Framework untuk menyusun Network Policy pada institusi Pendidikan Tinggi Mohammad Fal Sadikin1
[email protected]
ABSTRACT To obtain stratifying networks performance and achieve expert security goals, network policy is one of very important aspects beside technology devices and configuration systems. Network policy is a comprehensive set of rules that are designed to meet a system's security objectives and better performance. Currently, due to ineffective network policy, many network services in educational institution especially in Indonesia are not stratifying enough both in performance and security concern. Moreover, the various characteristics of users in educational institution make the network policy more difficult to enforce. Therefore, this paper provides a framework to develop network policy which is appropriate with educational organization in order to makes them easier to draft, maintain, and enforce. Furthermore, this paper also provides details process of writing the network policy which is suitable with educational field. Keywords: Network Policy, Security Policy.
INTISARI Untuk mencapai tujuan pengoptimalan jaringan komputer baik itu dari segi kinerjanya maupun dari segi keamanannya, network policy adalah salah satu bagian penting selain teknologi devices yang digunakan dan konfigurasi dari devices tersebut. Bahkan Teknologi devices yang baik dan konfigurasi yang baik pula, tidak akan optimal tanpa network policy yang sesuai. Saat ini banyak sistem jaringan komputer di institusi pendidikan belum optimal karena masalah network policy yang belum efektif dan efisien dalam menunjang kinerja suatu organisasi sebagai institusi pendidikan. Menyusun network policy di institusi pendidikan bukanlah pekerjaan sederhana, terlebih lagi user yang kompleks menyebabkan proses penyusunan menjadi semakin kompleks. Oleh sebab itu, paper ini memfokuskan pada masalah network policy, bagaimana menyusunnya, mengimplementasi, serta mengelolanya secara efektif dan efisien, agar tujuan pengoptimalan kenerja dan keamanan dapat tercapai. Kata kunci: Network Policy, Security Policy
PENDAHULUAN Salah satu masalah utama kinerja layanan dan keamanan jaringan komputer di suatu institusi pendidikan saat ini adalah tidak berfungsinya atau tidak tepatnya implementasi network
1
STMIK Amikom Yogyakarta
policy sebagai salah satu bagian penting dalam system layanan jaringan komputer. Banyak pengelola jaringan komputer dan para user masih belum memperhatikan pentingnya network policy tertulis, bagaimana cara menyusunnya, mengelola, dan mengimplimentasikan dalam berbagai aplikasi layanan jaringan komputer. Telah kita ketahui bersama bahwa berbagai macam ancaman yang sering muncul diakibatkan karena rendahnya kesadaran user, network administrator, dan pihak-pihak terkait dalam mengamankan sistem baik karena kelalainan, ketidak tahuan, maupun karena kesengajaan, untuk itu diperlukan network policy yang mengatur tentang hal-hal tersebut. Oleh sebab itu, paper ini memfokuskan pada masalah network policy, bagaimana menyusunnya, mengimplementasi, serta mengelolanya secara efektif dan efisien, agar tujuan pengoptimalan kenerja dan keamanan dapat tercapai.
TINJAUAN PUSTAKA Beberapa literatur digunakan pada makalah ini untuk lebih meningkatkan kualitas materi, diantaranya, beberapa kutipan dari hasil tulisan dan istilah dari Eko Indrajit [4][5][6], dan beberapa literatur yang telah dituliskan pada bagian referensi [7][8][9].
TUJUAN Tujuan utama dari penulisan makalah ini antara lain adalah sebagai berikut. 1.
Sebagai kerangka dan acuan dalam menyusun network policy yang efektif dan efisien sesuai dengan bisnis proses di suatu perguruan tinggi.
2.
Sebagai acuan dalam melakukan evaluasi yang berkesinambungan sehingga dapat optimalkan tujuan utama dari penyusunan network policy, diantaranya keamanan, keandalan, efisiensi dari infrastruktur yang sudah ada.
3.
Mengoptimalkan bagaimana cara mengamankan sistem dari segi network policy terhadap user, network administrator, dan pihak-pihak terkait yang ada di dalam maupun di luar sistem.
HASIL DAN PEMBAHASAN Ancaman yang umumnya dihadapi oleh sistem jaringan di suatu perguruan tinggi Adapun beberapa ancaman yang sering dihadapi oleh institusi perguruan tinggi, antara lain sebagai berikut. 1.
Keinginan sejumlah atau sekelompok orang maupun pihak yang ingin mengambil dan memanipulasi beraneka ragam data penting untuk kepentingan pihak-pihak tertentu. Mulai dari hal-hal yang secara langsung merepresentasikan sumber daya finansial, seperti kekayaan rekening yayasan, jumlah tagihan/kredit, dan lain sebagainya, hingga entitas intangible yang memiliki nilai strategis tertentu seperti data yang bersifat akademis, password, informasi rahasia yayasan, dan lain-lain.
2.
Niat orang-orang jahat tersebut untuk membuat agar sistem tidak berfungsi secara normal, atau dengan kata lain mencoba membuat terjadinya mal fungsi pada sistem
atau infrastruktur yang ada. Harapannya adalah agar terjadi gangguan pada proses transaksi, aktivitas akses informasi, prosedur administrasi, dan lain sebagainya. Karena semakin banyak aspek kinerja yang tergantung pada sistem dari infrasturktur yang ada, maka gangguan ini dapat mengakibatkan terjadinya chaos yang berkepanjangan. 3.
Usaha melakukan modifikasi terhadap data atau informasi yang mengalir di internet demi tujuan-tujuan destruktif, seperti memfitnah, menyesatkan, mengadu domba, menghancurkan citra, menipu, faham-faham yang menyesatkan, citra dan media pornografi, informasi pendukung tindakan terorisme, tawaran aktivitas perjudian, caracara melakukan kejahatan terselubung dan lain-lain.
4.
Penyebaran dan penanaman program-program jahat (baca: malicious software) ke komputer-komputer yang terhubung ke internet dengan tujuan yang berane-ragam, mulai dari yang bersifat non-destruktif - seperti adanya tampilan yang tidak diiginkan, mengacaukan fungsi huruf pada papan tekan (baca: keyboard), tidak bekerjanya peralatan input-output, dan lain-lain, hingga yang bersifat sangat destruktif, seperti menghapus isi pada hard disk, mengambil data tanpa sepengetahuan pemilik, mematamatai aktivitas pengguna, memacetkan komputer atau lebih dikenal dengan istilah denial of sevice (Dos), menurunkan kinerja kecepatan prosesor, dan hal-hal lain yang sangat merugikan.
Dasar dari ancaman di atas dapat digunakan sebagai salah satu acuan untuk menyusun network policy yang lebih optimal, terutama untuk lebih meningkatkan keamanan sistem.
Langkah-Langkah Pengamanan Adapun langkah-langkah pengamanan yang seharusnya diterapkan dalam rangka menyususn network policy adalah sebagai berikut. 1.
Tentukan aset-aset informasi apa saja yang paling berharga bagi perusahaan yang perlu untuk diamankan.
2.
Tentukanlah batasan-batasan jejaring yang terhubung dan/atau terkait dengan aset informasi yang dimaksud.
3.
Identifikasikan para pihak pemangku kepentingan yang berada dalam wilayah atau perimeter tersebut.
4.
Lakukan analisa resiko terkait hal-hal yang dapat mengancam keberadaan aset berharga tersebut dalam konteks kemungkinan terjadinya peristiwa yang tidak diinginkan dengan magnitude kerugian yang ditimbulkannya.
5.
Pastikan dilakukan mitigasi resiko berupa instalasi piranti keras, penerapan piranti lunak, dan prosedur keamanan pengguna sebagai suatu bagian kesatuan implementasi sistem pengamanan.
6.
Buat payung peraturan dan perangkat penerapan model keamanan yang dimaksud agar dapat di-enforce dan diterapkan oleh seluruh lapisan manajemen dan staf dalam organisasi.
7.
Berdasarkan kinerja dan pemantauan efektivitas sehari-hari, lakukan diskusi dan berbagi pengalaman dengan seluruh pihak dan pemangku kepentingan yang terlibat untuk keperluan perbaikan sistem.
8.
Secara terus-menerus perbaikilah kualitas sistem keamanan yang dimiliki, salah satunya dengan mencari mata rantai yang paling lemah dalam sebuah sistem jejaring, dan perbaikilah (lakukanlah hal ini berulang-ulang secara terus-menerus sebagai bagian dari continuous improvement).
Proses Penyusunan Network Policy Tahap pertama dalam penusunan security policy adalah pembentukan team. Biasanya proses penulisan network policy adalah dengan pendekatan top-down process, meskipun ini bukan merupakan syarat mutlak karena pendekatan campuran antara top-down dan bottom-up memungkinkan untuk diterapkan. Teamwork yang dibentuk sebaiknya terdiri dari para personil yang erat kaitannya dengan aplikasi yang berjalan di atas jaringan tersebut, tidak hanya para personil yang paham akan aplikasi teknologi yang dipakai tetapi juga para personil yang mengerti betul seluk beluk bisnis proses di institusi tersebut, sehingga masing-masing personil memiliki kontribusi yang unik sesuai dengan latar belakang bidang yang dimilikinya untuk menghasilkan network policy yang efektif dan efisien.
Kerangka Network Policy Pada bagian ini akan dibahas mengenai inti atau aspek yang digunakan sebagai dalam penulisan network policy, setiap institusi tentunya akan menghasilkan policy yang berbedabeda, namun policy tersebut pada dasarnya akan merujuk pada kerangka tertentu, antara lain sebagai berikut. 1.
Seberapa sensitif informasi harus ditangani.
2.
Bagaimana maintenance ID, Password, dan seluruh account data penting.
3.
Bagaimana merespon potensi security incident dan percobaan gangguan sistem keamanan.
4.
Bagaimana menggunakan workstation dan internet dengan cara yang benar.
5.
Bagaimana manajemen email system.
Beberapa pendekatan dasar yang digunakan sebagai acuan/dasar untuk menyusun network policy antara lain sebagai berikut. 1.
Mengidentifikasi apa yang perlu diamankan.
2.
Pihak-pihak mana yang akan dilindungi.
3.
Mendefinisikan apa saja potensi resiko terhadap seluruh aset informasi.
4.
Pertimbangan pemonitoran untuk evaluasi.
Langkah selanjutnya adalah membuat daftar kategori yang harus diamankan untuk lebih memfokuskan dalam implementasi pengamanannya. Adapun daftar tersebut sebagai berikut. 1.
Hardware: seluruh server, workstation, personal komputer, removable media (CD, floppy, flashdisk, dan seterusnya.), jalur komunikasi, dan seterusnya.
2.
Software: identifikasi seluruh potensi penggunaan software, jenis ancaman, dan cara menanggulanginya.
3.
User: penggolongan user berdasarkan prioritas, siapa saja yang boleh dan tidak boleh terhadap akses informasi tertentu.
Adapun Kerangka Network Policy yang efektif sebaiknya terdiri dari beberapa aspek sebagai berikut. 1.
Computer Acceptable Use, yakni dokumen yang bersifat umum yang mencakup seluruh penggunaan komputer oleh user, termasuk server dan aplikasi yang berjalan di atas jaringan tersebut.
2.
Password, yakni deskripsi tentang persyaratan dalam penggunaan password untuk keamanan komputer dan aplikasinya, bagaimana cara pemilihan password yang tepat, dan bagaimana password policy tersebut di implementasikan.
3.
Email, Policy yang mengatur mengenai penggunaan email, mencakup seluruh persyaratan untuk mengoptimalkan email system yang ada. Email dapat menjadi sarana pencurian yang ampuh. Lihatlah bagaimana dengan fasilitas attachment, seorang user dapat dengan mudahnya menyelundupkan atau mencuri informasi atau dokumen penting. Belum lagi terhitung besarnya resiko yang harus dihadapi sebuah institusi terhadap kemungkinan dikirimkannya berkas-berkas atau penting lain kepada pihak-pihak yang tidak berwenang oleh orang-orang dalam suatu intitusi, seperti laporan keuangan, daftar gaji pegawai, berkas transaksi, dan lain sebagainya. Tidak banyak institusi pendidikan yang memiliki sistem keamanan dan network policy yang efektif untuk mencegah kemungkinan-kemungkinan kejahatan maupun pelanggaran etika bisnis yang disebabkan karena adanya fasilitas email ini.
4.
Web, yakni policy yang mengatur tentang spesifikasi web browser yang boleh digunakan, bagaimana cara meng implementasikanya, bagaimana konfigurasinya, dan segala policy yang mengatur tentang pembatasan akses pada situs-situs tertentu.
5.
Mobile Computing and Portable Storage, yakni deskripsi tentang persyaratan penggunaan mobile computing dan portable storage, bagaimana mensupport device tersebut dan spesifikasi device yang diijinkan untuk digunakan dalam system network.
6.
Remote access, yakni deskripsi tentang persyaratan penggunaan remote access, siapa saja yang boleh menggunakan, spesifik lokasi, dan segala persyaratan keamanan.
7.
Internet, yakni deskripsi tentang konfigurasi gateway, apa saja yang dibolehkan masuk dan keluar gateway, dan mengapa?
8.
Wireless, yakni policy yang mengatur megenai wireless system, konfigurasi, persyaratan penggunaan, maintenance, pengamanan, dan kondisi penggunaan.
9.
Servers, statement dari institusi mengenai standart penggunaan server, tujuan dari spesifik server tertentu, enabled/disabled services.
10.
Incident Response Plan, tentunya policy tidak akan pernah lengkap tanpa Incident Response Plan policy, deskripsi tentang apa yang harus dilakukan ketika keamanan jaringan
mengalami
kegagalan,
siapa
yang
bertanggung
jawab,
bagaimana
penanggulangannya, dan siapa yang memiliki kekuasaan penuh dalam proses ini.
Tujuan Network Policy Pada bagian ini akan disebutkan pokok-pokok berupa pertanyaan yang harus dijawab untuk lebih memfokuskan kepada siapa network policy ini dibuat, apakah untuk user biasa, user istimewa, pihak manajemen, atau untuk pihak network administrator. Adapun daftar yang pertanyaan yang harus diperhatikan adalah sebagai berikut. 1.
Untuk lebih mengoptimalkan network policy yang dibuat, maka perlu diketahui apasajakah factor-faktor yang harus dipenuhi, ditujukan pada siapa, dan cakupan wilayah kerjanya.
2.
The institution name, apakah network policy berlaku untuk seluruh bagian dari institusi, hanya fakultas tertentu saja, jurusan tertentu saja, atau bahkan hanya untuk bagian tertentu dari jurusan tertentu.
3.
The purpose of the policy, apa tujuan dari network policy, untuk apa? Dan apa yang diharapkan dari dari penyususnan network policy? Missal, untuk tujuan keamanan, atau untuk pengoptimalan kinerja.
4.
The individuals or organizations responsible for the policy, siapa yang bertanggung jawab untuk keseluruhan keamanan jaringan, IT Departement atau Sistem Informasi Departement.
Hal hal yang perlu diperhatikan oleh pihak manajemen dan network administrator Adapun Hal hal yang perlu diperhatikan oleh pihak manajemen dan network administrator akan dibahas lebih rinci pada bagian ini, agar dapat lebih memfokuskan pada network policy yang tujuannya untuk orientasi keamanan dan peningkatan kinerja. Klasifikasi dan Kontrol Aset, untuk memelihara perlindungan yang tepat bagi pengorganisasian aset. Semua aset informasi penting harus diperhitungkan keberadaannya dan ditentukan kepemilikannya. Akuntabilitas terhadap aset akan menjamin terdapatnya perlindungan yang tepat. Pemilik semua aset penting harus diidentifikasi dan ditetapkan tanggung jawabnya untuk memelihara sistem kontrol tersebut. Tanggungjawab penerapan sistem kontrol dapat didelegasikan. Akuntabilitas harus tetap berada pada pemilik aset. Pengamanan Personil, untuk mengurangi resiko kesalahan manusia, pencurian, penipuan atau penyalahgunaan fasilitas.Tanggung jawab keamanan harus diperhatikan pada
tahap penerimaan pegawai, dicakup dalam kontrak dan dipantau selama masa kerja pegawai. Penelitian khusus harus dilakukan terhadap calon pegawai khususnya di bidang tugas yang rahasia. Seluruh pegawai dan pengguna pihak ketiga yang menggunakan fasilitas pemrosesan informasi harus menanda-tangani perjanjian kerahasiaan (non-disclosure). Keamanan Fisik dan Lingkungan, untuk mencegah akses tanpa otorisasi, kerusakan, dan gangguan terhadap tempat dan informasi bisnis. Fasilitas pemrosesan informasi bisnis yang kritis dan sensitif harus berada di wilayah aman, terlindung dalam perimeter keamanan, dengan rintangan sistem pengamanan dan kontrol masuk yang memadai. Fasilitas tersebut harus dilindungi secara fisik dari akses tanpa ijin, kerusakan dan gangguan. Perlindungan harus disesuaikan dengan identifikasi resiko. Disarankan penerapan kebijakan clear desk dan clear screen untuk mengurangi resiko akses tanpa ijin atau kerusakan terhadap kertas, media dan fasilitas pemrosesan informasi. Pengontrolan Akses, untuk mencegah akses tanpa ijin terhadap sistem informasi. Prosedur formal harus diberlakukan untuk mengkontrol alokasi akses, dari pendaftaran awal dari pengguna baru sampai pencabutan hak pengguna yang sudah tidak membutuhkan lagi akses ke sistem informasi dan layanan. Perhatian khusus harus diberikan, jika diperlukan, yang dibutuhkan untuk mengkontrol alokasi hak akses istimewa, yang memperbolehkan pengguna untuk menembus sistem kontrol. Pengembangan dan Pemeliharaan Sistem, untuk memastikan bahwa keamanan dibangun dalam sistem informasi. Persyaratan Keamanan sistem mencakup infrastruktur, aplikasi bisnis dan aplikasi yang dikembangkan pengguna. Disain dan implementasi proses bisnis yang mendukung aplikasi atau layanan sangat menentukan bagi keamanan. Persyaratan keamanan harus diidentifikasi dan disetujui sebelum pengembangan sistem informasi. Semua persyaratan keamanan sisitem informasi, termasuk kebutuhan pengaturan darurat, harus diidentifikasi pada fase persyaratan
suatu
proyek.,
dan diputuskan, disetujui serta
didokumentasikan sebagai bagian dari keseluruhan kasus bisnis sebuah sistem informasi.
Peraturan dalam Network Policy Peraturan dalam network policy ditujukan untuk bagaimana mengimplementasikan network policy yang sudah ada agar lebih optimal, adapun peraturannya sebagai berikut. 1.
Penalties for breaking policy, detail tentang hukuman atau sanksi bagi para pelanggar network policy, mulai dari peringatan hingga pemecatan.
2.
Who enforces the policy, seluruh manajemen dan user harus memiliki tanggung jawab yang spesifik pada peraturan yang ada di network policy.
3.
How to request policy changes, detail tentang bagaimana proses perubahan network policy, bagaimana cara mengubahnya, siapa yang merevisi, dan parameter apa yang dipakai untuk merevisi network policy.
4.
How often your policies must be reviewed, seberapa sering network policy dievaluasi?
Contoh Network Policy di Institusi Pendidikan Tinggi. The Acceptable use policy 1.
Pegawai, dosen, mahasiswa D3, S1, dan pasca sarjana diberi fasilitas email dengan domain masing – masing.
2.
Account mahasiswa dan dosen bersifat seterusnya tetapi kapasitasnya dibatasi sesuai dengan kebijakan Jurusan/Fakultas. Untuk account pegawai bersifat sementara selama masih bekerja.
3.
Mahasiswa yang melanjutkan studi ke jenjang yang lebih tinggi mendapatkan email baru sesuai dengan jenjang studinya.
4.
Username email ditentukan sendiri oleh user, sedangkan password diberikan oleh admin. password tersebut harus segera diganti untuk menghindari penyalahgunaan account email.
5.
User yang melaporkan lupa password ke admin wajib mengganti password-nya.
6.
Username dan password proxy sama dengan username dan password email. Password proxy dapat di ubah, tetapi username tidak bisa diubah – ubah.
7.
Semua user yang menggunakan internal workstation wajib men-setting password protected screen saver.
8.
Semua user yang akan meninggalkan komputer atau workstation dalam waktu lebih dari 3 menit dan dengan jarak lebih dari pandangan untuk melihat komputernya wajib menjalankan lock screen / logout user.
9.
Komputer menggunakan OS linux yang terpusat di server dengan account proxy sebagai autentikasi.
10.
Komputer lab tidak diijinkan meng-install software selain yang berkepentingan (asisten dosen lab dan admin)
11.
Tidak ada user yang diijinkan untuk meng-copy file system operasi (contoh : file SAM, etc/passwd) yang ada di workstation kecuali admin.
User Account Policy 1.
Semua user dilarang untuk membagikan account milik sendiri ke orang lain (termasuk keluarga, sahabat karib, dll).
2.
Semua user dilarang menggunakan account milik orang lain.
3.
Account user hanya dapat digunakan sekali pada waktu yang bersamaan (menggunakan kabel atau wireless)
4.
Tamu yang akan memakai koneksi internet diberi nama user “guest” dengan password yang selalu berbeda tiap hari. Password guest diberikan oleh admin.
Remote Access Policy 1.
Admin dapat menggunakan fasilitas VPN untuk akses server – server yang ada.
2.
Pegawai dapat menggunakan fasilitas VPN untuk akses Sistem Informasi Pegawai (SIP).
3.
Tidak boleh menggunakan modem dan access point portable sendiri.
4.
Semua user yang akan menggunakan remote access wajib menggunakan software yang dapat meningkatkan keamanan (contoh : antivirus, trojan horse scanning, dll).
Information Protection Policy 1.
Semua Civitas Akademika Teknik Elektro yang memiliki kertas dokumen, CD, DVD, Flash disk dan media penyimpanan lainnya dan tidak terpakai atau rusak wajib menghancurkan sebelum dibuang.
2.
Level akses data disesuaikan dengan status kepegawaian yang dimiliki.
3.
Level akses data untuk pegawai baru atau pegawai yang naik / turun jabatan akan diberi tahu oleh pimpinannya.
Network Connection Policy 1.
Semua perbaikan komputer server harus dapat dilakukan 1 x 24 jam.
2.
Installasi network hardware wajib diawasi oleh admin.
3.
Jika ditemukan ada user yang tidak terdaftar dalam jaringan akan langsung di matikan access-nya.
4.
Autentikasi wifi menggunakan WEP
5.
Seting VLAN untuk dosen, karyawan, mahasiswa.
The Strategic partner policy 1.
Dosen luar yang menggunakan video conference wajib menggunakan fasilitas VPN.
2.
Jaringan Inherent hanya bersifat read only.
The Privileged Access Policy 1.
Admin hanya dapat dipecat oleh pimpinan Fakultas.
2.
Admin berhak membuat user account baru sesuai dengan kebutuhan Fakultas/Jurusan.
3.
Admin diijinkan untuk menggunakan network scanning tools.
4.
Admin tidak diijinkan untuk mengakses secara remote komputer – komputer selain komputer lab.
5.
Admin dilarang keras untuk melihat password milik user lain kecuali adanya laporan tentang lupa password yang sifatnya tertulis dan ditanda tangani oleh ketua jurusan masing-masing bagi mahasiswa dan bagi pegawai ditanda tangani oleh kepala bagian pegawai.
The Password Policy 1.
Panjang password user minimal 8 karakter dengan perpaduan antara huruf kapital, huruf kecil, angka, dan karakter khusus (!@#$%^&*()_+|).
2.
Disarankan semua user mengganti password-nya dalam 1 bulan
3.
Password yang menggunakan 1 karakter dengan panjang 8 digit atau lebih akan tetap kena pinalti
4.
User yang mengganti password-nya akan dicatat dalam file log server.
Internet Policy 1.
Semua user dapat mengakses internet.
2.
Setiap user memiliki batasan bandwidth untuk akses internet pada jam kerja (8.0016.00). Selebihnya bebas.
3.
Semua user dilarang mengakases website porno atau website underground.
KESIMPULAN Penyusunan network policy adalah pekerjaan berkesinambungan dan tidak akan pernah menjadi 100% kompleks, oleh sebab itu dibutuhkan evaluasi secara periodik sesuai dengan kebijakan manajeman, serta pemonitoran rutin untuk mencegah pelanggaran terhadap network policy tersebut agar tercapai network policy yang optimal dalam menunjang kinerja di suatu institusi pendidikan tinggi.
DAFTAR PUSTAKA [1] Applegate, Lynda M., Warren McFarlan, and James Kenney. 1999. Corporate Information Systems Management, Boston, Massachusetts: McGraw-Hill. [2] Dancho Danchev. 2003. Building and Implementing a Successful Information Security Policy.WindowSecurity.Com. 2003. [3] Frederick M. Avolio and Steve Fallin. 2007. Producing Your Network Security Policy. Watchguard.com. July 2007. [4] Indrajit, Richardus Eko. 2002. Pengantar Konsep E-Business. Penerbit ANDI Yogyakarta. [5] Indrajit, Richardus Eko, 1999. Pengantar Konsep Dasar Sistem Informasi dan Teknologi Informasi, Jakarta: Elex-Media Komputindo. [6] Indrajit, Richardus, Peter Ong, and K.C. Chan. 2003. Integrated Project Management, Jakarta: Indonesia Infocosm Business Community Press. [7] URL : http://www.sans.org/rr/policy [8] URL : http://www.secinf.net/policy_and_standards/ [9] URL : http://directory.google.com/Top/Computers/Security/Policy/
BIODATA PENULIS Nama Lengkap : Mohammad Fal Sadikin, S.T., M.Eng. Tempat / Tanggal Lahir : Kendari / 28 Februari 1982 Asal S1, Bidang Ilmu : Teknik Mesin Universitas Gadjah Mada Asal S2, Bidang Ilmu : Magister Teknologi Informasi Universitas Gadjah Mada Spesialisasi dan minat keilmuan : Jaringan Komputer, Keamanan Jaringan