MAKALAH
DASAR-DASAR KEAMANAN INFORMASI
Disusun oleh:
Eric
Christanto (130549810238)
UNIVERSITAS WIDYAMA MALANG
FAKULTAS TEKNIK JURUSAN TEKNIK INFORMATIKA
Alhamdulillahirobbil’alamin,
segala puji dan syukur penyusun panjatkan atas kehadirat Ilahi Robbi, yang
telah mencurahkan segala nikmat, rahmat, hidayah, dan inayah-Nya kepada
penyusun sehingga tugas makalah mata kuliah “ Keamanan Data dan Sistem Informasi” dapat kami selesaikan.
Shalawat serta
salam semoga tercurahkan kepada junjungan kita dan teladan seluruh insan,
rasulullah SAW.
Tidak lupa
penyusun ucapkan terima kasih kepada dosen mata kuliah “ Keamanan Data dan Sistem Informasi” atas bimbingannya, dan kepada semua
orang yang terlibat baik langsung maupun tidak langsung sehingga makalah ini
dapat terselesaikan.
Adapun isi
makalah ini memiliki banyak kekurangan, oleh karena itu, kritik serta saran
yang membangun khususnya dari dosen pembimbing sangat penyusun harapkan.
Malang, 21 November 2014
Penyusun
Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang
sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau
organisasi tersebut sehingga harus dilindungi, untuk menjamin kelangsungan
perusahaan atau organisasi, meminimalisir kerusakan karena kebocoran sistem
keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang
usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan
atau organisasi meliputi diantaranya : informasi yang tersimpan dalam komputer
( baik desktop komputer maupun mobile komputer ), informasi yang
ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim
melalui fax, tersimpan dalam disket,cd,atau media penyimpanan lain, informasi
yang dilakukan dalam pembicaraan ( termasuk percakapan melalui telepon ),
dikirim melalui telex, email, informasi yang tersimpan dalam database,
tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang
lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi
dan ide-ide baru organisasi atau perusahaan.
Informasi yang
merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan
sebagai ‘quality or state of being
secure-to be free from danger’. Untuk menjadi aman adalah dengan cara
dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa
strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi
satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki
fokus dan dibangun pada masing-masing kekhususannya. Contoh dari
tinjauan keamanan informasi adalah:
· Physical
Security yang memfokuskan strategi untuk
mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari
berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana
alam.
·
Personal Security yang overlap
dengan ‘phisycal security’ dalam
melindungi orang-orang dalam organisasi
·
Operation Security yang
memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan
untuk bekerja tanpa gangguan.
·
Communications Security yang
bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta
kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
·
Network Security yang
memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan
isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi
fungsi komunikasi data organisasi.
Masing-masing komponen di atas
berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan
informasi adalah perlindungan informasi termasuk sistem dan perangkat yang
digunakan, menyimpan, dan mengirimkannya [3]. Keamanan informasi melindungi
informasi dari berbagai ancaman untuk menjamin kelangsungan usaha,
meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya
investasi dan peluang usaha.
Keamanan data/informasi elektronik
menjadi hal yang sangat penting bagi perusahaan yang menggunakan fasilitas TI
dan menempatkannya sebagai infrastruktur penting. Sebab data/informasi adalah
aset bagi perusahaan tersebut.
Keamanan data/informasi secara langsung maupun tidak
langsung dapat mempertahankan kelangsungan bisnis, mengurangi resiko,
mengoptimalkan return of investment dan bahkan memberikan peluang bisnis
semakin besar. Semakin banyak informasi perusahaan yang disimpan, dikelola dan
digunakan secara bersama, akan semakin besar pula resiko terjadinya kerusakan,
kehilangan atau tereksposnya data/informasi ke pihak lain yang tidak berhak.
Ancaman dan resiko yang ditimbulkan akibat kegiatan
pengelolaan dan pemeliharaan data/informasi menjadi alasan disusunnya standar sistem manajemen keamanan informasi yang salah
satunya adalah ISO 17799.
Penyusunan standar ini berawal pada tahun 1995, dimana
sekelompok perusahaan besar seperti Board of Certification, British Telecom,
Marks & Spencer, Midland Bank, Nationwide Building Society, Shell dan
Unilever bekerja sama untuk membuat suatu standar yang dinamakan British
Standard 7799 (BS 7799). BS 7799 terdiri dari beberapa bagian yaitu : Part
1, The Code of Practice for Information Security Management. Part
2, The Specification for Information Security Management Systems (ISMS).
Pada tahun 2000, International Organization of
Standardization (ISO) dan International Electro-Technical Commission
(IEC) mengadopsi BS 7799 Part 1 dan menerbitkannya sebagai standar ISO/IEC
17799:2000 yang diakui secara internasional sebagai standar sistem manajemen
keamanan informasi.
ISO 17799 meliputi 10 klausula pengendalian (10 control
clauses), 36 sasaran pengendalian (36 control objectives) dan 127
pengendalian keamanan (127 controls securiy). Pengendalian adalah cara
yang dipilih untuk menyingkirkan atau meminimalkan risiko ke level yang dapat
diterima. Berikut adalah penjabaran 10 klausula pengendalian :
1. Kebijakan Pengamanan (Security Policy)
Mengarahkan visi dan misi manajemen agar kelangsungan
organisasi dapat dipertahankan dengan mengamankan dan menjaga
integritas/keutuhan data/informasi penting yang dimiliki oleh perusahaan.
Kebijakan pengamanan sangat diperlukan mengingat
banyaknya masalah-masalah non teknis seperti penggunaan password oleh
lebih dari satu orang yang menunjukan tidak adanya kepatuhan dalam menjalankan
sistem keamanan informasi. Kebijakan
pengamanan ini meliputi aspek infratruktur dan regulasi keamanan informasi.
Hal pertama dalam pembuatan
kebijakan keamanan adalah dengan melakukan inventarisasi data-data perusahaan.
Selanjutnya dibuat regulasi yang melibatkan semua departemen, sehingga
peraturan yang akan dibuat tersebut dapat diterima oleh semua pihak. Setelah
itu rancangan peraturan tersebut diajukan ke pihak direksi untuk mendapatkan
persetujuan dan dukungan agar dapat diterapkan dengan baik.
2. Pengendalian Akses Sistem (System Access
Control)
Mengendalikan/membatasi akses user
terhadap informasi-informasi dengan cara mengatur kewenangannya, termasuk
pengendalian secara mobile-computing ataupun tele-networking.
Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada yang
meliputi berbagai aspek seperti :
- Persyaratan bisnis untuk
kendali akses
- Pengelolaan akses user (User
Access Management)
- Kesadaran keamanan
informasi (User Responsibilities)
- Kendali akses ke jaringan (Network Access
Control)
- Kendali akses terhadap
sistem operasi (Operating System Access Control)
- Pengelolaan akses terhadap
aplikasi (Application Access Management)
- Pengawasan dan penggunaan akses sistem (Monitoring
System Access and Use)
- Mobile Computing dan Telenetworking.
3. Pengelolaan Komunikasi dan Kegiatan
(Communication and Operations Management)
Menyediakan perlindungan terhadap
infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta
memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan
guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan
operasi yang terjadi meliputi berbagai aspek, yaitu :
- Prosedur dan tanggung jawab
operasional
- Perencanaan dan penerimaan
sistem
- Perlindungan terhadap
software jahat (malicious software)
- Housekeeping;
- Pengelolaan Network;
- Pengamanan dan Pemeliharaan
Media; dan
- Pertukaran informasi dan
software.
4. Pengembangan dan Pemeliharaan Sistem (System Development and
Maintenance)
Memastikan bahwa sistem operasi maupun aplikasi yang
baru diimplementasikan mampu bersinergi melalui verifikasi dan validasi.
Penelitian untuk pengembangan dan pemeliharaan sistem
meliputi berbagai aspek, seperti : Persyaratan pengamanan sistem; Pengamanan
sistem aplikasi; Penerapan Kriptografi; Pengamanan file sistem; dan Pengamanan
pengembangan dan proses pendukungnya.
5. Pengamanan Fisik dan Lingkungan (Physical and Environmental Security)
Mencegah kehilangan dan/atau kerusakan data yang
diakibatkan oleh lingkungan secara fisik, termasuk bencana alam dan pencurian
data yang tersimpan dalam media penyimpanan atau dalam fasilitas penyimpan
informasi yang lain.
Pengamanan fisik dan lingkungan ini meliputi aspek :
Pengamanan area tempat informasi disimpan; Pengamanan alat dan peralatan yang
berhubungan dengan informasi yang akan dilindungi; dan Pengendalian secara umum
terhadap lingkungan dan hardware informasi.
6. Penyesuaian (Compliance)
Memastikan implementasi kebijakan-kebijakan keamanan
selaras dengan peraturan dan perundangan yang berlaku, termasuk perjanjian
kontrak melalui audit sistem secara berkala. Aspek-aspek yang diperlukan
untuk membentuk prosedur dan peraturan, yaitu : Penyesuaian dengan persyaratan
legal; Peninjauan kembali kebijakan pengamanan dan penyesuaian secara teknis;
serta Pertimbangan dan audit sistem.
7. Keamanan personel/sumber daya manusia (Personnel Security)
Upaya pengurangan resiko dari penyalahgunaan fungsi
dan/atau wewenang akibat kesalahan manusia (human error),manipulasi data
dalam pengoperasian sistem serta aplikasi oleh user. Kegiatan yang
dilakukan diantaranya adalah pelatihan-pelatihan mengenai kesadaran informasi (security
awareness) agar setiap user mampu menjaga keamanan data dan
informasi dalam lingkup kerja masing-masing. Personnel Security meliputi
berbagai aspek, yaitu : Security in Job Definition and Resourcing;
Pelatihan-pelatihan dan Responding to Security Incidens and Malfunction.
8. Organisasi Keamanan (Security Organization)
Memelihara keamanan informasi secara global pada suatu
organisasi atau instansi, memelihara dan menjaga keutuhan sistem informasi internal
terhadap ancaman pihak eksternal, termasuk pengendalian terhadap pengolahan
informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang
terlingkupi, yaitu : keamanan dan pengendalian akses pihak ketiga dan Outsourcing
9. Klasifikasi dan pengendalian aset (Asset Classification and Control)
Memberikan perlindungan terhadap aset perusahaan yang
berupa aset informasi berdasarkan tingkat perlindungan yang telah ditentukan.
Perlindungan aset ini meliputi accountability for Asset dan klasifikasi
informasi.
10. Pengelolaan Kelangsungan Usaha (Business Continuity Management)
Siaga terhadap resiko yang mungkin timbul didalam
aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau
resiko kegagalan sistem utama ataupun ”disaster” atau kejadian buruk
yang tak terduga, sehingga diperlukan pengaturan dan pengelolaan untuk
kelangsungan proses bisnis, dengan mempertimbangkan semua aspek dari business
continuity management.
Gambar 2.4 Struktur dari
kesepuluh wilayah standar (10 control clouse)
Membangun dan menjaga keamanan
sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana
dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan
standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila
didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta
pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan
bekerja lebih efektif dan efisien.
Adapun manfaat
proses keamanan informasi dalam Standard ISO 17799 bagi perusahaan adalah
sebagai berikut:
Ø
Suatu
metodologi tersusun yang dikenali
Ø
Proses yang digambarkan untuk
mengevaluasi, menerapkan, memelihara, dan mengatur keamanan informasi
Ø
Satu
set kebijakan dikhususkan, standard, prosedur, dan petunjuk
Ø
Sertifikasi
mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka
sendiri
·
Menunjukkan
Sertifikasi “ Penelitian”
·
Secara
internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem Manajemen
Keamanan Informasi (ISMS) dapat digunakan sebagai:
- Suatu pengukuran untuk keamanan perusahaan
- Satu set kendali
- Suatu metoda untuk menentukan target dan mengusulkan peningkatan
- Basis untuk standard keamanan informasi intern perusahaan
Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur
dan mengendalikan informasi yang penting kepada operasi system mereka. Pada
gilirannya ini dapat mendorong kearah kepercayaan pelanggan, yang lebih efisien
dan sistem internal efektif serta suatu tanda
kelihatan dari kesanggupan suatu organisasi.
Sertifikasi Pihak ketiga
menawarkan suatu pandangan yang tidak memihak dari sistem keamanan perusahaan,
Hal ini memudahkan dalam melakukan usaha / bisnis; tentunya akan
mendorong dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis ,
dengan mempromosikan memungut manajemen keamanan informasi sesuai ke bidang
uasaha / bisnis demi kepentingan bisnis global secara keseluruhan.
Sertifikasi dari ISMS seluruhnya sifatnya
sukarela/fakultatif. Organisasi yang mana dengan sukses melengkapi
sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam manajemen
keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk
membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi
informasi. Sertifikat membuat suatu statemen kemampuan publik, dan mengijinkan
organisasi untuk menyimpan/pelihara secara detil tentang sistem keamanan
rahasianya .
Dan dibawah ini adalah flowchart dari ISMS :
Dalam sebuah
masyarakat berbasis informasi saat ini, Informasi telah menjadi asset yang
sangat berharga bagi suatu organisasi, baik itu pemerintah maupun swasta.
Karena itu informasi menjadi sangat penting untuk dilindungi dari hal-hal yang
tidak diinginkan. Dimana perlindungan informasi ini secara langsung maupun
tidak akan menentukan kesuksesan organisasi. Dengan kata lain manipulasi
informasi, pencurian informansi dan serangan terhadap informasi akan
berpengaruh terhadap prestasi dan kinerja organisasi.
Manajemen
keamanan informasi adalah sub bagian dari manajemen keamanan dengan fokus utama
adalah pengamanan informasi. Sedangkan manajemen keamanan komputer dan keamanan
TI lebih menitik-beratkan pada sarana dan prasarana yang digunakan untuk
pengamanan informasi. Walaupun begitu setiap sub bagian manejemen keamanan ini
saling mempengaruhi.
Tugas manajemen
keamanan informasi adalah merencanakan keamanan informasi, mengaplikasikannya,
memonitor dan melakukan evaluasi. Pengamanan informasi adalah melindungi
informasi dari segala kemungkinan ancaman terhadap informasi yang akan
berpengaruh terhadap kinerja dan prestasi organisasi dengan cara meminimalisir
kerugian yang dapat ditimbulkan serta memaksimalkan keuntungan dari investasi
dan peluang organisasi tersebut.
Dengan
menerapkan keamanan informasi, sebuah organisasi dapat menjaga kerahasiaan,
integritas dan ketersediaan informasi secara kontinyu. Integritas informasi
disini bermakna bahwa informasi tersebut tetap utuh dan tidak mengalami
perubahan oleh pihak lain yang tidak berwenang.
Suatu
organisasi/instansi perlu mengklasifikasikan informasi yang dihasilkan dan/atau
yang diperoleh untuk mendapatkan perlindungan yang sesuai. Klasifikasi
informasi ini ditentukan sendiri oleh organisasi tersebut dengan memperhatikan
resiko dan keuntungan yang ditimbulkan dari pengolahan informasi tersebut.
Umumnya klasifikasi informasi adalah : umum (bebas), terbatas (dinas) dan
rahasia (pribadi).
Ada 3 tehnik melindungi informasi
yaitu :
·
secara fisik misalnya menyimpan dalam suatu ruangan khusus yang dikunci,
dalam lemari besi dll;
·
secara organisasi misalnya menunjuk personil khusus dengan regulasi yang
jelas, melakukan pendidikan dan pelatihan masalah keamanan informasi untuk
meningkatkan kesadaran karyawan tentang pentingnya pengamanan informasi yang
baik, dll; dan
·
secara logik misalnya dengan menerapkan kriptografi, memasang antivirus
dll.
Keamanan
informasi sudah seharusnya menjadi perhatian jajaran eksekutif dalam
organisasi. Sebab pengguna utama informasi berklasifikasi terbatas dan rahasia
adalah para eksekutif tersebut, yang mana keputusan-keputusan strategis
organisasi tergantung dari informasi yang berada padanya.
Sistem Manajemen
Keamanan Informasi ( ISMS), rata-rata digunakan para manajer untuk
mengukur, memonitor dan mengendalikan keamanan informasi mereka. Manajemen
Keamanan Informasi ini memberikan perlindungan informasi dan penghitungan
asset yang ada. Manajemen Keamanan Informasi ini mempunyai tiga komponen kunci
dalam menyediakan jaminan layanan keamanan informasi diantaranya:
· Kerahasiaan–
memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised
untuk mempunyai akses.
· Integritas–
melindungi kelengkapan dan ketelitian informasi dan memproses metoda.
· Ketersediaan–
memastikan bahwa para pemakai authorised mempunyai akses ke informasi dan berhubungan
dengan asset ketika diperlukan.
Dalam mencapai
keamanan informasi ini, satu perangkat kendali, bisa digunakan menjadi suatu
kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi sebagai
prosedur untuk diterapkan. Perangkat kendali ini harus dapat memastikan sasaran
hasil keamanan secara spesifik bagi kita dan pelanggan pada umumnya.
Salah satu contoh
hasil survey yang dilakukan oleh ISBS, yang menunjukkan mengapa format
informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi perusahaan
terhadap resiko yang mungkin melanggar keamanannya.
Informasi
adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan,
elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting
bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor
ekonomi.
Tujuan manajemen informasi adalah untuk
· melindungi
kerahasiaan,
· integritas
· ketersediaan
informasi.
Keuntungan utama dari BS7799/ISO17799
berhubungan dengan kepercayaan publik. Sama seperti ISO 9000 yang mencerminkan
jaminan kualitas.
· Standar ini merupakan tanda kepercayaan dalam seluruh
keamanan perusahaan.
· Manajemen kebijakan terpusat dan prosedur.
· Menjamin layanan informasi yang tepat guna.
· Mengurangi biaya manajemen,
· Dokumentasi yang lengkap atas segala perubahan/revisi.
· Suatu metoda untuk menentukan target dan mengusulkan
peningkatan.
· Basis untuk standard keamanan informasi internal
perusahaan
Suatu organisasi yang
menerapkan ISO 17799 akan mempunyai suatu alat untuk mengukur, mengatur dan
mengendalikan informasi yang penting bagi operasional sistem mereka. Pada
gilirannya ini dapat mendorong kearah kepercayaan pelanggan, efisiensi dan
efektifitas.
Hadi Wibowo,
Menejemen Keamanan Informasi,
Sany Asyari, Keamanan Jaringan Berdasarkan ISO 17799,
http://sanyasyari.com/2006/09/26/keamanan-jaringan-berdasarkan-iso-17799/ 26
September 2006