Ancaman
Ancaman keamanan informasi adalah orang, organisasi,
mekanisme atau peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan.
Ketika kita membayangkan ancaman keamanan informasi
adalah sesuatu yang alami jika kita membayangkan beberapa
kelompok atau beberapa orang yang diluar perusahaan
tersebut yang melakukan tindakan yang disengaja. Pada
kenyataannya ancaman dapat bersifat internal serta eksternal
dan dapat bersifat internal serta eksternal dan dapat bersifat
tidak disengaja maupun disengaja.
Ancaman Internal dan Eksternal
Ancaman internal mencakup bukan hanya karyawan
perusahaan, tetapi juga pekerja temporer, konsultan,
kontraktor dan bahkan mitra bisnis perusahaan tersebut.
Ancaman internal diperkirakan menghasilkan kerusakan
yang secara potensi lebih serius jika dibandingkan dengan
ancaman eksternal, dikarenakan pengetahuan ancaman
internal yang lebih mendalam akan sistem tersebut.
Tindakan kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang
dilakukan dengan tujuan mencelakai. Beberapa merupakan
kecelakaan, yang disebabkan oleh orang – orang didalam
ataupun diluar perusahaan. Sama halnya dimana keamanan
informasi harus ditujukan untuk mencegah ancaman yang
disengaja, sistem keamanan juga harus mengeliminasi atau
mengurangi kemungkinan terjadinya kerusakan yang
disebabkan kecelakaan.
Jenis Ancaman
Semua orang pernah mendengar mengeni virus komputer.
Sebenarnya virus hanyalah salah satu contoh jenis peranti
lunak yang menyandang nama peranti lunak yang
berbahaya.
s
Resiko
Resiko Keamanan informasi didefenisikan sebagai potensi output
yang tidak diharapkan dari pelanggaran keamanan informasi
oleh ancaman keamanan informasi. Semua resiko mewakili
tindakan yang tidak terotorisasi. Resiko – resiko seperti ini
dibagi menjadi empat jenis pengungkapan informasi yang
tidak terotorisasi dan pencurian, penggunaan yang tidak
terotorisasi, penghancuran yang tidak terotorisasi dan
penolakan layanan, serta modifikasi yang tidak terotorisasi.
Pengungkapan Informasi yang tidak terotorisasi dan
pencurian.
Ketika suatu basis data dan perpustakaan peranti linak tersedia
bagi orang – orang yang seharusnya tidak berhak memiliki
akses, hasilnya adalah hilangnya informasi atau uang.
Contohnya mata – mata industri dapat memperoleh
informasi mengenai kompetisi yang berharga dan kriminal
komputer dapat menyeludupkan dana perusahaan.
Penggunaan yang tidak terotorisasi
Penggunaan yang tidak terotorisasi terjadi ketika orang – orang
yang biasanya tidak berhak menggunakan sumber daya
perusahaan mampu melakukan hal tersebut. Contoh
kejahatan komputer tipe ini adalah Hacker, misalnya dapat
memasuki jaringan komputer sebuah perusahaan,
mendapatkan akses kedalam sistem telepon, dan melakukan
sambungan telepon jarak jauh tanpa otorisasi.
Penghancuran yang tidak terotorisasi dan penolakan
layanan.
Seseorang dapat merusak atau menghancurkan peranti keras
atau peranti lunak, sehingga menyebabkan opersional
komputer perusahan tersebut tidak berfungsi. Dalam hal ini
penjahat komputer bahkan tidak harus berada di lokasi fisik
tersebut. Mereka dapat memasuki jaringan komputer
perusahaan dan menggunakan sumber daya perusahaan
seperti email hingga tingkatan tertentu sehingga operasional
bisnis normal tidak berlangsung.
Modifikasi yang tidak terotorisasi
Perubahan dapat dilakukan pada data, informasi dan peranti
lunak perusahaan. Beberapa perubahan dapat berlangsung
tanpa disadari dan menyebabkan para pengguna output
sistem tersebut mengambil keputusan yang salah. Contoh
adalah perubahan nilai pada catatan akademis seorang siswa.
Manajemen Resiko
Sebelumnya, manajemen resiko diidentifikasi sebagai satu
dari dua strategi untuk mencapai keamanan informasi .
Resiko dapat di kelola dengan cara mengendalikan atau
menghilangkan resiko atau mengurangi dampaknya.
Pendefenisian resiko terdiri atas 4 langkah :
Identifikasi aset – aset bisnis yang harus dilindungi dari
resiko
Menyadari resikonya
Menentukan tingkatan dampak pada perusahaan jika
resiko benar – benar terjadi
Menganalisa kelemahan perusahaan tersebut
Tingkat keparahan dampak dapat di klasifikasikan menjadi
dampak yang parah, membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk
berfungsi, dampak signifikan, menyebabkan kerusakan
dan biaya yang signifikan, tetapi perusahaan tersebut akan
selamat atau dampak minor, menyebabkan kerusakan yang
mirip dengan yang terjadi dalam operasional sehari – hari.
Baik untuk resiko parah maupun signifikan, analisis
kelemahan harus dilaksanakan. Ketika analisis tersebut
mengindikasi kelemahan tingkat tinggi, maka
pengendalian harus diimplementasikan untuk
mengeliminasi atau mengurangi kelemahan tersebut. Jika
kelemahan itu bersifat menengah, maka pengendalian
sebaiknya diimplementasikan. Jika kelemahan bersifat
rendah, pengendalian yang ada harus tetap dijaga.
Setelah analisis resiko diselesaikan, hasil temuan sebaiknya
di dokumentasikan dalam laporan analisis resiko. Isi dari
laporan ini sebaiknya mencakup informasi berikut ini,
mengenai tiap – tiap resiko.
1. Deskripsi resiko
2. Sumber resiko
3. Tingginya tingkat resiko
4. Pengendalian yang diterapkan pada resiko tersebut.
5. Para pemilik resiko tersebut
6. Tindakan yang direkomendasikan untuk mengatasi
resiko
7. Jangka waktu yang direkomendasikan untuk mengatasi
resiko.
Kebijakan Keamanan Informasi
Dengan mengabaikan bahwa apakah perusahaan mengikuti
strategi manajemen resiko atau kepatuhan terhadap tolok ukur
maupun tidak, suatu kebijakan keamanan harus diterapkan
untuk mengarahkan keseluruhan program. Perusahaan dapat
menerapkan kebijakan keamanannya dengan mengikuti
pendekatan yang bertahap mengilustrasikan lima fase
implementasi kebijakan keamanan.
o Fase 1 – Inisiasi proyek. Tim yang menyusun kebijakan
keamanan dibentuk. Jika komite pengawasan SIM perusahaan
tidak dapat melaksanakan tanggung jawab untuk mengawasi
proyek kebijakan keamanan tersebut, suatu komite pengawas
khusus dapat dibentuk. Jika komite khusus telah terbentuk,
komite tersebut akan mencakup manajer dari wilayah –
wilayah dimana kebijakan tersebut akan diterapkan.
o Fase 2 – Penyusunan kebijakan. Tim proyek berkonsultasi
dengan semua pihak yang berminat dan terpengaruh oleh
proyek ini untuk menentukan kebutuhan kebijakan baru
tersebut.
o Fase 3 – Konsultasi dan persetujuan. Tim proyek
berkonsultasi dengan manajemen untuk memberitahukan
temuannya sampai saat itu, serta untuk mendapatkan
pandangan mengenai berbagai persyaratan kebijakan.
o Fase 4 – Kesadaran dan edukasi. Program pelatihan
kesadaran dan edukasi kebijakan dilaksanakan dalam unit –
unit organisasi. Peserta pelatihan dapat terdiri atas anggota
proyek, perwakilan internal lain seperti orang – orang dari
TI dan SDM atau konsultan luar. Ini merupakan salah satu
contoh manajemen pengetahuan. Manajemen meletakkan
program formal pada tempatnya untuk meningkatkan
pengetahuan keamanan karyawan yang tepat.
o Fase 5 – Penyebarluasan kebijakan. Kebijakan keamanan ini
disebarluaskan ke seluruh unit organisasi dimana kebijakan
tersebut dapat diterapkan. Idealnya para manajer unit
melaksanakan pertemuan dengan karyawan untuk
meyakinkan bahwa mereka memahami kebijakan tersebut dan
berkomitmen untuk mengikutinya.