Dipublikasikan Pada : MON, 06 APR 2015, Dibaca : 108.663 Kali Saat ini informasi telah menjadi suatu kebutuhan yang penting bagi masyarakat. Kemampuan untuk mengakses dan menyediakan informasi secara tepat dan akurat menjadi penting bagi suatu organisasi atau perusahaan. Pentingnya informasi menyebabkan perlu dilakukan pengamanan terhadap informasi untuk menjaga keabsahan dan nilai yang dimiliki oleh informasi tersebut, agar tidak disalahgunakan oleh pihak lain yang tidak bertanggungjawab.Keamanan informasi adalah upaya untuk melindungi, mengamankan aset informasi dari ancaman yang mungkin akan timbul yang dapat membahayakan aset informasi tersebut. Defini lain menyebutkan bahwa keamanan informasi merupakan penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis, meminimalisir risiko bisnis dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis.Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut: 1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity (integritas) aspek yang menjamin bahwa data tidak diubah tanpa ada izin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi, serta metode prosesnya untuk menjamin aspek integrity ini. 3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan pengguna yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan jika diperlukan). Keamanan informasi yang baik dapat dicapai melalui penerapan sejumlah upaya-upaya teknis (operasional) yang didukung oleh berbagai kebijakan dan prosedur manajemen yang sesuai. Sistem manajemen keamanan informasi (SMKI) atau information security management system (ISMS) adalah sistem manajemen yang diterapkan perusahaan untuk mengamankan aset informasi terhadap ancaman yang dapat terjadi. Sistem manajemen keamanan informasi menjadi penting diterapkan agar informasi yang beredar dalam perusahaan dapat dikelola dengan benar sehingga dapat menunjang business process serta memberikan layanan terbaik kepada pelanggan, mitra kerja atau pihak terkait yang bekerjasama. Dalam mendukung pelaksanaan keamanan informasi diperlukan kesadaran seluruh anggota organisasi atau pegawai perusahaan. Upaya-upaya yang dapat dilakukan terkait dengan pengamanan informasi di area kerja adalah sebagai berikut :a. Selalu mengunci perangkat komputer ketika akan meninggalkan meja kerja dengan menekan windows + L, atau mengaktifkan kunci otomatis pada perangkat komputer melalui pengaturan screen saver. b. Memastikan password pada sistem dan perangkat komputer terdiri dari minimal 7 karakter yang menggunakan kombinasi huruf, angka dan karakter spesial (@#*!), serta jangan membagikan atau menuliskan password pada perangkat atau pada meja kerja.c. Memastikan tidak ada dokumen rahasia di atas meja kerja pada saat meninggalkan area kerja.d. Memastikan informasi atau dokumen rahasia tersimpan dalam lemari yang terkunci dan tertata rapi.e. Memusnahkan dokumen rahasia secara aman dengan mesin penghancur kertas.f. Tidak menyimpan dokumen perusahaan ke dalam media penyimpanan pribadi, serta selalu mengecek media penyimpanan informasi. g. Selalu melakukan back-up data secara berkala agar tidak terjadi kehilangan data. h. Memastikan antivirus pada perangkat yang digunakan selalu update dan melakukan full scan secara berkala. i. Tidak memasang aplikasi bajakan dan aplikasi games pada perangkat komputer perusahaan.Kunci dari keamanan informasi adalah pada kesadaran dalam mengamankan informasi tersebut. Oleh karena itu, diharapkan tulisan singkat di atas dapat menumbuhkan kesadaran akan keamanan informasi guna meminimalkan risiko yang ada, serta dapat membangun tata kelola teknologi informasi yang andal. Keamanan informasi adalah perlindungan terhadap segala jenis sumber daya informasi dari penyalahgunaan pihak yang tak berwenang mengelolanya.[1] Tujuan pembuatan sistem keamanan informasi adalah mencegah penyalahgunaan informasi oleh pihak yang tidak berkepentingan atau tidak berhak mengelola informasi tersebut. Keamanan informasi terbentuk secara alami karena sifat sistem informasi yang umumnya hanya dapat diberikan hak pengelolaannya kepada pihak-pihak tertentu.[2] Sifat dari perlindungan dalam keamanan informasi adalah perlindungan menyeluruh yang meliputi sistem informasi dan peralatan teknologi informasi.[3] Sedangkan sifat dari informasi yang diamankan adalah informasi yang tidak berbentuk fisik.[4] Dukungan yang diberikan untuk membentuk keamanan informasi sebagai suatu sistem meliputi penyediaan struktur organisasi, kebijakan keamanan, serta prosedur dan proses pengamanan. Komponen lain yang juga penting adalah penyediaan sumber daya manusia yang bertanggung jawab.[5] Keamanan informasi dapat diterapkan oleh perusahaan, organisasi, lembaga pemerintahan, perguruan tinggi maupun individu.[6] Manfaat adanya keamanan informasi adalah terhindar dari penipuan di dalam suatu sistem informasi.[4] Selain itu, keamanan informasi juga dapat menjaga kerahasiaan, ketersediaan dan integritas terhadap sumber daya informasi yang dimilikinya.[7] Sebaliknya, kegagalan dalam mengadakan keamanan informasi dapat menyebabkan kehancuran suatu organisasi.[8] Keamanan informasi memiliki tiga tujuan utama yaitu keterjagaan, kesesuaian dan integritas. Keterjagaan berarti bahwa keamanan informasi harus melindungi data dan informasi dari pihak yang tidak memiliki wewenang untuk mengetahui atau mengelolanya. Kesesuaian berarti bahwa keamanan informasi harus memastikan bahwa informasi hanya digunakan oleh pihak yang berwenang untuk mengelolanya.[9] Sementara itu, integritas berarti bahwa keamanan informasi harus memberikan gambaran yang tepat dan akurat berkaitan dengan sistem fisik yang ditampilkannya.[10] Tingkat keamanan informasi memiliki kedudukan yang berlawanan dengan tingkat akses informasi. Semakin mudah suatu informasi untuk diakses, maka tingkat keamanan informasi menjadi semakin rumit.[11] Kondisi ini dikarenakan informasi tidak lagi hanya dapat diakses secara fisik. Informasi kini dapat diakses secara non fisik melalui internet dengan media komputer. Kemudahan akses ini menambah peluang kebocoran atau pembobolan informasi.[12] Aspek keamanan informasi adalah aspek-aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini adalah:
Setiap hal yang dapat memberikan kondisi berbahaya terhadap sumber daya informasi disebut sebagai ancaman keamanan informasi. Bentuk ancaman ini dapat berupa orang, organisasi, mekanisme atau suatu peristiwa. Ancaman keamanan informasi dapat ada secara disengaja maupun tidak disengaja. Penyebab timbulnya ancaman keamanan informasi dapat berasal dari sisi internal maupun eksternal.[13] Ancaman baru yang timbul dalam teknologi informasi berkembang seiring dengan meningkatnya jumlah data dan cara untuk mengeksploitasinya. Ancaman ini dapat diatasi dengan menggunakan peralatan dengan teknologi informasi yang canggih.[14] Pada teknologi dan komunikasi internet, perusahaan atau organisasi juga dapat mempekerjakan pekerja yang ahli dalam bidang keamanan sistem informasi agar informasi penting dapat diamankan dari ancaman oleh peretas.[15] Kandidat pekerja memiliki partisipasi aktif yang dapat dinilai dalam komunitas yang membidangi keamanan informasi. Partisipasi kandidat pekerja dapat diketahui melalui daftar surat elektronik keamanan informasi, keikutsertaan dalam asosiasi profesional atau konferensi keamanan. Selain itu, kandidat juga dapat dinilai berdasarkan publikasi ilmiah yang diterbitkannya, kecakapan dalam manajemen proyek, kemampuan komunikasi dan kemampuan membuat gagasan yang dapat dibuktikan dan diterima keabsahannya.[16] Penilaian keamanan informasi dari ancamannya ditinjau dari ancaman fisikal dan ancaman logikal. Ancaman fisikal merupakan ancaman yang mengancam personil, perangkat keras, fasilitas, dokumentasi dan persediaan informasi. Sedangkan ancaman logikal mengancam data, informasi dan perangkat lunak. Keamanan informasi dikatakan telah memberikan keadaan aman jika aset informasi dapat terhindar dari kerugian akibat ancaman informasi dalam jangka waktu dengan batasan kondisi tertentu yang dapat diterima.[17] Risiko keamanan informasi merupakan berbagai kemungkinan yang dapat disebabkan oleh ancaman informasi selama melakukan pelanggaran keamanan informasi. Timbulnya risiko keamanan informasi merupakan akibat dari tindakan yang dilakukan tanpa pemberian hak pengelolaan. Terdapat beberapa jenis risiko keamanan informasi yaitu pengungkapan, penggunaan, penghancuran, penolakan layanan dan pengubahan informasi tanpa pemberian hak pengelolaan.[18] Ancaman dan risiko yang timbul dalam keamanan informasi menjadi permasalahan utama dalam sistem informasi. Dampak yang ditimbulkannya akan mempengaruhi efisiensi, kerahasiaan, integritas, keberadaan, kepatuhan dan keandalan dari suatu sistem informasi.[19] Pengelolaan keamanan informasi terbagi menjadi keamanan harian yang disebut manajemen keamanan informasi, dan persiapan pemecahan masalah operasional yang disebut manajemen keberlanjutan bisnis.[20] Pengelolaan keamanan informasi dapat diberikan kepada petugas keamanan sistem informasi. Petugas ini bertanggung jawab terhadap keamanan informasi di dalam suatu organisasi atau perusahaan. Selain itu, keamanan informasi dan kelayakan unit informasi dapat diawasi oleh petugas kelayakan informasi. Pertanggungjawaban atas kinerjanya disampaikan langsung kepada direktur utama dalam suatu perusahaan.[9] Manajemen keamanan informasi dapat dibagi menjadi empat tahap. Pertama, ancaman-ancaman yang dapat membahayakan informasi diidentifikasi terlebih dahulu. Setelahnya, risiko-risiko yang dapat muncul dari keberadaan ancaman harus diperhitungkan. Dari risiko-risiko tersebut disusunlah kebijakan keamanan informasi. Isi kebijakan ini kemudian memasukkan aturan yang berkaitan dengan pengendalian risiko.[9] Manajemen keamanan informasi dapat dikerjakan dengan terarah dengan adanya kebijakan keamanan informasi.[21]
Pengawasan dan pengendalian penggunaan teknologi informasi dilakukan dengan mengadakan audit teknologi informasi. Kegiatannya meliputi evaluasi pada sistem desain dan efektivitas dari sistem pengendalian informasi yang bersifat internal. Pengadaan audit teknologi informasi dapat mencegah timbulnya bahaya akibat penggunaan teknologi informasi. Audit dapat dilakukan dengan menggunakan beberapa jenis referensi yang telah umum digunakan antara lain COBIT, COSO, ITIL, dan beberapa standar gabungan antara Organisasi Standardisasi Internasional dan Komisi Elektroteknik Internasional.[22] ISO/IEC 17799ISO/IEC 17799 pertama kali dirilis pada bulan Desember 2000 oleh Organisasi Standardisasi Internasional dan Komisi Elektroteknik Internasional. Standar ini berisi penerapan keamanan informasi dalam organisasi. Tujuan pembentukan kerangka kerja ISO/IEC 17799 terutama untuk meningkatkan ketahanan informasi dengan cara memelihara standar keamanan dan praktik manajemen di dalam organisasi. Dalam standar ISO/IEC 17799 , manajemen risiko menjadi bagian penting dalam strategi pengendalian keamanan. ISO/IEC 17799 dibagi menjadi 11 bagian dengan jumlah strategi pengendalian keamanan sebanyak 132 strategi.[23] ISO/IEC 27002Organisasi Standardisasi Internasional dan Komisi Elektroteknik Internasional telah menerbitkan ISO/IEC 27002 mengenai sebuah sistem manajemen yang khusus digunakan untuk keamanan informasi. Sistem ini disebut sebagai Sistem Manajemen Keamanan Informasi. Dalam sistem ini, organisasi diberikan referensi tentang cara merancang, menerapkan dan memelihara suatu sistem informasi yang terpadu. Manfaat dari sistem ini adalah penjaminan kerahasiaan, integritas dan ketersediaan sumber daya informasi dapat diadakan dengan efektif, sehingga peluang timbulnya risiko keamanan informasi dapat berkurang.[24] Keamanan informasi diterapkan pada keamanan komputer. Perlindungan diberikan kepada perangkat keras, perangkat lunak dan peralatan komunikasi. Ketiga jenis peralatan tersebut merupakan produk keamanan fisik. Selain ketiganya, keamanan informasi pada komputer juga mencakup keamanan personal dan keamanan organisasi. Keamanan personal ditujukan kepada orang yang menggunakan informasi pada komputer, sedangkan keamanan organisasi ditujukan pada prosedur penggunaan komputer untuk mengelola informasi.[25]
Keamanan informasi selama pengiriman dari sumber informasi menuju ke penerima informasi dapat dilakukan dengan teknologi kriptografi. Metode yang digunakan untuk mengamankan informasi ialah algoritme. Terdapat dua jenis algoritme yang diterapkan di dalam kriptografi. Masing-masing yaitu algoritme simetris dan algoritme asimetris. Kriptografi memanfaatkan keberadaan kunci yang digunakan untuk menghubungkan enkripsi dan deskripsi dari informasi yang diamankan. Kunci ini bersifat rahasia sehingga informasi hanya dapat diketahui dan digunakan oleh penerima yang memiliki informasi tentang kunci.[26]
|