Mengetahui siapa yang mempunyai akses terhadap sesuatu menjadi salah satu hal krusial dalam proses mengamankan sesuatu tersebut. Bayangkan, jika suatu gedung yang ditempati oleh berbagai macam perusahaan yang dilalui oleh berbagai orang, entah yang termasuk sebagai karyawan maupun yang berlaku sebagai tamu, jika tidak memiliki pembatasan akses, misalnya berupa kartu akses yang ditempatkan di lobby gedung, tentunya akan sulit menentukan siapa yang sebenarnya berhak mengakses ke dalam gedung yang tentu dapat meningkatkan terjadinya risiko, misalnya tindakan kriminal.
Hal yang sama pun berlaku terhadap aset teknologi informasi. Untuk mengamankan aset teknologi informasi perlu dilakukan inventarisasi terhadap hak akses apa saja yang terdapat pada aset teknologi informasi. Yang dimaksud dengan aset teknologi informasi, misalnya perangkat komputasi (server), perangkat jaringan, perangkat keamanan, data, perangkat pengguna (laptop, telepon pintar, dll). Sedangkan yang dimaksud dengan hak akses berupa hak mengakses aset teknologi informasi baik yang berupa hak akses secara fisik maupun logik.
Akses Fisik.
Seseorang dikatakan memiliki hak akses fisik apabila orang tersebut memiliki kemampuan untuk mengakses aset teknologi informasi secara fisik. Misalnya seseorang dapat mengakses sebuah laptop yang diletakkan diatas meja didalam ruangan. Hal ini menjadi penting dikarenakan jika aset teknologi informasi dapat diakses secara fisik, maka seseorang dapat menguasainya untuk kemudian digunakan untuk mencapai tujuannya misalnya merusaknya dengan cara menghancurkan / memindahkan ke tempat lain / menghilangkan / dsb. Kemudian, dapat pula mengancam nilai uang yang dimiliki oleh aset teknologi tersebut sehingga dapat menyebabkan kerugian keuangan. Untuk mencegah hal tersebut, maka dapat dilakukan tindakan-tindakan berikut:
- Mengunci ruangan yang menyimpan aset teknologi informasi, serta mengamankan kunci ruangan dari pihak-pihak yang tidak berhak.
- Memasang perangkat keamanan tambahan, seperti pemindai sidik jari (fingerprint) / retina, untuk memastikan hanya pihak-pihak tertentu yang dapat mengakses ruangan.
- Memasang perangkat pemantau, seperti CCTV, di lokasi-lokasi yang strategis untuk memantau pergerakan menuju ruangan.
- Mencatat setiap akses yang diperbolehkan dengan menggunakan log-book.
- Meninjau akses-akses terdahulu melalui rekaman perangkat pemantau maupun yang tercatat didalam log-book.
Akses Logik.
Sedangkan akses logik digunakan seseorang untuk mengakses suatu aset teknologi informasi melalui bantuan piranti lunak seperti terminal dan sejenisnya. Yang perlu diperhatikan dalam akses logik ini adalah akses seseorang terhadap aplikasi, basis data (database) dan sistem operasi. Untuk memudahkan inventarisasi akses apa saja yang terdapat pada aset teknologi informasi diperlukan pembuatan dokumen yang dinamakan User Access Matrix. Apa itu? User Access Matrix secara mudahnya dapat diartikan sebagai dokumen yang memuat pemetaan antara akun dengan hak akses yang dimilikinya yang terdapat pada aset teknologi informasi. Dokumen ini kemudian yang akan menjadi acuan ketika hendak melakukan peninjauan terhadap hak akses logik. Oleh karena itu, sangat penting untuk memperbaharui dokumen User Access Matrix secara berkala dikarenakan begitu dinamisnya perubahan yang terjadi antara aset teknologi informasi dengan penambahan maupun pengurangan akun yang memiliki akses. Untuk dapat mengelola akses logik dengan baik, dapat dilakukan tindakan-tindakan sebagai berikut:
- Menggunakan piranti manajemen akun terpusat (ID Management), seperti LDAP / Active Directory. Kemudian, menghubungkan seluruh aset teknologi informasi dengan piranti manajemen akun terpusat.
- Menerapkan proses persetujuan yang dilakukan oleh pihak-pihak tertentu terhadap aktifitas pengelolaan akun. Jika terdapat pengajuan penambahan/ modifikasi / penghapusan akses, pengajuan tersebut wajib melalui proses persetujuan oleh pihak-pihak tertentu.
- Melakukan aktifitas pengelolaan akun melalui piranti manajemen akun terpusat, sehingga jika terjaddi perubahan hak akses maka perubahan tersebut langsung terdampak terhadap seluruh aset teknologi informasi.
- Mengaktifkan fitur notifikasi di aset teknologi informasi jika terdapat tindakan-tindakan yang mencurigakan dan memerlukan analisa lebih lanjut. Notifikasi tersebut ditujukan kepada petugas yang ditugaskan untuk memantau dan menindaklanjuti.
- Melakukan peninjauan secara berkala terhadap akses-akses terdahulu melalui piranti yang digunakan untuk mencatat log aktifitas akses.
- Memperbaharui dokumen User Access Matrix secara berkala.
Dengan melakukan peninjauan akses fisik dan logik secara berkala dan konsisten, tentunya dapat meningkatkan keamanan dengan memastikan hanya pihak-pihak tertentu yang dapat mengakses aset teknologi informasi dapat dicapai dan berjalan dengan baik.