Keselamatan data - Sejauh mana syarikat melindunginya?

By MOHD RIDZWAN MD IMAN

11th June 2003 (Utusan Malaysia)
KAJIAN terbaru terhadap 2,000 syarikat-syarikat terkenal dunia mendapati kebanyakan daripada syarikat
tersebut mempunyai kelemahan dari segi pengurusan sistem keselamatan memandangkan kurangnya
pemahaman dalam bidang tersebut.
Sebagi contoh, kajian Stanford University dan Hong Kong University of Science and Technology itu
mendapati lebih separuh daripada responden mengambil masa antara dua hingga 14 hari bagi
menamatkan kemudahan akses kakitangan yang ditamatkan pekerjaannya.
Keadaan ini sudah tentu amat membimbangkan kerana jika kakitangan yang ditamatkan perkhidmatan
masih mempunyai akses kepada sistem syarikat, adalah dikhuatiri mereka mampu melakukan perkara
yang tidak diingini.
Sebagai contoh, seorang kakitangan di sebuah bank pelaburan terkenal yang telah meninggalkan
syarikat itu dan telah bertugas di sebuah syarikat pesaing, masih boleh mendapatkan mel suara beliau
dan juga mendapat pengumuman dalaman syarikat walaupun selepas sebulan beliau meninggalkan
syarikat itu.
Kajian ini telah membuktikan yang syarikat-syarikat di seluruh dunia masih tidak memberi penekanan
yang besar dalam bidang keselamatan maklumat dan sudah tentu perkara yang sama turut berlaku
kepada syarikat dan organisasi tempatan.
Keselamatan komputer sebenarnya adalah satu bidang yang keperluannya sangat tinggi dalam
perniagaan masa kini memandangkan penggunaan teknologi maklumat (IT) yang meluas dalam operasi
harian sesebuah syarikat.
Sehubungan itu syarikat seharusnya mempunyai sistem pengurusan terbaik dalam menangani masalah
keselamatan data atau maklumat, dan mendapatkan sijil pengiktirafan mengenainya merupakan satu
jalan terbaik dalam menangani masalah tersebut.
The British Standards Institute (BSI) telah memperkenalkan sijil standard dalam sistem pengurusan
keselamatan keselamatan maklumat (ISMS) dan standard terbaru ialah BS7799 Part 2 (BS7799-2) yang
diperkenalkan oleh SIRIMQAS International Sdn. Bhd. (anak syarikat SIRIM Berhad) di negara ini.

Pelaksanaan ISMS akan membolehkan pihak pengurusan kanan organisasi memantau dan mengawal
keselamatan, meminimakan risiko perniagaan dan memastikan sistem keselamatan memenuhi segala
keperluan yang diperlukan oleh syarikat, pelanggan dan perundangan.
Menurut SIRIMQAS, organisasi yang telah mendapat pensijilan BS7799-2 atau MS ISO 17799 tersebut
telah mempunyai sistem yang mampu melindungi kerahsiaan, integriti dan kesediaan maklumat yang
diterima, disimpan dan dipindahkan secara dalam talian.
Memandangkan perkhidmatan tersebut masih baru, setakat ini hanya sebuah syarikat yang telah
mendapat sijil tauliah BS7799 iaitu e-Cop.net Surveillance Sdn. Bhd., syarikat kerjasama e-Cop.net Pte.
Ltd. dari Singapura dan Ancom Berhad.
e-Cop.net, syarikat penyedia perkhidmatan pemantauan keselamatan berkaitan Internet itu memperolehi
pentauliahan BS7799-2pada Disember tahun lepas di Singapura dari syarikat yang menawarkan
perkhidmatan pengauditan British Standard di negara tersebut.
"Keselamatan data sangat penting masa kini memandangkan organisasi sekarang amat bergantung
kepada IT dalam operasi mereka,'' kata Ketua pegawai eksekutif e-Cop.net Malaysia, Alan See.
Beliau berkata, kesemua maklumat perniagaan kini telah diletakkan ke dalam sistem IT dan adalah
penting memastikan yang ia disimpan dengan cara yang terbaik dan selamat.
Katanya, dahulu syarikat-syarikat begitu aktif berusaha mendapatkan sijil standard seperti ISO9000,
ISO9002 dan sebagainya tetapi ia lebih kepada standard dalam kerja-kerja pengurusan di pejabat.
"Kini keperluan mendapatkan sijil semakin bertambah memandangkan sistem pengurusan maklumat juga
harus diambil kira,'' katanya dalam temubual bersama Utusan Malaysia, baru-baru ini.
Sistem keselamatan maklumat perlu diaudit dan dipastikan dalam usaha melindunginya telah dijalankan
sebaik mungkin memandangkan ia merupakan 'jantung' sesebuah syarikat.
Pelaksanaan sistem perniagaan berasaskan Internet seperti e-perbankan, e-dagang, e-kerajaan dan
sebagainya misalnya akan meningkatkan lagi kepentingannya memandangkan perniagaan seumpama itu
sudah tentu mendedahkan sistem pengkomputeran kepada ancaman keselamatan di Internet.
Sistem pengurusan keselamatan maklumat yang diperlukan bagi mendapatkan sijil standard tersebut
merangkumi bahagian pusat data, komputer fail, proses transaksi, pengurusan fail, kawalan akses web.

Sesebuah syarikat perlu memenuhi kriteria-kriteria yang ditetapkan oleh SIRIMQAS atau mana-mana
agensi pentauliah sijil BS7799 sebelum boleh mendapat pengiktirafan tersebut.
Selain SIRIMQAS, AJA EQS Malaysia Sdn. Bhd. juga merupakan antara syarikat yang menawarkan
perkhidmatan pensijilan BS7799 berasaskan British Standard tersebut.
Faktor terpenting dalam mendapatkan pengiktirafan ini ialah menjalankan analisis risiko, pengenalan
tahap kawalan, proses peningkatan dan kawalan pengurusan dengan betul dalam menghadapi sebarang
situasi.
Antara kriteria tersebut ialah membentuk polisi keselamatan untuk kawalan akses kakitangan, akses
fizikal dan sebagainya, membentuk keselamatan dan kawalan persendirian untuk akses tapak web, pelan
tindakan dan sebagainya.
Membentuk polisi pengurusan keselamatan merupakan elemen yang terpenting memandangkan ia
menjadi rujukan kepada perancangan untuk membentuk sistem pengurusan keselamatan yang akan
dilaksanakan bagi sesebuah syarikat.
"Peranan pengurusan tertinggi dalam syarikat amat diperlukan dalam menjayakan projek ini kerana
hanya mereka yang mampu memastikan kakitangan bawahan melaksanakan segala yang dirancang,''
kata Alan See.
Kesemua polisi yang didokumenkan perlu diterbitkan untuk kegunaan kakitangan dan semua kakitangan
perlu menjalani latihan bagaimana melaksanakan segala perancangan yang ditetapkan dalam pelan
pengurusan tersebut.
Syarikat juga perlu mengenalpasti dan menklasifikasikan kepentingan dan kerahsiaan maklumat bagi
memudahkan ia mendapat keutamaan terlebih dahulu dalam perancangan perlindungannya, terutama
hanya boleh diakses oleh mereka yang layak sahaja.
Jika sesebuah syarikat telah menjalani proses mendapatkan sijil ISO 9000/14000, mereka akan lebih
biasa dengan segala prosedur yang diperlukan dalam mendapatkan sijil BS7799 tersebut.
Bagi memudahkan lagi organisasi mendapatkan pengiktirafan tersebut, e-Cop juga telah membangunkan
kit peralatan ISMS yang mampu membantu organisasi melaksanakan pelbagai prosedur yang diperlukan
dalam usaha mendapatkan pengiktirafan BS7799 tersebut.
Kesimpulan, mendapatkan sijil standard kini telah beralih daripada era hanya berkisar kepada proses
pengurusan operasi dalam sesebuah syarikat tetapi kini telah memasuki era standard dalam proses

melindungi maklumat yang merupakan harta paling berharga kepada sesebuah organisasi pada zaman
perniagaan 'e' masa kini.
Sehubungan itu, mendapatkan sijil standard pengurusan keselamatan akan memberikan lebih keyakinan
pengurusan, pemegang saham dan juga pengguna kepada integriti syarikat dalam menjalankan
perniagaan dan melindungi maklumat mereka.