1) Owner/Pemilik
2) Custodian
Kesadaran merupakan poin atau titik awal untuk seluruh pegawai suatu
organisasi dalam mengejar atau memahami pengetahuan mengenai keamanan
teknologi informasi. Dengan adanya kesadaran pengamanan, seorang pegawai dapat
memfokuskan perhatiannya padasebuah atau sejumlah permasalahan atau ancaman-
ancaman yang mungkin terjadi.
Pembinaan kesadaran keamanan kepada unit kerja analis intelijen dilakukan dalam
bentuk kursus kesadaran pengamanan yang memberikan gambaran terkait ancaman dan
resiko dalam bidang tugas intelijen serta bagaimana langkah-langkah pengamanannya.
Selain itu diberikan dalam bentuk pengarahan pimpinan yang membahas mengenai
pentingnya kepedulian atau kesadaran di lingkungan kerja tersebut. Serta diberikan
juga sosialisasi keamanan dalam bentuk ceramah dan kuliah umum.
Keamanan Informasi
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin
fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta
metode prosesnya untuk menjamin aspek integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat
terkait (aset yang berhubungan bilamana diperlukan).
1. Planning
1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk
periode yang lama, biasanya lima tahunan atau lebih,
2) tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode
yang lebih singkat, misalnya satu atau dua tahunan,
3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas
yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi
strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi
informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi,
meliputi :
a) Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi,
mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan
yang membahayakan sumberdaya informasi dan aset organisasi, ketika
insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau
merusak aset informasi. Insiden merupakan ancaman yang telah terjadi
dan menyerang aset informasi, dan
mengancam confidentiality, integrity atau availability sumberdaya
informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
2. Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi
pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
3. Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur
dalam beberapa bagian. Salah satu contohnya adalah program security education
training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada
pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
4. Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme
proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun
perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana
keamanan informasi.
5. People
Manusia adalah penghubung utama dalam program keamanan informasi.
Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program
keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil
dalam organisasi.
ISO/IEC 27001 adalah standar information security yang diterbitkan pada October
2005 oleh International Organization for Standarization dan International Electrotechnical
Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta,
lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan syarat-syarat
untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta
mendokumentasikan Information Security Management System dalam konteks resiko bisnis
organisasi keseluruhan
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang
dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari
kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
1. Ancaman Alam
2. Ancaman Manusia
3. Ancaman Lingkungan
Ancaman Alam
• Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai,
pencairan salju
• Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
• Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
Ancaman Manusia
• Malicious code
• Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
• Social engineering
• Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
• Kriminal
• Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
• Teroris
• Peledakan, Surat kaleng, perang informasi, perusakan
Ancaman Lingkungan
• Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam
jangka waktu yang cukup lama
• Polusi
• Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api,
dll
• Kebocoran seperti A/C, atap bocor saat hujan
Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum
teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga
kemungkinan yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap
ancaman tersebut memiliki probabilitas serangan yang beragam baik dapat terprediksi maupun
tidak dapat terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem informasi
mengalami mall function.
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal
diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga
ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan
sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama
dengan produk perusahaan atau disebut juga pesaing usaha.
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai. Beberapa merupakan kecelakaan yang disebabkan oleh orang-orang di dalam
ataupun diluar perusahaan.
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-
segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak
diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau
menyebabkan sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya,
yakni:
a) Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat
diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan
boot sector lain
b) Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi
dapat menyebarkan salinannya melalui e-mail.
c) Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya
sendiri, namun disebarkan sebagai perangkat.
d) Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu.
e) Spyware. Program yang mengumpulkan data dari mesin pengguna.
Resiko
a. Pengungkapan Informasi yang tidak terotoritasis dan pencurian. Ketika suatu basis data
dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak
memiliki akses, hasilnya adalah hilangnya informasi atau uang.
b. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika
orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan
mampu melakukan hal tersebut.
c. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak
atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan
operasional komputer perusahaan tersebut tidak berfungsi.
d. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para
pengguna output sistem tersebut mengambil keputusan yang salah.
Serangan terhadap keamanan informasi dapat berasal dari dalam (insider attacks) dan
dari luar (outsider attacks).
Beberapa masalah dalam manajemen sekuriti informasi diantaranya :
Kurangnya program Security Awareness yang dapat mengingatkan pengguna TI.
SDM TI tidak memiliki kompetensi yang cukup dalam hal keamanan sistem &
informasi.
Evaluasi kinerja pegawai tidak dikaitkan dengan kepatuhan terhadap keterlibatan
dalam keamanan informasi.
Tidak adanya kebijakan yang jelas.
People is the weakest link! – Rentan terhadap Social Engineering Attack.
Referensi
Arijanto, A., Hikmah, D., & Nashar, Muhammad. (2015). Sistem Informasi
Manajemen. Jakarta: Universitas Mercu Buana. Yogyakarta: Sibuku Media
Hal Tipton and Micki Krause, 2005, Handbook ofInformation Security Management,
CRC Press LLC
National Institute of Standards and Technology SpecialPublication (NIST SP) 800-59,
Guideline forIdentifying an Informastion System as a NationalSecurity System;