Pada dasarnya keamanan adalah
proteksi perlindungan atas sumber-sumber fisik dan konseptual dari bahaya alam
dan manusia. Kemanan terhadap sumber konseptual meliputi data dan informasi.
Namun disamping itu banyak sekali upaya manusia untuk menjaga keamanan atas
sumber-sumber fisik maupun konseptual dengan berbagai cara, sehingga untuk
lebih memudahkan pengedalian keamanan maka dilakukan kontrol manajemen dimana
seorang dapat mengatur keamanan dari berbagai macam serangan.
Tujuan manajemen informasi adalah
untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan
tumbuhnya berbagai penipuan, spionase,
virus, dan hackers sudah mengancam informasi bisnis manajemen oleh karena meningkatnya keterbukaan
informasi dan lebih sedikit kendali/control yang dilakukan melalui teknologi
informasi modern. Sebagai konsekuensinya , meningkatkan harapan dari para
manajer bisnis, mitra usaha, auditor,dan stakeholders lainnya menuntut adanya
manajemen informasi yang efektif untuk memastikan informasi yang menjamin
kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan
memimise dampak peristiwa keamanan.
Mengapa harus mengamankan
informasi?
Keamanan Informasi adalah suatu
upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin
akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi
informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun
mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi”
atau IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi
informasi dari gangguan-gangguan berupa
akses terlarang serta utilisasi jaringan yang tidak diizinkan
Berbeda dengan “keamanan
informasi” yang fokusnya justru pada data dan informasi milik perusahaan Pada konsep ini, usaha-usaha yang dilakukan
adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait
dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi
sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak
yang tidak berkepentingan.
Keamanan informasi terdiri dari
perlindungan terhadap aspek-aspek berikut:
- Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
- Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
- Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Manfaat manajemen kontrol
keamanan pada sistem :
- Mencegah kesalahan dalam penyediaan sumber daya, perencanaan, dan control yang tidka cukup di tingkat manajemen.
- dalam employee : mencegah eror, pencurian, penipuan, sabotase, dan penggunaan yang tidak sah.
Manajemen keamanan informasi
memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus
yang harus dimilikinya, yaitu :
1. Planning
Planning dalam manajemen keamanan
informasi meliputi proses perancangan, pembuatan, dan implementasi strategi
untuk mencapai tujuan. Ada tiga tahapannya yaitu:
- Strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
- Tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,
- Operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi.
Ada beberapa tipe planning dalam
manajemen keamanan informasi, meliputi :
·
Incident Response Planning (IRP)
IRP terdiri dari satu set proses
dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari
insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset
organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi
atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan
menyerang aset informasi, dan mengancam confidentiality, integrity atau
availbility sumberdaya informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
·
Disaster Recovery Planning (DRP)
Disaster Recovery Planning
merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana.
Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai
bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara
efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat
kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang
ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan
pemulihan.
·
Business Continuity Planning (BCP)
Business Continuity Planning
menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi
bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya
merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP
bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting
yang diperhitungkan dalam BCP adalah biaya.
2. Policy
Dalam keamanan informasi, ada
tiga kategori umum dari kebijakan yaitu:
·
Enterprise Information Security Policy (EISP)
menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi
keamanan informasi di setiap bagian organisasi.
·
Issue Spesific Security Policy (ISSP) adalah
sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat
diterima dari segi keamanan informasi pada setiap teknologi yang digunakan,
misalnya e-mail atau penggunaan internet.
·
System Spesific Policy (SSP) pengendali
konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
3. Programs
Adalah operasi-operasi dalam
keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu
contohnya adalah program security education training and awareness. Program ini
bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan
informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga
dicapai peningkatan keamanan informasi organisasi.
4. Protection
Fungsi proteksi dilaksanakan
melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk
assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan
perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap
mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
5. People
Manusia adalah penghubung utama
dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang
dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi
personil keamanan dan keamanan personil dalam organisasi.
Standar apa yang digunakan?
- ISO/IEC 27001 adalah standar information security yang diterbitkan pada October 2005 oleh International Organization for Standarization dan International Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
- ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta mendokumentasikan Information Security Management System dalam konteks resiko bisnis organisasi keseluruhan
- ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama.