Manajemen Hak Akses

Posted on

Keamanan informasi memiliki peranan yang sangat penting dalam suatu organisasi. Salah satu aspek yang harus diperhatikan adalah manajemen akses informasi, yang melibatkan pengaturan hak akses terhadap informasi yang ada di perusahaan. Hal ini mencakup pengendalian akses fisik terhadap informasi, pemantauan aktivitas pengguna yang mengakses atau telah mengakses informasi tersebut, serta mencatat waktu akses yang terjadi. Prinsip ini juga berlaku baik untuk data perusahaan yang disimpan dan/atau direplikasi di server lokal atau jarak jauh, maupun dalam lingkungan cloud.

Risiko yang Dihadapi

Beberapa risiko yang dapat terjadi adalah:

  1. Karyawan mengakses, mengubah, berbagi, atau menghapus file sensitif seperti catatan gaji atau data pribadi karyawan, serta data rahasia perusahaan.
  2. Karyawan mengakses aplikasi yang tidak diizinkan.
  3. Kecurangan, pencurian identitas, sabotase, pemerasan, atau spionase.

Kontrol Akses dan Otoritas

Diperlukan pengendalian terhadap siapa yang memiliki hak akses terhadap file, folder, dan aplikasi tertentu, baik secara individu maupun dalam kelompok. Ini dapat dilakukan dengan menggunakan Active Directory jika menggunakan Windows Server atau dengan menggunakan pendekatan serupa pada sistem operasi lainnya. Sebagai contoh, semua anggota departemen akuntansi dapat diberi akses ke buku besar pembelian, tetapi hanya mereka yang memiliki hak akses tambahan yang diizinkan untuk melihat rincian gaji. Beberapa hal yang perlu diperhatikan adalah:

  1. Lakukan evaluasi secara rutin terhadap individu yang memiliki akses terhadap informasi dan sesuaikan hak akses sesuai kebutuhan.
  2. Batasi jumlah dan cakupan karyawan yang memiliki status ‘administrator’.
  3. Pertimbangkan secara teliti bagaimana alokasi hak akses harus dilakukan. Misalnya, dalam organisasi yang lebih besar, ini dapat berdasarkan peran individu daripada per individu.
  4. Berikan akun pengguna hanya hak akses yang diperlukan untuk tugas mereka. Sebagai contoh, pengguna yang bertugas melakukan backup tidak perlu memiliki hak untuk menginstal perangkat lunak, tetapi hanya menjalankan aplikasi backup. Blokir semua hak akses lainnya, seperti instalasi perangkat lunak baru (prinsip kebutuhan paling sedikit).
  5. Pertimbangkan menerapkan kontrol tambahan pada pengguna dengan hak akses khusus, seperti pengawasan yang lebih ketat.
  6. Setiap karyawan harus memiliki ID pengguna yang unik – login dengan nama pengguna dan otentikasi menggunakan kata sandi. Hal ini harus diperlakukan seperti kunci kantor atau kode alarm individu dan tidak boleh dibagikan atau dikompromikan dengan cara apapun.
  7. Pada organisasi yang lebih besar, ketika membuat catatan untuk karyawan baru, pastikan tugas mempersiapkan catatan karyawan, pengaturan gaji, dan akses IT dilakukan oleh orang yang berbeda (pemisahan tugas).
  8. Pastikan bahwa setiap komputer mengharuskan login yang aman dan diatur untuk otomatis logout jika tidak digunakan selama beberapa menit tanpa pengawasan.
  9. Teliti dengan seksama hak akses yang diberikan kepada karyawan saat mereka bergabung dengan perusahaan atau mengubah peran/jabatan.
  10. Segera hapus hak akses pengguna setelah mereka meninggalkan perusahaan.

Kontrol Akses dan Otentikasi

Setelah pengguna melakukan identifikasi (melalui penggunaan nama pengguna) dan diberikan izin untuk mengakses file, folder, atau aplikasi tertentu, mereka harus membuktikan bahwa mereka adalah orang yang sebenarnya dan sesuai dengan yang mereka klaim. Terdapat tiga metode dasar untuk membuktikan identitas:

  1. Barang yang dimiliki oleh pengguna, seperti smartcard, kunci, atau token elektronik – atau kunci enkripsi unik yang dihasilkan secara acak.
  2. Informasi yang diketahui oleh pengguna, seperti kata sandi, PIN, atau nama gadis ibu.
  3. Karakteristik unik yang dimiliki oleh pengguna, seperti pemindaian sidik jari atau iris.

Menggunakan salah satu faktor ini, biasanya kata sandi, memberikan tingkat kepercayaan yang wajar terhadap identitas seseorang. Namun, menggunakan otentikasi dengan dua atau tiga faktor lebih aman karena membuat peniruan lebih sulit.

Dalam hal kata sandi, perhatikan hal-hal berikut:

  1. Pastikan karyawan menggunakan kata sandi yang kuat. Konfigurasikan sistem agar hanya menerima kata sandi yang kuat dan mengunci akun setelah beberapa percobaan yang gagal dengan kata sandi.
  2. Berikan pengguna pemahaman tentang pentingnya kata sandi dan risiko social engineering.
  3. Ubah kata sandi default.
  4. Atur kebijakan agar pengguna secara teratur mengubah kata sandi pada interval yang telah ditentukan.
  5. Saat membuang peralatan yang tidak digunakan lagi, pastikan kata sandi dan informasi rahasia lainnya dihapus dengan aman.

Dengan menerapkan manajemen akses informasi dan kontrol otentikasi yang sesuai, organisasi dapat secara signifikan meningkatkan keamanan fisiknya. Dengan memastikan bahwa hanya individu yang memiliki otorisasi yang dapat mengakses informasi sensitif dan dengan menjaga kerahasiaan kata sandi dan identitas pengguna, risiko keamanan dapat diminimalisir. Keamanan fisik yang kuat dan terlindungi akan membantu melindungi aset berharga perusahaan dari penyalahgunaan, kehilangan, serta serangan oleh pihak yang tidak berwenang.