You're Reading a Free Preview Keamanan informasi adalah perlindungan terhadap segala jenis sumber daya informasi dari penyalahgunaan pihak yang tak berwenang mengelolanya.[1] Tujuan pembuatan sistem keamanan informasi adalah mencegah penyalahgunaan informasi oleh pihak yang tidak berkepentingan atau tidak berhak mengelola informasi tersebut. Keamanan informasi terbentuk secara alami karena sifat sistem informasi yang umumnya hanya dapat diberikan hak pengelolaannya kepada pihak-pihak tertentu.[2] Sifat dari perlindungan dalam keamanan informasi adalah perlindungan menyeluruh yang meliputi sistem informasi dan peralatan teknologi informasi.[3] Sedangkan sifat dari informasi yang diamankan adalah informasi yang tidak berbentuk fisik.[4] Dukungan yang diberikan untuk membentuk keamanan informasi sebagai suatu sistem meliputi penyediaan struktur organisasi, kebijakan keamanan, serta prosedur dan proses pengamanan. Komponen lain yang juga penting adalah penyediaan sumber daya manusia yang bertanggung jawab.[5] Keamanan informasi dapat diterapkan oleh perusahaan, organisasi, lembaga pemerintahan, perguruan tinggi maupun individu.[6] Manfaat adanya keamanan informasi adalah terhindar dari penipuan di dalam suatu sistem informasi.[4] Selain itu, keamanan informasi juga dapat menjaga kerahasiaan, ketersediaan dan integritas terhadap sumber daya informasi yang dimilikinya.[7] Sebaliknya, kegagalan dalam mengadakan keamanan informasi dapat menyebabkan kehancuran suatu organisasi.[8] Keamanan informasi memiliki tiga tujuan utama yaitu keterjagaan, kesesuaian dan integritas. Keterjagaan berarti bahwa keamanan informasi harus melindungi data dan informasi dari pihak yang tidak memiliki wewenang untuk mengetahui atau mengelolanya. Kesesuaian berarti bahwa keamanan informasi harus memastikan bahwa informasi hanya digunakan oleh pihak yang berwenang untuk mengelolanya.[9] Sementara itu, integritas berarti bahwa keamanan informasi harus memberikan gambaran yang tepat dan akurat berkaitan dengan sistem fisik yang ditampilkannya.[10] Tingkat keamanan informasi memiliki kedudukan yang berlawanan dengan tingkat akses informasi. Semakin mudah suatu informasi untuk diakses, maka tingkat keamanan informasi menjadi semakin rumit.[11] Kondisi ini dikarenakan informasi tidak lagi hanya dapat diakses secara fisik. Informasi kini dapat diakses secara non fisik melalui internet dengan media komputer. Kemudahan akses ini menambah peluang kebocoran atau pembobolan informasi.[12] Aspek keamanan informasi adalah aspek-aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini adalah:
Setiap hal yang dapat memberikan kondisi berbahaya terhadap sumber daya informasi disebut sebagai ancaman keamanan informasi. Bentuk ancaman ini dapat berupa orang, organisasi, mekanisme atau suatu peristiwa. Ancaman keamanan informasi dapat ada secara disengaja maupun tidak disengaja. Penyebab timbulnya ancaman keamanan informasi dapat berasal dari sisi internal maupun eksternal.[13] Ancaman baru yang timbul dalam teknologi informasi berkembang seiring dengan meningkatnya jumlah data dan cara untuk mengeksploitasinya. Ancaman ini dapat diatasi dengan menggunakan peralatan dengan teknologi informasi yang canggih.[14] Pada teknologi dan komunikasi internet, perusahaan atau organisasi juga dapat mempekerjakan pekerja yang ahli dalam bidang keamanan sistem informasi agar informasi penting dapat diamankan dari ancaman oleh peretas.[15] Kandidat pekerja memiliki partisipasi aktif yang dapat dinilai dalam komunitas yang membidangi keamanan informasi. Partisipasi kandidat pekerja dapat diketahui melalui daftar surat elektronik keamanan informasi, keikutsertaan dalam asosiasi profesional atau konferensi keamanan. Selain itu, kandidat juga dapat dinilai berdasarkan publikasi ilmiah yang diterbitkannya, kecakapan dalam manajemen proyek, kemampuan komunikasi dan kemampuan membuat gagasan yang dapat dibuktikan dan diterima keabsahannya.[16] Penilaian keamanan informasi dari ancamannya ditinjau dari ancaman fisikal dan ancaman logikal. Ancaman fisikal merupakan ancaman yang mengancam personil, perangkat keras, fasilitas, dokumentasi dan persediaan informasi. Sedangkan ancaman logikal mengancam data, informasi dan perangkat lunak. Keamanan informasi dikatakan telah memberikan keadaan aman jika aset informasi dapat terhindar dari kerugian akibat ancaman informasi dalam jangka waktu dengan batasan kondisi tertentu yang dapat diterima.[17] Risiko keamanan informasi merupakan berbagai kemungkinan yang dapat disebabkan oleh ancaman informasi selama melakukan pelanggaran keamanan informasi. Timbulnya risiko keamanan informasi merupakan akibat dari tindakan yang dilakukan tanpa pemberian hak pengelolaan. Terdapat beberapa jenis risiko keamanan informasi yaitu pengungkapan, penggunaan, penghancuran, penolakan layanan dan pengubahan informasi tanpa pemberian hak pengelolaan.[18] Ancaman dan risiko yang timbul dalam keamanan informasi menjadi permasalahan utama dalam sistem informasi. Dampak yang ditimbulkannya akan mempengaruhi efisiensi, kerahasiaan, integritas, keberadaan, kepatuhan dan keandalan dari suatu sistem informasi.[19] Pengelolaan keamanan informasi terbagi menjadi keamanan harian yang disebut manajemen keamanan informasi, dan persiapan pemecahan masalah operasional yang disebut manajemen keberlanjutan bisnis.[20] Pengelolaan keamanan informasi dapat diberikan kepada petugas keamanan sistem informasi. Petugas ini bertanggung jawab terhadap keamanan informasi di dalam suatu organisasi atau perusahaan. Selain itu, keamanan informasi dan kelayakan unit informasi dapat diawasi oleh petugas kelayakan informasi. Pertanggungjawaban atas kinerjanya disampaikan langsung kepada direktur utama dalam suatu perusahaan.[9] Manajemen keamanan informasi dapat dibagi menjadi empat tahap. Pertama, ancaman-ancaman yang dapat membahayakan informasi diidentifikasi terlebih dahulu. Setelahnya, risiko-risiko yang dapat muncul dari keberadaan ancaman harus diperhitungkan. Dari risiko-risiko tersebut disusunlah kebijakan keamanan informasi. Isi kebijakan ini kemudian memasukkan aturan yang berkaitan dengan pengendalian risiko.[9] Manajemen keamanan informasi dapat dikerjakan dengan terarah dengan adanya kebijakan keamanan informasi.[21]
Pengawasan dan pengendalian penggunaan teknologi informasi dilakukan dengan mengadakan audit teknologi informasi. Kegiatannya meliputi evaluasi pada sistem desain dan efektivitas dari sistem pengendalian informasi yang bersifat internal. Pengadaan audit teknologi informasi dapat mencegah timbulnya bahaya akibat penggunaan teknologi informasi. Audit dapat dilakukan dengan menggunakan beberapa jenis referensi yang telah umum digunakan antara lain COBIT, COSO, ITIL, dan beberapa standar gabungan antara Organisasi Standardisasi Internasional dan Komisi Elektroteknik Internasional.[22] ISO/IEC 17799ISO/IEC 17799 pertama kali dirilis pada bulan Desember 2000 oleh Organisasi Standardisasi Internasional dan Komisi Elektroteknik Internasional. Standar ini berisi penerapan keamanan informasi dalam organisasi. Tujuan pembentukan kerangka kerja ISO/IEC 17799 terutama untuk meningkatkan ketahanan informasi dengan cara memelihara standar keamanan dan praktik manajemen di dalam organisasi. Dalam standar ISO/IEC 17799 , manajemen risiko menjadi bagian penting dalam strategi pengendalian keamanan. ISO/IEC 17799 dibagi menjadi 11 bagian dengan jumlah strategi pengendalian keamanan sebanyak 132 strategi.[23] ISO/IEC 27002Organisasi Standardisasi Internasional dan Komisi Elektroteknik Internasional telah menerbitkan ISO/IEC 27002 mengenai sebuah sistem manajemen yang khusus digunakan untuk keamanan informasi. Sistem ini disebut sebagai Sistem Manajemen Keamanan Informasi. Dalam sistem ini, organisasi diberikan referensi tentang cara merancang, menerapkan dan memelihara suatu sistem informasi yang terpadu. Manfaat dari sistem ini adalah penjaminan kerahasiaan, integritas dan ketersediaan sumber daya informasi dapat diadakan dengan efektif, sehingga peluang timbulnya risiko keamanan informasi dapat berkurang.[24] Keamanan informasi diterapkan pada keamanan komputer. Perlindungan diberikan kepada perangkat keras, perangkat lunak dan peralatan komunikasi. Ketiga jenis peralatan tersebut merupakan produk keamanan fisik. Selain ketiganya, keamanan informasi pada komputer juga mencakup keamanan personal dan keamanan organisasi. Keamanan personal ditujukan kepada orang yang menggunakan informasi pada komputer, sedangkan keamanan organisasi ditujukan pada prosedur penggunaan komputer untuk mengelola informasi.[25] Penggunaan kunci enkripsi dalam kriptografi merupakan salah satu bentuk teknologi keamanan informasi. Keamanan informasi selama pengiriman dari sumber informasi menuju ke penerima informasi dapat dilakukan dengan teknologi kriptografi. Metode yang digunakan untuk mengamankan informasi ialah algoritme. Terdapat dua jenis algoritme yang diterapkan di dalam kriptografi. Masing-masing yaitu algoritme simetris dan algoritme asimetris. Kriptografi memanfaatkan keberadaan kunci yang digunakan untuk menghubungkan enkripsi dan deskripsi dari informasi yang diamankan. Kunci ini bersifat rahasia sehingga informasi hanya dapat diketahui dan digunakan oleh penerima yang memiliki informasi tentang kunci.[26]
|