Informasi adalah salah suatu asset penting dan sangat
berharga bagi kelangsungan hidup bisnis
dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos,
dan audio visual. Oleh karena itu, manajemen informasi penting bagi meningkatkan kesuksusesan yang kompetitif
dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk melindungi
kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya
berbagai penipuan, spionase, virus, dan
hackers sudah mengancam informasi bisnis
manajemen oleh karena meningkatnya keterbukaan informasi dan lebih
sedikit kendali/control yang dilakukan melalui teknologi informasi modern.
Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra
usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen informasi
yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan
meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa
keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu upaya untuk mengamankan aset
informasi yang dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa
“keamanan informasi” dan bukan “keamanan teknologi informasi” atau IT Security.
Kedua istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal yang
sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT Security mengacu
pada usaha-usaha mengamankan infrastruktur teknologi informasi dari gangguan-gangguan berupa akses terlarang
serta utilisasi jaringan yang tidak diizinkan
Berbeda dengan “keamanan informasi” yang fokusnya justru
pada data dan informasi milik perusahaan
Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan,
mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data
dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya
serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak
berkepentingan.
Keamanan informasi terdiri dari perlindungan terhadap
aspek-aspek berikut:
1. Confidentiality (kerahasiaan) aspek yang menjamin
kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses
oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima
dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak
dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan
dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity
ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data
akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan
informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi
seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan,
praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti
lunak.
Informasi yang merupakan aset harus dilindungi keamanannya.
Keamanan, secara umum diartikan sebagai “quality or state of being secure-to be
free from danger”. Untuk menjadi aman adalah dengan cara dilindungi dari musuh
dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya.
Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing
ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah:
- Physical Security yang memfokuskan strategi untuk
mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari
berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana
alam.
- Personal Security yang overlap dengan ‘phisycal security’
dalam melindungi orang-orang dalam organisasi.
Operation Security yang memfokuskan strategi untuk
mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
- Communications Security yang bertujuan mengamankan media
komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan
alat ini untuk mencapai tujuan organisasi.
- Network Security yang memfokuskan pada pengamanan peralatan
jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk
program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang
dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan informasi meliputi proses
perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada
tiga tahapannya yaitu:
1) strategic
planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode
yang lama, biasanya lima tahunan atau lebih,
2) tactical
planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi
sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih
singkat, misalnya satu atau dua tahunan,
3) operational
planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya,
planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan
untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan
informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa
tipe planning dalam manajemen keamanan informasi, meliputi :
v Incident Response
Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang
mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak
diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika
insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset
informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset
informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya
informasi. Insident Response Planning meliputi incident detection, incident
response, dan incident recovery.
v Disaster Recovery
Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi
bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden
yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya
sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien
untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian
dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat
dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar
sehingga memerlukan waktu yang lama untuk melakukan pemulihan.
v Business Continuity
Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis
organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis
organisasi dan sumberdaya pendukungnya merupakan tugas utama business
continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan
fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam
BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum dari
kebijakan yaitu:
1. Enterprise Information Security Policy (EISP) menentukan
kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan
informasi di setiap bagian organisasi.
2. Issue Spesific Security Policy (ISSP) adalah sebuah
peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat
diterima dari segi keamanan informasi pada setiap teknologi yang digunakan,
misalnya e-mail atau penggunaan internet.
3. System Spesific Policy (SSP) pengendali konfigurasi
penggunaan perangkat atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara
khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program
security education training and awareness. Program ini bertujuan untuk
memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan
meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan
keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas
manajemen resiko, meliputi perkiraan resiko (risk assessment) dan pengendali,
termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik
perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi
dari aspek-aspek dalam rencana keamanan informasi.
People
Manusia adalah penghubung utama dalam program keamanan
informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja
dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan
keamanan personil dalam organisasi.
Standar apa yang digunakan?
ISO/IEC 27001 adalah standar information security yang
diterbitkan pada October 2005 oleh International Organization for Standarization
dan International Electrotechnical Commission. Standar ini menggantikan
BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti
perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001:
2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan,
memonitor, menganalisa dan memelihara seta mendokumentasikan Information
Security Management System dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001
mendefenisikan keperluan-keperluan untuk sistem manajemen keamanan
informasi (ISMS). ISMS yang baik akan membantu memberikan perlindungan terhadap
gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang
penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada
pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan
pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang
tidak lama.
Tugas Vclass Bab 6 (Bu Farida)
Tidak ada komentar:
Posting Komentar