SISTEM INFORMASI MANAJEMEN
BAB 9
KEAMANAN INFORMASI
KEBUTUHAN ORGANISASI AKAN KEAMANAN
DAN PENGENDALIAN
Dalam dunia masa kini, banyak
organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka,
baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan
luar. Sistem computer yang pertama hanya memiliki sedikit perlindungan
keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah
instalasi computer dirusak oleh para pemrotes. Pengalaman ini menginspirasi
kalangan industri.
Pemerintah federal amerika serikat
sekarang menerapkan pencegahan dan pengadilan yang serupa, melalui otoritas
patriot Act (undang undang patriot) dan office of homeland security (dinas
keamanan dalam negri). Pendekatan pendekatan yang dimulai oleh kalangan
industry dicontoh dan diperluas.
KEAMANAN INFORMASI
Saat pemerintah dan kalangan
industry mulai menyadari kebutuhan untuk mengamankan sumber daya informasi
mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti
keras dan data, maka istilah kemanan sistem (system security) pun digunakan.
Focus sempit ini kemudian diperluas sehingga mencakup bukan hanya peranti keras
dan data, namun juga peranti lunak, fasilitas computer, dan personel. Kini,
cakupannya telah meluas hingga mencakup semua jenis data – bukan hanya data
didalam computer. Istilah kemanan informasi (information security) digunakan
untuk mendeskripsikan perlindungan baik peralatan computer dan non computer,
fasilitas, data, dan informasi dari penyalah gunaan pihak pihak yang tidak
berwenang. Definisi yang luas ini mencakup peralatan seperti mesin fotocopy dan
mesin fax serta semua jenis media, termasuk dokumen kertas.
Tujuan Keamanan Informasi
Keamanan informasi ditujukan untuk
mencapai tiga tujuan utama : kerahasiaan, ketersediaan, dan integritas.
-
Kerahasiaan. Perusahaan berusaha
untuk melindungi data dan informasinya dari pengungkapan kepada orang orang
yang tidak berwenang.
-
Ketersediaan. Tujuan dari
infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia
bagi pihak pihak yang memiliki wewenang untuk menggunakannya.
-
Integritas. Semua sistem informasi
harus memberikan referentasi akurat atas sistem fisik yang
direpresentasikannya.
Manajemen Keamanan Informasi
Seperti halnya cakupan keamanan
informasi telah meluas, demikian juga pandangan akan tanggung jawab manajemen.
Manajemen tidak hanya diharapkan untuk menjaga agar sumber daya informasi aman,
namun juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi
setelah suatu bencana atau jebol nya sistem keamanan. Aktivitas untuk menjaga
agar sumber daya informasi tetap aman disebut manajemen kemanan informasi
(information security management – ISM), sedangkan aktivitas untuk menjaga agar
perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana
disebut manajemen berlangsungan bisnis (business continuity management – BCM).
CIO adalah orang yang tepat untuk
memikul tanggung jawab atas keamanan informasi, namun kebanyakan organisasi
mulai menunjuk orang orang tertentu yang dapat mencurahkan perhatian penuh
terhadap aktivitas ini.
MANAJEMEN KEAMANAN INFORMASI
Pada bentuknya yang paling dasar,
manajemen kemanan informasi terdiri atas empat tahap : mengidentifikasi ancaman
yang dapat menyerang sumber daya informasi perusahaan; mendefinisikan resiko
yang dapat disebabkan oleh ancaman ancaman tersebut; menentukan kebijakan
keamanan informasi; serta mengimplementasikan pengendalian untuk mengatasi
resiko resiko tersebut.
Terdapat pilihan lain untuk
merumuskan kebijakan kemanan informasi suatu perusahaan. Pilihan ini telah
menjadi popular pada beberapa tahun belakangan ini dengan munculnya standar
atau tolak ukur keamanan informasi. Tolak ukur (benchmark) adalah tingkat
kinerja yang disarankan.
ANCAMAN
Ancaman keamanan informasi
(information security threat) adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahagiakan sumber daya informasi perusahaan.
Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu yang alami
jika kita membayangkan beberapa kelompok atau beberapa orang diluar perusahaan
tersebut yang melakukan tindakan yang disengaja. Pada kenyataanya, ancaman
dapat bersifat internal serta eksternal, dan dapat bersifat tidak disengaja
maupun disengaja.
Ancaman Internal dan Eksternal
Ancaman internal mencakup bukan
hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor,
dan bahkan mitra bisnis perusahaan tersebut. Survey yang dilakukan oleh
computer security institute menemukan bahwa 49% koresponden menghadapi insiden
keamanan yang disebabkan oleh tindakan para pengguna yang sah; proporsi
kejahatan computer yang dilakukan oleh karyawan diperkirakan mencapai 81%.
Tindakan Kecelakaan dan Disengaja
Tidak semua ancaman merupakan
tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan
kecelakaan, yang disebabkan oleh orang orang didalam ataupun diluar perusahaan.
Sama halnya dimana keamanan informasi harus ditujukan untuk mencegah ancaman
yang disengaja, sistem keamanan harus mengeliminasi atau mengurangi kemungkinan
terjadi nya kerusakan yang disebabkan terjadinya kecelakaan.
JENIS ANCAMAN
Semua orang pernah mendengar
mengenai virus computer. Sebenarnya, virus hanyalah salah satu contoh jenis
peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious
software) malicious software, atau malware terdiri atas program program lengkap
atau segmen segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi
fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi fungsi tersebut dapat
menghapus file atau menyebabkan sistem tersebut berhenti. Terdapat
beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm,
Trojan horse, adware, dan spyware.
Virus adalah program computer yang
dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan
menempelkan salinan dirinya pada program program dan boot sector lain. Tidak
seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri didalam
sistem, tapi dapat menyebarkan salinan nya melalui email. Trojan horse (kuda
troya) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri; si
pengguna menyebarkannya sebagai suatu perangkat. Pada saat perangkat tersebut
digunakan, perangkat itu menghasilkan perubahan perubahan yang tidak diinginkan
dalam fungsionalitas sistem tersebut. Adware memunculkan pesan pesan iklan yang
mengganggu, dan spyware mengumpulkan data dari mesin pengguna. Dari beragam
jenis malware ini, adware dan spyware merupakan yang terkini. Baru pada awal
2005, setelah menyadari besarnya masalah masalah ini, Microsoft memutuskan
untuk memasuki perang anti spyware. Situs Web MSN Korea selatan diserang pada
juni 2005, dan serangan ini tidak ditemukan slama berhari hari.
RISIKO
Risiko keamanan informasi
(information security risk) didefinisikan sebagai potensi output yang tidak
diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.
Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko risiko seperti
ini dibagi menjadi 4 jenis : pengungkapan informasi yang tidak terotorisasi dan
pencurian, penggangguan yang tidak terotorisasi, penghancuran yang tidak
terotorisasi dan penolakan layanan, serta modifikasi yang tidak terotorisasi.
Pengungkapan Informasi yang Tidak
Terotorisasi dan Pencurian
Ketika suatu basis data dan
perpustakaan peranti lunak tersedia bagi orang orang yang seharusnya tidak
berhak memiliki akses, hasilnya adalah hilang nya informasi atau uang. Sebagai
contoh, mata mata industry dapat memperoleh informasi mengenai kompetisi yang
berharga, dan criminal computer dapat menyelundupkan dana perusahaan.
Penggunaan yang Tidak Terotorisasi
Penggunaan yang tidak terotorisasi
terjadi ketika orang orang yang biasanya tidak berhak menggunakan sumber daya
perusahaan mampu melakukan hal tersebut. Contoh kejahatan computer tipe ini
adalah hacker yang memandang keamanan informasi sebagai suatu tantangan yang
harus diatasi. Hacker misalnya, dapat memasuki jaringan computer sebuah
perusahaan, mendapatkan akses kedalam sistem telepon, dan melakukan sambungan
telepon jarak jauh tanpa otorisasi.
Penghancuran yang Tidak Terotorisasi
dan Penolakan Layanan
Seseorang dapat merusak atau
menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan
operasional computer perusahaan tersebut tidak berfungsi. Dalam hal ini
penjahat computer bahkan tidak harus berada di lokasi fisik tersebut.
Modifikasi yang Tidak Terotorisasi
Perubahan dapat dilakukan pada data,
informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung
tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil
keputusan yang salah.
PERSOALAN E-COMMERCE
e-Commerce (perdagangan elektronik)
telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah
perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari
permalsuan kartu kredit.
MANAJEMEN RISIKO
Sebelumnya, manajemen resiko
diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan
informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
resiko atau mengurangi dampaknya. Pendefinisian resiko terdiri atas empat
langkah :
1.
Identifikasi asset asset bisnis yang
harus dilindungi dari resiko.
2.
Menyadari resikonya.
3.
Menentukan tingkatan dampak pada
perusahaan jika resiko benar benar terjadi.
4.
Menganalisis kelemahan perusahaan
tersebut.
Tingkat keparahan dampak dapat di
klasifikasikan menjadi dampak yang parah (severe impact), membuat perusahaan
bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi;
dampak signifikan (significant impact), menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut akan selamat; atau dampak minor (minor
impact), menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional
sehari hari. Baik untuk resiko parah maupun signifikan, analisis kelemahan
harus dilaksanakan. Ketika analisis tersebut mengindikasikan kelemahan tingkat
tinggi (terdapat kelemahan substansial di dalam sistem), maka pengendalian
harus diimplementasikan untuk mengeliminasi atau mengurangi kelemahan tersebut.
KEBIJAKAN KEAMANAN INFORMASI
Dengan mengabaikan bahwa apakah
perusahaan mengikuti strategi manajemen resiko atau kepatuhan terhadap tolak
ukur maupun tidak, suatu kebijakan keamanan harus diterapkan untuk mengarahkan
keseluruh program perusahaan dapat menerapkan kebijakan keamanan nya dengan
mengikuti pendekatan yang bertahap.
PENGENDALIAN
Pengendalian (control) adalah
mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau
untuk memiminimalkan dampak resiko tersebut pada perusahaan jika resiko
tersebut terjadi. Pengendalian dibagi menjadi 3 kategori : teknis, formal, dan
informal.
PENGENDALIAN TEKNIS
Pengendalian teknis (technical
control) adalah pengendalian yang menjadi satu didalam sistem dan dibuat oleh
para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang
auditor internal didalam team proyek merupakan satu cara yang amat baik untuk
menjaga agar mengendalian semacam ini menjadi bagian dari desain sistem.
Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan
lunak.
PENGENDALIAN FORMAL
Pengendalian formal mencakup
penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan,
dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang
berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak
waktu untuk menyusunya, mendokumentasikanya dalam bentuk tulisan, dan
diharapkan untuk berlaku dalam jangka panjang.
PENGENDALIAN INFORMAL
Pengendalian informal mencakup
program program pelatihan dan edukasi serta program pembangunan manajemen.
Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami
serta mendukung program keamanan tersebut.
MENCAPAI TINGKAT PENGENDALIAN YANG
TEPAT
Ketiga jenis pengendalian – teknis,
formal, dan informal – mengharuskan biaya. Karena bukanlah merupakan praktik
bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian
dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka
pengendalian harus di tetapkan pada tingkatan yang sesuai. Dengan demikian,
keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus
keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan
pertimbangan lain.
STANDAR INDUSTRI
The center for internet security
(CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna
computer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua
produk – CIS benchmarks dan CIS Scoring Tools. CIS Benchmark membantu para
pengguna untuk mengamankan sistem informasi mereka dengan cara menerapkan
pengendalian khusus teknologi. CIS scoring tools member kemampuan bagi pengguna
untuk menghitung tingkat keamanan, membandingkannya dengan tolak ukur, dan
menyiapkan laporan yang mengarahkan pengguna dan administrator sistem
untuk mengamankan sistem.
MELETAKKAN MANAJEMEN KEAMANAN
INFORMASI PADA TEMPATNYA
Perusahaan harus mencanangkan
kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian.
Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dan resiko ataupun
berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industry
MANAJEMEN KEBERLANGSUNGAN BISNIS
Aktivitas
yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen keberlangsungan bisnis (business continuity
management – BCM). Pada tahun tahun awal pengunaan computer, aktivitas ini
disebut perencanaan bencana (disaster planning), namun istilah yang lebih
positif, perencanaan kontinjensi (contingency plan), menjadi popular. Elemen
penting dalam perencanaan kontinjensi adalah rencana kontijensi (contingency
plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail
tindakan tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman
gangguan, pada operasi komputasi perusahaan.
