Herny Februariyanti
Fakultas Teknologi Informasi, Universitas Stikubank Semarang
email : herny@unisbank.ac.id
Abstrak : Salah satu kunci keberhasilan pengaman sistem informasi adalah adanya visi dan komitmen dari
pimpinan top manajemen. Upaya atau inisiatif pengamanan akan percuma tanpa hal ini. Dengan tidak
adanya komitmen dari top manajemen, berdampak kepada investasi pengamanan data. Selain itu
keberhasilan juga ditentukan seperti proses desain, implementasi, konfigurasi, dan pemakaian. Untuk itu
diperlukan standar dan manajemen yang memadai agar kemanan dapat dilakukan secara memadai pula.
Standar kompetensi dapat dilakukan sesuai dengan TKTI jika menggunakan standar Nasional. Standar
kompetensi tidak berarti hanya kemampuan menyelesaikan suatu tugas, tetapi dilandasi pula bagaimana
serta mengapa tugas itu dikerjakan. Selain itu standar ISO yang merupakan standar internasional dapat
diterapkan yaitu menggunakan ISO 17799 dan ISO 27000 serta turunannya. Manajemen operasi keamanan
harus memenuhi beberapa hal penting yaitu kontrol dan proteksi, monitoring dan auditing, serta
pemahaman tentang threat dan vulnerabilitas.
PENDAHULUAN
Selain peran utama dari top manajemen,
Permasalahan keamanan komputer selalu masih terdapat lagi masalah pengamanan sistem
menarik untuk dibahas, hal ini karena informasi, yaitu :
perkembangan teknologi informasi yang
� Kesalahan desain terjadi pada tahap desain
semakin canggih dan meluas. Semakin canggih
dimana keamanan seringkali diabaikan atau
teknologi informasi ternyata terkadang tidak
dipikirkan belakangan (after thought).
diikuti dengan penerapan keamanan yang
Sebagai contoh ada sebuah sistem informasi
memadai, sehingga ancaman keamanan selalu
yang menganggap bahwa sistem operasi
menjadi momok bagi penerapan sistem
akan aman dan juga jaringan akan aman
komputer dalam sebuah organisasi atau
sehingga tidak ada desain untuk
perusahaan.
pengamanan data, misalnya dengan
Salah satu kunci keberhasilan pengaman menggunakan enkripsi.
sistem informasi adalah adanya visi dan
komitmen dari pimpinan top manajemen. Upaya � Kesalahan implementasi terjadi pada saat
atau inisiatif pengamanan akan percuma tanpa desain diimplementasikan menjadi sebuah
hal ini. Dengan tidak adanya komitmen dari top aplikasi atau sistem. Sistem informasi
manajemen, berdampak kepada investasi diimplementasikan dengan menggunakan
pengamanan data. Pengamanan data tidak dapat software. Sayangnya para pengembang
tumbuh demikian saja tanpa adanya usaha dan software seringkali tidak memiliki
biaya. Pengamanan data elektronik pengetahuan mengenai keamanan sehingga
membutuhkan investasi, tanpa investasi akan aplikasi yang dikembangkan memiliki
sia-sia upaya pengamanan data. Sayangnya hal banyak lubang keamanan yang dapat
ini sering diabaikan karena tidak adanya dieksploitasi.
komitmen dari pihak manajemen untuk solusi � Kesalahan konfigurasi terjadi pada tahap
keamanan. operasional. Sistem yang digunakan
biasanya harus dikonfigurasi sesuai dengan
kebijakan perusahaan. Selain salah
manajemen jaringan komputer, sistem akses Dimana isi dari ISO-17799 meliputi : 10
kendali, pemeliharaan sistem, perencanaan Ketentuan Pengendalian (control clauses),
kesinambungan bisnis, dan pemenuhan. 36 Tujuan Pengendalian (control
objectives), dan, 127 Kendali (controls).
Guna meminimalkan resiko ancaman
Kendali / Kontrol tersebut diuraikan pada
keamanan yang merugikan bisnis, maka
tingkat tinggi, tanpa memasukkan masalah
masalah tersebut harus ditangani dengan
teknologi secara detail, dalam rangka
menggunakan suatu tindakan pencegahan
membiarkan perusahaan / organisasi
(preventive action) tanpa harus menunggu
masing-masing secara total bebas untuk
dalam keadaan darurat dalam melakukan
memilih kendali itu yang terdekat ke situasi
tindakan keamanan. Dalam rangka pro aktif
cultural/technological dan kebutuhan
terhadap kebutuhan keamanan, arsitektur
sendiri.
keamanan meliputi tiga unsur pokok:
3. Standar Pengelolaan Keamanan
� Kebijakan perusahaan yaitu keterlibatan
Informasi sesuai ISO 27001 dan ISO
manajemen dalam alokasi sumber daya
27002
dan suatu visi yang strategis dan
permasalahan global dalam keamanan, Serial ISO 27000 saat ini memainkan
peranan yang penting dalam dukungannya
� Instrumen teknologi, terhadap perusahaan untuk dapat
� Perilaku individu (pelatihan karyawan, menerapkan konsep keamanan informasi
dan adanya proses komunikasi). dalam organisasi serta keseluruhan proses
bisnis. Proses dan manusia adalah dua aspek
Dalam standar ISO 17799, sistem yang tidak kalah pentingnya.
manajemen keamanan informasi yang
efektif dan efisien akan memberikan Keamanan Informasi
petunjuk bagi perusahaan atau organisasi “Keamanan teknologi informasi” atau
untuk: IT Security mengacu pada usaha-usaha
� Secara konstan memperbaharui (update) mengamankan infrastruktur teknologi
atas adanya ancaman baru serta informasi dari tentunya, gangguan -
mengambil tindakan dengan gangguan berupa akses terlarang serta
pertimbangan yang sistematis. utilisasi jaringan yang tidak diizinkan.
Berbeda dengan “keamanan informasi” yang
� Melakukan penanganan kecelakaan dan fokusnya justru pada data dan informasi,
kerugian dengan tindakan pencegahan yang dalam hal ini tentunya data serta
dan peningkatan keamanan sistem yan informasi milik perusahaan Pada konsep
berkelanjutan. ini, usaha-usaha yang dilakukan adalah
� Mengetahui ketika kebijakan dan merencanakan, mengembangkan serta
prosedur tidak cukup mampu diterapkan mengawasi semua kegiatan yang terkait
dalam usaha pencegahan ancaman dengan bagaimana data dan informasi bisnis
keamanan. dapat digunakan serta diutilisasi sesuai
dengan fungsinya serta tidak disalahgunakan
� Menerapkan kebijakan dan prosedur atau bahkan dibocorkan ke pihak-pihak yang
tentang pentingnya managemen tidak berkepentingan. Berdasarkan
keamanan, dengan mengikuti " prosedur penjelasan di atas, ‘kemananan teknologi
praktek terbaik" dan manajemen resiko informasi’ merupakan bagian dari
yang baik. keseluruhan aspek ‘keamanan informasi’.
Dengan mengenali nilai manajemen Karena teknologi informasi merupakan salah
keamanan informasi yang strategis ini, maka satu alat atau tool penting yang digunakan
dapat ditawarkan suatu rencana inovasi untuk mengamankan akses serta penggunaan
sertifikasi, berdasar pada rencana sertifikasi dari data dan informasi perusahaan. Dari
BS7799-2:1999 dan petunjuk ISO17799. pemahaman ini pula, kita akan mengetahui
software, prosedur dan sumber daya manusianya rotation of duties lebih menekankan kepada
sendiri untuk bisa melaksanakan operasional itu. confidenciality (kerahasiaan) dan integrity
Ketergantungan dari setiap komponen di atas atau keutuhan data. Semua hal di atas lebih
sangatlah menentukan keberhasilan operasional memfokuskan juga pada prosedur
yang dilakukan tetapi dengan keberhasilan pengawasan yang optimal dalam melakukan
operasional dengan teknologi yang canggih pun berbagai hal mulai dari pencegahan hingga
tanpa melibatkan faktor keamanan semuanya rotasi tugas yang baik dan bila tidak
menjadi kurang berarti karena informasi atau dilakukan dengan benar akan menjadi
data apapun yang dihasilkan dari teknologi tanpa ancaman dan membuka lebar pintu
adanya keamanan bisa menjadi bencana bila keamanan.
tidak memperhatikan confidenciality, integrity
2. Monitoring and Auditing. Setelah
dan avaibility pada umumnya dan keamanan
dilakukan pengaturan dan proteksi yang baik
pada khususnya sehingga setiap informasi yang
maka tidak bisa hanya berhenti untuk bisa
dimiliki benar-benar diperlakukan sebagai asset
melakukan proteksi tetapi tetap diperlukan
yang berharga bagi institusi.
monitoring and auditing untuk bisa
Untuk menjamin keamanan operasional mengetahui dan menjamin sejauh mana
tidak hanya bicara teknologi pelindungnya, keamanan yang sudah dicapai, faktor yang
tetapi kebijakan yang jelas dalam melakukan harus diperhatikan adalah Change
kemanan operasional adalah sangat penting management, Escalation management,
untuk dapat dijalankan dengan baik karena Record retention, Due dilligince, dan
ancaman yang paling tinggi pada prakteknya Logging monitoring. Dengan melakukan
adalah dari sumber daya internal sendiri. Hal ini hal-hal diatas yang lebih bersifat prosedur
adalah ancaman yang sebenarnya sangat maka pengawasan keamanan dapat lebih
mengancam dan sulit untuk diperkirakan, karena ditingkatkan.
internal sumber daya sudah ada di dalam sistem
3. Threat and Vulnerabilities. Berisi
itu sendiri. Dalam rangka meminimalisasi
pemahaman tentang jenis ancaman dan
ancaman ini maka kebijakan untuk keamana
kelemahan yang dapat mengancam
operasional harus dibuat dengan sedetail
operasional keamanan yang sudah
mungkin memperkirakan hal-hal yang dapat
dilakukan. Untuk threat dan vulnerability
menjadi ancaman, dan melakukan prosedur –
beberapa hal yang akan dibahas adalah
prosedur keamanan dengan konsekwen. Jadi
Accidental Loss, Inappropriate Activities,
tanpa kebijakan dan prosedur yang baik maka
Illegal computer operations, Account
tidak hanya ancaman dari luar yang menakutkan
maintenance, Data Scavenging Attacks,
tetapi juga lebih menakutkan ancaman dari
IPL/rebooting, dan Network highjacking.
dalam. Untuk itu setiap divisi teknoogi informasi
harus punya kebijakan untuk corporate user
dalam menggunakan sumber daya teknologi KESIMPULAN
informasi yang dipunyai.
Penerapan sistem keamanan dalam sebuah
Dalam pembahasan ini akan dijelasakan organisasi yang ideal tentunya harus memenuhi
setidaknya terdapat 3 hal besar yang harus dapat persyaratan standarisasi sesuai dengan ketentuan
dipahami : yang berlaku pada standar sistem keamanan baik
1. Control and Protection. Berisi pemahaman itu TKTI dan ISO. Namun begitu mengingat
tentang pengaturan dan proteksi dalam keterbatasan sumber daya pada beberapa
kegiatan operasional untuk dapat mencapai organisasi atau perusahaan kecil dan menengah,
tingkat keamanan operasional yang optimal maka standar tersebut beberapa bagian
ada bererapa hal yang harus diperhatikan diantaranya dapat digabungkan. Namun begitu
diantaranya adalah preventive control, prinsip keamanan harus tetap memenuhi aspek-
corrective control detective control, aspek yang menjadi persyaratan keamanan yaitu
deterrent control, application control, confidenciality, integrity dan avaibility.
transaction control dan separation and
DAFTAR PUSTAKA