Kamis, 26 Maret 2015

What's Incident, Problem, Information Security Incident and Service Request

Hey selamat pagi menjelang siang.. Hari ini diiringi dengan hujan disertai dengan angin yang memanjakan kita di pagi hari. Pagi ini rencananya saya ingin menulis tentang apa itu insiden, problem, insiden keamanan informasi dan permintaan layanan yang ditemani segelas minuman jahe merah serta lagu yang enteng biar naikin mood.

Terkadang kata-kata Incident, Problem, Information Security Incident and Service Request itu sering disalah artikan dan agak bingung menentukan perbedaan dari setiap kata tersebut. Saya mulai dapat memahami perbedaan kata-kata tersebut ketika perusahaan tempat saya lama sertifikasi ISO 20000 dan ketika saya mengambil Lead Auditor untuk ISO 27001 & ISO 20000. Saya belajar dari Auditor India dan Pakistan tentang ITSM dan ISMS (Mr. Singh, Mr. Fernandez & Mr. Faisal). Mereka pertama-tama menanyakan kepada kami tentang kata-kata tersebut dan pada akhirnya dijelaskan secara detail tentang pengertian dan contoh di lapangannya seperti apa.

Menurut ISO 20000-1:2011 Clause 3 (Terms and Conditions) pengertian kata-kata tersebut antara lain:












Sedangkan di ISO 27000:2014 Clause 2 (Terms and Definitions) pengertian Information Security Incident adalah:










Dari pengertian ISO 20000 dan ISO 27001 saya mencoba mengartikan ke gaya bahasa saya sendiri sebagai berikut:

- Incident: Suatu peristiwa gangguan secara tidak terencana/disengaja, yang dapat menurunkan kualitas layanan tersebut kepada pelanggan serta tidak begitu berdampak secara signifikan atau masih dapat ditoleransi dan dapat diperbaiki atas gangguan tersebut. Akar permasalahan dari insiden sudah dapat diketahui sehingga dapat diperbaiki.

Contoh: 
User tidak dapat mengakses aplikasi xyz dikarenakan jaringan komunikasi sedang mengalami gangguan seperti down yang disebabkan kabel Fiber Optic Third Party/Vendor putus. Pihak IT memberikan solusi dengan cara menggunakan backup jalur komunikasi dengan Third Party berbeda yang menggunakan VSAT.

- Problem: Suatu peristiwa permasalahan yang berasal dari insiden, akan tetapi permasalahan atau insiden ini terus berulang kembali tanpa bisa diselesaikan. Biasanya akar permasalahan dari kejadian ini belum dapat terdeteksi ketika masalah tersebut dicatat oleh petugas service desk/help desk. Sehingga perlu dilakukan penyelidikan lebih lanjut terhadap permasalahan ini. Jika akar permasalahan sudah terdeteksi, maka Pihak IT akan memberikan cara mitigasi yang bersifat temporary/sementara.

Contoh:
Aplikasi xyz dari Third Party/Vendor mempunyai kesalahan dalam generate penghitungan di modul abc, maka solusi sementara adalah menghitung secara manual dan menginput secara manual oleh pihak akunting.

- Information Security Incident: Suatu peristiwa atau kejadian terkait keamanan informasi yang bersifat tidak terduga dan memiliki kemungkinan dapat menggangu operasional dari organisasi/perusahaan serta mempunyai potensi ancaman untuk keamanan informasi. Biasanya ancaman tersebut disebabkan oleh kelemahan kebijakan, prosedur keamanan informasi di perusahaan tersebut serta situasi yang tidak dapat diketahui sebelumnya. Ancaman keamanan informasi tersebut akan berdampak pada confidentiality, integrity dan availability baik dari sisi data atau sistem.

Contoh:
Satu bagian/unit di perusahaan abc terkena virus dan akibatnya data-data di komputer/laptop karyawan menjadi hilang atau tidak dapat digunakan.

- Service Request: Suatu bentuk permintaan dari Pihak User kepada Pihak IT (Service Desk/Help Desk) terkait permintaan informasi, saran, akses ke layanan xyz atau perubahaan terkait sistem yang ada di perusahaan.

Contoh:
User xyz tidak dapat mengakses aplikasi abc dan ada ouput di aplikasi "wrong password 3 times and account is locked" sehingga dia melaporkan kejadian ini ke Pihak Service Desk/Help Desk. Jadi si user sebenarnya salah memasukkan password sampai dengan batas toleransi yang telah ditentukan oleh sistem dan meminta untuk melakukan reset password serta mengaktifkan akunnya.


Sekian coretan tentang pengertian-pengertian yang telah saya ungkapan diatas. Apabila ada pertanyaan lebih lanjut bisa langsung hubungi saya yah dan maap kalo tulisan ini masih banyak kekurangan yang ada serta dimohon kritiknya ^_^

0 komentar: