Pentingnya
Manajemen Kontrol Keamanan pada Sistem
Informasi adalah salah
suatu asset penting dan sangat berharga bagi kelangsungan hidup bisnis
dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos,
dan audio visual. Oleh karena itu, manajemen informasi penting bagi meningkatkan
kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen
informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan
informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan
hackers sudah mengancam informasi bisnis manajemen oleh karena
meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang
dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya ,
meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan stakeholders
lainnya menuntut adanya manajemen informasi yang efektif untuk memastikan
informasi yang menjamin kesinambungan bisnis dan meminimise kerusakan bisnis
dengan pencegahan dan memimise dampak peristiwa keamanan.
Mengapa
harus mengamankan informasi?
Keamanan Informasi
adalah suatu upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan
orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan
teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya sangat
terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan
Teknologi Informasi” atau IT Security mengacu pada usaha-usaha mengamankan
infrastruktur teknologi informasi dari gangguan-gangguan berupa akses
terlarang serta utilisasi jaringan yang tidak diizinkan.
Berbeda dengan
“keamanan informasi” yang fokusnya justru pada data dan informasi milik
perusahaan Pada konsep ini, usaha-usaha yang dilakukan adalah
merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan
bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai
dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke
pihak-pihak yang tidak berkepentingan.
Keamanan informasi
terdiri dari perlindungan terhadap aspek-aspek berikut:
Confidentiality (kerahasiaan) aspek
yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya
dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang
dikirim, diterima dan disimpan.
Integrity (integritas) aspek
yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang
(authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya
untuk menjamin aspek integrity ini.
Availability
(ketersediaan) aspek yang menjamin bahwa data
akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan
informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi
diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang
dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur,
struktur-struktur organisasi dan piranti lunak.
Informasi yang
merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan
sebagai “quality or state of being secure-to be free from danger” [1].
Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya.
Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara
simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi
keamanan informasi memiliki fokus dan dibangun pada masing-masing
ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah:
Physical Security yang
memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset
fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses
tanpa otorisasi, dan bencana alam.
Personal Security yang
overlap dengan ‘phisycal security’ dalam melindungi orang-orang
dalam organisasi.
Operation Security yang
memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan
untuk bekerja tanpa gangguan.
Communications Security yang
bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta
kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
Network Security yang
memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan
isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi
fungsi komunikasi data organisasi.
Bagaimana
mengamankannya?
Manajemen keamanan
informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik
khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal
sebagai 6P yaitu:
Planning dalam
manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1) strategic
planning yang dilakukan oleh tingkatan tertinggi dalam organisasi
untuk periode yang lama, biasanya lima tahunan atau lebih,
2) tactical
planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi
sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih
singkat, misalnya satu atau dua tahunan,
3) operational
planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada
beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
v Incident
Response Planning (IRP)
IRP terdiri dari satu
set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi
akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya
informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar
terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman
yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbilitysumberdaya
informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
v Disaster
Recovery Planning (DRP)
Disaster Recovery
Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi
dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan
IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan
pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai
bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang
terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga
memerlukan waktu yang lama untuk melakukan pemulihan.
v Business
Continuity Planning (BCP)
Business Continuity
Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika
terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan
informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise Information
Security Policy (EISP) menentukan kebijakan
departemen keamanan informasi dan menciptakan kondisi keamanan informasi di
setiap bagian organisasi.
Issue Spesific Security
Policy (ISSP) adalah sebuah peraturan yang
menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi
keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau
penggunaan internet.
System Spesific Policy
(SSP) pengendali konfigurasi penggunaan perangkat
atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi
dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah
satu contohnya adalah program security education training and awareness.
Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai
keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja
sehingga dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi
dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan
resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi,
teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat
keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana
keamanan informasi.
People
Manusia adalah
penghubung utama dalam program keamanan informasi. Penting sekali mengenali
aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi.
Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
Standar
apa yang digunakan?
ISO/IEC 27001 adalah
standar information security yang diterbitkan pada October 2005 oleh
International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005
mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga
pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan
syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa
dan memelihara seta mendokumentasikan Information Security Management System
dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001
mendefenisikan keperluan-keperluan untuk sistem manajemen keamanan informasi
(ISMS). ISMS yang baik akan membantu memberikan perlindungan terhadap gangguan
pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar
terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan
sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan
operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak
lama.
Sumber :
