Menurut Weber (1999, p244), pengendalian manajemen keamanan bertanggung jawab untuk menjamin keamanan aset sistem informasi. Aset sistem informasi aman jika kemungkinan kehilangan yang dapat timbul berada pada level yang dapat diterima. Aset sistem informasi mencakup aset fisik (personel, perangkat keras, fasilitas, dokumentasi dan supplies) serta aset logika (data/informasi dan perangkat lunak).
Menurut Weber (1999, pp256-272), terdapat ancaman utama terhadap keamanan yang disebabkan oleh alam dan kelalaian atau kesengajaan manusia, yaitu :
1. Ancaman Kebakaran (Fire Damage)
Beberapa pengamanan untuk ancaman kebakaran yaitu :
a. Alarm kebakaran manual dan otomatis diletakkan di tempat yang strategis, khususnya di tempat aset sistem informasi berada.
b. Alat pemadam kebakaran manual dan otomatis diletakkan di tempat yang strategis, khususnya di tempat aset sistem informasi berada.
c. Memiliki tombol power utama (termasuk AC).
d. Bangunan terbuat dari bahan tahan api, khususnya di tempat aset sistem informasi berada.
e. Letak tangga dan pintu darurat diberi tanda yang jelas sehingga pegawai dapat dengan mudah mengetahui dan menggunakannya.
f. Terdapat prosedur pemeliharaan bangunan yang baik.
g. Sistem perlindungan kebakaran diawasi dan diuji secara rutin.
2. Ancaman Air (Water Damage)
Beberapa pengamanan untuk ancaman air yaitu :
a. Bangunan (plafon, dinding, dan lantai) terbuat dari bahan tahan air.
b. Memiliki sistem drainase yang baik.
c. Aset sistem informasi diletakkan di tempat yang tinggi.
d. Menutup perangkat keras dengan bahan tahan air apabila tidak digunakan.
3. Perubahan Tegangan Sumber Energi (Energy Variation)
Perubahan tegangan sumber energi dapat terjadi karena naiknya tegangan listrik, penurunan tegangan listrik, maupun karena kehilangan daya listrik. Pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik, yaitu dengan menggunakan stabilizer dan uninteruptable power supply (UPS) dan merawatnya secara rutin.
4. Kerusakan Struktural (Structural Damage)
Kerusakan struktural pada aset sistem informasi dapat terjadi karena gempa, tanah longsor, banjir., maupun angin ribut. Beberapa pengamanan untuk kerusakan struktural yaitu :
a. Struktur bangunan tahan gempa.
b. Meletakkan aset sistem informasi di tempat yang stabil/tidak mudah jatuh.
5. Polusi (Pollution)
Beberapa pengamanan untuk mengatasi polusi yaitu :
a. Membersihkan ruangan kantor secara teratur.
b. Melarang pegawai meletakkan makanan dan minuman di dekat perangkat keras.
6. Penyusup (Unauthorized intrusion)
Beberapa pengamanan untuk mengantisipasi adanya penyusup yaitu :
a. Terdapat pengamanan khusus pada ruangan di mana aset sistem informasi berada.
b. Terdapat kamera keamanan/CCTV di tempat yang strategis.
c. Alarm keamanan diletakkan di tempat yang strategis.
7. Viruses and Worms
Pelaksanaan pengamanan untuk mengantisipasi viruses dan worms yaitu :
a. Tindakan preventif, seperti meng-install dan meng- update antivirus secara rutin, serta melakukan scan pada file yang akan digunakan.
b. Tindakan detektif, seperti melakukan scan untuk mendeteksi ada tidaknya virus secara rutin.
c. Tindakan korektif, seperti mem-backup data bebas virus, pemakaian antivirus terhadap file yang terinfeksi.
8. Penyalahgunaan Software, Data, dan Service
Tipe penyalahgunaan software, data, dan service yaitu :
a. Perangkat lunak dan database dicuri oleh pegawai atau kompetitor.
b. Perusahaan tidak dapat menjaga kerahasiaan data dalam basis data.
c. Pegawai menggunakan jasa sistem untuk kepentingan pribadi.
4. Kerusakan Struktural (Structural Damage)
Kerusakan struktural pada aset sistem informasi dapat terjadi karena gempa, tanah longsor, banjir., maupun angin ribut. Beberapa pengamanan untuk kerusakan struktural yaitu :
a. Struktur bangunan tahan gempa.
b. Meletakkan aset sistem informasi di tempat yang stabil/tidak mudah jatuh.
5. Polusi (Pollution)
Beberapa pengamanan untuk mengatasi polusi yaitu :
a. Membersihkan ruangan kantor secara teratur.
b. Melarang pegawai meletakkan makanan dan minuman di dekat perangkat keras.
6. Penyusup (Unauthorized intrusion)
Beberapa pengamanan untuk mengantisipasi adanya penyusup yaitu :
a. Terdapat pengamanan khusus pada ruangan di mana aset sistem informasi berada.
b. Terdapat kamera keamanan/CCTV di tempat yang strategis.
c. Alarm keamanan diletakkan di tempat yang strategis.
7. Viruses and Worms
Pelaksanaan pengamanan untuk mengantisipasi viruses dan worms yaitu :
a. Tindakan preventif, seperti meng-install dan meng- update antivirus secara rutin, serta melakukan scan pada file yang akan digunakan.
b. Tindakan detektif, seperti melakukan scan untuk mendeteksi ada tidaknya virus secara rutin.
c. Tindakan korektif, seperti mem-backup data bebas virus, pemakaian antivirus terhadap file yang terinfeksi.
8. Penyalahgunaan Software, Data, dan Service
Tipe penyalahgunaan software, data, dan service yaitu :
a. Perangkat lunak dan database dicuri oleh pegawai atau kompetitor.
b. Perusahaan tidak dapat menjaga kerahasiaan data dalam basis data.
c. Pegawai menggunakan jasa sistem untuk kepentingan pribadi.
9. Hacking
Beberapa pelaksanaan pengamanan untuk mengantisipasi hacking yaitu :
a. Penggunaan password yang sulit ditebak.
b. Petugas secara teratur mengawasi sistem yang digunakan.
Apabila terjadi bencana, pengendalian yang dapat dilakukan yaitu :
1. Rencana Pemulihan Bencana (Disaster Recovery Plan)
Memungkinkan fungsi sistem informasi untuk memperbaiki operasional saat terjadi bencana.
a. Rencana Darurat (Emergency Plan)
Yaitu tindakan yang harus segera dilakukan saat terjadi bencana. Rencana ini mengidentifikasi siapa yang melakukan, tindakan apa yang harus dilakukan, dan prosedur evakuasi.
b. Rencana Backup (Backup Plan)
Rencana backup berisi tipe backup, frekuensi backup, prosedur backup, lokasi perlengkapan backup, serta pegawai yang bertanggung jawab melakukan backup.
c. Rencana Pemulihan (Recovery Plan)
Rencana pemulihan merupakan prosedur pengembalian sistem informasi menjadi seperti semula.
d. Rencana Pengujian (Test Plan)
Merupakan komponen terakhir rencana pemulihan bencana yang berfungsi untuk mensimulasikan ketiga rencana di atas agar dapat berjalan dengan baik.
2. Asuransi
Perlu adanya asuransi untuk peralatan, fasilitas, media penyimpan, gangguan bisnis, dokumen dan kertas berharga perusahaan.
a. Rencana Darurat (Emergency Plan)
Yaitu tindakan yang harus segera dilakukan saat terjadi bencana. Rencana ini mengidentifikasi siapa yang melakukan, tindakan apa yang harus dilakukan, dan prosedur evakuasi.
b. Rencana Backup (Backup Plan)
Rencana backup berisi tipe backup, frekuensi backup, prosedur backup, lokasi perlengkapan backup, serta pegawai yang bertanggung jawab melakukan backup.
c. Rencana Pemulihan (Recovery Plan)
Rencana pemulihan merupakan prosedur pengembalian sistem informasi menjadi seperti semula.
d. Rencana Pengujian (Test Plan)
Merupakan komponen terakhir rencana pemulihan bencana yang berfungsi untuk mensimulasikan ketiga rencana di atas agar dapat berjalan dengan baik.
2. Asuransi
Perlu adanya asuransi untuk peralatan, fasilitas, media penyimpan, gangguan bisnis, dokumen dan kertas berharga perusahaan.