Romney and Steinbart (2015) mendefinisikan pengendalian preventif (Preventive Controls) sebagai :
Artikel Terkait Lainnya
“Controls that deter problems before they arise, such as hiring qualified accounting personnel, appropriately segregating employee duties, and effectively controlling physical access to assets, facilities, and information.”
Pengendalian preventif memiliki fungsi untuk mencegah masalah sebelum mereka muncul. Contohnya termasuk mempekerjakan personil yang berkualitas, memisahkan tugas karyawan, dan mengendalikan akses fisik ke aset dan informasi.
|
EXAMPLE
|
EXPLANATION
|
|
People : Creation Of A “Security – Conscious” Culture
|
Manajemen puncak tidak hanya harus berkomunikasi kebijakan keamanan organisasi, tetapi juga harus memimpin dengan contoh. Karyawan lebih mungkin untuk mematuhi kebijakan keamanan informasi ketika mereka melihat manajer mereka melakukannya. Sebaliknya, jika karyawan mengamati manajer melanggar kebijakan keamanan informasi, misalnya dengan menuliskan password dan membubuhkan ke pemantauan, mereka cenderung meniru perilaku itu.
|
|
People : Training
|
Pelatihan adalah kontrol preventif secara kritis. Investasi organisasi dalam pelatihan keamanan akan efektif hanya jika manajemen jelas menunjukkan bahwa ia mendukung karyawan yang mengikuti kebijakan keamanan yang ditentukan. Hal ini sangat penting untuk memerangi serangan rekayasa sosial, karena penanggulangan terkadang membuat konfrontasi memalukan dengan karyawan lainnya.
|
|
Process : User Access Controls
|
· Authentication Controls, adalah proses verifikasi identitas orang atau perangkat yang mencoba mengakses sistem.
· Authorization Controls, adalah proses membatasi akses pengguna dikonfirmasi ke bagian tertentu dari sistem dan membatasi tindakan apa yang mereka diizinkan untuk melakukan.
|
|
IT Solutions : Antimalware Controls
|
COBIT 5 bagian DSS05.01 berisi perlindungan malware sebagai salah satu kunci untuk keamanan yang efektif.
|
|
IT Solutions : Network Access Controls
|
Kebanyakan organisasi menyediakan karyawan, pelanggan, dan pemasok dengan akses remote ke sistem informasi mereka. Biasanya akses ini terjadi melalui internet, tetapi beberapa organisasi masih menjaga jaringan milik mereka sendiri atau memberikan langsung akses dial-up oleh modem.
|
|
IT Solutions : Device and Software Hardening Controls
|
Sebuah organisasi dapat meningkatkan sistem keamanan informasi dengan menambah kontrol pencegahan pada perimeter jaringan dengan kontrol pencegahan tambahan pada workstation, server, printer, dan perangkat lain (secara kolektif disebut sebagai endpoint) yang terdiri jaringan organisasi.
|
|
IT Solutions : Encryption
|
Enkripsi memberikan lapisan akhir pertahanan untuk mencegah akses tidak sah ke informasi sensitif.
|
|
Physical Security : Access Controls
|
Kontrol akses fisik dimulai dengan entry point untuk bangunan itu sendiri. Idealnya, seharusnya hanya ada satu titik masuk reguler yang tetap tidak terkunci selama jam kerja normal. Akses fisik ke peralatan komputer kamar perumahan juga harus dibatasi. Beberapa akses upaya gagal harus memicu alarm. Akses ke kabel yang digunakan dalam rencana organisasi juga perlu dibatasi untuk mencegah penyadapan.
|
|
Change Controls and Change Management
|
Perubahan kontrol dan manajemen perubahan adalah proses formal yang digunakan untuk memastikan bahwa modifikasi perangkat keras, perangkat lunak, atau proses tidak mengurangi keandalan sistem.
|