Pentingnya Manajemen Kontrol Keamanan pada Sistem
Informasi adalah salah suatu asset penting dan
sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam
berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual.
Oleh karena itu, manajemen informasi penting bagi meningkatkan kesuksusesan
yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk melindungi
kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya
berbagai penipuan, spionase, virus, dan hackers sudah mengancam informasi
bisnis manajemen oleh karena meningkatnya keterbukaan informasi dan lebih
sedikit kendali/control yang dilakukan melalui teknologi informasi modern.
Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra
usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen informasi
yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan
meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa
keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu upaya untuk
mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan
bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi”
atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu
pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT
Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi
dari gangguan-gangguan berupa akses terlarang serta utilisasi jaringan
yang tidak diizinkan
Berbeda dengan “keamanan informasi” yang fokusnya
justru pada data dan informasi milik perusahaan Pada konsep ini,
usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta mengawasi
semua kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat
digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan
atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan informasi terdiri dari perlindungan
terhadap aspek-aspek berikut:
Confidentiality (kerahasiaan) aspek yang
menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya
dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang
dikirim, diterima dan disimpan.
Integrity (integritas) aspek yang menjamin
bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized),
menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin
aspek integrity ini.
Availability (ketersediaan) aspek yang menjamin
bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat
menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana
diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi
seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan,
praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti
lunak.
Informasi yang merupakan aset harus dilindungi
keamanannya. Keamanan, secara umum diartikan sebagai “quality or state of being
secure-to be free from danger” [1]. Untuk menjadi aman adalah dengan cara
dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa
strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi
satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan
dibangun pada masing-masing ke-khusus-annya.
Contoh dari tinjauan keamanan
informasi adalah:
Physical Security yang memfokuskan strategi
untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja
dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan
bencana alam.
Personal Security yang overlap dengan ‘phisycal
security’ dalam melindungi orang-orang dalam organisasi.
Operation Security yang memfokuskan strategi
untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa
gangguan.
Communications Security yang bertujuan
mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan
untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
Network Security yang memfokuskan pada
pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta
kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi
data organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab
untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya,
yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan informasi
meliputi proses perancangan, pembuatan, dan implementasi strategi untuk
mencapai tujuan. Ada tiga tahapannya yaitu:
1) strategic
planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk
periode yang lama, biasanya lima tahunan atau lebih,
2) tactical
planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi
sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih
singkat, misalnya satu atau dua tahunan,
3) operational
planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada
beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
v Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil
yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak
diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika
insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset
informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset
informasi, dan mengancam confidentiality, integrity atau availbilitysumberdaya
informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan
jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa
kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana
jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif
dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian
dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat
dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar
sehingga memerlukan waktu yang lama untuk melakukan pemulihan.
v Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi
kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi
kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business
continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan
fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam
BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum
dari kebijakan yaitu:
Enterprise Information Security Policy (EISP) menentukan
kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan
informasi di setiap bagian organisasi.
Issue Spesific Security Policy (ISSP) adalah
sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat
diterima dari segi keamanan informasi pada setiap teknologi yang digunakan,
misalnya e-mail atau penggunaan internet.
System Spesific Policy (SSP) pengendali
konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang
secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program
security education training and awareness. Program ini bertujuan untuk
memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan
meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan
keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian
aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment) dan
pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat
proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme
merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
People
Manusia adalah penghubung utama dalam program
keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh
pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan
dan keamanan personil dalam organisasi.
sumber : https://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-manajemen-kontrol-keamanan-pada-sistem/
