Informasi adalah
salah suatu asset penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam berbagai format
berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu,
manajemen informasi penting bagi
meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen
informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan
informasi. Dengan tumbuhnya berbagai
penipuan, spionase, virus, dan hackers sudah mengancam informasi
bisnis manajemen oleh karena
meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang
dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya ,
meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan
stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk
memastikan informasi yang menjamin kesinambungan bisnis dan meminimise
kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.
Mengapa harus mengamankan informasi?
Keamanan
Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki.
Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan
“keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya
sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan
Teknologi Informasi” atau IT Security mengacu pada usaha-usaha mengamankan
infrastruktur teknologi informasi dari
gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang
tidak diizinkan
Berbeda dengan
“keamanan informasi” yang fokusnya justru pada data dan informasi milik
perusahaan Pada konsep ini, usaha-usaha
yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua
kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat
digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan
atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek
berikut:
·
Confidentiality (kerahasiaan) aspek yang
menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya
dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang
dikirim, diterima dan disimpan.
·
Integrity (integritas) aspek yang menjamin bahwa
data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga
keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek
integrity ini.
·
Availability (ketersediaan) aspek yang menjamin
bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat
menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana
diperlukan).
Keamanan
informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang
layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek,
prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Informasi yang
merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan
sebagai “quality or state of being secure-to be free from danger” [1]. Untuk
menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa
dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi
memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari
tinjauan keamanan informasi adalah:
·
Physical Security yang memfokuskan strategi
untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja
dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan
bencana alam.
·
Personal Security yang overlap dengan ‘phisycal
security’ dalam melindungi orang-orang dalam organisasi.
·
Operation Security yang memfokuskan strategi
untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa
gangguan.
·
Communications Security yang bertujuan
mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan
untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
·
Network Security yang memfokuskan pada
pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta
kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi
data organisasi.
Bagaimana mengamankannya?
Manajemen
keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada
karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan
informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan
informasi meliputi proses perancangan, pembuatan, dan implementasi strategi
untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1)
strategic planning yang dilakukan oleh tingkatan
tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau
lebih,
2)
tactical planning memfokuskan diri pada
pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang
lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,
3)
operational planning memfokuskan diri pada
kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen
keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung
perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya
diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning
dalam manajemen keamanan informasi, meliputi :
v Incident Response Planning
(IRP)
IRP terdiri dari satu set proses
dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden
yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset
organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi
atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan
menyerang aset informasi, dan mengancam confidentiality, integrity atau
availbility sumberdaya informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
v Disaster Recovery Planning
(DRP)
Disaster Recovery Planning
merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana.
Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan
sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya
secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden
dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang
ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan
pemulihan.
v Business Continuity Planning
(BCP)
Business Continuity Planning
menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi
bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya
merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP
bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor
penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga
kategori umum dari kebijakan yaitu:
1) Enterprise
Information Security Policy (EISP) menentukan kebijakan departemen keamanan
informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
2) Issue
Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan
informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan
internet.
3) System
Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam
keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu
contohnya adalah program security education training and awareness. Program ini
bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan
informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga
dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui
serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk
assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan
perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap
mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
People
Manusia adalah penghubung utama
dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang
dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi
personil keamanan dan keamanan personil dalam organisasi.
Standar apa yang digunakan?
1) ISO/IEC
27001 adalah standar information security yang diterbitkan pada October 2005
oleh International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
2) ISO/IEC
27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga
pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan
syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa
dan memelihara seta mendokumentasikan Information Security Management System
dalam konteks resiko bisnis organisasi keseluruhan
3) ISO/IEC
27001 mendefenisikan keperluan-keperluan
untuk sistem manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu
memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan
melindungi proses bisnis yang penting agar terhindar dari resiko
kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi,
implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat
kerugian yang ditimbulkan dalam masa waktu yang tidak lama.
Tidak ada komentar:
Posting Komentar