Defense in Depth

Posted by Ae89 on Sabtu, 08 Mei 2010 | 0 komentar

Sebuah prinsip penting dari strategi Defense in depth adalah bahwa information assurance membutuhkan fokus yang seimbang pada tiga elemen utama: manusia, teknologi dan operasional. Defense in depth menggunakan pendekatan praktek terbaik yang bergantung pada kecerdasan aplikasi teknik dan teknologi yang sudah ada[2]. Merekomendasikan strategi keseimbangan antara kemampuan perlindungan dan biaya, kinerja, dan pertimbangan operasional dalam keseluruhan misi organisasi.
1)      Sumber Daya Manusia.
Pencapaian information assurance dimulai dengan komitmen manajemen tingkat senior (biasanya di tingkat Chief Information Officer) yang didasarkan pada pemahaman yang jelas tentang ancaman. Hal ini harus diikuti dengan kebijakan dan prosedur information assurance yang efektif, peran tugas dan tanggung jawab, komitmen sumber daya, pelatihan personil kritis (misalnya pengguna dan administrator sistem), dan tanggung jawab pribadi. Dalam hal ini termasuk pembentukan personel keamanan fisik dan langkah-langkah keamanan untuk mengontrol dan memonitor akses ke fasilitas dan elemen-elemen penting dari lingkungan teknologi informasi.
2)      Teknologi.
Untuk memastikan bahwa teknologi yang tepat diperoleh dan disebarkan, sebuah organisasi harus menetapkan kebijakan dan proses akuisisi teknologi yang efektif. Hal ini harus mencakup: kebijakan keamanan, prinsip-prinsip information assurance, tingkat sistem arsitektur dan standar information assurance, kriteria untuk produk information assurance diperlukan, akuisisi produk yang telah divalidasi oleh pihak ketiga yang memiliki reputasi baik, bimbingan konfigurasi, dan proses untuk menilai risiko sistem terpadu.
3)      Operasi.
Operasi berfokus pada semua kegiatan yang diperlukan untuk mempertahankan postur keamanan organisasi dari hari ke hari.