Yang dimaksud kerahasiaan (konfidensialitas) di sini adalah melindungi data/informasi dalam sistem agar hanya dapat diakses oleh pihak-pihak yang berhak saja. Pada masa lalu berkembang asumsi bahwa hanya militer dan diplomasi saja yang memiliki informasi yang harus dirahasiakan. Padahal sesungguhnya dunia bisnis dan individu pun memerlukannya. Terlebih dengan kemajuan teknologi komputer dan komunikasi serta kompetisi secara global, kebutuhan akan kerahasiaan informasi menjadi semakin meningkat.
Agar informasi tersebut dapat digunakan secara optimal, pendefinisian kerahasiaan harus dilakukan dengan tepat disertai prosedur pemeliharaan yang dilakukan dengan hati-hati. Aspek yang menonjol dari kerahasiaan adalah identifikasi dan otorisasi user.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Contoh dari tinjauan keamanan informasi adalah:
* Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
* Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi.
* Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
* Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
* Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Ancaman terhadap kerahasiaan data/informasi
Kerahasiaan dapat dikompromikan dalam berbagai cara. Berikut adalah ancaman terhadap kerahasiaan informasi yang sering terjadi :
- Hackers : adalah orang-orang yang berusaha menerobos sistem pengendalian akses dengan cara mengambil keuntungan atas celah keamanan yang ada dalam sistem. Aktifitasnya menjadi ancaman serius keamanan informasi.
- Masqueraders : adalah pihak-pihak yang sesungguhnya tidak berhak namun mendapatkan hak akses dengan menggunakan user ID dan password pihak lain, untuk memperoleh keuntungan dari sumber daya komputer tersebut. Hal ini sering terjadi pada organisasi dimana karyawannya gemar bertukar password.
- Aktifitas pihak yang tidak berhak : terjadi akibat lemahnya pengendalian akses, sehingga memungkinkan pihak yang tidak berhak melakukan aktifitas dalam sistem.
- Men-download file rahasia tanpa pengamanan : download file rahasia dapat saja dilakukan, namun perlu kecermatan dalam prosesnya. Bila file rahasia dipindahkan dari komputer host yang aman ke komputer client yang tidak aman, file rahasia tersebut dapat saja diakses oleh pihak lain yang tidak berhak.
- LANs : jaringan komputer dapat menjadi ancaman terhadap kerahasiaan informasi, sebab data yang mengalir dalam LAN dapat saja dilihat oleh setiap orang dalam jaringan tersebut. Penyandian adalah salah satu cara paling baik bagi file rahasia saat ditransmisikan dalam LAN.
- Trojan horses : Adalah program aktif yang dirancang untuk menyusup dan meng-copy file-file rahasia. Sekali program trojan horse ini tereksekusi maka dia akan menetap dalam sistem dan secara rutin meng-copy file-file tertentu dan menempatkannya ke tempat yang tidak dilindungi.
Kesadaran memelihara keamanan informasi dari para user dan juga kedisiplinan para profesional keamanan informasi menjadi sangat penting untuk meminimalisir ancaman-ancaman tersebut.
* Kontrol Terhadap Pengoperasian Sistem
Kontrol pengoperasian system didasarkan pada struktur organisasional dari departemen operasi, aktivitas dari unit yang ada dalam departemen tersebut. Kontrol yang memberikan kontribusi terhadap tujuan ini dapat diklasifikasikan menjadi lima area :
1. Struktur organisasional
2. Kontrol perpustakaan
3. Pemeliharaan peralatan
4. Kontrol lingkungan dan kemanan fasilitas
5. Perencanaan disaster, meliputi area :
- Rencana keadaan darurat (emergency plan)
- Rencana back-up (backup plan)
- Rencana record penting (vital record plan)
- Rencana recovery (recovery plan)
Manajemen dapat melakukan kontrol dengan tiga cara, yaitu :
- Manajemen dapat melakukan kontrol langsung, yaitu mengevaluasi kemajuan dan penampilan, dan menentukan tindakan koreksi apa yang harus dilakukan
- Manajemen mengontrol CBIS secara tidak langsung dengan terus menerus melalui CIO.
- Manajemen mengontrol CBIS secara tidak langsung berkenan dengan proyeknya melalui pihak ketiga
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
2) tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,
3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
v Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya informasi. Insident Response Planning meliputi incident detection, incident response, dan incident recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.
v Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
* Enterprise Information Security Policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
* Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
* System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
.jpg)
Recent Comments