Informasi adalah salah suatu asset penting dan sangat berharga bagi
kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan,
lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi
penting bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor
ekonomi. Tujuan manajemen informasi adalah untuk melindungi kerahasiaan,
integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai penipuan,
spionase, virus, dan hackers sudah mengancam informasi bisnis manajemen oleh
karena meningkatnya keterbukaan informasi dan lebih sedikit kendali/control
yang dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya ,
meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan
stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk
memastikan informasi yang menjamin kesinambungan bisnis dan meminimise
kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.
Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi
yang dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan
informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua
istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal yang sama
sekali berbeda. “Keamanan Teknologi Informasi” atau IT Security mengacu pada
usaha-usaha mengamankan infrastruktur teknologi informasi dari
gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak
diizinkan. Berbeda dengan “keamanan informasi” yang fokusnya justru pada data
dan informasi milik perusahaan Pada konsep ini, usaha-usaha yang dilakukan
adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait
dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi
sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke
pihak-pihak yang tidak berkepentingan.
Keamanan informasi
terdiri dari perlindungan terhadap aspek-aspek berikut :
a. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan
data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang
yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan
disimpan.
b. Integrity (integritas) aspek yang menjamin bahwa data tidak
dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan
dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity
ini.
c. Availability (ketersediaan) aspek yang menjamin bahwa data akan
tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan
informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol
yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek,
prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan bisa
dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi
memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari
tinjauan keamanan informasi adalah:
1. Physical Security yang memfokuskan strategi untuk mengamankan
pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai
ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
2. Personal Security yang overlap dengan ‘phisycal security’
dalam melindungi orang-orang dalam organisasi.
3. Operation Security yang memfokuskan strategi untuk
mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
4. Communications Security yang bertujuan mengamankan
media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk
memanfaatkan alat ini untuk mencapai tujuan organisasi.
5. Network Security yang memfokuskan pada pengamanan peralatan
jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Manajemen keamanan informasi memiliki tanggung jawab untuk program
khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam
manajemen keamanan informasi dikenal sebagai 6P yaitu:
a. Planning
Planning dalam
manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1. Strategic planning yang dilakukan oleh
tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima
tahunan atau lebih,
2. Tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam
periode yang lebih singkat, misalnya satu atau dua tahunan,
3. Operational planning memfokuskan diri pada kinerja harian
organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi
adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan
implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan
teknologi informasi.
b. Policy
Dalam keamanan
informasi, ada tiga kategori umum dari kebijakan yaitu:
1. Enterprise Information Security Policy (EISP) menentukan
kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan
informasi di setiap bagian organisasi.
2. Issue Spesific Security Policy (ISSP) adalah
sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat
diterima dari segi keamanan informasi pada setiap teknologi yang digunakan,
misalnya e-mail atau penggunaan internet.
3. System Spesific Policy (SSP) pengendali konfigurasi
penggunaan perangkat atau teknologi secara teknis atau manajerial.
c. Programs
Adalah
operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education
training and awareness. Program ini bertujuan untuk memberikan pengetahuan
kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
d. Protection
Fungsi proteksi
dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan
resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi
proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras.
Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan
informasi.
e. People
Manusia adalah
penghubung utama dalam program keamanan informasi. Penting sekali mengenali
aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi.
Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
Sebuah system harus
mempunyai tiga properti (sifat), yaitu :
a. Integritas, system akan mempunyai integritas bila ia
berjalan menurut spesifikasinya. Perancang system berusaha untuk mengembangkan
system yang mempunyai integritas fungsional, yaitu kemampuan untuk melanjutkan
operasi, apabila salah satu atau lebih dari komponennya tidak berjalan.
b. Audibilitas, ia akan bersifat audible jika ia memiliki
visibilitas dan accountability (daya perhitungan). Bila system memiliki
audibilitas maka mudah bagi seseorang untuk memeriksa, memverifikasi atau
menunjukkan penampilannya.
c. Daya kontrol, daya kontrol memungkinan manajer untuk menangani
pengerahan atau penghambatan pengaruh terhadap system. Teknik yang efektif
untuk mendapatkan daya kontrol system ini adalah dengan membagi system menjadi
subsistem yang menangani transaksi secara terpisah.
Kontrol Proses
Pengembangan
Tujuan dari kontrol
pengembangan adalah untuk memastikan bahwa CBIS yang diimplementasikan dapat
memenuhi kebutuhan pemakai. Yang termasuk dalam kontrol pengembangan :
1. Manajemen puncak menetapkan kontrol proyek secara keseluruhan
selama fase perencanaan dengan cara membentuk komite MIS.
2. Manajemen memberitahu pemakai mengenai orientasi
CBIS.
3. Manajemen menentukan kriteria penampilan yang
digunakan dalam mengevaluasi operasi CBIS.
4. Manajemen dan bagian pelayanan informasi menyusun
disain dan standar CBIS.
5. Manajemen dan pelayanan informasi secara bersama-sama
mendefinisikan program pengujian yang dapat diterima.
6. Manajemen melakukan peninjauan sebelum instalasi yang
dilakukan tepat setelah penggantian dan secara berkala meninjau CBIS untuk
memastikan apakah ia memenuhi kriteria penampilan.
7. Bagian pelayanan informasi menetapkan prosedur untuk
memelihara dan memodifikasi CBIS dan prosedur yang disetujui oleh manajemen.
Manajemen dapat
melakukan kontrol dengan tiga cara, yaitu :
- Manajemen dapat
melakukan kontrol langsung, yaitu mengevaluasi kemajuan dan penampilan, dan
menentukan tindakan koreksi apa yang harus dilakukan
- Manajemen
mengontrol CBIS secara tidak langsung dengan terus menerus melalui CIO.
- Manajemen
mengontrol CBIS secara tidak langsung berkenan dengan proyeknya melalui pihak ketiga.
0 komentar:
Posting Komentar