Keamanan Sistem Informasi
Keamanan Sistem Informasi
Keamanan
Sistem Informasi
untuk Perusahaan
Kerugian yang akan dialami
Keamanan
Data dapat diakses oleh pihak yang tidak berhak
Melemahanya sector ekonomi
Rusaknya reputasi perusahaan
Sistem Informasi
Kehilangan pegawai
untuk
memelihara sistem manajemen keamanan informasi
atau SMKI (Information Security Management System -
ISMS). SMKI adalah seperangkat kebijakan, praktek, dan
teknologi yang melindungi keamanan informasi untuk
Performance
Plan Operation Improvement
Evaluation
Memahami aset informasi Melaksanakan dan Melakukan pemantauan, Mengambil tindakan korektif
perusahaan dan persyaratan mengoperasikan kebijakan, pelaksanaan, kemudian dilan- dan preventif, berdasarkan
keamanan untuk menetapkan prosedur, proses dan kontrol jutkan dengan menilai kinerja hasil dari program audit SMKI
kebijakan SMKI, tujuan, dari SMKI yang telah proses terhadap kebijakan, internal dan tinjauan
proses dan prosedur yang dikembangkan selama fase tujuan dan pengalaman manajemen atau informasi
relevan untuk mengelola Plan untuk mengelola risiko praktis dari SMKI. Selanjutnya lain yang relevan untuk
Sistem Manajemen Keamanan Informasi
risiko dan meningkatkan keamanan informasi adalah melakukan pelaporan mencapai perbaikan
keamanan informasi untuk perusahaan dalam konteks hasil pemeriksaan kepada berkesinambungan dari
memberikan hasil dengan risiko bisnis perusahaan manajemen untuk dianalisis. proses SMKI dan kontrol
tujuan strategi bisnis secara keseluruhan. Contoh keamanan yang diterapkan.
perusahaan secara Contoh Melakukan pemilahan Contoh
keseluruhan. Menyusun rencana terhadap tingkat resiko yang Mengambil tindakan korektif
Contoh pengobatan risiko yang diterima oleh perusahaan. dan pencegahan yang tepat,
Komitmen level manajemen mengidentifikasi tindakan Dilanjutkan dengan serta melaksanakan
untuk menyediakan sumber dari manajemen yang tepat menjalankan tahap perbaikan yang telah berhasil
daya dalam menetapkan, dan menempatkan prioritas pengukuran kinerja dan diidentifikasi dalam SMKI.
menerapkan, mengoper- yang wajar dalam mengelola efektifitas penerapan SMKI.
asikan, memantau, review, risiko keamanan informasi.
memelihara dan meningkat-
kan SMKI.
Kebutuhan utama
Keamanan Informasi
dari Perusahaan
Data dan informasi menjadi sangat berharga dari suatu interaksi
secara massif penggunaan komputer dalam menyelesaikan
pekerjaan dan memberikan layanan kepada pengguna. Ancaman
berupa hilangnya aset atau pengurangan nilai dari informasi
perusahaan dapat terjadi dengan berkurangnya salah satu atau
semua tiga komponen kebutuhan keamanan sistem informasi
Tiga komponen kebutuhan keamanan sistem informasi
Kemampuan atau jaminan untuk Jaminan bahwa informasi atau data Kemampuan atau jaminan bahwa
Kebutuhan utama Keamanan Informasi dari Perusahaan
membatasi akses informasi hanya belum diubah secara tidak sah, wewenang dari individu, teknologi
kepada individu yang berwenang. sehingga tidak mempengaruhi informasi, atau sistem kontrol dapat
Secara umum, untuk kerahasiaan keakuratan atau keandalan. Hal Ini mengakses dan berinteraksi dengan
dipertahankan pada komunikasi termasuk informasi yang digunakan informasi dan data yang diperlukan
jaringan, perlindungan terhadap oleh personil, teknologi informasi, secara terus menerus dan tepat
akses data secara tidak sah, atau sistem kontrol secara waktu.
penggunaan atau modifikasi dalam keseluruhan.
media penyimpanan, dalam proses, Contoh penyerangan:
hingga dalam perjalanan. Kontrol Denial of Services (DoS),
keamanan yang unik dan spesifik penghancuran objek, dan
diperlukan oleh setiap perusahaan gangguan jalur komunikasi
terhadap data, sumber daya,
perangkat keras, dan perangkat lunak
dalam hal menjaga kerahasiaan.
Contoh penyerangan:
Penyadapan jaringan dan sistem operasi
Social Engineering
Ancaman terhadap
KeamananInformasi
Perusahaan
Ancaman terhadap keamanan informasi perusahaan menjadi salah satu
perhatian utama, karena semakin banyak jumlah data yang disimpan, serta
semakin sensitive informasi yang diolah. Suatu ancaman, terlepas dari dari
mana asal atau sumber serangan, metode yang digunakan, hingga motif
penyerangan, membuat perusahaan disarankan memiliki persiapan yang lebih
baik dari sisi sumber daya manusia dan juga perangkat pendukung. Skema
organisasi yang secara umum menempatkan individu yang bertanggung jawab
terhadap keberlangsungan operasional dari sisi fisik dan sistem pada divisi
yang berbeda, dan tentu saja memiliki keterbatasan dan kurangnya koordinasi
satu dengan yang lain. Di banyak perusahaan lain juga menempatkan
ancaman merupakan satu kejadian yang spesifik pada satu divisi, padahal
memiliki korelasi terhadap divisi yang lain apabila terjadi.
Untuk kategori dari ancaman terhadap sistem dan keamanan informasi dari
perusahaan dapat dikelompokkan menjadi
tiga hal:
Kegagalan
infrastruktur
Penyebab dari
Hal ini dapat terjadi sebagai akibat
manusia
dari kerusakan peralatan yang
mengakibatkan kegagalan layanan
Penyebab dari terhadap pengguna, baik dalam
Ancaman terhadap Keamanan Informasi Perusahaan
Non Fisik
Mampu modifikasi, penghancuran, penolakan akses ke sistem, jaringan, layanan, atau data; serta
mempengaruhi operasional dan fungsi dari jaringan dan peralatan yang dimiliki oleh perusahaan
Serangan siber dapat melibatkan penggunaan perangkat lunak berbahasa seperti misalkan virus
komputer, worm dan ransomware, kemudian penggunaan data palsu pada interaksi dengan sistem,
membuat penolakan layanan, atau jenis lain dari kelemahan sistem yang dapat dieksploitasi
Serangan
Siber Serangan
Fisik
Serangan siber secara fisik dapat terjadi seperti halnya tindakan pencurian, perusakan perangkat
keras, dan melakukan modifikasi kondisi lingkungan untuk mempengaruhi fungsi sistem berbasis
komputer.
Berasal dari kalangan internal, eksternal, atau kombinasi dari keduanya. membuat penolakan
layanan, atau jenis lain dari kelemahan sistem yang dapat dieksploitasi
Jenis Serangan Siber
Akses tidak sah ke sistem komputer dan layanan, dengan memasuki sistem
komputer tanpa izin pemilik.
Pemalsuan data.
Dengan memalsukan data pada dokumen-dokumen penting yang disimpan
sebagai bagian dari serangan spionase, dan dilakukan dengan masuk dan
menyadap lalu lintas dan komunikasi jaringan dari komputer target dengan
tujuan untuk
mengetahui informasi yang ada.
Kekayaan intelektual
Misalnya penyerangan dilakukan untuk memiliki kode sumber dari aplikasi,
dokumen paten, dan hal terkait dengan riset dan pengembangan yang
dilakukan oleh perusahaan.
Statistik insiden
kejahatan siber
Kejahatan siber memiliki dampak kerusakan yang fatal di semua sektor
sehingga meningkatnya jumlah ancaman siber saat ini membuat
perusahaan, baik swasta maupun pemerintah memberi perhatian lebih
pada upaya untuk menjaga keamanan, keaslian, dan ketersediaan data dan
informasi dari pengguna. Kejahatan siber di sisi lain juga membuat tren
pengeluaran belanja perangkat lunak dan perangkat keras pendukung kea -
manan informasi menjadi semakin tinggi. Hal ini dikarenakan saat ini ting -
kat pengetahuan dan kesadaran dari level eksekutif terhadap keamanan
data dari pengguna semakin baik.
Top 10 Serangan Berdasarkan
Klasifikasi Tahun 2017
1% N/A
8%
3% misc-activity
Berdasarkan statistik tahun 2017 dari ID-SIRTII,
4% 26% attempTed-racoon Indonesia Security Response Team Insiden di
4% attempTed-dies
Internet Infrastructure diakses melalui alamat
situs https://www.idsirtii.or.id, Khususnya
attempTed-admin mengenai serangan siber yang tercatat pada
6%
successfull-econ-limited mesin sensor Internet di Indonesia. Berbagai
jenis serangan dari alamat IP Indonesia
6% protocol-command-decode
menunjukkan bahwa tren serangan siber juga
Statistik insiden kejahatan siber
3%
Maleware/PoS Malware
2%
3% Account Hijacking
4%
Unknown Statistik top 10 attack dari situs
6% 36% https://www.hackmageddon.com/ menunjukkan
Targeted Attack
serangan menggunakan malware menjadi salah
Vulnerability satu favorit dari para pelaku kejahatan siber
DDos dalam upaya penguasaaan sistem dan data dari
13% korban, sehingga terlihat pada statistik
Defacement mengambil porsi 35.61% dari total serangan.
Malicious Script Injection Kemudian penguasaan dan penggunaan akun
Statistik insiden kejahatan siber
keamanan informasi
Perusahaan harus menetapkan, menerapkan jumlah perangkat, hingga sensitifitas data yang
dan memelihara kebijakan mengenai tata kelola dikelola. Tata kelola yang baik akan
keamanan informasi untuk memastikan semua menyesuaikan dengan latar belakang dan
unsur terlibat didalamnya mengikuti aturan kebutuhan dari perusahaan, guna memastikan
dalam mengakses dan berinteraksi informasi. dan menjaga kelangsungan proses bisnis
Tata kelola keamanan informasi sendiri menjadi lebih baik, mengatasi ancaman dan
merupakan suatu kumpulan petunjuk dan cara risiko dengan fokus pada menghilangkan potensi
yang berkaitan dengan mendefinisikan, serta kerugian bisnis. Semua bentuk tata kelola
mengarahkan upaya pengamanan informasi keamanan informasi harus dinilai dan diverifikasi
pada suatu perusahaan. dari waktu ke waktu. Masalah kepatuhan
terhadap tata kelola keamanan informasi
Prosedur keamanan siber yang efektif tidak cenderung bervariasi dan terlihat berbeda
harus terlalu rinci dan rumit. Untuk perusahaan karena disesuaikan dengan spesifikasi dan
kecil dengan staf yang lebih sedikit dan sistem kebutuhan dari industry, serta aturan hukum
teknologi informasi dengan kompleksitas yang berlaku pada suatu negara.
rendah, memiliki dokumen kesiapan sederhana
adalah sangat membantu. Hal ini secara
sederhana dalam bentuk petunjuk singkat
kepada seluruh sta ffuntuk mengetahui pihak
yang bertanggung jawab dalam pengelolaan
teknologi informasi pada perusahaan, dan dapat
melaporkan apabila terdapat gangguan pada
infrastruktur perusahaan. Hal tersebut akan
berbeda pada perusahaan dengan skala
menengah dan besear, dengan kompleksitas
yang tinggi, baik pada penggunaan teknologi,
Staf keamanan informasi dengan
Pentingnya Keamanan Informasi untuk Perusahaan beserta rekomendasi
Staf yang bertanggung jawab terhadap keamanan data dan informasi pada suatu
perusahaan merupakan personil yang secara penuh bertanggung jawab dalam
pengawasan terhadap keseluruhan strategi, arsitektur, fungsi keamanan informasi dari
perusahaan. Pada beberapa perusahaan, posisi ini dapat diformalkan dengan posisi Chief
Informatin Security Offier (CISO), yang bertanggung jawab secara langsung ke C-level
atau direksi, dan memiliki kewenangan di atas manager di semua divisi yang ada. Staf
harus memiliki keahlian dan peran di semua lini bisnis yang dimiliki oleh perusahaan, dan
harus memahami konsep dan proses bisnis dari perusahaan dengan baik.
Fungsi dari staf pada bidang keamanan informasi adalah sebagai berikut:
a. Mengembangkan dan melaksanakan kebijakan, standar, dan pedoman terkait dengan
keamanan informasi untuk proses perusahaan secara keseluruhan, dimulai dari strategi
keamanan, pemilihan dan penggunaan kerangka kerja standar keamanan, dan memiliki
kemampuan praktik yang baik.
b. Bekerja dengan eksekutif perusahaan, manajer bisnis, audit internal dan divisi lain yang
terkait untuk memahami kebutuhan keamanan dan kepatuhan terhadap peraturan,
pemantauan secara terus menerus terhadap sistem, serta menghadirkan perlindungan
terhadap sistem informasi secara menyeluruh.
Pengetahuan dan kemampuan dari staf dalam penanganan dan pengamaman data dari
serangan siber yang begitu variatif menjadikan perlu diadakannya pembaharuan secara
berkesinambungan dan pendidikan berkelanjutan. Keamanan siber dan hal-hal lain yang
terkait perlu mendapat perhatian yang lebih dari manajemen, dengan cara mendukung
staf untuk mengikuti sosialisasi dan pelatihan, baik dalam bentuk seminar hingga pelatihan
dengan kualifikasi ahli yang diakui secara global.
b. Pelatihan secara intensif untuk staf bagian keamanan informasi, dalam bentuk
pelatihan sertifikasi internasional, dengan lebih menitik beratkan pada studi kasus yang
dialami di perusahaan. Menggunakan kerangka kerja standar seperti NIST SP 800-16
adalah contoh dari dokumen yang relevan ketika mengembangkan dan menerapkan
program pelatihan keamanan informasi pada perusahaan.
Manajemen
Pentingnya Keamanan Informasi untuk Perusahaan beserta rekomendasi
patch
terhadap sistem
Sebuah proses pengujian masuk ke dalam sistem mendapatkan informasi lengkap dan
detail mengenai kelemahan atau celah yang memungkinan untuk dieksploitasi oleh pihak
lain. Kemudian menunjukkan pula bagaimana pelaku kejahatan siber memanfaatkan
celah-celah yang ada sebelumnya untuk dapat menguasai sistem atau jaringan computer.
Aktifitas ini akan memperlihatkan kesenjangan pada model keamanan sistem informasi
yang telah aktif di perusahaan, untuk selanjutnya membantu dalam menyeimbangkan
kemampuan praktek dan fungsionalitas proses bisnis yang potensial menjadi target
penyerangan. Informasi ini sangat berguna selama pemulihan setelah bencana dan
kontinuitas jalannya bisnis.
Yang menjadi perhatian adalah proses penilaian kerentanan mayoritas dilakukan dari sisi
perangkat lunak yang digunakan (sistem operasi, aplikasi pihak ketiga, basisdata) dan tidak
menilai masalah lain yang juga potensial menjadi sumber atau pintu masuk untuk
penyerangan. Manusia, perangkat keras, dan proses dari perusahaan juga dapat menjadi
sumber kerentanan yang besar apabila dibandingkan dengan perangkat lunak. Studi kasus
menunjukkan pula kelemahan kata kunci atau password yang digunakan, dan tidak
rutinnya penggantian kata kunci pada sistem yang digunakan pada server dan workstation
yang terdapat di perusahaan.
Menerapkan respons terhadap
Pentingnya Keamanan Informasi untuk Perusahaan beserta rekomendasi
Respons terhadap insiden kejahatan siber dan proses pemulihan merupakan elemen penting dalam keamanan informasi. Respons terhadap
insiden adalah serangkaian instruksi untuk membantu staf teknologi informasi dalam mendeteksi, merespons, dan memulihkan dari insiden
yang terjadi akibat dari kejahatan siber. Mekanisme ini dibuat untuk menangani masalah-masalah seperti kejahatan siber, kehilangan data,
dan penghentian layanan kepada pengguna yang dapat terjadi setiap saat.
kontrol bahwa staf pelaksana respons terhadap insiden menjalankan Proses eradication yang sukses memberikan informasi detail dari serangan
proses identifikasi dari insiden keamanan informasi yang potensial atau dan respons tindakan yang telah dilakukan seperti menggunakan
aktual. Aktifitas ini mendukung proses yang lebih terkoordinasi apabila perangkat lunak keamanan siber, melakukan analisis kerentanan secara
terjadi serangan terhadap sistem yang sebenarnya. otomatis pada asset, sistem, dan lalu lintas jaringan komunikasi yang akan
dipulihkan.
b. Detection and Analysis Tahap recovery fokus pada pengembalian operasional dari sistem
Pada tahap detection dan analysis, focus kepada penentuan suatu informasi yang terdampak secara penuh, baik dari perangkat keras,
kejadian kejahatan siber telah terjadi atau sedang terjadi. Kemudian perangkat lunak, hingga basisdata. Aktifitasnya antara lain memulihkan
melakukan klasifikasikan terhadap serangan tersebut. Adanya laporan operasional dari data backup.
kejadian dihasilkan oleh salah satu pengguna atau secara otomatis berasal
dari sistem deteksi kejadian. Untuk proses validasi dan klasifikasi insiden e. Post-incident activity
umumnya memerlukan pengetahuan rinci mengenai pola serangan Tahap ini merupakan tahap dimana analisis pasca-kejadian dalam melihat
terhadap sistem dari sudut pandang, dan memiliki keterampilan serta dan menentukan efektivitas dari banyak komponen pemulihan sistem
kemampuan untuk melakukan analysis. terdampak. Efektifitas dapat diukur dari lama waktu tanggap sistem yang
dipulihkan, ruang lingkup kerusakan pada sistem, hingga strategi yang
c. Containment telah dijalankan dalam hal respons terhadap insiden kejahatan siber di
Pada tahap containment, kejadian atau ruang lingkup dari serangan dapat sistem perusahaan. Analis akan memberikan laporan di bagian mana
dilokalisir pada bagian dimana serangan terjadi, untuk selanjutnya dapat masih terdapat kekurangan atau celah yang dapat diperbaiki sebelum
dikelola jenis dan bentuk serangannya untuk memilih solusi yang tepat. serangan yang sama atau lebih intensitas dan kompleksitasnya terjadi di
Proses containment menjadi salah satu elemen penting dalam kemudian hari. Kekurangan yang ditemukan membuat kontrol keamanan
menentukan langkah pemulihan setelahnya. harus dievaluasi ulang dan ditingkatkan sesuai dari hasil evaluasi atas
respons dan penanganan insiden. Kemudian dilihat pula kekuatan atau
solusi efektif yang telah dimiliki sebelumnya, sehingga dengan perbaikan
pada mekanisme dan prosedur respons terhadap insiden membantu peru -
sahaan di waktu yang akan datang.
Kesimpulan
Keaman siber pada awal mulanya hanya pembuatnya. Kemampuan untuk melakukan
dipandang menjadi kebutuhan dari perusahaan kamuflase identitas dari para penyerang juga
besar dan modern saja, termasuk instansi mempersulit penegak hokum untuk melacak dan
pemerintahan. Semakin tinggi dan cepat proses menangkap pelaku penyerangan. Selain itu,
kebutuhan dan pertukaran informasi yang pelaku kejahatan siber dapat melakukan
dilakukan, baik individu maupun perusahaan, serangan dengan efektif menggunakan sumber
membuat semua pihak dilibatkan dalam daya computer pengguna lain yang telah
penyebarluasan kebutuhan pengamanan terinfeksi oleh aplikasi agen atau Trojan-horse
terhadap data dan informasi yang dimiliki. Kasus yang telah diaktifkan sebelumnya tanpa diketahui
demi kasus penyerangan atau kejahatan siber oleh pengguna. Oleh sebab itu, ancaman
terjadi di seluruh dunia, termasuk di Indonesia. serangan harus dilihat dari segala aspek, baik
Mulai dari penggunaan malware, serangan manusia, perangkat lunak, perangkat keras,
sistematis terhadap sistem pemerintahan dan maupun lingkungan perusahaan. Sosialisasi
instansi swasta, hingga perang siber yang terjadi secara rutin penting dilakukan untuk semua staf
dengan dilatarbelakangi motif politik. agar dalam suatu perusahaan semua unsur di
Kemampuan dari penyerang dan juga dalamnya memiliki pengetahuan dan
perusahaan dalam bertahan, dapat dilihat pemahaman tentang keamanan informasi untuk
seimbang dan saling melengkapi, dikarenakan melindungi data.
kesamaan teori dan perangkat yang digunakan.
Tetapi pertandingan ini seperti tidak pernah
berhenti selama masih ada sistem yang
digunakan oleh manusia. Serangan seperti
zero-day attack contohnya adalah kemampuan
dari para penyerang untuk menemukan dan
mengeksploitasi dari sistem terlebih dahulu
sebelum diketahui atau ditutup oleh vendor
training.gamatechno.com