KEAMANAN INFORMASI

Semua organisasi memiliki kebutuhan untuk menjaga

agar sumber daya informasi mereka aman. Kalangan industri
telah lama menyadari kebutuhan untuk menjaga keamanan
dari para kriminal komputer dan sekarang pemerintah telah
mempertinggi tingkat keamanan sebagai salah satu cara
untuk memerangi terorisme. Ketika organisasi – organisasi ini
mengimplementasikan pengendalian keamanan, isu – isu
utama mengenai keamanan versus ketersediaan serta
keamanan versus hak pribadi harus diatasi.
Keamanan informasi ditujukan untuk mendapatkan
kerahasiaan, ketersediaan serta integritas pada semua sumber
daya informasi perusahaan
Keamanan Informasi
Saat pemerintah dan kalangan industri mulai menyadari
kebutuhan untuk mengamankan sumber daya informasi
mereka, perhatian nyaris terfokus secara eksklusif pada
perlindungan piranti keras dan data, maka istilah keamanan
sistem pun digunakan. Focus sempit ini kemudian
diperluas sehingga mencakup bukan hanya peranti keras
dan data, namun juga peranti lunak, fasilitas komputer dan
personel. Kini cakupannya telah meluas hingga mencakup
semua jenis data, bukan hanya data didalam komputer.
Istilah keamanan informasi digunakan untuk
mendeskripsikan perlindungan baik peralatan komputer
dan nonkomputer. Fasilitas data dan informasi dari
penyalahgunaan pihak – pihak yang tidak berwenang.
Defenisi yang luas ini mencakup peralatan seperti mesin
fotocopy dan mesin faxs serta semua jenis media, termasuk
dokumen kertas.
Tujuan Keamanan Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan
utama :
 Kerahasiaan ---> Perushaan berusaha untuk melindungi
data dan informasinya dari pengungkapan kepada orang –
orang yang tidak berwenang. Sistem informasi eksklusif,
sistem informasi sumber daya manusia, dan sistem
pemrosesan transaksi seperti penggajian, piutang dagang,
pembelian dan utang dagang amat penting dalam hal ini.
 Ketersediaan ---> Tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi sedia
bagi pihak – pihak yang memiliki wewenang untuk
menggunakannya. Tujuan ini penting khususnya bagi
sistem berorientasi informasi seperti sistem informasi
sumber daya manusia dan sistem informasi eksklusif.
 Integritas ---> Semua sistem informasi harus memberikan
representasi akurat atas sistem fisik yang direpresentasikan.

Manajemen keamanan Informasi

Seperti halnya cakupan keamanan informasi telah meluas,
demikian juga pandangan akan tanggung jawab manajemen.
Manajemen tidak hanya diharapkan untuk menjaga agar
sumber daya informasi aman, namun juga diharapkan untuk
menjaga perusahaan tersebut agar tetap berfungsi setelah
suatu bencana atau jebolnya sistem keamanan. Aktivitas
untuk menjaga agar sumber daya informasi tetap aman
disebut Manajemen keamanan informasi, sedangkan
aktivitas untuk menjaga agar perusahaan dan sumber daya
informasinya tetap berfungsi setelah adanya bencana disebut
manajemen keberlangsungan bisnis.
Manajemen Keamanan Informasi
Pada bentuknya yang paling dasar, manajemen keamanan
informasi terdiri atas empat tahap mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi
perusahaan. Mendefenisikan resiko yang dapat disebabkan
oleh ancaman –ancaman tersebut, menentukan kebijakan
keamanan informasi serta mengimplementasikan
pengendalian untuk mengatasi resiko – resiko tersebut.
Ancaman menghasilkan resiko yang harus dikendalikan.
Istilah manajemen resiko dibuat untuk menggambarkan
pendekatan ini dimana tingkat keamanan sumber daya
informasi perusahaan dibandingkan dengan resiko yang
dihadapinya. Tolak ukur keamanan informasi adalah
tingkat keamanan yang disarankan yang dalam keadaan
normal harus menawarkan perlindungan yang cukup
terhadap gangguan yang tidak terotorisasi.
Standar dan tolak ukur semacam ini ditentukan oleh
pemerintah dan asosiasi industri serta mencerminkan
komponen – komponen program keamanan informasi
yang baik menurut otoritas – otoritas tersebut. Ketika
perusahaan mengikuti pendekatan ini yang disebut
kepatuhan terhadap tolok ukur., dapat diasumsikan bahwa
pemerintah dan otoritas industri telah melakukan
pekerjaan yang baik dalam mempertimbangkan berbagai
ancaman serta resiko dan tolok ukur tersebut menawarkan
perlindungan yang baik.

Ancaman
Ancaman keamanan informasi adalah orang, organisasi,
mekanisme atau peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan.
Ketika kita membayangkan ancaman keamanan informasi
adalah sesuatu yang alami jika kita membayangkan beberapa
kelompok atau beberapa orang yang diluar perusahaan
tersebut yang melakukan tindakan yang disengaja. Pada
kenyataannya ancaman dapat bersifat internal serta eksternal
dan dapat bersifat internal serta eksternal dan dapat bersifat
tidak disengaja maupun disengaja.
Ancaman Internal dan Eksternal
Ancaman internal mencakup bukan hanya karyawan
perusahaan, tetapi juga pekerja temporer, konsultan,
kontraktor dan bahkan mitra bisnis perusahaan tersebut.
Ancaman internal diperkirakan menghasilkan kerusakan
yang secara potensi lebih serius jika dibandingkan dengan
ancaman eksternal, dikarenakan pengetahuan ancaman
internal yang lebih mendalam akan sistem tersebut.
Tindakan kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang
dilakukan dengan tujuan mencelakai. Beberapa merupakan
kecelakaan, yang disebabkan oleh orang – orang didalam
ataupun diluar perusahaan. Sama halnya dimana keamanan
informasi harus ditujukan untuk mencegah ancaman yang
disengaja, sistem keamanan juga harus mengeliminasi atau
mengurangi kemungkinan terjadinya kerusakan yang
disebabkan kecelakaan.

Jenis Ancaman
Semua orang pernah mendengar mengeni virus komputer.
Sebenarnya virus hanyalah salah satu contoh jenis peranti
lunak yang menyandang nama peranti lunak yang
berbahaya.
s

Virus adalah program komputer yang dapat mereplikasi dirinya

sendiri tanpa dapat diamati oleh si pengguna dan menempel
salinan dirinya pada program – program boot sector lain. Tidak
seperti worm ( cacing ) tidak dapat mengreplikaskan dirinya
sendiri didalam sistem, tapi dapat menyebarkan salinannya
melalui email.

Resiko
Resiko Keamanan informasi didefenisikan sebagai potensi output
yang tidak diharapkan dari pelanggaran keamanan informasi
oleh ancaman keamanan informasi. Semua resiko mewakili
tindakan yang tidak terotorisasi. Resiko – resiko seperti ini
dibagi menjadi empat jenis pengungkapan informasi yang
tidak terotorisasi dan pencurian, penggunaan yang tidak
terotorisasi, penghancuran yang tidak terotorisasi dan
penolakan layanan, serta modifikasi yang tidak terotorisasi.
Pengungkapan Informasi yang tidak terotorisasi dan
pencurian.
Ketika suatu basis data dan perpustakaan peranti linak tersedia
bagi orang – orang yang seharusnya tidak berhak memiliki
akses, hasilnya adalah hilangnya informasi atau uang.
Contohnya mata – mata industri dapat memperoleh
informasi mengenai kompetisi yang berharga dan kriminal
komputer dapat menyeludupkan dana perusahaan.
Penggunaan yang tidak terotorisasi
Penggunaan yang tidak terotorisasi terjadi ketika orang – orang
yang biasanya tidak berhak menggunakan sumber daya
perusahaan mampu melakukan hal tersebut. Contoh
kejahatan komputer tipe ini adalah Hacker, misalnya dapat
memasuki jaringan komputer sebuah perusahaan,
mendapatkan akses kedalam sistem telepon, dan melakukan
sambungan telepon jarak jauh tanpa otorisasi.
Penghancuran yang tidak terotorisasi dan penolakan
layanan.
Seseorang dapat merusak atau menghancurkan peranti keras
atau peranti lunak, sehingga menyebabkan opersional
komputer perusahan tersebut tidak berfungsi. Dalam hal ini
penjahat komputer bahkan tidak harus berada di lokasi fisik
tersebut. Mereka dapat memasuki jaringan komputer
perusahaan dan menggunakan sumber daya perusahaan
seperti email hingga tingkatan tertentu sehingga operasional
bisnis normal tidak berlangsung.
Modifikasi yang tidak terotorisasi
Perubahan dapat dilakukan pada data, informasi dan peranti
lunak perusahaan. Beberapa perubahan dapat berlangsung
tanpa disadari dan menyebabkan para pengguna output
sistem tersebut mengambil keputusan yang salah. Contoh
adalah perubahan nilai pada catatan akademis seorang siswa.
Manajemen Resiko
Sebelumnya, manajemen resiko diidentifikasi sebagai satu
dari dua strategi untuk mencapai keamanan informasi .
Resiko dapat di kelola dengan cara mengendalikan atau
menghilangkan resiko atau mengurangi dampaknya.
Pendefenisian resiko terdiri atas 4 langkah :
 Identifikasi aset – aset bisnis yang harus dilindungi dari
resiko
 Menyadari resikonya
 Menentukan tingkatan dampak pada perusahaan jika
resiko benar – benar terjadi
 Menganalisa kelemahan perusahaan tersebut
Tingkat keparahan dampak dapat di klasifikasikan menjadi
dampak yang parah, membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk
berfungsi, dampak signifikan, menyebabkan kerusakan
dan biaya yang signifikan, tetapi perusahaan tersebut akan
selamat atau dampak minor, menyebabkan kerusakan yang
mirip dengan yang terjadi dalam operasional sehari – hari.
Baik untuk resiko parah maupun signifikan, analisis
kelemahan harus dilaksanakan. Ketika analisis tersebut
mengindikasi kelemahan tingkat tinggi, maka
pengendalian harus diimplementasikan untuk
mengeliminasi atau mengurangi kelemahan tersebut. Jika
kelemahan itu bersifat menengah, maka pengendalian
sebaiknya diimplementasikan. Jika kelemahan bersifat
rendah, pengendalian yang ada harus tetap dijaga.
Setelah analisis resiko diselesaikan, hasil temuan sebaiknya
di dokumentasikan dalam laporan analisis resiko. Isi dari
laporan ini sebaiknya mencakup informasi berikut ini,
mengenai tiap – tiap resiko.
1. Deskripsi resiko
2. Sumber resiko
3. Tingginya tingkat resiko
4. Pengendalian yang diterapkan pada resiko tersebut.
5. Para pemilik resiko tersebut
6. Tindakan yang direkomendasikan untuk mengatasi
resiko
7. Jangka waktu yang direkomendasikan untuk mengatasi
resiko.
Kebijakan Keamanan Informasi
Dengan mengabaikan bahwa apakah perusahaan mengikuti
strategi manajemen resiko atau kepatuhan terhadap tolok ukur
maupun tidak, suatu kebijakan keamanan harus diterapkan
untuk mengarahkan keseluruhan program. Perusahaan dapat
menerapkan kebijakan keamanannya dengan mengikuti
pendekatan yang bertahap mengilustrasikan lima fase
implementasi kebijakan keamanan.
o Fase 1 – Inisiasi proyek. Tim yang menyusun kebijakan
keamanan dibentuk. Jika komite pengawasan SIM perusahaan
tidak dapat melaksanakan tanggung jawab untuk mengawasi
proyek kebijakan keamanan tersebut, suatu komite pengawas
khusus dapat dibentuk. Jika komite khusus telah terbentuk,
komite tersebut akan mencakup manajer dari wilayah –
wilayah dimana kebijakan tersebut akan diterapkan.
o Fase 2 – Penyusunan kebijakan. Tim proyek berkonsultasi
dengan semua pihak yang berminat dan terpengaruh oleh
proyek ini untuk menentukan kebutuhan kebijakan baru
tersebut.
o Fase 3 – Konsultasi dan persetujuan. Tim proyek
berkonsultasi dengan manajemen untuk memberitahukan
temuannya sampai saat itu, serta untuk mendapatkan
pandangan mengenai berbagai persyaratan kebijakan.
o Fase 4 – Kesadaran dan edukasi. Program pelatihan
kesadaran dan edukasi kebijakan dilaksanakan dalam unit –
unit organisasi. Peserta pelatihan dapat terdiri atas anggota
proyek, perwakilan internal lain seperti orang – orang dari
TI dan SDM atau konsultan luar. Ini merupakan salah satu
contoh manajemen pengetahuan. Manajemen meletakkan
program formal pada tempatnya untuk meningkatkan
pengetahuan keamanan karyawan yang tepat.
o Fase 5 – Penyebarluasan kebijakan. Kebijakan keamanan ini
disebarluaskan ke seluruh unit organisasi dimana kebijakan
tersebut dapat diterapkan. Idealnya para manajer unit
melaksanakan pertemuan dengan karyawan untuk
meyakinkan bahwa mereka memahami kebijakan tersebut dan
berkomitmen untuk mengikutinya.

Kebijakan terpisah dikembangkan untuk :

Keamanan sistem informasi
Pengendalian akses
Keamanan personel
Keamanan lingkungan dan fisik
Keamanan komunikasi data
Klasifikasi informasi
Perencanaan kelangsungan usaha
Akuntabilitas manajemen
Pengendalian.
Pengendalian adalah mekanisme yang diterapkan baik untuk
melindungi perusahaan dari resiko atau untuk
meminimalkan dampak resiko tersebut pada perusahaan
jika resiko tersebut terjadi. Pengendalian dibagi menjadi
tiga kategori :
 Pengendalian Teknis. Adalah pengendalian yang menjadi
satu didalam sistem dan dibuat oleh para penyusun sistem
selama masa siklus penyusunan sistem. Melibatkan
seorang auditor internal didalam tim proyek merupakan
satu cara yang amat baik untuk menjaga agar pengendalian
semacam ini akan menjadi bagian dari desain sistem.
Kebanyakan pengendalian keamanan dibuat berdasarkan
teknologi peranti keras dan lunak. Yang paling populer
akan dijelaskan pada bagian berikut.
Pengendalian Akses.
Dasar untuk keamanan melawan ancaman yang dilakukan
oleh orang – orang yang tidak di otorisasi adalah
pengendalian akses. Alasannya sederhana : jika orang yang
tidak diotorisasi tidak diizinkan mendapat akses terhadap
sumber daya informasi, maka pengrusakan tidak dapat
dilakukan. Pengendalian akses dilakukan melalui proses
tiga tahap yang mencakup :
 Identifikasi pengguna. Para pengguna pertama – tama
mengidentifikasikan diri mereka dengan cara memberikan
sesuatu yang mereka ketahui. Misalnya kata sandi.
Identifikasi dapat pula mencakup lokasi pengguna, seperti
nomor telepon atau titik masuk jaringan.
 Otentikasi Pengguna. Setelah identifikasi awal telah
dilakukan, para pengguna memverifikasi hak akses dengan
cara memberikan sesuatu yang mereka miliki seperti smart
card atau tanda tertentu atau chip identifikasi. Autentikasi
pengguna dapat juga melaksanakan dengan cara
memberikan sesuatu yang menjadi identitas diri seperti
tanda tangan atau suara atau pola suara.
 Otorisasi Pengguna. Setelah pemeriksaa identifikasi dan
autentikasi dilalui, seseorang kemudian dapat
mendapatkan otorisasi untuk memasuki tingkat atau
derajat penggunaan tertentu. Contoh seorang pengguna
dapat mendapatkan otorisasi hanya untuk membaca
sebuah rekaman dari suatu file, sementara pengguna yang
lain dapat saja memiliki otorisasi untuk melakukan
perubahan pada file tersebut.