Informasi
adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam berbagai format berupa : catatan,
lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen
informasi penting bagi meningkatkan kesuksusesan yang kompetitif
dalam semua sektor ekonomi.
Tujuan
manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan
ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase,
virus, dan hackers sudah mengancam informasi bisnis manajemen oleh
karena meningkatnya keterbukaan informasi dan lebih sedikit
kendali/control yang dilakukan melalui teknologi informasi modern.
Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis,
mitra usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen
informasi yang efektif untuk memastikan informasi yang menjamin
kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan
dan memimise dampak peristiwa keamanan.
Mengapa harus mengamankan informasi?
Keamanan
Informasi adalah suatu upaya untuk mengamankan aset informasi yang
dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan
informasi” dan bukan “keamanan teknologi informasi” atau IT Security.
Kedua istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal
yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT
Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi
informasi dari gangguan-gangguan berupa akses terlarang serta
utilisasi jaringan yang tidak diizinkan
Berbeda
dengan “keamanan informasi” yang fokusnya justru pada data dan
informasi milik perusahaan Pada konsep ini, usaha-usaha yang dilakukan
adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang
terkait dengan bagaimana data dan informasi bisnis dapat digunakan
serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan
atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
- Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
- Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
- Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan
informasi diperoleh dengan mengimplementasi seperangkat alat kontrol
yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek,
prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai “quality or state of being secure-to be free from danger” [1].
Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya.
Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang
lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada
masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi
adalah:
- Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
- Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi.
- Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
- Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
- Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Bagaimana mengamankannya?
Manajemen
keamanan informasi memiliki tanggung jawab untuk program khusus, maka
ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen
keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam
manajemen keamanan informasi meliputi proses perancangan, pembuatan,
dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya
yaitu:
1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
2) tactical planning memfokuskan
diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi
pada tingkat yang lebih rendah dalam periode yang lebih singkat,
misalnya satu atau dua tahunan,
3) operational planning memfokuskan
diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam
manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk
mendukung perancangan, pembuatan, dan implementasi strategi keamanan
informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada
beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
v Incident Response Planning (IRP)
IRP
terdiri dari satu set proses dan prosedur detil yang mengantisipasi,
mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan
yang membahayakan sumberdaya informasi dan aset organisasi, ketika
insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau
merusak aset informasi. Insiden merupakan ancaman yang telah terjadi
dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya informasi.Insident Response Planning meliputi incident detection, incident response, dan incident recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan
persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana.
Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat
dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak
dapat lagi menanganinya secara efektif dan efisien untuk melakukan
pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan
sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari
insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat
besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.
v Business Continuity Planning (BCP)
Business
Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi
dan sumberdaya pendukungnya merupakan tugas utama business continuity
planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan
fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan
dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
- Enterprise Information Security Policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
- Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
- System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
Programs
Adalah
operasi-operasi dalam keamanan informasi yang secara khusus diatur
dalam beberapa bagian. Salah satu contohnya adalah program security
education training and awareness. Program ini bertujuan untuk
memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan
meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai
peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment)
dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan
perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap
mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan
informasi.
People
Manusia
adalah penghubung utama dalam program keamanan informasi. Penting
sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam
program keamanan informasi. Aspek ini meliputi personil keamanan dan
keamanan personil dalam organisasi.
Tidak ada komentar:
Posting Komentar