Keamanan Data (Informasi)
Keamanan Data (Informasi)
LANDASAN TEORI
keamanan informasi. Selain itu, isu keamanan informasi pada dasarnya ada
budaya kelompok atau organisasi. Dengan terciptanya budaya akan mendorong
hubungan berkesinambungan antara kebijakan , proses, orang, dan kinerja (Allen,
2007).
Untuk mengetahui bagaimana organisasi menempatkan keamanan informasi
sebagai perhatian penting sekalian pengelolaan adalah dengan melihat bagaimana
pemimpin organisasi menyebarluaskan keyakinan, perilaku, kapabilitas, dan
tindakan yang sesuai dengan standar dan praktek yang biasa digunakan di tingkat
internasional secara periodik. (Allen, 2007).
dapat baik prediktif dan proaktif. Model ini dapat diadopsi tanpa memperhatikan
ukuran organisasi atau arus kerangka keamanan informasi organisasi di tempat itu.
Selain itu, model tersebut tidak tergantung pada setiap teknologi tertentu atau
perubahan teknologi dari waktu ke waktu. Model ini dapat diterapkan di berbagai
industri, geografi, peraturan dan sistem hukum. Model ini mencakup keamanan
informasi tradisional maupun privasi, berkaitaan dengan risiko, maupun secara
keamanan fisik dan kepatuhan (ISACA, 2010).
Gambar 2.1 The Business Model for Information Security (ISACA, 2010)
2.2.1 Organisasi
Unsur Organisasi, ditunjukkan dalam gambar di atas, merupakan komponen
penting dari Model Bisnis untuk Keamanan Informasi. Desain keseluruhan dari
perusahaan adalah salah satu bagian dari elemen ini, sedangkan strategi adalah
prasyarat menyeluruh yang mempengaruhi unsur Organisasi. Banyak pendekatan
2.2.2 Proses
Elemen Proses menyediakan kaitan penting untuk semua Model. Proses
diciptakan untuk membantu organisasi mencapai strategi mereka. Proses adalah
kegiatan terstruktur yang diciptakan untuk mencapai hasil tertentu melalui
individu atau serangkaian tugas yang diterapkan secara konsisten. Elemen Proses
menjelaskan praktek dan prosedur sebagai orang dan organisasi ingin mereka
capai. Proses adalah persyaratan mendasar bagi suatu perusahaan untuk
mengembangkan, menyebarluaskan, mendidik dan menegakkan praktik dan
prosedur keamanan dalam suatu cara yang sedang berlangsung.
2.2.3 Teknologi
Teknologi seringkali bagian paling kompleks dari program keamanan
informasi dalam model ini. Teknologi memberikan praktisi keamanan banyak alat
untuk mencapai misi dan strategi keamanan informasi perusahaan secara
keseluruhan, termasuk parameter keamanan generik kerahasiaan, integritas dan
ketersediaan. Namun, tidak semua teknologi yang ada untuk keamanan informasi,
2.2.4 Orang
Orang merupakan sumber daya manusia dalam suatu organisasi-dalam,
kontraktor karyawan, vendor dan penyedia layanan. Orang-orang utama dalam
Model Bisnis untuk Keamanan Informasi adalah mereka yang bekerja atau
berhubungan dengan organisasi.
Namun, dalam situasi outsourcing, hubungan beberapa vendor atau
pengelolaan layanan solusi teknologi, ada lingkaran kedua dimana ada orang yang
tidak langsung bekerja di dalam atau untuk organisasi. Ini lingkaran orang yang
lebih luas perlu dipertimbangkan, tetapi dampak mereka pada keamanan mungkin
tidak berada dalam elemen Orang. Sebagai contoh, penyedia layanan help desk
dapat dilihat sebagai suatu Proses dalam elemen, dan setiap efek
sistemik
berbasis orang akan melalui Munculnya. Dalam prakteknya, hasil akhir dari
perubahan sistemik tentang orang sering kali sama-terlepas dari apakah orang
internal atau eksternal yang diperbantukan.
Keamanan informasi menurut ISO/IEC 17799: 2005 adalah:
the preservation of the confidentiality, integrity and availability of
information; in addition, other properties, such as authenticity, accountability,
non-repudiation and reliability can also be involved. Dengan kata lain, ada tiga
unsur utama yang terkandung dalam konteks keamanan informasi, yaitu:
confidentiality, integrity, dan availibiliy, selain itu tambahannya adalah keaslian,
akuntabilitas, tidak mengelak, dan keandalan Lebih lanjut pengertian tiga unsur
utama tersebut adalah sebagai berikut.
1. Confidentiality
ISO/IEC 27001 mendefinisikan
tidak tersedia atau diungkapkan kepada individu, entitas, atau proses yang tidak
sah. Misalnya pengungkapan informasi pada pihak tidak berhak secara lisan, surat
elektronik, menyalin, mencetak dokumen, dan sebagainya.
2. Integrity
ISO/IEC 27001 mendefinisikan integrity adalah tindakan menjaga
keakuratan dan kelengkapan aset. Integritas suatu data bukan hanya benar, tetapi
juga terpercaya. Sebagai contoh, jika sebuah informasi disalin ke dalam USB atau
mengupload ke email, maka informasi tersebut bukan hanya tidak rahasia lagi,
tetapi telah diragukan integritasnya. Sebab, jika sebuah file/data telah digandakan,
maka akan terbuka kemungkinan risiko untuk diubah atau mengalami modifikasi.
3. Availability
ISO/IEC 27001 mendefinisikan availability sebagai aset yang dapat diakses
dan digunakan saat diminta oleh entitas yang berwenang. Ketersediaan dapat
diukur dengan sebagai contoh adalah dalam konteks bisnis memiliki web portal
yang aman melawan serangan Denial of Service (DoS) atau bila ketersediaan
infrastruktur komputer tidak dapat diyakini bekerja pada sistem organisasi, hal ini
menyebabkan proses atau orang-orang tidak dapat bekerja pada saat itu.
eksternal dan seharusnya dibangun dari praktek yang berlaku umum (best
practices).
4. Transparansi
Agar proses manajemen risiko dapat berjalan efektif, maka dibutuhkan
keterbukaan akan proses tersebut. Pada risiko yang telah diidentifikasi, staf yang
berkaitan harus diberikan akses pada informasi terkait sesuai dengan kebutuhan
organisasi.
Lebih lanjut Jones (2007) menjelaskan bahwa untuk menjelaskan prinsip
dan komponen esensial dari proses manajemen risiko keamanan, diperlukan
kerangka risiko (risk framework). Kerangka tersebut akan menjelaskan bagaimana
risiko keamanan informasi yang signifikan dapat diidentifikasi (identified), dinilai
(assessed), dievaluasi (monitored), dan diperlakukan (treated). Pemetaan
kerangka risiko tersebut terhadap siklus model plan-do-check-act (PDCA) dapat
dilihat pada gambar berikut.
pengendalian
dan
penanggulangan
mengeksploitasi
fakta, melalui estimasi secara statistik, dengan penilaian low, medium dan high,
sehingga ditemukan kesulitan dalam menghitung kerugian finansial jika hanya
berdasarkan asumsi atau judgment.
Mazareanu (2007) menyimpulkan bahwa pada pendekatan kualitatif sangat
didominasi oleh pengukuran yang subjektif, sedangkan pada pendekatan
kuantitatif dapat meniadakan sifat subjektif yang ada, sehingga akan lebih objektif
dibandingkan metode kualitatif.
Hasil penelitian yang dituliskan oleh Munteanu (2006), bahwa pendekatan
kualitatif dan kuantitatif, sama-sama tidak dapat terlepas dari penilaian yang
bersifat subjektif, karena pada pendekatan kuantitatif pun ditemukan tahapan
dimana perlu dilakukan sebuah perkiraan dan judgment dari peneliti agar dapat
menilai value of asset, nilai dari kompetitif aset, biaya perangkat lunak, biaya
untuk melindunginya. Sedangkan hasil penelitian yang dituliskan oleh Mazareanu
(2007), menyatakan bahwa pendekatan kuantitif dapat menghilangkan penilaian
yang bersifat subjektif, karena melakukan penilaian dengan angka-angka yang
akurat dan terukur.
dicapai dalam waktu semalam, karena itu dibutuhkan tindakan proaktif agar
memberikan hasil nyata.
6. Kesadaran dan training tentang kebijakan keamanan informasi, prosedur dan
keuntungannya adalah faktor kunci keberhasilan sistem manjemen keamanan
informasi. Hal itu membutuhkan partisipasi aktif orang-orang dari setiap level
dalam organisasi.
7. Meski sistem manajemen keamanan informasi dilakukan oleh orang-orang.
Namun kenyataannya faktor teknologi dan teknikal merupakan faktor
mayoritas dalam pengimplementasiannya. Karena itu dibutuhkan analisis
selanjutnya seperti biaya, kelayakan praktikal, keefektifan, kegunaan,
keuntungan, dan seterusnya.
8. Setelah pengimplementasian sistem manajemen keamanan informasi, langkah
penting selanjutnya adalah melakukan assessment dan pengembangan.
Assessment seharusnya dilakukan secara komprehensif, tertata dengan baik,
dan fokus pada tujuan. Hasil studi menunjukkan bahwa banyak organisasi
tidak melakukan assesstment secara menyeluruh, sehingga dampak ancaman
internal dan eksternal boleh jadi terdapat dalam perlindungan data sementara
belum pernah ditentukan risiko yang dapat diterima dimana seharusnya dapat
dirumuskan seperti apa pengamanannya.
9. Frekuensi audit dan assessment juga memegang peranan penting. Assessment
yang terlalu cepat di awal akan mengeluarkan banyak biaya dan tidak
memberi banyak perubahan, sementara assessment yang terlalu lama di akhir
akan membuat terlalu banyak risiko keamanan.
Pengembangan
yang
dilakukan
tepat
waktu
berarti
yang
diambil
dari
sistem
yang
berkualitas
untuk
tujuan
dan
kegiatan
pengamanan
informasi
yang
dari
sistem
pengukuran
yang
digunakan
untuk
matriks dengan mengalikan row average dengan matriks awal, dan consistency
vector dengan membagi weight sum vector dengan row average.
Dengan random index (RI) yang didapat dari tabel random index berikut
Untuk mendapatkan hasil yang konsisten, maka nilai dari consistency ratio
(CR) harus lebih kecil sama dengan 0,10. Jika CR lebih besar dari 0,10 maka
keputusan yang diambil harus dievaluasi ulang.
Langkah keempat, menghitung local weight antar level untuk menentukan
final weight dari alternatif-alternatif. Pada langkah ini, seluruh local weight