KEAMANAN
INFORMASI
Pendahuluan
Semua organisasi memiliki kebutuhan untuk menjaga agar
sumber daya informasi mereka aman. Kalangan industri telah lama menyadari
kebutuhan untuk menjaga keamanan dari para kriminal komputer, dan sekarang
pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk
memerangi terorisme.ketika organisasi-organisasi ini mengimplementasikan
pengendalian keamanan, isu-isu utama mengenai keamanan versus ketersediaan
serta keamanan versus hak pribadi harus diatasi.
Kemanan informasi ditujukan untuk mendapatkan
kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi
persahaan bukan hanya peranti keras dan data. Manajemen keamanan informasi
terdiri atas perlindungan harian yang disebut manajemen keamanan informasi (information security management-ISM) dan
persiapan-persiapan operasional setelah suatu bencana yang disebut dengan
manajemen keberlangsungan bisnis (business
continuity management-BCM).
Ada tiga jenis pengendalian yang tersedia. Pengendalian teknis terdiri atas
pembatasan akses, firewall, kriptografi,
dan pengendalian fisik. Pengendalian formal
bersifat tertulis yang memilik harapan hidup jangka panjang. Pengendalian informal ditujukan untuk
menjaga agar para karyawan perusahaanmamahami dan mendukung kebijakan-kebijakan
keamanan.
Sejumlah pihak pemerintahan telah menentukan standar dan
menetapkan peraturan yang mempengaruhi keamanan informasi. Asosiasi-asosiasi
industri juga tlah meneydiakan berbagai standar dan sertifikasi profesional.
Manajemen keberlangsungan bisnis terdiri atas seperangkat
subrencana untuk (1) menjaga keamanan karyawan. (2) memungkinkan
keberlangsungan operasional dengan cara menyediakan fasilitas komputer
cadangan, serta (3) melindung catatan penting perusahaan. Perusahaan-perusahaan
yang ingin menegembangkan rencana kontijensi baru tidak harus memulai dari
awal, beberapa model berbasis peranti lunak tesedia seperti halnya garis besar
dan panduan dari pemerintahan.
KEAMANAN
INFORMASI
Saat pemerintah dan kalangan industri mulai menyadari kebutuhan
untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus
secara eksklusif pada perlindungan peranti keras dan data, maka istilah
keamanan sistem (system security) pun
digunakan.
Fokus sempit ini kemudian diperluas sehingga mencakup bukan
hanya peranti keras dan data, namun juga peranti lunak, fasilitas komputer, dan
personel. Definisi yang luas ini mecakup pealatan seperti mesin fotokopi dan
mesin faks serta semua jenis media, termasuk dokumen kertas.
Tujuan
Keamanan Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan
utama kerahasiaan, ketersediaan, dan integritas.
·
Kerahasiaan,
perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan
kepada orang-orang yang tidak berwenang. Sistem informasi eksklusif, sistem
informasi sumber daya manusia, dan sistem pemrosesan transaksi, seperti
penggajian, piutang dagang, pembelian, dan utang dagang amat penting dalam hal
ini.
·
Ketersediaan,
tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan
informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Tujuan
ini penting, khususnya bagi sistem berorientasi informasi seperti sistem
informasi sumber daya manusia dan sistem informasi eksekutif.
·
Integritas,
semua sistem informasi harus memberikan representasi akurat atau sistem fisik
yang direpresentasikannya.
Manajemen
Keamanan Informasi
Seperti halnya cukupan keamanan informasi telah meluas,
demikian juga pandangan akan tanggung jawab manajemen. Manajemen tidak hanya
diharapkan untuk menjaga agar sumber daya informasi aman, namun juga diharapkan
untuk menjaga perusahaan tersebutagar tetap berfungsi setelah suatu bencana
atau jebolnya sistem keamanan.
CIO adalah orang yang tepat untuk memikul tanggung jawab
atas keamanan informasi, namun kebanyakan organisasi mulai mununjuk orang-orang
tertentu yang dapat mencurahkan perhatian penuh terhadap aktifitas ini. Seperti
yang diharapkan seorang CIAO harus mendapatkan serangkaian sertifikasi keamanan
dan memiliki pengalaman minimum 10tahun dalam mengelola suatu fasilitas
keamanan informasi.
MANAJEMEN
KEAMANAN INFORMASI
Pada bentuknya yang paling dasar, manajemen keamanan
informasi terdiri atas empat tahap: mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan,
mendefinisikan risiko yang dapat
disebabkan oleh ancaman-ancaman tersebut, menentukan kebijakan keamanan informasi, serta mengimplementasikan pengendalian untuk mengatasi
risiko-risiko tersebut.
Tolok
ukur keamanan informasi (information security benchmark) adalah
tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan
perlindungan yang cukup terhadap gangguan yang tidak terotorisasi. Standar dan
tolok ukur semacam ini ditentukan oleh pemerintah dan asosiasi industri serta
mencerminkan komponen-komponen program keamanan informasi yang baik menurut
otoritas-otoritas tersebut.
MANAJEMEN
RISIKO
Sebelumnya, manajemen risiko diidentifikasi sebagai satu
dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola
dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefinisian
resiko terdiri atas empat langkah:
1. Identifikasi aset-aset bisnis yang harus dilindungi
dari risiko.
2. Menyadari risikonya.
3. Menentukan tingkatan dampak pada perusahaan jika
risiko benar-benar terjadi.
4, Menganalisis ekelmahan perusahaan tersebut.
Tingkat keparahan dampak dapat diklasifikasikan menjadi dampak yang parah (suvere impact), membuat
perusahaan banmgkrut atau sanagt membatasi kemampuan perusahaan tersebut untuk
berfungsi: dampak signifikan (significant
impact)
menyebabkan kerusakan biaya dan signifikan, tetapi perusahaan tersebut akan
selamat atau dampak minor (minor
ompact) sehari-hari. Baik untuk risiko parah maupun signifikan,
analisis kelemahan harus dilaksanakan, ketika analisis mengindikasikan
kelemahan tingkat tinggi (terdapat kelemahan substansial didalam sistem).
Setelah analisis risiko diselesaikan, hasil temuan
sebaiknya didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini
sebaikya mencakup informasi berikut ini, mengenai tiap-tiap risiko.
1. Deskripsi risiko
2. Sumber risiko
3. Tingginya tingkat risiko
4. Pengendalian yang diterapkan pada risiko tersebut
PENGENDALIAN
TEKNIS
Pengendalian
teknis (technical control) adalah
pengendalian yang menjadi satu didalam sistem dan dibuat oleh para penyusun
sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor
internal didalam tim proyek merupakan satu cara yang amat baik unntuk menjaga
agar pengendalian semacam ini menjadi bagian dari desain sistem. Kebanyakan pengendalian
keamanan dibuat berdasarkan teknologi peranti keras dan lunak. Yang paling
populer akan dijelaskan pada bagian berikut.
Firewall
Sumber daya komputer selalu berada dalam risiko jika
terhubung ke dalam jaringan. Salah satu pendekatan keamanan adalah secara fisik
memisahkan situs WEB perusahaan dengan jaringan internal perusahaan yang
berisikan data sensitif dan sistem informasi. Cara lain adalah menyediakan kata
sandi kepada mitra dagang yang memungkinnya memasuki jaringan internal dari
internet. Pendekatan ketiga adalah membangun dinding pelindung, atau firewall.
Firewall berfungsi sebagai penyaring dan penghalang yang
membatasi aliran data ke dan dari perusahaan tersebut dan internet. Konsep dibalik
firewall adalah dibuatnya suatu
pengaman untuk semua komputer jaringan perusahaan dan bukannya pengaman
terpisah untuk masing-masing komputer.
Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan
dapat dilindungi dari pengungkapan yang tidak terotorirasi dengan kriptografi,
yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan
informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan
ke dalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh
akses, enkripsi tersebut akan membuat data dan informasi yang bermaksud tidak
berarti apa-apa dan mencegah kesalahan penggunaan.
Pengendalian
fisik
Peringatan pertama terhadap gangguan yang tidsk
terotorisasi adalah mengunci pintu ruangan komputer. Perkembanagan seterusnya
menghasilkan kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak
tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan
dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara
menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh
dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir,
dan badai.
PENGENDALIAN
FORMAL
Pengendalian formal mencakup penentuan cara berperilaku,
dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta
pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini
bersifat formal katena manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikan dalam bentuk tulisan dan diharapkan untuk berlaku dalam
jangka panjang.
Terdapat persetujuan universal bahwa supaya pengendalian
formal efektif, maka manajemen puncak harus berpartisipasi secara aktik dalam
menentukan dan memberlakukannya.
PENGENDALIAN
INFORMAL
Pengendalian informal mencakup pergram-program pelatihan
dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan
untuk menjaga agar para karyawan perusahaan memahami serta mendukung program
keamanan tersebut.
Banyak hal yang telah dicapai di wilayah standar
keamanan. Baik pemerintah maupun asosiasi industri telah mengeluarkan standar
atau memberikan bantuan dalam menentukan apa aja yang harus dimasukan ke dalam
program-program keamanan. Pemerintah juga telah mengeluarkan undang-undang yang
mengharuskan suatu standar diikuti atau membuat perusahaan mampu menyediakan
informasi mengenai ancaman potensial dari teroris atau organisasi kejahatan
tanpa harus takut mendapatkan hukuman. Bersama dengan dukungan industri juga
tersedia berbagai program sertifikasi keamanan, yang membahas wilayah yang luas
seperti praktik-praktik manajemen dan yang lebih sempit seperti kiptorgrafi.
Manajemen keberlangsungan bisnis dicapai melalui rencana
kontinjensi, yang biasanya dibagi ke dalam subrencana. Rencana darurat
(emergency plans) melindungi para karyawan rencana cadangan membuat organisasi
mampu melanjutkan operasinya bahkan setelah hilangnya kemampuan komputer
rencana catatan penting menjaga agar tidak ada data berharga yang hilang.
Saat ini telah tersedia berbagai pilihan bagi perusahaan
yang berniat untuk meningkatkan keamanan informasinya. Ini merupakan satu
wilayah aktivitas komputerisasi, dimana jalan yang tepat sudah jelas.
Tidak ada komentar:
Posting Komentar