2
Hal yang perlu diperhatikan dalam praktik
Implementasi Tata Kelola IT
3
8
Latar Belakang
9
Informasi merupakan asset yang sangat berharga bagi sebuah organisasi karena
merupakan salah satu sumber daya strategis dalam meningkatkan nilai usaha.
Oleh karena itu maka perlindungan terhadap informasi (keamanan informasi) merupakan
hal yang mutlak harus diperhatikan secara sungguh-‐sungguh oleh segenap jajaran
pemilik, manajemen, dan karyawan organisasi yang bersangkutan.
Keamanan informasi yang dimaksud menyangkut kebijakan, prosedur, proses, dan
aktivitas untuk melindungi informasi dari berbagai jenis ancaman terhadapnya sehingga
dapat menyebabkan terjadinya kerugian-kerugian bagi kelangsungan hidup organisasi.
Informasi dikumpulkan, disimpan, diorganisasikan, dan disebarluaskan dalam berbagai
bentuk – baik dokumen berbasis kertas hingga berkas elektronik.
Apapun bentuk maupun cara penyimpanannya, harus selalu ada upaya dan untuk
melindungi keamanannya sebaik mungkin.
Jaminan kemanan informasi dapat dicapai melalui aktivitas penerapan sejumlah kontrol
yang sesuai, kontrol yang dimaksud meliputi penerapan berbagai kebijakan, prosedur,
struktur, praktek, dan fungsi-‐fungsi tertentu.
Keseluruhan kontrol tersebut harus diterapkan oleh organisasi agar seluruh sasaran
keamanan yang dimaksud dapat tercapai.
Mengapa diperlukan keamanan informasi ?
13
Keberadaan dan kepatuhan terhadap standar merupakan hal mutlak yang harus dimiliki
oleh pihak manapun yang ingin menerapkan sistem keamanan informasi secara efektif.
Sejumlah alasan utama mengapa standar diperlukan adalah untuk menjamin agar:
1. Seluruh pihak yang terlibat dalam proses keamanan informasi memiliki kesamaan
pengertian, istilah, dan metodologi dalam melakukan upaya-upaya yang berkaitan
dengan keamanan data;
2. Tidak terdapat aspek-aspek keamanan informasi yang terlupakan karena standar
yang baik telah mencakup keseluruhan spektrum keamanan informasi yang disusun
melalui pendekatan komprehensif dan holistic (utuh dan menyeluruh);
3. Upaya-upaya untuk membangun sistem keamanan informasi dilakukan secara efektif
dan efisien dengan tingkat optimalisasi yang tinggi, karena telah memperhatikan
faktor-faktor perkembangan teknologi serta situasi kondisi yang berpengaruh
terhadap organisasi;
4. Tingkat keberhasilan dalam menghasilkan sistem keamanan informasi yang
berkualitas menjadi tinggi, karena dipergunakan standar yang sudah teruji
kehandalannya.
Penggunaan Dokumen Standar
22
❖ Seperti yang telah dijelaskan sebelumnya, proses awal yang harus dilakukan
setiap organisasi adalah melakukan kajian awal untuk mengidentifikasikan
kebutuhan keamanan, mengingat setiap organisasi memiliki sifat uniknya
masing-‐masing.
❖ Berdasarkan hasil tersebut, pilihlah kontrol-kontrol sesuai yang dapat diambil
dalam dokumen standar ini, maupun dari sumber-sumber lain untuk
melengkapinya manakala dibutuhkan.
❖ Setelah itu susunlah perencanaan program penerapan kontrol-kontrol yang
dimaksud dengan melibatkan pihak internal maupun eksternal organisasi sesuai
dengan kebutuhan.
❖ Perlu diperhatikan bahwa sejumlah kontrol sifatnya mutlak harus dimiliki oleh
sebuah organisasi, sementara berbagai kontrol lainnya hakekatnya ditentukan
oleh situasi dan kondisi organisasi yang bersangkutan.
❖ Disamping itu terdapat pula sejumlah kontrol yang harus diperhatikan secara
sungguh-sungguh karena memiiki implikasi besar karena menyangkut
kepentingan public atau kontinuitas keberadaan organisasi.
ISO 17799: Standar Sistem
Manajemen Keamanan Informasi
23
Apa itu ISO 17799?
24
❖ ISO 17799 merupakan suatu struktur dan rekomendasi pedoman yang diakui
secara internasional untuk keamanan informasi.
❖ Suatu proses keamanan informasi yang menyeluruh yang dapat diusahakan atau
di implementasikan bagi perusahaan agar memperoleh manfaat keamanan yang
diinginkan.
❖ Proses evaluasi, implementasi, pemeliharaan dan pengaturan keamanan
informasi yang singkat.
❖ Upaya penggunaan oleh konsorsium perusahaan untuk memenuhi kebutuhan
industri.
❖ ISO 17799 merupakan proses yang seimbang antara fisik, keamanan secara
teknikal dan prosedur, serta keamanan pribadi.
Keuntungan menerapkan ISO-17799
25
Suatu organisasi yang menerapkan ISO 17799 akan mempunyai suatu alat untuk
mengukur, mengatur dan mengendalikan informasi yang penting bagi operasional
sistem mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan
pelanggan, efisiensi dan efektifitas.
ISO 17799
26
1. Security Policy
2. System Access Control
3. Communication & Operations Management
4. System Development and Maintenance
5. Physical and Environmental Security
6. Compliance
7. Personnel Security
8. Security Organization (Information Security)
9. Asset Classification and Control
10. Business Continuity Management (BCM)
1. Security Policy (kebijakan keamanan)
30
31
❖ Membahas keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah
kehilangan/kerusakan data yang diakibatkan oleh lingkungan, termasuk
bencana alam dan pencurian data dalam media penyimpanan atau fasilitas
informasi yang lain.
35
36
37
❖ Mengatur tentang keamanan secara global pada suatu organisasi atau instansi,
mengatur dan menjaga integritas sistem informasi internal terhadap keperluan
pihak eksternal termasuk pengendalian terhadap pengolahan informasi yang
dilakukan oleh pihak ketiga (outsourcing).
❖ Siap menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis
yang bisa mengakibatkan ”major failure” atau resiko kegagalan yang utama
ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan
pengaturan dan manajemen untuk kelangsungan proses bisnis, dengan
mempertimbangkan:
a. Aspects of business continuity management
❖ Membangun dan menjaga keamanan sistem manajemen informasi akan terasa
jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem
yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan
benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja
manajemen yang baik dan terstruktur serta pengukuran kinerja sistem
keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan
efisien.
Sepuluh Aspek Keamanan Informasi (cont)
40
Penggunaan dari ISO 17799 masih merupakan alat bantu yang berguna
baik itu pihak internal maupun pihak eksternal yaitu :
❖ Organisasi, untuk mempelajari serta melaksanakannya guna
mendapatkan sertifikasi tersebut
❖ Auditor TI, untuk membandingkan kesesuaian antara standar dengan
kenyataan yang ada di organisasi tersebut
❖ Auditor Keuangan, digunakan sebagai salah satu acuan untuk
menentukan dalamnya pemeriksaan
❖ Pemerintah atau institusi lain yang berkepentingan.
TERIMA KASIH
42