JENIS-JENIS KEAMANAN SISTEM INFORMASI

Jenis - Jenis keamanan Sistem Informasi

• keamanan fisik
• keamanan informasi
• keamanan komputer
• keamanan finansial

Konsep keamanan

Beberapa konsep terjadi di beberapa bidang keamanan.

• risiko - sebuah risiko adalah kemungkinan kejadian yang menyebabkan kehilangan
• ancaman - sebuah ancaman adalah sebuah metode merealisasikan risiko
• countermeasure - sebuah countermeasure adalah sebuah cara untuk menghentikan ancaman
• pertahanan dalam kedalaman - jangan pernah bergantung pada satu pengatasan keamanan saja.
• asuransi - asuransi adalah tingkatan jaminan bahwa sebuah sistem keamanan akan berlaku seperti yang diperkirakan.

Standar keamanan

• TCSEC (Orange Book)
• Common Criteria
• ISO 17799:2000 Code of practice for information security management 

Aspek keamanan sistem informasi

• Authentication : agar penerima informasi dapat memastikan keaslian pesan tersebut datang dari orang yang dimintai informasi.
• Integrity : keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi tersebut.
• Authority : Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.
• Confidentiality : merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses.
• Privacy : merupakan lebih ke arah data-data yang sifatnya privat (pribadi).

Aspek ancaman keamanan komputer atau keamanan sistem informasi

• Interruption : informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
• Interception : Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.
• Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
• Fabrication : orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.

Metodologi Keamanan Sistem Informasi

• Keamanan level 0 : keamanan fisik, merupakan keamanan tahap awal dari komputer security. Jika keamanan fisik tidak terjaga dengan baik, maka data-data bahkan hardware komputer sendiri tidak dapat diamankan.

• Keamanan level 1 : terdiri dari database, data security, keamanan dari PC itu sendiri, device, dan application. Contohnya : jika kita ingin database aman, maka kita harus memperhatikan dahulu apakah application yang dipakai untuk membuat desain database tersebut merupakan application yang sudah diakui keamanannya seperti oracle. Selain itu kita harus memperhatikan sisi lain yaitu data security. Data security adalah cara mendesain database tersebut. Device security adalah alat-alat apa yang dipakai supaya keamanan dari komputer terjaga. Computer security adalah keamanan fisik dari orang-orang yang tidak berhak mengakses komputer tempat datadase tersebut disimpan.
• Keamanan level 2 : adalah network security. Komputer yang terhubung dengan jaringan sangat rawan dalam masalah keamanan, oleh karena itu keamanan level 2 harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal yang dapat merusak keamanan data tersebut.
• Keamanan level 3 : adalah information security. Keamanan informasi yang kadang kala tidak begitu dipedulikan oleh administrator seperti memberikan password ke teman, atau menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika informasi tersebut diketahui oleh orang yang tidak bertanggung jawab.
• Keamanan level 4 : merupakan keamanan secara keseluruhan dari komputer. Jika level 1-3 sudah dapat dikerjakan dengan baik maka otomatis keamanan untuk level 4 sud

Cara mendeteksi suatu serangan atau kebocoran sistem

Terdiri dari 4 faktor yang merupakan cara untuk mencegah terjadinya serangan atau kebocoran sistem :

• Desain sistem : desain sistem yang baik tidak meninggalkan celah-celah yang memungkinkan terjadinya penyusupan setelah sistem tersebut siap dijalankan.

• Aplikasi yang Dipakai : aplikasi yang dipakai sudah diperiksa dengan seksama untuk mengetahui apakah program yang akan dipakai dalam sistem tersebut dapat diakses tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi sudah mendapatkan kepercayaan dari banyak orang.
• Manajemen : pada dasarnya untuk membuat suatu sistem yang aman/terjamin tidak lepas dari bagaimana mengelola suatu sistem dengan baik. Dengan demikian persyaratan good practice standard seperti Standard Operating Procedure (SOP) haruslah diterapkan di samping memikirkan hal teknologinya.
• Manusia (Administrator) : manusia adalah salah satu fakor yang sangat penting, tetapi sering kali dilupakan dalam pengembangan teknologi informasi dan dan sistem keamanan. Sebagai contoh, penggunaan password yang sulit menyebabkan pengguna malah menuliskannya pada kertas yang ditempelkan di dekat komputer. Oleh karena itu, penyusunan kebijakan keamanan faktor manusia dan budaya setempat haruslah sangat diperhatikan

Langkah keamanan sistem informasi

• Aset : Perlindungan aset merupakan hal yang penting dan merupakan langkah awal dari berbagai implementasi keamanan komputer. Contohnya: ketika mendesain sebuah website e-commerce yang perlu dipikirkan adalah keamanan konsumen. Konsumen merupakan aset yang penting, seperti pengamanan nama, alamat, ataupun nomor kartu kredit.
• Analisis Resiko : adalah tentang identifikasi akan resiko yang mungkin terjadi, sebuah even yang potensial yang bisa mengakibatkan suatu sistem dirugikan.
• Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan Internet Firewall yaitu suatu akses yang mengendalikan jaringan internet dan menempatkan web dan FTP server pada suatu server yang sudah dilindungi oleh firewall.
• Alat : alat atau tool yang digunakan pada suatu komputer merupakan peran penting dalam hal keamanan karena tool yang digunakan harus benar-benar aman.
• Prioritas : Jika keamanan jaringan merupakan suatu prioritas, maka suatu organisasi harus membayar harga baik dari segi material maupun non material. Suatu jaringan komputer pada tahap awal harus diamankan dengan firewall atau lainnya yang mendukung suatu sistem keamanan.

Strategi dan taktik keamanan sistem informasi

• Keamanan fisik : lapisan yang sangat mendasar pada keamanan sistem informasi adalah keamanan fisik pada komputer. Siapa saja memiliki hak akses ke sistem. Jika hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.
• Kunci Komputer : banyak case PC modern menyertakan atribut penguncian. Biasanya berupa soket pada bagian depan case yang memungkinkan kita memutar kunci yang disertakan ke posisi terkunsi atau tidak.
• Keamanan BIOS : BIOS adalah software tingkat terendah yang mengonfigurasi atau memanipulasi hardware. Kita bisa menggunakan BIOS untuk mencegah orang lain me-reboot ulang komputer kita dan memanipulasi sisten komputer kita.
• Mendeteksi Gangguan Keamanan Fisik : hal pertama yang harus diperhatikan adalah pada saat komputer akan di-reboot. Oleh karena Sistem Operasi yang kuat dan stabil, saat yang tepat bagi komputer untuk reboot adalah ketika kita meng-upgrade SO, menukar hardware dan sejenisnya.

KEAMANAN DAN KONTROL SISTEM INFORMASI

Pentingnya pengendalian Sistem Informasi
Informasi adalah Suatu hal yang amat penting bagi para informan atau pengguna informasi itu sendiri, maka dari itu harus diadakannya suatu pengendalian informasi agar lebih terkontrol dan memastikan akan informasi tersebut sesuai dengan tujuannya .

Tugas Pengendalian Sistem Informasi
Sebuah informasi layaknya sebuah siklus kehidupan, selama siklus tersebut berjalan membutuhkan sebuah tahapan, dalam informasi juga ada tahapan yaitu kontrol proses pengembangan, kontrol disain dan kontrol operasi. Agar informasi tersebut tepat dan mengena dengan tujuan dari informasi tersebut.
Kontrol Proses Pengembangan
Tujuan dari proses ini adalah untuk memastikan bahwa informasi ini terimplementasikan dan dapat memenuhi kebutuhan para informan.


Hal-hal yang tercakup dalam pengembangan adalah:

Manajemen puncak menetapkan kontrol proyek secara keseluruhan selama fase perencanaan dengan cara membentuk komite SIM.
Manajemen memberitahu pemakai mengenai orientasi sistem informasi.
Manajemen menentukan kriteria penampilan yang digunakan dalam mengevaluasi operasi sistem informasi.
Manajemen dan bagian pelayanan informasi menyusun disain dan standar sistem informasi.
Manajemen dan pelayanan informasi secara bersama-sama mendefinisikan program pengujian yang dapat diterima.
Manajemen melakukan peninjauan sebelum instalasi yang dilakukan tepat setelah penggantian dan secara berkala meninjau sistem informasi untuk memastikan apakah ia memenuhi kriteria penampilan.
Bagian pelayanan informasi menetapkan prosedur untuk memelihara dan memodifikasi sistem informasi dan prosedur yang disetujui oleh manajemen.


Kontrol Disain Sistem
Tujuan dari proses ini adalah untuk memastikan akan berjalannya sebuah fase dari sistem informasi yang ada, analisis sistem, DBA, dan Manajer jaringan membangun sebuah tahapan pengontroloan tertentu dalam sebuah sistem disain. Selama prases tersebut, prgramer menggabungkan kontrol tersebut ke dalam sistem informasi. Disain sistem dikontrol dengan cara mengontrol dengan sistem melalui lima cara atau proses yaitu:

1.Permulaan Transaksi ( Transection Organization)
Tata cara yang harus dilakukan adalah sebagai berikut:
Permulaan dokumen sumber
Kewenangan
Pembuatan input computer
Penanganan kesalahan
Penyimpanan dokumen sumber
2.Entri Transaksi (Transection Entry)
Entri transaksi adalah mengubah suatu dokumen agar dapat di baca oleh komputer, proses ini menjaga agar informasi terakurai dengan baik dan sesuai pada tujuan tersebut yang akan di transmisikan pada jaringan komunikasi atau komputer, area kontrol tersebut meliputi:

Entri data
Verifikasi data
Penanganan kesalahan
Penyeimbangan batch

3.Komunikasi Data (Data Communication)
Sebuat kompyter yang ada pada jaringan memberikan peluang keamanan yang lebih besar dari pada suatu homputer yang ada pada suatu ruang. Area kontrol ini meliputi :


Kontrol pengiriman pesan
Kontrol saluran (channel) komunikasi
Kontrol penerimaan pesan
Rencana pengamanan datacom secara menyeluruh
4. Pemrosesan Komputer (Computer Processing)
Pada umumnya proses tersebut adalah dengan memasukan data atau informasi ke dalam komputer. Areanya meliputi:


Penanganan data
Penanganan kesalahan
Database dan perpustakaan software
Sebagian besar kontrol database dapat diperoleh melalui penggunaan Sistem Manajemen Database (Database Management System/DBMS)
Tingkat keamanan dalam DBMS terdiri dari :
. Kata kunci (Password)
. Direktori pemakai (User Directory)
. Direktori elemen data (Field Directory)
. Enkripsi (Encryption)


5. Output Komputer (Computer Output)
Tugas dari output ini adalah bertenggung jawab atas informasi yang dikirim kepada informan atau pengguna informasi. Yangtermasuk dalam informasi ini adalah:
. Penyeimbangan operasi komputer
. Distribusi
. Penyeimbangan departemen pemakai
. Penanganan kesalahan
. Penyimpanan record


Kontrol Terhadap Pengoperasian Sistem
Kontrol pengoperasian system didasarkan pada struktur organisasional dari departemen operasi, aktivitas dari unit yang ada dalam departemen tersebut.
Kontrol yang memberikan kontribusi terhadap tujuan ini dapat diklasifikasikan menjadi lima area:

1. Struktur organisasional

Staf pelayanan informasi diorganisir menurut bidang spesialisasi. Analisis,

Programmer, dan Personel operasi biasanya dipisahkan dan hanya

mengembangkan ketrampilan yang diperlukan untuk area pekerjaannya sendiri.

2. Kontrol perpustakaan

Perpustakaan komputer adalah sama dengan perpustakaan buku, dimana

didalamnya ada pustakawan, pengumpulan media, area tempat penyimpanan

media dan prosedur untuk menggunakan media tersebut. Yang boleh mengakses

perpustakaan media hanyalah pustakawannya.

3. Pemeliharaan Peralatan

Orang yang tugasnya memperbaiki computer yang disebut Customer Engineer

(CE) / Field Engineer (FE) / Teknisi Lapangan menjalankan pemeliharaan yang

terjadwal / yang tak terjadwal.

4. Kontrol lingkungan dan keamanan fasilitas

Untuk menjaga investasi dibutuhkan kondisi lingkungan yang khusus seperti ruang

computer harus bersih keamanan fasilitas yang harus dilakukan dengan

penguncian ruang peralatan dan komputer.

5. Perencanaan disaster

i. Rencana Keadaan darurat

Prioritas utamanya adalah keselamatan tenaga kerja perusahaan

ii. Rencana Backup

Menjelaskan bagaimana perusahaan dapat melanjutkan operasinya dari ketika

terjadi bencana sampai ia kembali beroperasi secara normal.

iii. Rencana Record Penting

Rencana ini mengidentifikasi file data penting & menentukan tempat penyimpanan

kopi duplikat.

iv. Rencana Recovery

Rencana ini mengidentifikasi sumber-sumber peralatan pengganti, fasilitas

komunikasi da pasokan-pasokan.

Kesimpulan : 
Keamanan adalah proteksi/perlindungan sumber-sumber fisik dan konseptual dari bahaya alam dan manusia. cara untuk menembus keamanan data dan Informasi yaitu ACCIDENTAL & INTERNATIONAL yang masing-masing terdiri dari modification, destruction & dislosure. Pengendalian Sistem Informasi yaitu kegiatan-kegiatan yang dilakukan manajer system informasi untuk meyakinkan bahwa pengendalian-pengendalian di dalam system teknologi informasi masih tetap dilakukan dan masih efektif dalam mencegah ancaman dan gangguan terhadap system informasi.  Tujuan pengontrolan adalah untuk memastikan bahwa CBIS telah diimplementasikan seperti yang direncanakan, system beroperasi seperti yang dikehendaki, dan operasi tetap dalam keadaan aman dari penyalahgunaan atau gangguan Properti Sistem Yang Memberikan Keamanan.

Access Control key faktor dari Information System Security(ISS)

Salah satu bagian mendasar dalam Information System Security adalah Access Control. Menurut definisi dari CISSP (Certified Information System Security Profesional) Study Guide, Access Control didefinisikan sebagai suatu proses untuk mengatur / mengontrol siapa saja yang berhak mengakses suatu resource-rosource tertentu yang terdapat di dalam sebuah sistem.

Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk mengases suatu resource tertentu dan apakah orang tersebut memiliki hak akses (authorized) untuk mengakses resource tersebut.


Access control memproteksi data terhadap unauthorize access atau akses yang dilakukan oleh orang yang memang tidak memiliki hak akses terhadap reource tersebut. Akses di sini bisa berupa melihat data (view) ataupun melakukan perubahan terhadapt suatu data (modify).

Ketika membahas tentang Access Control, kita akan menemui dua entitas utamayang terlibat, yaitu:

 1. Subject of the Access Control
Yang menjadi subject di sini adalah entitas yang mengajukan request / permintaan untuk melakukan akses ke data.

2. Object of the Access Control
Yang menjadi object di sini adalah entitas yang mengandung atau mengatur data. Atau dengan kata lain object adalah resource yang tersedia di dalam suatu sistem.

Security Management

Security Management IT => part of manager’s job
– Bertanggung-jawab dalam melindungi informasi (information
    protection) terhadap insiden keamanan
– Berhubungan dengan kebijakan/strategi dan operasionil
    bagian dari quality (assurance) management
• Issues:
– Insiden: event yg dapat terjadi baik disengaja atau tidak yang
    merugikan nilai dari informasi
– Meniadakan insiden? Sulit dilakukan!
   Mencapai ―acceptable level dari resiko.
– Faktor penting perlindungan nilai dari informasi:
    Kerahasiaan, Integritas dan Ketersediaan informasi

Pembagian ISS menurut bidang

-      Information security management (ISM) adalah Aktifitas untuk menjaga sumber daya informasi tetap aman

-      Business continuity management (BCM) Adalah aktifitas menjaga fungsi perusahaan dan sumber informasi setelah sebuah bencana

-      Corporate information systems security officer (CISSO) adalah Bertanggung jawab atas keamanan sistem informasi perusahaan

-      Corporate information assurance officer (CIAO) Melaporkan kepada CEO dan mengelola sebuah unit  information assurance

Tanggung jawab dan tugas ISS

Gambaran umum

1. Information systems (IS) that are used to capture, create, store, process or distribute classified information must be properly managed to protect against unauthorized disclosure of classified information, loss of data integrity, and to ensure the availability of the data and system. Sistem informasi (IS) yang digunakan untuk menangkap, membuat, menyimpan, mengolah atau mendistribusikan informasi rahasia harus dikelola dengan baik untuk melindungi terhadap pengungkapan yang tidak sah dari informasi rahasia, hilangnya integritas data, dan untuk memastikan ketersediaan data dan sistem.
2. Protection requires a balanced approach including IS security features to include but not limited to, administrative, operational, physical, computer, communications, and personnel controls. Perlindungan memerlukan pendekatan yang seimbang, termasuk IS fitur keamanan untuk termasuk tetapi tidak terbatas pada, administrasi, operasional, kontrol fisik, komputer, komunikasi, dan personil. Protective measures commensurate with the classification of the information, the threat, and the operational requirements associated with the environment of the IS are required.Sepadan dengan klasifikasi informasi, ancaman, dan persyaratan operasional terkait dengan lingkungan IS diperlukan langkah-langkah protektif.
3. The requirements outlined in the following sections apply to all information systems processing classified information. Persyaratan yang diuraikan dalam bagian berikut berlaku untuk semua sistem informasi pengolahan informasi rahasia. Additional requirements for high-risk systems and data are covered in the NISPOM Supplement.Persyaratan tambahan untuk risiko tinggi sistem dan data yang tercakup dalam Tambahan NISPOM

Tanggung jawab

1. The CSA shall establish a line of authority for training, oversight, program review, certification, and accreditation of IS used by contractors for the processing of classified information. CSA harus menetapkan garis kewenangan untuk pelatihan, pengawasan, program review, sertifikasi, dan akreditasi IS digunakan oleh kontraktor untuk pengolahan informasi rahasia. The CSA will conduct a risk management evaluation based on the contractor's facility, the classification, and sensitivity of the information processed. CSA ini akan melakukan evaluasi manajemen risiko berdasarkan fasilitas kontraktor, klasifikasi, dan sensitivitas informasi yang diproses. The evaluation must ensure that a balanced, cost-effective application of security disciplines and technologies is developed and maintained. Evaluasi harus memastikan bahwa, seimbang hemat biaya penerapan disiplin keamanan dan teknologi yang dikembangkan dan dipelihara.
2. Contractor management will publish and promulgate an IS Security Policy addressing the classified processing environment. Manajemen Kontraktor akan menerbitkan dan menyebarluaskan suatu Kebijakan Keamanan IS menangani lingkungan pengolahan rahasia. Additionally, an IS Security Manager (ISSM) will be appointed with oversight responsibility for the development, implementation, and evaluation of the facility's IS security program.Selain itu, IS Security Manager (ISSM) akan ditunjuk dengan tanggung jawab pengawasan untuk pengembangan, implementasi, dan evaluasi fasilitas IS program keamanan. Contractor management will assure that the ISSM is trained to a level commensurate with the complexity of the facility's IS. Manajemen Kontraktor akan memastikan bahwa ISSM tersebut dilatih untuk tingkat yang sepadan dengan kompleksitas fasilitas IS.

Apasih Information System Security itu?

Blog ini menceritakan tentang kegunaan  Information System security dan pengertiannya, dan mungkin blog ini dapat memberikan wawasan kepada kalian yang membaca blog ini :)

Oke guys for the first saya ingin menjelaskan mengapa ISS ini penting sekali untuk perusahaan?

Berdasarkan informasi dari buku Whitman, M.E., & Mattord, H.J.(2010) Management of Information Security, Security atau Keamanan adalah "Kualitas atau keadaan menjadi aman-untuk bebas dari bahaya" Agar aman yang akan dilindungi dari musuh atau bahaya lainnya.

Sedangkan seperti yang kita ketahui, Information Systems atau Sistem Informasi adalah kombinasi dari teknologi informasi dan aktivitas orang yang menggunakan teknologi itu untuk mendukung operasi dan manajemen. Dalam arti yang sangat luas, istilah sistem informasi yang sering digunakan merujuk kepada interaksi antara orang, proses algoritmik, data, dan teknologi.

Perlu dketahui, bahwa untuk memberikan atau menyediakan Keamanan maka harus ada yang namanya Manajemen Keamanan atau Security Management. Maka untuk lebih jelas kita bagi materi menjadi 2 bagian yaitu Security dan Management.

Security atau Keamanan

Area untuk Keamanan dibagi menjadi:

1. Physical Security atau Keamanan Fisik, Strategi untuk melindungi orang, aset fisik, dan tempat kerja dari berbagai ancaman. Contohnya: Penguncian ruangan komputer.
2. Operation Security atau Keamanan Operasi, fokus pada mengamankan kemampuan organisasi untuk melaksanakan kegiatan operasionalnya. Contohnya: Prosedur operasi dan peraturan yang dibuat untuk menjaga operasi berlangsung lancar.
3. Communication Security atau Keamanan Komunikasi, perlindungan organisasi media komunikasi, teknologi, dan konten. Contohnya: Ada authorisasi untuk mengakses informasi dalam suatu organisasi.
4. Network Security atau Keamanan Jaringan, perlindungan perangkat jaringan data organisasi, koneksi, dan isinya. Contohnya: adanya antivirus dan malware. 

Selain dari 4 area diatas, yang dilindungi berikutnya adalah Informasi. Keamanan Informasi untuk menjamin bahwa informasi didalam organisasi tidak dimanfaat oleh pihak-pihak yang ingin merugikan organisasi.

C.I.A TRIANGLE adalah 3 kunci karakteristik informasi yang harus dilindungi oleh Information Security:

1. Confidentiality, hanya pihak yang berwenang yang dapat melihat informasi.Contohnya: menggunakan Cryptography (Enkripsi).
2. Integrity,  Informasi benar dan tidak berubah-ubah.
3. Availability, Data hanya dapat diakses oleh pengguna yang berwenang.

Sekarang Model CIA ini sudah berkembang menjadi lebih luas, 3 karakteristik diatas ditambahkan karakteristik-karakteristik penambahan seperti:

1. Privacy, Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi untuk tujuan yang benar dan pemilik informasi mempercayakannya pada organisasi.
2. Identification, Sistem informasi memiliki karakteristik untuk mengenali user dengan menggunakan ID atau username.
3. Authenthication, membuktikan bahwa user memiliki identitas yang disebutnya
4. Authorization, berhubungan dengan memberikan akses kepada user yang tepat sehingga informasi tidak disalahgunakan.
5. Accountability, keberadaan informasi ada apabila suatu aktivitas memiliki data.

Security Management atau Manajemen Keamanan

Manajemen adalah Proses mencapai sutau tujuan menggunakan sumber daya yang sudah diberikan.
Berkaitan dengan manajemen, maka kita harus mengenal tipe-tipe manajer atau leader yang baik yang dapat melaksanakan Manajemen Keamanan sesuai dengan kebutuhan dengan baik pula. Selain itu kita harus dapat mengidentifikasikan juga tugas-tugas manajemen secara umum.

Jenis Perilaku Pemimpin, ada tiga jenis dan perlu diingat:

1. Autocratic, semua pengambilan keputusan di lakukan sendiri oleh dirinya, jenis manager "DO AS I SAY"
2. Democratic, pengambilan keputusan tidak dilakukan sendiri, tetapi meminta masukan dari semua pihak yang berkepentingan, meminta ide dan saran dan mengambil keputusan mayoritas.
3. The Laissez-Faire, sering hanya melihat aliran saja, pengambilang keputusan dilakukan secara minimal.

Karakterisitik Pekerjaan Manajemen ada dua teori yaitu teori manajemen tradisional (Planning, Organizing, Staffing, Directing dan Controlling) dan teori manajemen populer (Planning, Organizing, Leading, Controlling):

1. Planning, proses yang mengembangkan, menciptakan, dan menerapkan strategi untuk pencapaian tujuan. Ada tiga tingkat perencanaan yaitu strategic planning, tactical planning,operational planning.
2. Organizing, fungsi manajemen didedikasikan untuk penataan sumber daya untuk mendukung pencapaian tujuan.
3. Leading, mendorong pelaksanaan perencanaan dan fungsi pengorganisasian. Ini termasuk mengawasi perilaku karyawan, kinerja, kehadiran, dan sikap.
4. Controlling, pemantauan kemajuan penyelesaian, dan membuat penyesuaian yang diperlukan untuk mencapai tujuan yang diinginkan.

Seorang manajer juga harus mampu menyelesaikan masalah. Apakah masalah adalah profil rendah atau tinggi, proses dasar, dapat digunakan cara yang sama untuk menyelesaikannya. Metodologi yang dijelaskan dalam langkah-langkah berikut dapat digunakan sebagai blue-print untuk menyelesaikan banyak masalah operasional
Step 1: Recognize and Define the Problem
Step 2: Gather Facts and Make Assumption
Step 3: Develop Possible Solutions
Step 4: Analyze and Compare Possible Solutions
Step 5: Select, Implement, and Evaluate a Solution

Principles of Information Security Management

Inti dari section kali ini adalah memahami prinsip-prinsip dasar dasar dari Manajemen Keamanan Informasi, ada enam langkah yang biasanya disebut SIX Ps, diantaranya adalah:

1. Planning, tahap perencanaan untuk memastikan kita mengenal betul sistem informasi yang kita miliki dan keamanan seperti apa yang kita inginkan.
2. Policy, satu set prosedur organisasional untuk kegiatan, secara umum ada 3 jenis yaitu Enterprise Information Security Policy (EISP), Issue-Specific Security Policies (ISSP), dan System-Specific policies (SysSP).
3. Programs, training yang terpisah dilakukan untuk memperlengkapi proyek.
4. Protection, mendefinisikan resiko yang terjadi.
5. People, tahap sosialisasi kepada para pengguna dan tahap yang dianggap cukup sulit.
6. Project Management,  tahap mengontrol dan mengidentifikasikan progress dan mengukur progress tersebut supaya sesuai dan mencapai tujuan yang diinginkan.