PERLINDUNGAN ASPEK CONFIDENTIALITY, INTEGRITY,
AVAILABILITY PADA ISMS
APA ITU ISMS?
Information Security Management System (ISMS) atau
di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi)
adalah suatu rencana manajemen yang memfokuskan kebutuhan-kebutuhan yang
dibutuhkan untuk diimplementasi kepada kontrol keamanan yang disesuaikan dengan
kebutuhan organisasi. ISMS diprogram untuk dapat melindungi asset informasi
dari seluruh gangguan yang dapat merusak keamanan yang sudah ada.
Contohnya :ISO27K
adalah sebuah seri dari standar internasional untuk manajemen keamanan
informasi. Standar ini mencakup seluruh tipe organisasi (Contohnya perusahaan
komersial, agen pemerintahan, organisasi nir-laba, dll) dan seluruh ukuran
bisnis, mulai dari usaha kecil hingga perusahaan besar multinasional.
ISMS bisa disebut sebagai sebuah proses dari
mengaplikasikan kontrol manajemen keamanan di dalam sebuah organisasi untuk
mendapatkan service keamanan agar dapat memastikan keberlangsungan bisnis yang
sedang berjalan. Service keamanan informasi terdiri dari perlindungan terhadap
aspek-aspek yang saling berhubungan seperti
berikut:
1. Confidentiality
(kerahasiaan) adalah aspek yang ada sebagai tujuan menjamin tentang kerahasiaan
data atau informasi, dipastikan bahwa informasi hanya dapat diakses oleh orang
yang sudah ditentukan perusahaan (berwenang) dan dapat menjamin kerahasiaan
data yang dikirim, diterima ataupun disimpan.
2.
Integrity (integritas) adalah aspek yang dapat menjamin
bahwa data tidak bisa dimodifikasinya data tanpa ada ijin dari pihak yang
berwenang (authorized), juga menjaga keakuratan data yang dapat dipertanggung
jawabkan dan keutuhan informasi.
3. Availability
(ketersediaan) adalah aspek yang menjamin bahwa data akan tersedia pada saat
dibutuhkan oleh user lain, memastikan user dapat menggunakan informasi yang
tersedia dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Gambar 1 Elemen-elemen keamanan
informasi
ISMS
memiliki aspek menstandarkan sebuah model
bernama Plan-Do-Check-Act (PDCA), yang akan diaplikasikan ke struktur
di dalam seluruh proses ISMS. Gambar dibawah mengilustrasikan model PDCA
1. Plan yaitu proses
membangun ISMS dengan cara mengaplikasikan kebijakan-kebijakan yang telah
disepakati bersama dan objektif-objektif di ISMS termasuk membangun prosedur
yang memperhatikan atau menekankan pada mengelola risiko.
2. Do yaitu
proses mengimplementasi dan mengoperasikan ISMS yang telah direncanakan di
model yang sebelumnya.
3.
Check yaitu proses memerhatikan/memonitoring dan peninjauan/reviewing ISMS dengan
melakukan pengukuran performa terhadap kontrol yang telah diaplikasikan,
termasuk kebijakan, dan pada akhirnya mengeluarkan hasil yang ada untuk
ditinjau oleh manajemen.
4.
Act yaitu Berdasarkan peninjauan dari manajemen dari
langkah yang ada sebelumnya, peningkatan dari ISMS yang telah diterapkan akan
mengambil tempatnya sesuai dengan ketetapannya.
.
MANFAAT
Keamanan informasi merupakan suatu upaya dalam mengamankan aset informasi
yang dimiliki. Keamanan informasi menitikberatkan pada data atau informasi
milik perusahaan. Usaha yang dilakukan pemilik data adalah merencanakan yang
dilakukan kemudian hari, mengembangkan data yang sudah ada serta mengawasi
semua kegiatan yang berkaitan dengan data dan informasi bisnis sehingga dapat
digunakan sesuai dengan fungsinya dan tidak digunakan yang salah atau
disebarkan kepada pihak-pihak yang tidak berkepentingan.
Berdasarkan penjelasan sebelumnya, keamanan
teknologi informasi merupakan bagian yang sangat terpenting dari keseluruhan aspek keamanan informasi yang ada. Karena teknologi
informasi merupakan salah satu alat penting adalah dalam mengamankan akses ke semua user yang terkait dengan
penggunaan data dan informasi
perusahaan. Dari pemahaman sebelumnya, akan tahu bahwa teknologi informasi yang ada bukanlah salah satu-satunya yang
memungkinkan terwujudnya konsep keamanan informasi di perusahaan dengan baik sesuai dengan aspek yang sudah ada.
MENGAPA DIPERLUKAN KEAMANAN INFORMASI?
Keamanan informasi melindungi informasi yang ada dari ancaman yang dapat membuat informasi tidak tersampaikan
dengan baik dan untuk memastikan kelanjutan
usaha, memperkecil rugi perusahaan ditimbulkan dan
memaksimalkan keuntungan atas investasi yang
berjalan dan kesempatan usaha yang sudah
tersedia. Manajemen sistem informasi
memungkinkan data untuk terbagi secara elektronik, sehingga
diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user dengan benar.
Hasil survey ISBS (Information Security Breaches
Survey) pada tahun 2000 menunjukkan bahwa sebagian besar data yang
diterima atau informasi tidak cukup terlindungi
sehingga beralasan kerawanan dalam pencurian data atau informasi. Hasil survey
yang terkait dengan hal ini dapat dilihat dalam gambar berikut:
Gambar 2 Grafik persentase
ancaman keamanan sistem informasi
Survey tersebut juga menunjukkan bahwa 60%
organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem
keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor
internal dibandingkan dengan faktor eksternal. Faktor internal ini diantaranya
kesalahan dalam pengoperasian sistem (40%) dan diskontinuitas power supply
(32%).
Hasil survey ISBS tahun 2004-2006 menunjukkan
bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan
serangan dari luar.
Gambar 3 UK business network
attack
Langkah-langkah untuk memastikan bahwa sistem
benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan
menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini.
Pada
keamanan komputer yang ada memberikan persyaratan terhadap komputer yang
berbeda, biasanya persyaratan
sistem yang ada karena sering kali berbentuk pembatasan terhadap
apa yang tidak boleh dilakukan computer lain dan membuat keamanan komputer yang
ada menjadi lebih menantang karena sudah cukup sulit untuk membuat program komputer yang dapat
melakukan kegiatan yang sudah dirancang untuk dilakukan sesuai dengan benar.
Persyaratan negatif sukar untuk dipenuhi dan sangat membutuhkan pengujian
sangat mendalam untuk meneliti/verifikasikannya, yang tidak praktis ketika diprogram
komputer.
Dan biasanya
untuk meningkatkan keamanan komputer dengan membatasi akses fisik terhadap
komputer, menerapkan mekanisme pada perangkat keras dan sistem operasi untuk keamanan komputer yang
sudah ada , serta menghasilkan strategi pemrograman untuk dapat menghasilkan
program komputer yang dapat diandalkan.
Tidak ada komentar:
Posting Komentar