Jika sebelumnya kita sudah mempelajari tentang defense in depth, maka kita akan mengetahui bahwa kulit terluar dari lapisan-lapisan security adalah kebjiakan keamanan (security policy). 

Lalu apa itu kebijakan keamanan?

Kebijakan keamanan adalah sebuah perencanaan, proses, standar, dan petunjuk yang didokumentasikan dengan baik, yang dibutuhkan untuk memenuhi keamanan informasi pada suatu organisasi.

Keuntungan dari kebijakan keamanan:

  1. Meningkatkan keamanan data dan jaringan
  2. Mitigasi resiko
  3. Dimonitor dan diaturnya perangkat yang digunakan dan transfer data
  4. Performa jaringan lebih baik
  5. Respon cepat terhadap masalah dan downtime lebih rendah
  6. Mengurangi stress di tingkat manajemen
  7. Mengurangi biaya

Kebijakan keamanan yang baik memiliki beberapa fitur berikut:

  1. Ringkas dan jelas: Sebuah kebijakan keamanan harus ringkas dan jelas. Ketika mereka dibutuhkan mereka akan mudah untuk diterapkan di infrastruktur yang ada. kebijakan yang rumit atau sulit dimengerti justru tidak akan diterapkan oleh para pegawai.
  2. Dapat diterapkan dan bermanfaat: kebijakan harus ditulis dan didesain sebagaimana mungkin agar dapat diterapkan di berbagai seksi dan organisasi. kebijakan yang baik akan mudah diatur dan diterapkan.
  3. Layak secara ekonomi: Organisasi harus mengimplementasikan kebijakan yang ekonomis dan tetap dapat menjaga keamanan dari organisasi.
  4. Dapat dimengerti: kebijakan harus mudah dimengerti dan diikuti
  5. Realistis: kebijakan harus berdasarkan praktis dan kenyataan, menggunakan hal-hal fiksi pada kebijakan malah mengacaukan organisasi itu sendiri
  6. Konsisten: Organisasi harus memiliki konsistensi ketika mengimplementasikan kebijakan mereka
  7. Dapat ditangguhkan secara prosedural: Ketika mengimplementasikan kebijakan mereka harus ramah kepada karyawan
  8. Memenuhi hukum dan regulasi: setiap kebijakan yang diimplementasikan harus sesuai dengan semua hukum, aturan, dan regulasi yang ada.

Contoh pembuatan Kebijakan Keamanan:

Kebijakan Bring Your Own Device (BYOD)

BYOD adalah sebuah terminologi yang digunakan sebuah organisasi untuk memotivasi pegawai agar membawa perangkat mereka sendiri, sebagaimana sulitnya organisasi mengimbangi perkembangan teknologi yang semakin canggih dan semakin berbahaya, maka dibuatlah beberapa kebijakan seperti berikut:

  1. Perangkat yang diperbolehkan: admin dapat menyiapkan list perangkat-perangkat dan software yang diperbolehkan, contoh:
  • Smartphones (dengan model tertentu)
  • Laptops (model tertentu)
  • OS (OS tertentu)
  • dan lain sebagainya
  1. Resource mana saja yang bisa diakses perangkat BYOD:
  • Email
  • Kontak
  • Kalender
  • Aplikasi
  1. Penyimpanan data
  • Di hardisk yang terpisah dengan data pribadi
  • Penentuan lokasi penyimpanan di server
  1. Keamanan data dan perangkat BYOD
  • Kebijakan password dan enkripsi
  • Monitor data yang ditransfer

Banyak sekali kebijakan yang harus diterapkan di setiap organisasi, seperti kebijakan penggunaan internet, kebijakan penggunaan email, kebijakan penggunaan perangkat, dan kebijakan-kebijakan lainnya bisa dipelajari lebih lanjut di kelas Certified Network Defender (CND) dari EC Council.


Inovasi Informatika Indonesia (i3) merupakan authorize partner EC-Council yang menyediakan berbagai jenis kelas training dan sertifikasi di bidang keamanan (security), mulai dari tingkat fundamental sampai tingkat advance.

Info lebih lengkap tentang training yang tersedia di i3 dapat dibaca disini atau hubungi langsung tim sales kami.