Sebuah security atau keamanan memiliki beberapa komponen sebagai lapisannya, dan lapisan security paling luar adalah security policy atau kebijakan keamanan. Kebijakan keamanan sendiri merupakan suatu perencanaan, proses, standar, dan petunjuk yang dicatat atau didokumentasikan untuk memenuhi keamanan informasi di suatu organisasi atau perusahaan.  

Kebijakan keamanan (Security Policy) ini juga mencakup pada keamanan data atau informasi pengguna atau user yang ada pada suatu perusahaan. Dalam sebuah perusahaan, security policies for users ini berupa pengidentifikasian tujuan keamanan, resiko, tingkat otoritas, dan koordinator keamanan yang ditunjuk. Security policies for users juga menjadi cara untuk mengatasi dan mencegah pelanggaran keamanan yang bisa saja terjadi, sehingga hal ini menjadi sebuah tanggung jawab penting bagi setiap anggota tim dan karyawan di setiap perusahaan untuk menjalankan dan menjaganya sebaik mungkin. 

Dengan menerapkan security policies for users, diharapkan suatu perusahaan dapat mencapai tujuan-tujuan utama dari kebijakan keamanan sebagai berikut: 

  1. Dapat memastikan bahwa setiap pengguna berwenang memiliki akses terhadap sumber daya (resource) yang sesuai. 
  2. Mencegah adanya akses pengguna yang tidak sah. 
  3. Dapat melindungi data-data sensitif dari adanya akses yang tidak sah. 
  4. Melakukan pencegahan terhadap kerusakan yang tidak disengaja pada perangkat keras dan perangkat lunak. 
  5. Melakukan pencegahan terhadap kerusakan yang disengaja pada perangkat keras dan perangkat lunak. 
  6. Menciptakan lingkungan yang aman, yang mampu menahan, menanggapi, dan pulih dari segala ancaman yang ada. 
  7. Melakukan komunikasi atas tanggung jawab setiap karyawan untuk menjaga data-data yang ada. 
  8. Meminta para karyawan untuk melakukan tanda tangan pada formular persertujuan atas pemantauan data-data yang ada.  

Untuk mencapai tujuan-tujuan utama tersebut, terdapat dua strategi yang dapat digunakan oleh suatu perusahaan atau company. Strategi yang pertama adalah melakukan pembentukan komite atau panitia. Dengan melakukan hal ini maka dalam pengambian suatu keputusan akan ada banyak pihak yang terlibat sehingga keputusan yang diambil merupakan keputusan dan tujuan bersama, Kemudian dengan adanya komite, maka akan ada penugasan pada koordinator keamanan untuk mendorong pembuatan kebijakan. Strategi yang kedua adalah memahami resiko-resiko yang ada. Hal ini dapat dilakukan dengan cara melakukan penilaian postur dan melakukan penilaian tingkat keparahan dan kemungkinan yang akan terjadi pada setiap ancaman. 

Kebijakan keamanan pengguna sangat disarankan untuk digunakan oleh setiap perusahaan, karena kebijakan ini memiliki banyak keuntungan dan memiliki sifat yang jelas. Berikut merupakan keuntungan-keuntungan dari penggunakan kebijakan keamanan pengguna: 

  1. Dapat meningkatkan keamanan data dan jaringan. 
  2. Melakukan upaya pengurangan resiko (mitigasi resiko). 
  3. Dimonitor perangkat yang digunakan dan melakukan transfer data. 
  4. Menciptakan performa jaringan yang lebih baik. 
  5. Adanya respon yang cepat terhadap masalah dan downtime yang lebih rendah. 
  6. Mengurangi pengeluaran biaya perusahaan. 

Sedangkan sifat-sifat atau fitur-fitur yang dimiliki oleh sistem ini adalah: 

  1. Ringkas dan jelas. 
  2. Bermanfaat dan dapat diterapkan. 
  3. Layak secara ekonomi. 
  4. Mudah dimengerti dan diikuti. 
  5. Realistis berdasarkan praktis dan kenyataan. 
  6. Konsisten dalam pengimplementasian. 
  7. Dapat ditangguhkan secara prosedural (ramah kepada karyawan) 
  8. Sesuai dengan regulasi dan hukum yang berlaku. 

Contoh dari kebijakan keamanan pengguna atau security policies for users adalah kebijakan Bring Your Own Device (BYOD). BYOD ini merupakan gerakan atau kebijakan yang dibentuk guna untuk memotivasi para karyawan di setiap organisasi atau perusahaan untuk membawa dan menggunakan perangkat milik mereka sendiri. Karena semakin berkembangnya suatu teknologi maka akan semakin banyak sisi negatif atau hal-hal berbahaya yang akan terjadi. Maka dari itu perusahaan membuat beberapa kebijakan seperti, menetapkan resource atau sumber daya apa saja yang bisa diakses oleh perangkat BYOD, menentuan penyimpanan data pada hardisk khusus dan server, dan kebijakan kata sandi dan enkripsi, serta adanya memantauan atau monitor pada data-data yang akan ditransfer. 

Referensi: 

https://i-3.co.id/bagaimana-cara-membuat-kebijakan-keamanan-yang-baik/#:~:text=Kebijakan%20keamanan%20adalah%20sebuah%20perencanaan,Meningkatkan%20keamanan%20data%20dan%20jaringan  

Dibuat oleh : 

Vivian Christiana –  2602080352 – Information Systems  

D5181 – Ferdianto, S.Kom, M.MSI