Pengelolaan Keamanan Data

A. Pengenalan

Keamanan Informasi atau Information Security adalah proteksi peralatan computer, fasilitas,
data, dan informasi, baik computer maupun non-komputer dari penyalahgunaan oleh pihak-
pihak yang tidak terotorisasi/ tidak berwenang. Dengan akses Internet yang berkembang dengan
cepat, seseorang mungkin berpikir bahwa halangan terbesar bagi perdagangan elektronik
mungkin adalah luasnya bidang. Namun masalah utamanya terletak pada keamanan. Selain itu,
bagian dari masalah tersebut adalah Internet yang dibangun untuk Interoperabilitas, bukan
kekebalan.

B. Perangkat Manajemen Keamanan

Tujuan dari manajemen keamanan adalah akurasi, integritas, serta keselamat dari seluruh
pengelolaan dan sumber daya sistem informasi. Oleh karena itu, manajemen keamanan yang
efektif akan meminimalkan kesalahan, penipuan, dan kerugian dalam sistem informasi yang saat
ini menginterkoneksikan perusahaan dan pelanggan mereka, serta pemasok dan pihak yang
berkepentingan lainnya.

Keamanan Teknologi Informasi atau IT Security mengacu pada usaha-usaha mengamankan

infrastruktur teknologi informasi dari gangguan-gangguan berupa akses terlarang serta utilisasi
jaringan yang tidak diizinkan. Berbeda dengan keamanan informasi yang fokusnya justru pada
data dan informasi milik perusahaan. Pada konsep ini, usaha-usaha yang dilakukan adalah
merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan
bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya
serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi,

memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan
menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak
yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode
prosesnya untuk menjamin aspek integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan,
memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset
yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang

layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur,
struktur-struktur organisasi dan piranti lunak. Keamanan bisa dicapai dengan beberapa
 strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan
yang lainnya.

 Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran,
akses tanpa otorisasi, dan bencana alam.
 Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang
dalam organisasi.
 Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi
atau perusahaan untuk bekerja tanpa gangguan.
 Communications Security yang bertujuan mengamankan media komunikasi, teknologi
komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai
tujuan organisasi.
 Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi,
jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam
memenuhi fungsi komunikasi data organisasi.

C. Pertahanan Keamanan Antarjaringan

Keamanan dari jaringan perusahaan bisnis saat ini merupakan tantangan manajemen yang
paling utama. Banyak perusahaan yang masih dalam proses mendapatkan koneksi penuh ke
situs dan Internet untuk perdagangan elektronik, rekayasa ulang pengolahan bisnis internal
mereka dengan intranet, perangkat lunak bisnis elektronik, tautan ekstranet untuk pelanggan,
pemasok, dan bisnis mitra lainnya. Tautan jaringan penting dan aliran bisnis dilindungi dari
serangan eksternal oleh penjahat kriminal dan subversi oleh penjahat atau tindakan penyusup
yang tidak bertanggung jawab. Proteksi ini membutuhkan berbagai alat keamanan, ukuran
ketahanan, dan program manajemen keamanan yang terkoordinasi. Beberapa pertahanan
keamanan yang penting:

1. Enkripsi
Enkripsi data telah menjadi sebuah cara yang penting untuk melindungi data dan sumber
daya jaringan computer, khususnya Internet, intranet, dan ekstranet. Kata sandi, pesan,
arsip dan data lain yang dapat ditransmisikan dalam bentuk yang beraturan dan tidak
beraturan oleh sistem computer hanya untuk pengguna terotorisasi. Contohnya, surat
elektronik dapat diacak dan dikodekan dengan menggunakan kunci public yang unik untuk
penerima yang tidak dikenal pengirimnya. Setelah surat elektronik ditransmisikan, hanya
kunci pribadi rahasia penerima yang dapat menguraikan pesan.
Bagaimana kunci public/kunci pribadi enkripsi bekerja:
a. Dengan perangkat lunak enkripsi. Dapat diciptakan sebuah kunci dengan dua bagian –
satu publik dan satu pribadi. Anda dapat mendistribusikan sebuah arsip yang berisi
bagian dari kunci public bagi mereka yang Anda inginkan untuk berkomunikasi. Hanya
Anda yang dapat menggunakan kunci pribadi.
b. Anda menulis sebuah pesan surat elektronik, kemudian menggunakan kunci public
penerima untuk mengenkripsinya.
 c. Pengolahan enkripsi meletakkan semacam kunci digital pada pesan. Bahkan, apabila
seseorang mulai mengintersepsi, isi pesan tersebut tidak dapat diakses.
d. Ketika pesan tiba, perangkat lunak menggunakan kunci pribadi untuk memverifikasi
bahwa kunci public penerima digunakan untuk enkripsi.
e. Menggunakan kunci pribadi, perangkat lunak membuka skema enkripsi yang unik,
mengodekan kembali pesan tersebut.

2. Firewall
Firewall bertindak sebagai sistem penjaga gerbang yang melindungi intranet perusahaan
dan jaringan computer lain dari penyusupan dengan menyediakan sebuah penyaring dan
titik pengiriman yang aman untuk akses ked an dari Internet serta jaringan lain. Firewall
memeriksa seluruh lalu lintas jaringan untuk kata sandi yang sesuai atau kode keamanan
lain dan hanya mengizinkan transmisi terotorisasi yang masuk atau keluar dari jaringan.
Dalam beberapa kasus, Firewall dapat memudahkan akses dari lokasi yang terpecaya dalam
Internet computer tertentu di dalam Firewall atau dapat mengizinkan hanya informasi yang
aman untuk melewatinya. Contohnya firewall dapat mengizinkan pengguna untuk membaca
surat elektronik dari lokasi yang jauh, tetapi tidak menjalankan program tertentu.

3. Serangan Penolakan Layanan

Internet secara ekstrem sangat rentan atas berbagai serangan oleh peretas criminal,
khususnya, serangan atas penolakan layanan terdistribusi (distributed denial of services –
DDOS). Cara untuk bertahan dari serangan penolakan layanan:
 Pada mesin mayat hidup, mengatur dan mendorong kebijakan keamanan. Menilai
secara teratur atas program Trojan horse dan kelemahan. Ingatkan pengguna untuk
tidak membuka lampiran surat .exe
 Pada ISP, mengawasi dan memblokir lonjakan lalu lintas. Menyaring alamat IP yang
palsu. Mengoordinasikan keamanan dengan penyedia jaringan.
 Pada situs jejaring korban, menciptakan server cadangan dari koneksi jaringan.
Mengalangi koneksi ke masingmasing server. Memasang sistem deteksi intrusi
berganda dan penerus untuk lau lintas yang dating agar mengurangi titik
penyumbatan.
Serangkaian penolakan layanan melalui Internet mengandalkan pada tigas lapisan sistem
computer jaringan: 1. Situs korban, 2. Korban penyedia layanan Internet (Internet Service
Provider – ISP) 3. Situs “mayat hidup” atau computer diperbudak atau dikomandoi penjahat
dunia maya. Contohnya peretas dapat menyusup ke dalam ratusan server dengan
perlindungan rendah yang ada di universitas, dan menempatkan program Trojan horse yang
kemudian digunakan untuk meluncurkan sebuah perintang dari permintaan layanan dalam
sebuah serangan pada situs perdagangan elektronik seperti Yahoo! dan eBay.
 4. Pengawasan Surat Elektronik
Internet dan sistem surat elektronik online lain adalah salah satu tempat favorite serangan
oleh peretas untuk menybarkan virus computer atau menyusup kedalam computer jaringan.
Surat elektronik juga merupakan tempat pertarungan bagi perusahaan untuk mendorong
kebijakan melawan pesan yang tidak resmi, pribadi, atau perusakan yang dilakukan oleh
karyawan dengan permintaan beberapa karyawan dan yang melihat kebijakan tersebut
sebagai pelanggaran kebebasan privasi.

5. Pertahanan dari Virus

Banyak perusahaan membangun pertahanan melawan penyebaran virus dengan
memusatkan distribusi dan memperbarui perangkat lunak antivius sebagai sebuah tanggung
jawab dari departemen SI mereka. Perusahaan lain mengalihkan tanggung jawab
perlindungan virus kepenyedia layanan internet, telekomunikasi, atau perusahaan
manajemen keamanan mereka.
Satu alasan unuk tren ini yaitu perusahaan perangkat lunak antivirus utama seperti Trend
Micro (eDocter dan PC-cillin), McAfee (virus scan) dan Symantec (Norton antivirus) telah
membangun versi jaringan dari program mereka. Pemasaran mereka ke ISP dan lain lain
merupakan sebuah layanan yang mereka coba tawarkan keseluruh pelanggan mereka.
Perusahaan antivirus juga memasarkan stelan keamanan dari perangkat lunak yang
mengintegrasikan perlindungan dari virus dengan firewall, keamanan situs dan fitur
pemblokiran konten.

D. Ukuran-Ukuran Keamanan Lainnya

Terdapat beberapa ukuran keamanan yang biasa digunakan untuk melindungi sistem dan
jaringan bisnis. Hal tersebut memcakup baik perangkat keras maupun perangkat lunak, seperti
komputer yang toleran kepada kesalahan dan pengawasan keamanan, serta kebijakan prosedur
keamanan, seperti kata sandi dan arsip cadangan seluruhnya merapakan bagian dari sebuah
usahan manajemen keamanan terintegrasi dibanyak perusahaan saat ini.

1. Kode Keamanan
Umumnya, sebuah sitem kata sandi berjenjang digunakan untuk manajemen keamanan.
Pertama, seorang pengguna akhir masuk ke sistem kompuer dengan memasukan kode unik
indentifikasi miliknya atau identitas pengguna. Kedua, pengguna akhir diminta untuk
memasukan sebuah kata sandi untuk memperoleh akses kedalam sistem. (Kata sandi
sebaiknya diganti secara teratur dan terdiri atas kombinasi yang tidak biasa dari huruf besar
dan kecil serta angka). Ketiga, unuk mengakses sebuah arsip individu sebuah nama arsip
yang unik haus dimasukkan. Dalam beberapa sistem, kata sandi unuk membaca isi sebuah
arsip berbeda dengan apa yang dibutuhkan untuk menulis kesebuah arsip (perubahan
isinya). Fitur ini menambah tingkat proteksi lain untuk menyimpan sumber daya data.
Bahkan untuk keamanan yang lebih ketat, kata sandi dapat diacak atau terenkripsi dengan
menghindarkannya dari pencurian atau pengunaan yang tidak sesuai, seperti yang segera
diskusikan. Sebagai tambahan, kartu pintar yang berisi microprocessor yang memacu angka
acak untuk menambah kata sandi pengguna digunakan dalam beberapa sistem keamanan.
 2. Arsip Cadangan
Arsip cadangan adalah arsip duplikasi dari data atau program, merupakan salah satu dari
ukuran keamanan yang penting. Arsip dapat juga diproteksi oleh ukuran penyimpanan arsip
yang mencakup penyimpanan salinan arsip dari periode sebelumnya. Apabila arsip saat ini
dihancurkan, arsip dari periode sebelumnya dapat digunakan untuk merekonstruksi arsip
baru saat ini. Terkadang, beberapa generasi arsip untuk tujuan pengendalian. Oleh karena
itu, arsip induk dari beberapa periode penugasan baru-baru ini (dikenal sebagai arsip anak,
orang tua, kakek) dapat disimpan sebqgai cadangan. Arsip seperti ini dapat disimpan diluar
lingkungan kerja yaitu disebuah lokasi yang jauh dari pusat data perusahaan, terkadang
dalam brankas penyimpanan khusus di lokasi terpencil

3. Pengawasan Keamanan
Keamanan dari sebuah jaringan daoat disediakan oleh paket perangkat lunak sistem
terspesialisasi yang dikenal sebagai pengawasan keamanan sistem. Pengawasan keamanan
sistem adalah program yang mengawasi penggunaan sistem komputerndan jaringan serta
melindunginya dari penggunaan yang tak terotorisasi, penipuan, dan kehancuran. Program-
program seperti ini menyediakan ukuran keamanan yang dibutuhkan untuk memungkinkan
pengguna yang terotorisasi mengakses jaringan. Contohnya, kode identifikasi, dan kata
sandi secara teratur digunakan untuk tujuan tersebut. Pengawasan keamanan juga
mengendalikan penggunaan perangkat keras, perangkat lunak, dan sumber daya data dari
sebuah sistem komputer. Contohnya, pengguna terotorisasi dapat membatasi pengunaan
beberapa alat, program, dan arsip data.

Pentingnya Manajemen Kontrol Keamanan pada Sistem

Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan hidup bisnis dan
disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena
itu, manajemen informasi penting bagi meningkatkan kesuksusesan yang kompetitif dalam semua
sektor ekonomi.

Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan
informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan hackers sudah mengancam
informasi bisnis manajemen oleh karena meningkatnya keterbukaan informasi dan lebih sedikit
kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya ,
meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan stakeholders lainnya
menuntut adanya manajemen informasi yang efektif untuk memastikan informasi yang menjamin
kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan memimise dampak
peristiwa keamanan.

Mengapa harus mengamankan informasi?

Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan
orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi
informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal
yang sama sekali berbeda.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan
sebagai “quality or state of being secure-to be free from danger” [1]. Untuk menjadi aman adalah
dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang
biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi
keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari
tinjauan keamanan informasi adalah:

 Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses
tanpa otorisasi, dan bencana alam.
 Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam
organisasi.
 Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi
atau perusahaan untuk bekerja tanpa gangguan.
 Communications Security yang bertujuan mengamankan media komunikasi, teknologi
komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan
organisasi.
 Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi,
jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam
memenuhi fungsi komunikasi data organisasi.

Bagaimana mengamankannya?

Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada
karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai
6P yaitu:

Planning

Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:

1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang
lama, biasanya lima tahunan atau lebih,

2) tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya
organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua
tahunan,

3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya,
planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung
perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam
lingkungan teknologi informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi,
meliputi :

v Incident Response Planning (IRP)

IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi
akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset
organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset
informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan
mengancam confidentiality, integrity atau availbilitysumberdaya informasi. Insident Response
Planning meliputi incident detection, incident response, dan incident recovery.

v Disaster Recovery Planning (DRP)

Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari
bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana
jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk
melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika
organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang
ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.

v Business Continuity Planning (BCP)

Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi
bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama
business continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di
tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.

Policy

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:

 Enterprise Information Security Policy (EISP) menentukan kebijakan departemen keamanan

informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
 Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang
dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi
yang digunakan, misalnya e-mail atau penggunaan internet.
 System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau teknologi secara
teknis atau manajerial.

Programs

Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian.
Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan
untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan
pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.

Protection

Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko
(risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat
proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari
aspek-aspek dalam rencana keamanan informasi.

People

Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali
aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi
personil keamanan dan keamanan personil dalam organisasi.