Tingkat kesadaran sistem keamanan teknologi informasi perusahaan di

Indonesia diprediksi tidak banyak mengalami perubahan di tahun depan.

Sedangkan pada 2016, terdapat sedikit peningkatan menjadi sekitar 10
persen dari total anggaran teknologi informasi.

Faktor yang menyebabkan minimnya tingkat kesadaran tersebut karena

perusahaan dinilai lebih berfokus membeli peranti lunak yang dianggap
menguntungkan bagi perusahaan.

Keamanan Sistem Informasi Internal

Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku,
sumberdaya manusia, maupun barang jadi sudah saatnya menggunakan
sistem komputerisasi yang terintegrasi agar lebih effisien dan effektif dalam
memproses data yang dibutuhkan. Sistem Informasi dalam suatu perusahaan
bertujuan untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan
integrasi.

 Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh
orang-orang yang tidak memiliki otoritas. Sistem informasi eksekutif, sumber daya manusia, dan
sistem pengolahan transaksi, adalah sistem-sistem yang terutama harus mendapat perhatian dalam
keamanan informasi.

 Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki
otoritas untuk menggunakannya.

 Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat
mengenai sistem fisik yang mereka wakili.

Dalam mengelola aset informasi sebuah organisasi, para Manajer Teknologi

Informasi (TI) atau Chief Information Officer (CIO) membutuhkan kebijakan
keamanan informasi, yang memberikan pedoman mengenai prosedur, aturan
dan hal-hal lain yang berhubungan dengan pengelolaan informasi.

Berikut ini adalah prinsip-prinsip dasar yang dapat digunakan sebagai

panduan bagi pengambilan keputusan untuk membuat kebijakan, prosedur
dan aturan lain yang berhubungan dengan keamanan informasi :

1. Kebijakan keamanan informasi harus sejalan dengan visi dan misi organisasi.

2. Keamanan informasi harus menjadi bagian yang tidak terpisahkan dalam operasional manajemen

3. Penerapan keamanan informasi harus memperhatikan kelayakan biaya yang dibelanjakan

dibandingkan dengan hasil yang ingin dicapai.

4. Tugas pokok dan fungsi manajer keamanan informasi harus jelas dan tertuang dalam dokumen
resmi.

5. Tanggung jawab dan wewenang penggunaan sistem keamanan informasi oleh pihak di luar
organisasi harus dituangkan secara jelas.
 6. Diperlukan pendekatan menyeluruh dan terintegrasi untuk menerapkan keamanan informasi.

7. Melakukan evaluasi keamanan informasi secara periodik.

8. Sosialisasi kebijakan keamanan informasi.

Pentingnya Dokumen Kebijakan Keamanan

Keberadaan dokumen “Kebijakaan Keamanan” atau “Security Policies”

merupakan sebuah infrastruktur keamanan yang harus dimiliki oleh sebuah
organisasi atau perusahaan yang ingin melindungi aset informasi
terpentingnya. Dokumen ini secara prinsip berisi berbagai cara (baca: kendali)
yang perlu dilakukan untuk mengontrol manajemen, mekanisme, prosedur,
dan tata cara dalam mengamankan informasi, baik secara langsung maupun
tidak langsung. Karena berada pada tataran kebijakan, maka dokumen ini
biasanya berisi hal-hal yang bersifat prinsip dan strategis. Dengan adanya
kebijakan ini, selain akan membantu organisasi dalam mengamankan aset
pentingya, juga menghindari adanya insiden atau tuntutan hukum akibat
organisasi terkait lalai dalam melakukan pengelolaan internal terhadap aset
informasi atau hal-hal terkait dengan tata kelola informasi yang berada dalam
lingkungannya. Kebijakan yang dimaksud juga bersifat teknologi netral,
artinya tidak tergantung atau spesifik terhadap penggunaan merek teknologi
tertentu. Elemen Kunci Kebijakan Keamanan EC-Council melihat ada 7 (tujuh)
elemen kunci yang harus diperhatikan dalam menyusun kebijakan keamanan,
masing-masing adalah:

1. Komunikasi yang jelas mengenai arti dan pentingnya sebuah kebijakan keamanan untuk disusun
dan ditaati oleh seluruh pemangku kepentingan perusahaan;

2. Definisi yang jelas dan ringkas mengenai aset informasi apa saja yang harus diprioritaskan untuk
dilindungi dan dikelola dengan sebaik-baiknya;

3. Penentuan ruang lingkup pemberlakukan kebijakan yang dimaksud dalam teritori kewenangan yang
ada;

4. aminan adanya sanksi, perlindungan, dan penegakan hukum terhadap para pelaku yang terkait
dengan manajemen informasi sesuai dengan peraturan dan undang-undang yang berlaku;

5. Adanya pembagian tugas dan tanggung jawab yang jelas terhadap personel atau SDM yang
diberikan tugas untuk melakukan kegiatan pengamanan informasi;

6. Penyusunan dokumen atau referensi panduan bagi seluruh pemangku kepentingan dan pelaku
manajemen keamanan informasi untuk menjamin penerapan yang efektif; dan7. Partisipasi aktif dan
intensif dari manajemen atau pimpinan puncak organisasi untuk mensosialisasikan dan mengawasi
implementasi kebijakan dimaksud.