan pemantauan keselamatan berkaitan Internet itu memperolehi pentauliahan BS7799-2pada Disember tahun lepas di Singapura dari syarikat yang menawarkan perkhidmatan pengauditan British Standard di negara tersebut.

"Keselamatan data sangat penting masa kini memandangkan organisasi sekarang amat bergantung kepada IT dalam operasi mereka,'' kata Ketua pegawai eksekutif e-Cop.net Malaysia, Alan See.

Beliau berkata, kesemua maklumat perniagaan kini telah diletakkan ke dalam sistem IT dan adalah penting memastikan yang ia disimpan dengan cara yang terbaik dan selamat.

Katanya, dahulu syarikat-syarikat begitu aktif berusaha mendapatkan sijil standard seperti ISO9000, ISO9002 dan sebagainya tetapi ia lebih kepada standard dalam kerja-kerja pengurusan di pejabat.

"Kini keperluan mendapatkan sijil semakin bertambah memandangkan sistem pengurusan maklumat juga harus diambil kira,'' katanya dalam temubual bersama Utusan Malaysia, baru-baru ini.

Sistem keselamatan maklumat perlu diaudit dan dipastikan dalam usaha melindunginya telah dijalankan sebaik mungkin memandangkan ia merupakan 'jantung' sesebuah syarikat.

Pelaksanaan sistem perniagaan berasaskan Internet seperti e-perbankan, e-dagang, e-kerajaan dan sebagainya misalnya akan meningkatkan lagi kepentingannya memandangkan perniagaan seumpama itu sudah tentu mendedahkan sistem pengkomputeran kepada ancaman keselamatan di Internet.

Sistem pengurusan keselamatan maklumat yang diperlukan bagi mendapatkan sijil standard tersebut merangkumi bahagian pusat data, komputer fail, proses transaksi, pengurusan fail, kawalan akses web.

Sesebuah syarikat perlu memenuhi kriteria-kriteria yang ditetapkan oleh SIRIMQAS atau mana-mana agensi pentauliah sijil BS7799 sebelum boleh mendapat pengiktirafan tersebut.

Selain SIRIMQAS, AJA EQS Malaysia Sdn. Bhd. juga merupakan antara syarikat yang menawarkan perkhidmatan pensijilan BS7799 berasaskan British Standard tersebut.

Faktor terpenting dalam mendapatkan pengiktirafan ini ialah menjalankan analisis risiko, pengenalan tahap kawalan, proses peningkatan dan kawalan pengurusan dengan betul dalam menghadapi sebarang situasi.

Antara kriteria tersebut ialah membentuk polisi keselamatan untuk kawalan akses kakitangan, akses fizikal dan sebagainya, membentuk keselamatan dan kawalan persendirian untuk akses tapak web, pelan tindakan dan sebagainya.

Membentuk polisi pengurusan keselamatan merupakan elemen yang terpenting memandangkan ia menjadi rujukan kepada perancangan untuk membentuk sistem pengurusan keselamatan yang akan dilaksanakan bagi sesebuah syarikat.

"Peranan pengurusan tertinggi dalam syarikat amat diperlukan dalam menjayakan projek ini kerana hanya mereka yang mampu memastikan kakitangan bawahan melaksanakan segala yang dirancang,'' kata Alan See.

Kesemua polisi yang didokumenkan perlu diterbitkan untuk kegunaan kakitangan dan semua kakitangan perlu menjalani latihan bagaimana melaksanakan segala perancangan yang ditetapkan dalam pelan pengurusan tersebut.

Syarikat juga perlu mengenalpasti dan menklasifikasikan kepentingan dan kerahsiaan maklumat bagi memudahkan ia mendapat keutamaan terlebih dahulu dalam perancangan perlindungannya, terutama hanya boleh diakses oleh mereka yang layak sahaja.

Jika sesebuah syarikat telah menjalani proses mendapatkan sijil ISO 9000/14000, mereka akan lebih biasa dengan segala prosedur yang diperlukan dalam mendapatkan sijil BS7799 tersebut.

Bagi memudahkan lagi organisasi mendapatkan pengiktirafan tersebut, e-Cop juga telah membangunkan kit peralatan ISMS yang mampu membantu organisasi melaksanakan pelbagai prosedur yang diperlukan dalam usaha mendapatkan pengiktirafan BS7799 tersebut.

Kesimpulan, mendapatkan sijil standard kini telah beralih daripada era hanya berkisar kepada proses pengurusan operasi dalam sesebuah syarikat tetapi kini telah memasuki era standard dalam proses melindungi maklumat yang merupakan harta paling berharga kepada sesebuah organisasi pada zaman perniagaan 'e' masa kini.

Sehubungan itu, mendapatkan sijil standard pengurusan keselamatan akan memberikan lebih keyakinan pengurusan, pemegang saham dan juga pengguna kepada integriti syarikat dalam menjalankan perniagaan dan melindungi maklumat mereka.