Informasi
adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam
berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual.
Oleh karena itu, manajemen informasi penting bagi meningkatkan kesuksusesan yang kompetitif
dalam semua sektor ekonomi.
Tujuan
manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan
ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan hackers sudah
mengancam informasi bisnis manajemen
oleh karena meningkatnya keterbukaan informasi dan lebih sedikit
kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai
konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra usaha,
auditor,dan stakeholders lainnya menuntut adanya manajemen informasi yang
efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan
meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa
keamanan.
Mengapa
harus mengamankan informasi?
Keamanan
Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki.
Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan
“keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya
sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan
Teknologi Informasi” atau IT Security mengacu pada usaha-usaha mengamankan
infrastruktur teknologi informasi dari
gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang
tidak diizinkan
Berbeda
dengan “keamanan informasi” yang fokusnya justru pada data dan informasi milik
perusahaan Pada konsep ini, usaha-usaha
yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua
kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat
digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan
atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan
informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
Confidentiality
(kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan
bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin
kerahasiaan data yang dikirim, diterima dan disimpan.
Integrity
(integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak
yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta
metode prosesnya untuk menjamin aspek integrity ini.
Availability
(ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan,
memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait
(aset yang berhubungan bilamana diperlukan).
Keamanan
informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang
layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek,
prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Informasi
yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum
diartikan sebagai “quality or state of being secure-to be free from danger”
[1]. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya.
Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara
simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi
keamanan informasi memiliki fokus dan dibangun pada masing-masing
ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah:
Physical
Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi, dan bencana alam.
Personal
Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang
dalam organisasi.
Operation
Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau
perusahaan untuk bekerja tanpa gangguan.
Communications
Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan
isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan
organisasi.
Network
Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi,
jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut
dalam memenuhi fungsi komunikasi data organisasi.
Bagaimana
mengamankannya?
Manajemen
keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada
karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan
informasi dikenal sebagai 6P yaitu:
Planning
Planning
dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1) strategic planning yang dilakukan oleh
tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima
tahunan atau lebih,
2) tactical planning memfokuskan diri pada
pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang
lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,
3) operational planning memfokuskan diri pada
kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen
keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung
perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya
diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning
dalam manajemen keamanan informasi, meliputi :
v Incident Response Planning (IRP)
IRP
terdiri dari satu set proses dan prosedur detil yang mengantisipasi,
mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang
membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini
terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi.
Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan
mengancam confidentiality, integrity atau availbility sumberdaya informasi.
Insident Response Planning meliputi incident detection, incident response, dan
incident recovery.
v Disaster Recovery Planning (DRP)
Disaster
Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan
pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP
dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak
dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan
dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika
organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan
tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang
lama untuk melakukan pemulihan.
v Business Continuity Planning (BCP)
Business
Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan
jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam
keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise
Information Security Policy (EISP) menentukan kebijakan departemen keamanan
informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
Issue
Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan
informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan
internet.
System
Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
Programs
Adalah
operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education
training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada
pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi
proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi
perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi,
teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat
keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana
keamanan informasi.
People
Manusia
adalah penghubung utama dalam program keamanan informasi. Penting sekali
mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan
informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam
organisasi.
Sandar
apa yang digunakan?
ISO/IEC
27001 adalah standar information security yang diterbitkan pada October 2005
oleh International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC
27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga
pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan
syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa
dan memelihara seta mendokumentasikan Information Security Management System
dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC
27001 mendefenisikan keperluan-keperluan
untuk sistem manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu
memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan
melindungi proses bisnis yang penting agar terhindar dari resiko
kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi,
implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat
kerugian yang ditimbulkan dalam masa waktu yang tidak lama.
Sumber:
Sumber:
- https://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-manajemen-kontrol-keamanan-pada-sistem/
Tidak ada komentar:
Posting Komentar