Informasi adalah salah suatu asset
penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan
dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio
visual. Oleh karena itu, manajemen informasi penting bagi meningkatkan
kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah
untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan
tumbuhnya berbagai penipuan, spionase, virus, dan hackers sudah mengancam
informasi bisnis manajemen oleh karena meningkatnya keterbukaan informasi
dan lebih sedikit kendali/control yang dilakukan melalui teknologi informasi
modern. Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis,
mitra usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen
informasi yang efektif untuk memastikan informasi yang menjamin kesinambungan
bisnis dan meminimise kerusakan bisnis dengan pencegahan dan memimise dampak
peristiwa keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu
upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin
akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi
informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun
mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi”
atau IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi
informasi dari gangguan-gangguan berupa akses terlarang serta utilisasi
jaringan yang tidak diizinkan
Berbeda dengan “keamanan informasi”
yang fokusnya justru pada data dan informasi milik perusahaan Pada konsep
ini, usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta
mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi
bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta tidak
disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan informasi terdiri dari perlindungan terhadap
aspek-aspek berikut:
1.
Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau
informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang
berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2.
Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak
yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta
metode prosesnya untuk menjamin aspek integrity ini.
3.
Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia
saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan
perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi diperoleh dengan
mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa
kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur
organisasi dan piranti lunak.
Informasi yang merupakan aset harus dilindungi
keamanannya. Keamanan, secara umum diartikan sebagai “quality or state of
being secure-to be free from danger” [1]. Untuk menjadi aman adalah
dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan
beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam
kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus
dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan
informasi adalah:
•
Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi, dan bencana alam.
•
Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi
orang-orang dalam organisasi.
•
Operation Security yang memfokuskan strategi untuk mengamankan kemampuan
organisasi atau perusahaan untuk bekerja tanpa gangguan.
•
Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan
isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan
organisasi.
•
Network Security yang
memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan
isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi
fungsi komunikasi data organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi
memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus
yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai
6P yaitu:
Planning
Planning dalam manajemen keamanan informasi
meliputi proses perancangan, pembuatan, dan implementasi strategi untuk
mencapai tujuan. Ada tiga tahapannya yaitu:
1. strategic planning yang dilakukan oleh tingkatan
tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau
lebih,
2. tactical planning memfokuskan diri pada
pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang
lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,
3. operational planning memfokuskan diri pada kinerja harian
organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi
adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan
implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan
teknologi informasi. Ada beberapa tipe planning dalam manajemen keamanan
informasi, meliputi:
•
Incident Response Planning (IRP)
IRP terdiri
dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan
mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan
sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi
benar-benar terjadi dan mempengaruhi atau merusak aset informasi. Insiden
merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility
sumberdaya informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
•
Disaster Recovery Planning (DRP)
Disaster
Recovery Planning merupakan
persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada
beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai
bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara
efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat
kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang
ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan
pemulihan.
•
Business Continuity Planning (BCP)
Business
Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan
jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum dari
kebijakan yaitu:
•
Enterprise Information Security Policy (EISP) menentukan kebijakan
departemen keamanan informasi dan menciptakan kondisi keamanan informasi di
setiap bagian organisasi.
•
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan
informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan
internet.
•
System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam
keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu
contohnya adalah program security education training and awareness. Program ini
bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan
informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga
dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui
serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk
assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi
dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap
mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
People
Manusia adalah penghubung utama
dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang
dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi
personil keamanan dan keamanan personil dalam organisasi.
Standar apa yang digunakan?
ISO/IEC 27001 adalah standar
information security yang diterbitkan pada October 2005 oleh International
Organization for Standarization dan International Electrotechnical Commission.
Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi
(seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC
27001: 2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan,
memonitor, menganalisa dan memelihara seta mendokumentasikan Information
Security Management System dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001 mendefenisikan
keperluan-keperluan untuk sistem manajemen keamanan informasi (ISMS). ISMS yang
baik akan membantu memberikan perlindungan terhadap gangguan pada
aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar
terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan
sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan
operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak
lama.
No comments:
Post a Comment
Don't forget to give your's comennt :)
Thanks for a lot