Terdapat dua macam ancaman terhadap teknologi sistem informasi, yakni ancaman yang tidak disengaja berupa kesalahan manusia dan rekayasa sosial. Sedangkan ancaman yang disengaja terhadap sistem informasi terdiri dari beberapa jenis. Berikut sepuluh daftar tipe umum ancaman:
- Espionage or trespass
- Information extortion
- Sabotage or vandalism
- Theft of equipment or information
- Identity theft
- Compromises to intellectual property
- Software attacks
- Alien software
- Supervisory control and data acquisition (SCADA) attacks
- Cyberterrorism and cyberwarfare
Apa yang Dilakukan Organisasi untuk Melindungi Informasi Pribadinya?
Risiko adalah kemungkinan ancaman yang mempengaruhi sumber informasi. Tujuan manajemen risiko adalah untuk mengidentifikasi, mengendalikan, dan meminimalkan dampak ancaman. Dengan kata lain, manajemen risiko bertujuan untuk mengurangi risiko ke tingkat yang dapat diterima oleh semua pihak.Â
Manajemen risiko mencakup tiga proses: menganalisis risiko, mengurangi risiko, dan mengevaluasi pengendalian risiko. Analisis risiko mencakup tiga langkah: menilai nilai setiap aset yang dilindungi, memperkirakan kemungkinan setiap aset rusak, dan membandingkan kemungkinan biaya aset yang rusak dengan biaya perlindungannya.
Kemudian organisasi mempertimbangkan bagaimana mengurangi risiko. Mitigasi risiko memiliki dua fungsi: menerapkan kontrol untuk mencegah terjadinya ancaman yang teridentifikasi, dan mengembangkan pemulihan ketika ancaman menjadi kenyataan. Organisasi dapat mengadopsi berbagai strategi mitigasi risiko, tiga yang paling umum adalah penerimaan risiko, pembatasan risiko, dan transfer risiko.
Kontrol keamanan informasi
Untuk melindungi aset informasinya, organisasi menerapkan mekanisme kontrol atau pertahanan (juga disebut penanggulangan). Perancangan kontrol ini untuk melindungi semua komponen sistem informasi, yang didalamnya termasuk data, perangkat lunak, perangkat keras, dan jaringan. Untuk beberapa ancaman, organisasi mengadopsi lapisan kontrol atau pertahanan secara mendalam.
