Manajemen Keamanan Informasi

5/24/2022

    

    Menurut Sarno dan If


    Menurut Sarno dan Iffano keamanan informasi adalah suatu upaya untuk
mengamankan aset informasi terhadap ancaman yang mungkin timbul. Sehingga keamanan
informasi secara tidak langsung dapat menjamin kontinuitas bisnis, mengurangi resikoresiko yang terjadi, mengoptimalkan pengembalian investasi (return on investment.
Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing-kan maka
semakin besar pula resiko terjadi kerusakan, kehilangan atau tereksposnya data ke pihak
eksternal yang tidak diinginkan (Sarno dan iffano : 2009). Menurut ISO/IEC 17799:2005
tentang information security management system bahwa keamanan informasi adalah upaya
perlindungan dari berbagai macam ancaman untuk memastikan keberlanjutan bisnis,
meminimalisir resiko bisnis, dan meningkatkan investasi dan peluang bisnis.

    Informasi merupakan aset yang sangat berharga bagi sebuah organisasi karena merupakan salah satusumber daya strategis dalam meningkatkan nilai usaha dan kepercayaan publik. Oleh karena itu maka perlindungan terhadap informasi (keamanan informasi) merupakan hal yang mutlak harusdiperhatikan secara sungguh‐sungguh oleh segenap jajaran pemilik, manajemen, dan karyawanorganisasi yang bersangkutan. Keamanan informasi yang dimaksud menyangkut kebijakan, prosedur, proses, dan aktivitas untuk melindungi informasi dari berbagai jenis ancaman terhadapnya sehinggadapat menyebabkan terjadinya kerugian‐kerugian bagi kelangsungan hidup organisasi. 

    Informasi dikumpulkan, disimpan, diorganisasikan, dan disebarluaskan dalam berbagai bentuk baik dokumen berbasis kertas hingga berkas elektronik atau digital. Apapun bentuk maupun cara penyimpanannya, harus selalu ada upaya dan untuk melindungi keamanan informasi tersebut sebaik mungkin.Keamanan yang dimaksud harus memperhatikan sejumlah aspek, yaitu: 

  • Confidentiality Keamanan informasi menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu. Pengertian lain dari confidentiality merupakan tindakan pencegahan dari orang atau pihak yang tidak berhak untuk mengakses informasi. 
  • Integrity Keamanan informasi menjamin kelengkapan informasi dan menjaga dari kerusakan atau ancaman lain yang mengakibatkan berubah informasi dari aslinya. Pengertian lain dari integrity adalah memastikan bahwa informasi tersebut masih utuh, akurat, dan belum dimodifikasi oleh pihak yang tidak berhak 
  • Availability Keamanan informasi menjamin pengguna dapat mengakses informasi kapanpun tanpa adanya gangguan dan tidak dalam format yang tidak bisa digunakan. Pengguna dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi. Availability meyakinkan bahwa pengguna mempunyai kesempatan dan akses pada suatu informasi.
    Tiga elemen dasar confidentiality, integrity, dan availability (CIA) merupakan dasar diantara program program keamanan yang dikembangkan. Ketiga elemen tersebut merupakan mata rantai yang saling berhubungan dalam konsep information protection. Keamanan bisa dicapai dengan beberapa cara atau strategi yang biasa dilakukan secara simultan atau dilakukan dalam kombinasi satu dengan yang lainnya. Strategi-strategi dari keamanan informasi masing-masing memiliki fokus dan dibangun tujuan tertentu sesuai kebutuhan. Contoh dari keamanan informasi antara lain :

  • Physical security adalah keamanan informasi yang memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman yang meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
  • Personal security adalah keamanan informasi yang berhubungan dengan keamanan personil. Biasanya saling berhubungan dengan ruang lingkup physical security. 
  • Operasional security adalah keamanan informasi yang membahas bagaimana strategi suatu organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi tanpa gangguan.
  • Communication security adalah keamanan informasi yang bertujuan mengamankan media komunikasi, teknologi komunikasi serta apa yang masih ada didalamnya. Serta kemampuan untuk memanfaatkan media dan teknologi komunikasi untuk mencapai tujuan organisasi.
  • Network security adalah keamanan informasi yang memfokuskan pada bagaimana pengamanan peralatan jaringannya, data organisasi, jaringan dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. 
    Manajemen keamanan informasi menjadi penting diterapkan agar informasi yang beredar di perusahaan dapat dikelola dengan benar sehingga perusahaan dapat mengambil keputusan berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan layanan yang terbaik kepada pelanggan. ISM terdiri dari empat langkah: 

  • Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi perusahaan
  • Mendefinisikan resiko dari ancaman yang dapat memaksakan
  • Penetapan kebijakan keamanan informasi
  • Menerapkan kontrol yang tertuju pada resiko
    Menjaga keamanan informasi berarti pula perlunya usaha dalam memperhatikan faktor‐faktor keamanan dari keseluruhan piranti pendukung, jaringan, dan fasilitas lain yang terkait langsung maupun tidak langsung dengan proses pengolahan informasi. Dengan amannya keseluruhan lingkungan tempat informasi tersebut berada, maka kerahasiaan, integritas, dan ketersediaan informasiakan dapat secara efektif berperan dalam meningkatkan keunggulan, keuntungan, nilai komersial, dancitra organisasi yang memiliki aset penting tersebut.

    Saat ini berbagai organisasi dihadapkan pada sejumlah ancaman‐ancaman keamanan informasi dari berbagai sumber, seperti yang diperlihatkan dengan keberadaan sejumlah kasus kejahatan komputer secara sengaja, seperti: pencurian data, aktivitas spionase, percobaan hacking, tindakan vandalisme,dan lain‐lain, maupun ancaman yang disebabkan karena kejadian‐kejadian lain seperti bencana alam, misalnya: banjir, gempa bumi, tsunami, dan kebakaran. Bergantungnya kinerja organisasi padasistem informasi mengandung arti bahwa keseluruhan ancaman terhadap keamanan tersebutmerupakan portofolio resiko yang dihadapi oleh organisasi yang bersangkutan.

    Keberadaan dan kepatuhan terhadap standar merupakan hal mutlak yang harus dimiliki oleh pihak manapun yang ingin menerapkan sistem keamanan informasi secara efektif. Sejumlah alasan utamamengapa standar diperlukan adalah untuk menjamin agar:
  • Seluruh pihak yang terlibat dalam proses keamanan informasi memiliki kesamaan pengertian,istilah, dan metodologi dalam melakukan upaya ‐ upaya yang berkaitan dengan keamanan data;
  • Tidak terdapat aspek-aspek keamanan informasi yang terlupakan karena standar yang baik telah mencakup keseluruhan spektrum keamanan informasi yang disusun melalui pendekatan komprehensif dan holistik (utuh dan menyeluruh);
  • Upaya-upaya untuk membangun sistem keamanan informasi dilakukan secara efektif dan efisien dengan tingkat optimalisasi yang tinggi, karena telah memperhatikan faktor ‐ faktor perkembangan teknologi serta situasi kondisi yang berpengaruh terhadap organisasi; 
  • Tingkat keberhasilan dalam menghasilkan sistem keamanan informasi yang berkualitas menjaditinggi, karena dipergunakan standar yang sudah teruji kehandalannya.
    Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.
  1. Ancaman Internal dan Eksternal, Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha.
  2. Tindakan Kecelakaan dan disengaja, Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar perusahaan.
  3. Jenis- Jenis Ancaman:
  • Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada programprogram dan boot sector lain
  • Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail
  • Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat
  • Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu
  • Spyware. Program yang mengumpulkan data dari mesin pengguna
    Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu: 
  • Pengungkapan Informasi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
  • Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
  • Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi.
  • Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah. 
    E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit. Kartu Kredit “Sekali pakai” Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli sesuatu seccar online, ia akan memperleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran. Praktik keamanan yang diwajibkan oleh Visa Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, atau pembatasan penjualan dengan visa. Peritel harus : 
  • Memasang dan memelihara firewall
  • Memperbaharui keamanan
  • Melakukan enkripsi data yang disimpan
  • Melakukan enkripsi pada data yang dikirm
  • Menggunakan dan memperbaharui peranti lunak anti virus
  • Membatasi akses data kepada orang-orang yang ingin tahu
  • Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data
  • Memantau akses data menggunakan kode unik
  • Tidak menggunakan kata sandi default yang disediakan oleh vendor
  • Secara teratur menguji sistem keamanan
    Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan dengan e-commerce: 
  • Menyaring karyawan yang memiliki akses terhadap data
  • Tidak meninggalkan data atau komputer dalam keadaan tidak aman
  • Menghancurkan data jika tidak dibutuhkan lagi 

Post a Comment

Tidak ada komentar

Langganan: Posting Komentar ( Atom )