TUGAS II

1) Rancanglah bentuk kegiatan yang terkait dengan penumbuhan budaya

kesadaran akan kemanan informasi di unit atau satuan tugas kerja Anda masing-
masing !

Setiap individu dalam organisasi memiliki peran yang berbeda-beda terhadap

informasi. Merupakan hal yang penting bagi seluruh anggota organisasi untuk
memahami bagaimana peran dan tanggung jawab mereka terhadap informasi.
Unsur utama yang menjadi subyek dari informasi adalah peran pengguna, pemilik, atau
custodian terhadap informasi .

1) Owner/Pemilik

Pemilik bertanggung jawab atas informasi yang harus dilindungi. Pemilik

informasi memiliki tanggung jawab terakhir untuk perlindungan data, dan sesuai
dengan konsep kehati-hatian, pemilik dapat bertanggung jawab atas kelalaian
atau kegagalannya untuk melindungi informasi yang sensitif. Namun fungsi
perlindungan data sehari-harinya ditugaskan kepada custodian. Salah satu tugas
penting dari pemilik adalah menentukan tingkat klasifikasi informasi yang
diperlukan yang didasarkan pada kebutuhan organisasi untuk melindungi data
serta memastikan bahwa setiap tingkat klasifikasi informasi memperoleh
kontrol pengamanan yang tepat.

2) Custodian

Custodian adalah pihak yang bertanggung jawab untuk melindungi informasi

yang diberikan oleh pemiliknya. Custodian bertanggung jawab untuk menjaga
tiga aspek dasar informasi, yaitu kerahasiaan (confidentiality), integritas
(integrity), dan ketersediaan (availability) informasi. Dalam aplikasinya,
custodian harus mampu menentukan teknologi pengamanan yang tepat sesuai
dengan klasifikasi informasi yang diamankan, baik secara fisik (firewall, access
control) dan lojik (enkripsi, otentikasi). Dan untuk meningkatkan efisiensi
dan efektifitas keamanan, custodian harus mampu merumuskan prosedur operasi
standar sesuai dengan kebijakan dan aturan yang ditentukan oleh pemilik.
 3) User/Pengguna

Pengguna adalah pihak yang dianggap secara rutin menggunakan informasi

sebagai bagian dari pekerjaannya. Pengguna juga dapat dianggap konsumen data, yang
sehari-harinya membutuhkan akses ke informasi untuk melaksanakan tugas-tugas
mereka. Pengguna harus mengikuti prosedur operasi yang ditetapkan dalam kebijakan
keamanan organisasi, dan mereka harus mematuhi prosedur yang telah
dipublikasikan. Selain itu, pengguna harus benar-benar peduli untuk mengamankan
informasi yang sensitif sesuai dengan kebijakan keamanan informasi dan
penggunaannya.

Kesadaran merupakan poin atau titik awal untuk seluruh pegawai suatu
organisasi dalam mengejar atau memahami pengetahuan mengenai keamanan
teknologi informasi. Dengan adanya kesadaran pengamanan, seorang pegawai dapat
memfokuskan perhatiannya padasebuah atau sejumlah permasalahan atau ancaman-
ancaman yang mungkin terjadi.

Tujuan kesadaran keamanan informasi adalah untuk meningkatkan keamanan

dengan melakukan hal berikut:

1) Pemilik, pengguna maupun custodian dari informasi paham akan tanggung

jawab mereka terhadap sistem keamanan informasi dan mengajar
mereka bagaimana bentuk pengamanan yang tepat, sehingga membantu
untuk mengubah perilaku mereka menjadi lebih sadar akan keamanan;
2) Mengembangkan kemampuan dan pengetahuan sehingga pemilik,
pengguna maupun custodian informasi dapat melakukan pekerjaan mereka
dengan lebih aman;
3) Membangun pemahaman akan pengetahuan yang diperlukan, untuk
merancang, mengimplementasikan, atau mengoperasikan program
pembinaan kesadaran keamanan informasi untuk organisasi.

NIST SP800-50 dan SP800-16

NIST SP 800-50 dan SP 800-16 merupakan penjelasan terhadap implementasi

NIST SP 800-100. NIST SP 800-50 bekerja pada level atau tingkat strategis yang lebih
tinggi, membahas bagaimana cara membangun suatu pembinaan kesadaran keamanan
informasi. Sedangkan NIST SP 800-16 bekerja pada level atau tingkat taktis yang
 lebih rendah, menggambarkan suatu pendekatan bagi pelatihan keamanan yang
berbasis peran atau tanggung jawab pegawai organisasi.

NIST SP 800-50 mengidentifikasikan empat langkah penting dalam siklus

kehidupan pembinaan kesadaran keamanan informasi:

1) Perancangan pembinaan kesadaran keamanan informasi

Pada langkah ini, ditekankan bahwa setiap organisasi perlu melakukan

penilaian kebutuhan dan strategi pelatihan yang sesuai dan dapat
diaplikasikan di organisasinya.

2) Pembangunan pembinaan kesadaran keamanan informasi

Langkah ini berfokus pada sumber-sumber pelatihan yang tersedia, ruang

lingkup, isi, dan pengembangan materi pelatihan, termasuk permohonan
bantuan kerja sama kepada pihak ketiga jika diperlukan.

3) Pelaksanaan pembinaan kesadaran keamanan informasi

Langkah ini menjelaskan bagaimana komunikasi yang efektif dan

metode yang tepat untuk digunakan pada pembinaan kesadaran keamanan
informasi.

4) Pasca – Pelaksanaan pembinaan kesadaran keamanan informasi

Langkah ini memberikan petunjuk agar jalannya program dan proses

monitoring atau evaluasi dapat berjalan dengan efektif.

Sedangkan NIST SP 800-16 merupakan model proses pembelajaran keamanan

informasi yang terdiri dari tiga komponen utama, yaitu kesadaran (awareness), pelatihan
(awareness and role based training) dan pendidikan (education). Proses pembelajaran
dimulai dengan adanya suatu kesadaran, yang dilanjutkan dengan suatu pelatihan, dan
berkembang menjadi pendidikan. Ketiga model ini satu sama lainnya memiliki keterkaitan.
sehingga proses pembelajaran keamanan informasi setiap individu menjadi semakin
lebih komprehensif dan detail. Proses pembelajaran keamanan informasi ini dapat
dikatakan sebagai sebuah model pembinaan kesadaraan keamanan informasi seperti terlihat
pada Gambar 1.
 Gambar 1. Proses Pembelajaran Keamanan Informasi

Pembinaan Kesadaran Keamanan Informasi terhadap unit kerja analis intelijen.

1) Implementasi kesadaran (awareness)

Pembinaan kesadaran keamanan kepada unit kerja analis intelijen dilakukan dalam
bentuk kursus kesadaran pengamanan yang memberikan gambaran terkait ancaman dan
resiko dalam bidang tugas intelijen serta bagaimana langkah-langkah pengamanannya.
Selain itu diberikan dalam bentuk pengarahan pimpinan yang membahas mengenai
pentingnya kepedulian atau kesadaran di lingkungan kerja tersebut. Serta diberikan
juga sosialisasi keamanan dalam bentuk ceramah dan kuliah umum.

2) Implementasi pelatihan (training)

Pelatihan terkait keamanan informasi untuk unit kerja analis intelijen diberikan dalam
bentuk diklat teknis yang terkait dengan pengamanan setiap informasi dan data. Selain
itu juga diberikan dalam bentuk kursus-kursus sertifikasi untuk lebih meningkatkan
kompetensinya dalam pelaksanaan tugas.

3) Implementasi pendidikan (education)

Implementasi pembinaan kesadaran keamanan informasi dalam bentuk
pendidikan, berupa beasiswa melalui biaya dinas untuk melanjutkan jenjang
pendidikan formal yang lebih tinggi (S2 atau S3) dengan bidang studi yang terkait
keamanan informasi dan. Pembinaan melalui pendidikan ini diberikan sesuai
dengan tuntutan bidang tugas dan jabatan serta adanya skala prioritas kebutuhan.
2) Buatlah resume dan ulasan kuliah pekan kedua ini !
Kesadaran Keamanan Informasi & Komputer

Keamanan Informasi

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan

informasi adalah melindungi informasi dari berbagai ancaman untuk menjamin
kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, serta
mempercepat kembalinya investasi dan peluang usaha . Atau dengan kata lain keamanan
informasi merupakan upaya melindungi informasi dan sistem informasi dari akses yang
dilakukan oleh pihak yang tidak bertanggung jawab penggunaan, penyingkapan, gangguan,
modifikasi, atau perusakan untuk menjaga integritas, kerahasiaan, dan ketersediaan
informasi.

Tujuan Keamanan Informasi

Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu:

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi,

memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan
menjamin kerahasiaan data yang dikirim, diterima dan disimpan.

2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin
fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta
metode prosesnya untuk menjamin aspek integrity ini.

3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat
terkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol

yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur,
struktur-struktur organisasi dan piranti lunak.

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara

umum diartikan sebagai “quality or state of being secure-to be free from danger” [1]. Untuk
menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa
dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan
dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus
dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan
informasi adalah:

 Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau

anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi
bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
 Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi
orang-orang dalam organisasi.
 Operation Security yang memfokuskan strategi untuk mengamankan kemampuan
organisasi atau perusahaan untuk bekerja tanpa gangguan.
 Communications Security yang bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini
untuk mencapai tujuan organisasi.
 Network Security yang memfokuskan pada pengamanan peralatan jaringan data
organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan
tersebut dalam memenuhi fungsi komunikasi data organisasi.

Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus,

maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan
informasi dikenal sebagai 6P yaitu:

1. Planning

Planning dalam manajemen keamanan informasi meliputi proses perancangan,

pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya
yaitu:

1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk
periode yang lama, biasanya lima tahunan atau lebih,
2) tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode
yang lebih singkat, misalnya satu atau dua tahunan,
3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas
yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi
strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi
informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi,
meliputi :
a) Incident Response Planning (IRP)

IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi,
mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan
yang membahayakan sumberdaya informasi dan aset organisasi, ketika
insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau
merusak aset informasi. Insiden merupakan ancaman yang telah terjadi
dan menyerang aset informasi, dan
mengancam confidentiality, integrity atau availability sumberdaya
informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.

b) Disaster Recovery Planning (DRP)

Disaster Recovery Planning merupakan persiapan jika terjadi bencana,

dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden
yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika
skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara
efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden
dapat kemudian dikategorikan sebagai bencana jika organisasi tidak
mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat
kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu
yang lama untuk melakukan pemulihan.

c) Business Continuity Planning (BCP)

Business Continuity Planning menjamin bahwa fungsi kritis organisasi

tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis
organisasi dan sumberdaya pendukungnya merupakan tugas utama
business continuity planning. Jika terjadi bencana, BCP bertugas
 menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting
yang diperhitungkan dalam BCP adalah biaya.

2. Policy

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:

 Enterprise Information Security Policy (EISP) menentukan kebijakan departemen

keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.

 Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi
pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.

 System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau

teknologi secara teknis atau manajerial.

3. Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur
dalam beberapa bagian. Salah satu contohnya adalah program security education
training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada
pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.

4. Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme
proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun
perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana
keamanan informasi.

5. People
Manusia adalah penghubung utama dalam program keamanan informasi.
Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program
 keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil
dalam organisasi.

Standar yang digunakan

ISO/IEC 27001 adalah standar information security yang diterbitkan pada October
2005 oleh International Organization for Standarization dan International Electrotechnical
Commission. Standar ini menggantikan BS-77992:2002.

ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta,
lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan syarat-syarat
untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta
mendokumentasikan Information Security Management System dalam konteks resiko bisnis
organisasi keseluruhan

ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen

keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan perlindungan
terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting
agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem
informasi, implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat
kerugian yang ditimbulkan dalam masa waktu yang tidak lama.

Ancaman keamanan sistem informasi

Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,

organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber
daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal
dan bersifat disengaja dan tidak disengaja.

Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang
dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari
kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

1. Ancaman Alam
2. Ancaman Manusia
3. Ancaman Lingkungan
Ancaman Alam

Yang termasuk dalam kategori ancaman alam terdiri atas :

• Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai,
pencairan salju
• Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
• Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut

Ancaman Manusia

Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :

• Malicious code
• Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
• Social engineering
• Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
• Kriminal
• Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
• Teroris
• Peledakan, Surat kaleng, perang informasi, perusakan

Ancaman Lingkungan

Yang dapat dikategorikan sebagai ancaman lingkungan seperti :

• Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam
jangka waktu yang cukup lama
• Polusi
• Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api,
dll
• Kebocoran seperti A/C, atap bocor saat hujan

Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum
teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga
kemungkinan yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap
ancaman tersebut memiliki probabilitas serangan yang beragam baik dapat terprediksi maupun
tidak dapat terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem informasi
mengalami mall function.

Ancaman Internal dan Eksternal

Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal
diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga
ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan
sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama
dengan produk perusahaan atau disebut juga pesaing usaha.

Tindakan Kecelakaan dan disengaja

Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai. Beberapa merupakan kecelakaan yang disebabkan oleh orang-orang di dalam
ataupun diluar perusahaan.
Jenis- Jenis Ancaman:

Malicious software, atau malware terdiri atas program-program lengkap atau segmen-
segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak
diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau
menyebabkan sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya,
yakni:

a) Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat
diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan
boot sector lain
b) Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi
dapat menyebarkan salinannya melalui e-mail.
c) Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya
sendiri, namun disebarkan sebagai perangkat.
d) Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu.
e) Spyware. Program yang mengumpulkan data dari mesin pengguna.

Resiko

Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi

output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini
dibagi menjadi empat jenis yaitu:

a. Pengungkapan Informasi yang tidak terotoritasis dan pencurian. Ketika suatu basis data
dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak
memiliki akses, hasilnya adalah hilangnya informasi atau uang.

b. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika
orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan
mampu melakukan hal tersebut.

c. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak
atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan
operasional komputer perusahaan tersebut tidak berfungsi.
d. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para
pengguna output sistem tersebut mengambil keputusan yang salah.

Serangan terhadap keamanan informasi dapat berasal dari dalam (insider attacks) dan
dari luar (outsider attacks).
Beberapa masalah dalam manajemen sekuriti informasi diantaranya :
 Kurangnya program Security Awareness yang dapat mengingatkan pengguna TI.
 SDM TI tidak memiliki kompetensi yang cukup dalam hal keamanan sistem &
informasi.
 Evaluasi kinerja pegawai tidak dikaitkan dengan kepatuhan terhadap keterlibatan
dalam keamanan informasi.
 Tidak adanya kebijakan yang jelas.
 People is the weakest link! – Rentan terhadap Social Engineering Attack.

Referensi

Arijanto, A., Hikmah, D., & Nashar, Muhammad. (2015). Sistem Informasi
Manajemen. Jakarta: Universitas Mercu Buana. Yogyakarta: Sibuku Media

Hal Tipton and Micki Krause, 2005, Handbook ofInformation Security Management,
CRC Press LLC
National Institute of Standards and Technology SpecialPublication (NIST SP) 800-59,
Guideline forIdentifying an Informastion System as a NationalSecurity System;

“Pendampingan IT Awareness Sistem Manajemen Keamanan Informasi Biro

Administrasi Pejabat Negara (APN)”, https://proxsisgroup.com/pendampingan-
awareness-sistem-manajemen-keamanan-informasi-biro-administrasi-pejabat-
negara-apn/