Manajemen Keamanan Informasi

By Ki Grinsing
Manajemen Dan Kebijakan Masalah Keamanan Informasi Sangatlah Diperlukan Agar Asset Yang Berupa Informasi Corporate Aman, Sehingga Kesinambungan Business Tetap Berjalan Dengan Baik

Pendahuluan

Informasi adalah asset perusahaan, seperti halnya asset business perusahaan lainnya, informasi mempunyai nilai kepada corporasi dan sebagai konsekwensinya, memerlukan suatu perlindungan yang memadai. Standard keamanan informasi melindungi informasi dari segala threats / ancaman agar kesinambungan business tetap terjamin dan meminimalkan kerusakan business. Keamanan informasi bisa dicapai dengan cara mengimplementasikan suatu control dalam bentuk policy, procedure, struktur organisasi, system dan fungsi untuk menjamin bahwa objectivtas keamanan dari organisasi bisa ketemu.

Apa saja informasi itu?

Standard keamanan informasi berhubungan banyak dengan beberapa konsep penting, yang konsen dengan jaminan keamanan informasi dari segala informasi dan system, proses dan procedure yang berhubungan dengan managemen dan penggunaan dari informasi. Informasi bisa berupa cetakan (hard copy), atau soft copy yang tersimpan pada berbagai bentuk media seperti flash disk, CD, tape backup, ataupun dalam system jaringan komputer.

Kendali keamanan sebanding resiko

Informasi mempunyai tingkat sensitivitas dan criticality yang berbeda. Banyak juga informasi yang tidak memerlukan suatu tingkat pengamanan yang kritis atau cukup dengan standard keamanan minimal saja. Akan tetapi beberapa informasi secara komersil mempunyai tingkat sensitivitas yang tinggi dan memerlukan tingkat keamanan yang lebih tinggi. Asset informasi haruslah diklasifikasikan dan di manaje menurut kebutuhan keamanan yang memadai dan menjamin bahwa control keamanan sebanding dengan resiko keamanannya.
Ada keterkaitan antara system informasi dan pertukaran informasi antara business unit dengan fihak ketiga – business partner, yang menjurus kepada naiknya tingkat exposure kepada ancaman keamanan. Semua user / karyawan haruslah mempunyai rasa tanggung jawab masing-masing kepada informasi yang mereka gunakan, sementara fihak manajemen memastikan bahwa control keamanan informasi diimplementasikan dengan tepat. Keamanan informasi tidak menjamin keamanan dari informasi itu sendiri, akan tetapi system keamanan informasi memberikan framework dan rujukan manajemen untuk mengimplementasikan control keamanan yang memadai, dan meningkatkan rasa ikut menjaga keamanan bagi semua elemen karyawan untuk ikut bertanggungjawab terhadap keamanan informasi perusahaan agar tidak terjadi suatu kebocoran yang menjurus kepada kerugian.

Kerugian company jika terjadi kebocoran informasi

Sebagai konsekwensi dari bocornya informasi perusahaan dapat mengakibatkan kerugian meliputi yang berikut ini.

1. Kehilangan jiwa dan kecelakaan
2. Kehilangan kepercayaan para pemegang saham
3. Gangguan proses business
4. Kehilangan financial
5. Kehilangan kepercayaan clients
6. Ancaman criminal
7. Kerusakan nama dan reputasi

Pernyataan umum dari policy keamanan informasi

Informasi dan segala hal yang menyertainya termasuk proses, systems, dan jaringan infrastrucktur haruslah tersedia kepada authorized user (dan juga authrorized party) agar bisa mengoptimalkan performa. Informasi haruslah tergantung pada tingkat control yang memadai untuk melindungi nya dari segala kehilangan, manipulasi fihak yang tidak bertanggung jawab, ataupun kebocoran rahasia.

Objective dari standard policy keamanan informasi:

1. Availability: untuk menjamin bahwa fihak yang mendapatkan authorisasi terhadap informasi tersebut termasuk system yang mendukungnya bisa mengaksesnya dengan mudah dan tanpa kendala.
2. Integrity: untuk menjaga keakuratan dan kelengkapan dari informasi dan metoda-2 proses yang berkaitan.
3. Confidentiality: untuk menjamin bahwa informasi tersebut hanyalah diperuntukkan bagi mereka yang berhak saja.

Area policy keamanan

Area apa saja yag memerlukan guideline policy keamanan? Berikut ini adalah daftar yang memerlukan suatu policy demi keamanan system informasi. Jika anda bertanggungjawab terhadap suatu kebijakan atau policy dalam bidang information technology yang anda pimpin, maka ada baiknya mempertimbangkan point-point berikut untuk dibuatkan suatu policy buat seluruh elemen karyawan dalam corporate anda.

1. Omongan yang ceroboh (Careless Talk)

Yang dimaksudkan omongan yang ceroboh adalah:

• Membicarakan segala macam masalah bisnis, masalah kantor, masalah rahasia bisnis yang bisa dikuping oleh orang lain yang tidak seharusnya berhak mendengar.
• Membicarakan masalah bisnis perusahaan dengan orang-2 yang tidak sepatutnya menerima atau mendengarkan informasi bisnis ini

Careless talk juga berarti memberikan informasi yang sensitive kepada seseorang yang menginginkannya dengan maksud tertentu misalkan ingin masuk ke area atau kantor perusahaan atau masuk ke system infrastruktur jaringan komputer. hal ini juga lazim disebut sebagai social engineering.
Baca lebih detail disini.

2. Petunjuk keamanan masalah Email

Email merupakan komponen yang sangat kritis bagi system komunikasi perusahaan dan diberikan sebagai alat bisnis. Keamanan, kerahasiaan, dan integritas dari email tidak dapat dijamin dan tentunya tidak dianggap sebagai private. Untuk itu segenap elemen corporate haruslah memperlakukan pemakaian email ini secara professional dan memadai sepanjang waktu. Baca lebih jauh disini.

3. Guideline tentang instant messaging

Instant Messaging (IM) bisa digunakan untuk alat komunikasi bisnis dua arah dengan real time. Agar terjadi komunikasi dua arah, kedua belah fihak haruslah menggunakan alat yang sama misal ICQ, YM, atau MSN. Apakah sebagai alat Instant messaging ini bisa diandalkan dan aman sebagai alat komunikasi bisnis anda? Perlu diketahui bahwa jika kita melakukan contact dengan seseorang lewat IM, maka sesungguhnya kita melakukan koneksi lewat jaringan public – internet.

4. Guideline policy Internet

Tidak semua karyawan seharusnya mempunyai akses internet ini dan kalau toch diberikan akses, maka haruslah dipergunakan dengan cara yang sangat professional dan memadai. Apa yang dibrowsing bisa dimonitor secara internal dan external dan tindakan kita bisa di trace back ke komputer yang kita gunakan. Baca lengkapnya disini.

5. Guideline keamanan laptop

Laptop merupakan asset perusahaan yang sangat berharga, bukan hanya sekedar harga laptopnya akan tetapi informasi asset yang tersimpan didalamnya. Untuk itu haruslah ada suatu policy tentang keamanan laptop ini, karena jika terjadi pencurian maka informasi perusahaan yang bersifat kritispun ikut raib dan bisa merupakan kebocoran informasi.

6. Guideline keamanan kantor

Gedung atau kantor peusahaan haruslah mempunyai control keamanan yang memadai secara fisik, akan tetapi seluruh karyawan haruslah juga mempunyai rasa tanggung-jawab terhadap keamanan kantor sepanjang waktu.

7. Guideline keamanan password