Pentingnya Manajemen Kontrol Keamanan pada Sistem
Informasi adalah salah suatu asset
penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan
dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio
visual. Oleh karena itu, manajemen informasi penting bagi meningkatkan
kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk
melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya
berbagai penipuan, spionase, virus, dan hackers sudah mengancam informasi
bisnis manajemen oleh karena meningkatnya keterbukaan informasi dan lebih
sedikit kendali/control yang dilakukan melalui teknologi informasi modern.
Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra
usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen informasi
yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan
meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa
keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu upaya
untuk mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan
bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi”
atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu
pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT
Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi
dari gangguan-gangguan berupa akses terlarang serta utilisasi jaringan
yang tidak diizinkan
Berbeda dengan “keamanan informasi”
yang fokusnya justru pada data dan informasi milik perusahaan Pada konsep
ini, usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta
mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi
bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan
atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan informasi terdiri dari
perlindungan terhadap aspek-aspek berikut:
1.
Confidentiality (kerahasiaan) aspek yang
menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya
dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang
dikirim, diterima dan disimpan.
2.
Integrity (integritas) aspek yang
menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang
(authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya
untuk menjamin aspek integrity ini.
3.
Availability (ketersediaan) aspek yang
menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak
dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan
bilamana diperlukan).
Keamanan informasi diperoleh dengan
mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa
kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur
organisasi dan piranti lunak.
Informasi yang merupakan aset harus
dilindungi keamanannya. Keamanan, secara umum diartikan sebagai “quality or
state of being secure-to be free from danger” [1]. Untuk menjadi aman
adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai
dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan
dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki
fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan
keamanan informasi adalah:
·
Physical Security yang memfokuskan
strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan
tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa
otorisasi, dan bencana alam.
·
Personal Security yang overlap
dengan ‘phisycal security’ dalam melindungi orang-orang dalam
organisasi.
·
Operation Security yang memfokuskan
strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja
tanpa gangguan.
·
Communications Security yang
bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta
kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
·
Network Security yang
memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan
isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi
fungsi komunikasi data organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki
tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus
dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam
manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1)
strategic planning yang
dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama,
biasanya lima tahunan atau lebih,
2)
tactical planning memfokuskan
diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada
tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau
dua tahunan,
3)
operational planning memfokuskan diri
pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen
keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung
perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan
dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam
manajemen keamanan informasi, meliputi :
·
Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan
prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari
insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset
organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi
atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan
menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility
sumberdaya informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
·
Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan
persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada
beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai
bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara
efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat
kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang
ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan
pemulihan.
·
Business Continuity Planning (BCP)
Business Continuity Planning menjamin
bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana.
Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan
tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas
menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang
diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga
kategori umum dari kebijakan yaitu:
·
Enterprise Information Security Policy
(EISP) menentukan kebijakan departemen keamanan informasi
dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
·
Issue Spesific Security Policy (ISSP) adalah
sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat
diterima dari segi keamanan informasi pada setiap teknologi yang digunakan,
misalnya e-mail atau penggunaan internet.
·
System Spesific Policy (SSP) pengendali
konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan
informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya
adalah program security education training and awareness. Program ini bertujuan
untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan
meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan
keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui
serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk
assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi
dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap
mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
People
Manusia adalah penghubung utama dalam
program keamanan informasi. Penting sekali mengenali aturan krusial yang
dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi
personil keamanan dan keamanan personil dalam organisasi.
Standar apa yang digunakan?
ISO/IEC 27001 adalah standar
information security yang diterbitkan pada October 2005 oleh International
Organization for Standarization dan International Electrotechnical Commission.
Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua
jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga
nirlaba). ISO/IEC 27001: 2005 menjelaskan syarat-syarat untuk membuat,
menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta
mendokumentasikan Information Security Management System dalam konteks resiko
bisnis organisasi keseluruhan
ISO/IEC 27001 mendefenisikan
keperluan-keperluan untuk sistem manajemen keamanan informasi (ISMS). ISMS yang
baik akan membantu memberikan perlindungan terhadap gangguan pada
aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar
terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan
sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan
operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak
lama.
No comments:
Post a Comment