Kawalan Keselamatan Dokumen / Maklumat Yang di Proses Di
Download
Report
Transcript Kawalan Keselamatan Dokumen / Maklumat Yang di Proses Di
CABARAN BYOD DALAM
PERSEKITARAN KERJA
JULAILA BINTI ENGAN
BAHAGIAN KESELAMATAN ICT & RAHSIA RASMI
Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia
Jabatan Perdana Menteri
KANDUNGAN
1
Pengenalan
2
Kebaikan/Manafaat BYOD
3
Risiko dan Cabaran BYOD
4
Langkah Pengurusan Keselamatan
BYOD
5
Penutup
PENGENALAN
Ledakan teknologi mudah alih adalah satu
cabaran besar organisasi di mana fenomena
“BYOD” telah menjadi trend di Asia dan Malaysia.
Di sektor awam “BYOD” juga menjadi isu utama
yang perlu diberi perhatian lantaran melibatkan
elemen keselamatan data, maklumat khususnya
maklumat rasmi dan rahsia rasmi yang
terkandung di dalam semua peranti mudah alih
tersebut.
MAKSUD BYOD
BYOD – “Bring Your Own Device” Iaitu
‘membawa peranti anda sendiri’. BYOD
merupakan suatu konsep atau dasar di
mana organisasi membenarkan pekerja
membawa peranti mudahalih sendiri di
tempat kerja untuk mengakses maklumat
dan aplikasi jabatan.
PUNCA KUASA KESELAMATAN BYOD
Pengguna
kemudahan
pengkomputeran
bergerak (mobile computing) dalam memproses
rahsia
rasmi
diluar
pejabat
hendaklah
memastikan supaya ia sentiasa dilindungi
daripada kehilangan dan kerosakan serta
maklumat yang terkandung di dalamnya tidak
dikompromi.
Pengguna
kemudahan
pengkomputeran
bergerak
juga
perlu
memastikan pelaksanaan langkah kawalan
keselamatan bagi perlindungan fizikal, kawalan
akses, sandaran data (backup data) dan
perlindungan daripada serangan perisian hasad
(malware). Sumber: Rujukan: Arahan Keselamatan (baharu) – Para 132
PUNCA KUASA KAWALAN BYOD
Kebolehgerakan Komunikasi Dalam Organisasi
Kebolehgerakan komunikasi dalam organisasi
adalah merujuk kepada suatu aliran cara kerja di
mana warga organisasi bekerja dari sebarang
lokasi tanpa batasan fizikal melalui penggunaan
peranti mudah alih untuk melaksanakan tugas
rasmi.
Sumber: Dasar Keselamatan Maklumat Sektor Awam (baharu) – Para 5.2 (Bab 5)
PUNCA KUASA KAWALAN BYOD
Ciri-Ciri
Kebolehgerakan
Organisasi
Komunikasi
Dalam
i) Kemudahan infrastruktur komunikasi dalaman dan
telekomunikasi luar;
ii) Penggunaan pelbagai peranti mudah alih;
iii) Capaian kepada maklumat atau sistem aplikasi
organisasi; dan
iv) Komunikasi dibolehkan merentasi pelbagai lokasi
fizikal.
Sumber : Dasar Keselamatan Maklumat Sektor Awam (baharu) – Para 5.2 (Bab 5)
KEBAIKAN/MANAFAAT BYOD
Kebaikan
BYOD
TINGKAT
PRODUKTIVITI
DAN KEPUASAN
KERJA
Fleksibiliti,
respon di luar
waktu bekerja,
bekerja jarak
jauh &
kebebasan
mengguna
peralatan sendiri
MENARIK &
MENYOKONG
BAKAT BARU
Generasi Y
lebih berminat
kpd
persekitaran
kerja BYOD
JIMAT KOS
PEROLEHAN IT
Jumlah kos
pembelian/
pemilikan
device yg
rendah dlm
jangka panjang
dan kos naik
taraf device.
KERJASAMA
LEBIH BAIK
Infrastruktur
ICT spt Wifi dll
disediakan
oleh majikan
dan pekerja
mudah ekses
bila-bila masa
dan di mana
shj.
RISIKO & CABARAN BYOD
Risiko Ancaman Keselamatan
Isu
Infrastruktur
Kebocoran Maklumat
Tiada Kawalan Peranti
RISIKO
BYOD
Sokongan Jenis Peranti
Yg Berbeza
Akauntabiliti/Integriti Pengguna
KAWALAN PERANTI MUDAH ALIH
Tiada Kawalan Peranti
Jabatan tidak mempunyai kawalan ke atas jenis
applikasi yang diletakkan pada peranti mudah
alih dan menjadikannya amat sukar untuk
menguatkuasakan keselamatan.
Isu pemilikan(ownership) di mana peranti mudah
alih milik pekerja manakala data/maklumat rasmi
adalah milik jabatan.
Pengguna memuat turun pelbagai aplikasi
peribadi pada peranti yang melibatkan aplikasi
hiburan, permainan dll.
RISIKO KESELAMATAN
Risiko keselamatan
Hadapi risiko ancaman keselamatan
data/maklumat oleh virus, ‘malware’ dll yang
terkandung di dalam peranti mudah alih.
Isu risiko pelanggaran keselamatan oleh
pengguna terhadap data/maklumat
strategik/sensitif dan rahsia rasmi jabatan.
Apabila Pengguna meninggalkan jabatan terdapat
aplikasi rasmi dan maklumat strategik serta
rahsia rasmi pada peranti mudah alih yang masih
boleh diakses.
SOKONGAN JENIS PERANTI YANG BERBEZA
Sokongan Jenis Peranti Yg Berbeza
Risiko penggunaan jenis peranti mudah alih yang
berbeza2 dan pelbagai sistem operasi.
Isu kesukaran Jabatan IT untuk menanggani
pelbagai isu peranti dan sistem operasi yang
tidak standard.
Apabila Pengguna menghadapi masalah teknikal
kepada peranti yang terkandung data/maklumat
strategik/rasmi dan rahsia rasmi milik jabatan.
ISU INFRASTRUKTUR
Isu Infrastruktur
Setiap jenis peranti mudah alih beroperasi pada
kelajuan dan sistem operasi yang berbeza2.
Isu pekerja yang membawa semua peranti
mudah alih mereka sendiri seperti telefon pintar,
tablet, laptop dll dan menggunakan wifi dan
rangkaian yang disediakan oleh jabatan.
Jabatan IT sukar untuk mengawal semua peranti
mudah alih yang dibawa oleh pekerja dan
penguatkuasaan.
AKAUNTABILITI/INTEGRITI PENGGUNA
Risiko pendedahan/pelepasan maklumat kepada pihak
yang tidak dibenarkan di kalangan pengguna.
Memantau aktiviti pengguna dalam mengenalpasti
akauntabiliti pengguna dari masa ke semasa.
Pengguna menjaga peranti dan kerahsiaan kata laluan.
Memberi perhatian kpd maklumat rahsia rasmi terutama
semasa pewujudan, pemprosesan, penyimpanan,
penghantaran, penyampaian, pertukaran dan
pemusnahan melalui peranti.
KEBOCORAN MAKLUMAT
Risiko pendedahan/kebocoran maklumat kepada pihak
yang tidak dibenarkan.
Risiko ancaman pengodam terhadap data/maklumat
strategik/rasmi dan rahsia rasmi yang terdapat di dalam
peranti.
Risiko pengguna kurang kesedaran keselamatan dan
langkah perlindungan keselamatan data/maklumat di
dalam peranti mudah alih.
HASIL KAJIAN BYOD DI KEMENTERIAN
PERTAHANAN (MINDEF)
Membawa dan mengunakan peranti seperti smartphone,
tablet atau laptop di tempat kerja;
Jenis Peranti milik peribadi yang selalu dibawa ke tempat
kerja iaitu smartphone dan tablet;
Setuju membawa dan mengguna peranti milik sendiri di
dalam kerja seharian jika terlaksana BYOD;
Terdapat halangan atau masalah apabila menggunakan
peranti sendiri di dalam kerja harian;
*Source : Hasil Kajian Keberkesanan Penggunaan Konsep BYOD – MINDEF (2013)
HASIL KAJIAN BYOD DI KEMENTERIAN
PERTAHANAN (MINDEF)
Jenis masalah/halangan yang selalu dihadapi apabila
menggunakan peranti sendiri di tempat kerja iaitu:
Capaian Wifi terhad di sesuatu kawasan;
Tidak boleh mengakses sesuatu aplikasi yang perlu digunakan di dalam
kerja kerana capaian tidak berbentuk wifi;
Capaian internet yang tidak menyokong peranti kepunyaan sendiri.
Bersetuju dasar BYOD dilaksanakan jika masalah/halangan
dapat diatasi sepenuhnya;
Bersetuju pekerjaan menjadi lebih efektif dan produktif
sekiranya BYOD dilaksanakan;
Bersetuju satu sesi penerangan khas tentang BYOD
diadakan di MINDEF;
*Source : Hasil Kajian Keberkesanan Penggunaan Konsep BYOD – MINDEF (2013)
HASIL KAJIAN KETIRISAN MAKLUMAT (DATA
LEAKAGE) DI SEKTOR AWAM
Melaksanakan tugasan rasmi secara jarak jauh;
Menggunakan peralatan milik peribadi untuk membuat
kerja pejabat dan menyimpan dokumen rasmi;
Meninggalkan pejabat dengan membawa peralatan mudah
alih yang menyimpan maklumat rahsia rasmi;
Mengakses emel rasmi menggunakan wireless hotspot di
tempat awam;
*Source : Hasil Kajian Perlindungan Ketirisan Maklumat Elektronik – MKN (2012)
HASIL KAJIAN KETIRISAN MAKLUMAT (DATA
LEAKAGE) DI SEKTOR AWAM
Menyalin dan membawa keluar maklumat organisasi dengan
menggunakan peranti mudah alih dan media storan seperti
USB, external HD dsb;
Memadam dokumen elektronik tanpa merincih secara
elektronik/’secure deletion’;
Meninggalkan komputer riba di ruang pejabat yang terbuka
tanpa menguncikannya dengan kabel keselamatan;
*Source : Hasil Kajian Perlindungan Ketirisan Maklumat Elektronik – MKN (2012)
HASIL KAJIAN KETIRISAN MAKLUMAT (DATA
LEAKAGE) DI SEKTOR AWAM
Membuang dokumen rasmi (fizikal) organisasi tanpa
merincih;
Menyimpan maklumat login di dalam komputer;
Meninggalkan komputer riba dan telefon pintar di
tempat yang tidak selamat;
Menulis maklumat login dan kata laluan dan
menampalnya di skrin komputer atau keyboard dll;
*Source : Hasil Kajian Perlindungan Ketirisan Maklumat Elektronik – MKN (2012)
LANGKAH-LANGKAH KESELAMATAN
PENGURUSAN BYOD
Membangunkan Polisi Keselamatan BYOD yang holistik,
unik, mantap dan sesuai kepada persekitaran organisasi.
Pengurusan BYOD menggunakan kawalan berpusat
termasuk:
Daftar peranti mudahalih berdasarkan pemilikan, tentukan
berapa?;
Bangunkan kumpulan berasingan (profile) spt berasaskan
peranan & tanggungjawab serta keperluan, taraf jawatan
dll;
Pembersihan data/maklumat organisasi (data wipe) apabila
pekerja meninggalkan organisasi/peranti hilang;
LANGKAH-LANGKAH KESELAMATAN
PENGURUSAN BYOD
Pengasingan data/maklumat dan
dengan data dan aplikasi peribadi;
aplikasi
organisasi
Kawalan keselamatan data/maklumat menjurus kepada 3
elemen iaitu:
i. Kerahsiaan (confidentiality)
ii. Integriti
iii. Kebolehsediaan (availability)
Maklumat rahsia rasmi perlu ditetapkan klasifikasi seperti
dlm Arahan Keselamatan;
Teknologi penyulitan(encryption), tandatangan digital atau
sebarang mekanisme melindungi maklumat elektronik perlu
disediakan;
LANGKAH-LANGKAH KESELAMATAN
PENGURUSAN BYOD
Kawalan Terhadap Pengguna
Latihan dan kemahiran pengguna
kesedaran keselamatan
Perakuan Akta Rahsia Rasmi
‘Prinsip Perlu Mengetahui’
Pelaporan kehilangan peranti, data dikompromi dan
siasatan dilaksanakan;
Pematuhan Dasar dan polisi
Penguatkuasaan terhadap pengguna jika berlaku
pelanggaran Akta dan peraturan
LANGKAH-LANGKAH KESELAMATAN
PENGURUSAN BYOD
Menentukan
keperluan
infrastruktur
fizikal,
persekitaran dan kawalan peranti termasuk:
Keperluan infrastruktur jalur lebar/wifi;
Sistem mengurus peranti mudah alih (MDM);
Sistem Pengurusan Aplikasi Mudah Alih (MAM);
Pemasangan ‘agen’ keatas peranti mudah alih;
Hadkan akses kepada LAN korporat menerusi mikro
VPN,SSL dll
Sokongan teknikal IT spt perisian anti virus, firewall dll
Wujudkan ‘help-desk’ di Jabatan IT;
Mendapatkan
persijilan
di
dalam
standard
keselamatan maklumat spt ISMS dll.
PENUTUP
Pembangunan Dasar/Polisi BYOD yang holistik, unik
dan mantap akan menjamin keselamatan maklumat
dan data strategik organisasi.
BYOD mendatangkan manafaat kepada pengguna
dan organisasi namun ianya perlu diurus secara
terancang dan sistematik supaya maklumat tidak
dikompromi.
Langkah-langkah untuk melaksanakan BYOD di
organisasi perlu mengimbangi keperluan
keselamatan, fungsi dan mudah guna.
[email protected]/80008000/88726080
BAHAGIAN KESELAMATAN ICT & RAHSIA RASMI
Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia
Jabatan Perdana Menteri