PENDAHULUAN
Sistem keamanan menjadi sangat penting bagi sebuah perusahaan. Pasalnya, aset yang tersimpan di dalam sebuah perusahaan begitu berharga sehingga harus dilakukan proteksi. Dokumen-dokumen penting seperti master design atau laporan keuangan sebuah perusahaan pasti sudah menjadi konsern tersendiri bagi beberapa perusahaan di bidang property developer ataupun perusahaan lainnya...Sebuah sistem keamanan yang memadai pasti akan memberikan performa tinggi pada perusahaan.
Indonesia sampai saat ini masih sampai pada tahap belajar mengenai sistem keamanan. Biasanya sebuah prosedur akan terbentuk ketika sudah ada kejadian terlebih dahulu padahal hal ini yang salah. Sistem managemen keamanan harus dibentuk dari awal untuk meminimalisasi kerugian-kerugian yang ada di dalam sebuah perusahaan.
Seperti tren memasang CCTV dan metal detector yang baru ramai setelah kejadian pengeboman yang terjadi di Jakarta. Saat ini perhatian akan keamanan memang sudah lebih baik jika dibandingkan dengan tahun-tahun sebelumnya. Kedepannya Danile berpikiran bahwa sistem keamanan akan menjadi isu tersendiri bagi perusahaan-perusahaan yang berorientasi pada publik.
BAB II
MANAJEMEN KEAMANAN INFORMASI
Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka istilah keamanan sistem (system security) pun digunakan. Fokus sempit ini kemudian diperluas sehingga mencakup bukan hanya peranti keras dan data, namun juga peranti lunak, fasilitas komputer, dan personal. Kini, cakupannya telah meluas hingga mencakup semua jenis data-bukan hanya data di dalam komputer. Istilah keamanan informasi (informasi security) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan nonkomputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Definisi yang luas ini mencakup peralatan seperti mesin fotocopi dan mesin fax serta semua jenis media, termasuk dokumen kertas.
Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan hackers sudah mengancam informasi bisnis manajemen oleh karena meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya, meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan meminimalkan kerusakan bisnis dengan pencegahan dan meminimalkan dampak peristiwa keamanan.
A. Manajemen Keamanan Informasi
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap :
• Mengidentifikasi ancaman yang yang dapat menyerang sumber daya informasi perushaan.
• Mendefenisikan resiko yang dapat desebabkan oleh ancaman-ancaman tersebut.
• Menentukan kebijakan informasi.
• Mengimplementasikan pengedalian untuk mengatasi resiko-resiko tersebut. Ancaman menghasilkan resiko, yang harus dikendalikan. Istilah manajemen resiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan resiko yang dihadapinya.
Terdapat pilihan lain untuk merumuskan kebijakan keamanan informasi suatu perusahaan. Pilihan ini telah menjadi popular pada bebrapa tahun belakangan ini dengan munculnya standar atau tolok ukur keamanan informasi. Tolok ukur (benchmark) adalah tingkat kenerja yang diarahkan. Tolok ukur keamanan informasi (information security benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.
Standar dan tolok ukur semacam ini ditentukan oleh pemerintah dan asosiasi industry serta mencerminkan komponen-komponen program keamanan informasi yang baik menurut otoritas-otoritas tersebut. Ketika perushaan mengikuti pendekatan ini, yang disebut kepatuhan terhadp tolok ukur (benchmark), dapat diasumsikan bahwa pemerintah dan otoritas industry telah melakuakan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolok ukur tersebut menawarkan perlindungan yang baik.
B. Tujuan Keamanan Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu:
1. Kerahasiaan yaitu perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak bewenang. Sistem informasi eksekutif, sistem informasi sumber daya manusia, dan system pemrosesan transaksi seperti penggajian, piutang dagang, pembelian, dan utang dagang amat penting dalam hal ini.
2. Ketersediaan yaitu tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Tujuan ini penting, khususnya bagi sistem berorientasi informasi seperti sistem informasi sumber daya manusia dan sistem informasi eksekutif.
3. Integritas yaitu semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikan.
C. Manfaat Sistem Manajemen Keamanan Informasi (SMKI)
Manfaat Sistem Manajemen Keamanan Informasi :
1. Meningkatkan efektivitas keamanan informasi.
2. Diferensiasi pasar.
3. Menambahkan keyakinan mitra bisnis, stakeholders & pelanggan (Sertifikasi menunjukan ‘due diligence’)
4. Satu-satunya standar yang diterima secara global.
5. Menunjukkan kepatuhan pada peraturan & hukum yang berlaku.
6. Pemantauan yang independen terhadap manajemen keamanan informasi.
D. Ancaman Keamanan Informasi
Ancaman keamanan informasi (informasi security threat), adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan perusahaan. Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu yang alami jika kita membayangkan bebrapa kelompok atau beberaps orang di luar perusahaan tersebut yang melakukan tindakan yang disengaja. Pada kenyataannya, ancman dapat bersiafat internal serta eksternal, dan dapat bersifat tidak disengaja maupun disengaja.
Ancaman Internal dan Eksternal
Ancaman internal mencakup bahwa hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Survei yang dilakukan oleh Computer Security Institute menemukan bahwa 49 persen responden menghadapi insiden keamanan yang disebabkan oleh tindakan para pengguna yang sah, proporsi kejahatan computer yang dilakukan oleh karayawan diperkirakan mencapai 81 persen. Ancaman internal diperkirana menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.
Tindakan kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujusn mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang-orang di dalam ataupun diluar perusahaan. Sama halnya di mana keamanan informasi harus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.
E. Jenis Ancaman
Semua orang pernah mendengar mengenai virus computer. Sebenarnya, virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software). Malicious software, malware terdiri atas program-program lengkap atu segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm, Trojan horse, adware, dan spyware.
Virus adalah program computer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri di dalam sistem, tapi dapat menyebabkan salinannya melalui e-mail. Trojan horse (kuda troya) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri; si pengguna menyebarkannya sebagai suatu perangkat. Pada sat perangkat tersebut digunakan, perangkat itu menghasilkan perubahan-perubahan yang tidak diinginkan dalam fungsionalitas sistem tersebut. Adware memunculkan pesan-pesan iklan yang mengganggu, dan spyware mengumpulkan data dari mesin pengguna. Dari beragam jenis malware ini, adware dan spyware merupakan yang terkini. Baru pada awal 2005, stelah menyadari besarnya masalah ini, microsost memutuskan untuk memasuki perang antisyware. Situs Web MSN Korea Selatan diserang pada Juni 2005, dan serangan ini tidak ditemukan selama berhari-hari.
Program antispyware sering kali menyerang cookies, yaitu file teks kecil yang diletakkan perusahaan di hard drive pelanggan untuk mencatat minatbelajar pelanggan mereka. Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di kalangan beberapa pemasar. Solusi yang paling efektik yang memungkinkan adalah menghalangi antispyware untuk para pelanggannya, tapi hanya menghapus cookies pihak ketiga yang diletakkan oleh perusahaan lain.
F. Kebutuhan Akan Sistem Manajemen Keamanan Informasi (SMKI)
SMKI adalah bagian dari keseluruhan sistem manajemen yang menetapkan, menerapkan, mengoperasikan, memantau, meninjau & memelihara serta meningkatkan keamanan informasi atas dasar pendekatan resiko bisnis. Adapun alasan kebutuhhan akan SMKI adalah :
1. Berkembangnya ancaman terhadap informasi.
2. Berkembangnya peraturan perundangan mengenai perlindungan informasi.
3. Dari segi bisnis yaitu : Good Corporate Governance, kesadaran akan adanya resiko, kompetisi, keinginan pelanggan, kebutuhan pasar, dan citra untuk pemasaran perusahaan tersebut.
G. Cara Mengamankan Informasi
Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
1. Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1) Strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
2) Tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,
3) Operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi.
Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
1) Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya informasi. Insident Response Planning meliputi incident detection, incident response, dan incident recovery.
2) Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.
3) Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.
2. Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
• Enterprise Information Security Policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
• Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
• System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
3. Programs
Programs adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
4. Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
5. People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
H. Sandar Yang Digunakan
ISO/IEC 27001 adalah standar information security yang diterbitkan pada October 2005 oleh International Organization for Standarization dan International Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta mendokumentasikan Information Security Management System dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama.
I. Metodologi Penerapan Sistem Manajemen Keamanan
1. Self Assessment (Gap Analysis)
Kegiatan ini merupakan proses menilai sistem keamanan yang ada sekarang terhadap persyaratan-persyaratan C-TPAT atau ISO 28000. Hasil kegiatan ini berupa Laporan Audit Self-Assessment (Gap Analysis).
2. Pelatihan Pemahaman Persyaratan C-TPAT atau ISO 28000
Memberikan pelatihan C-TPAT atau ISO 28000 kepada pihak-pihak terkait di perusahaan untuk meningkatkan pemahaman terhadap persyaratan-persyaratan sistem manajemen keamanan.
3. Desain Sistem Manajemen Keamanan C-TPAT atau ISO 28000
Melakukan “set-up” sistem keamanan di masing-masing fungsi perusahaan misalnya bagian Gudang, Produksi, Pengemasan (Packing), HRD, Petugas keamanan, dan lain-lain. Bagian-bagian tersebut diberi pengarahan mengenai konsep-konsep penerapan C-TPAT atau ISO 28000, sistem dokumentasi dan catatan keamanan, peralatan keamanan, dan sistem manajemen keamanan.
4. Pembuatan Prosedur Dan Penerapan Sistem Manajemen Keamanan
Menyusun prosedur dan dokumentasi sistem manajemen keamanan sesuai dengan persyaratan C-TPAT atau ISO 28000.
5. Audit (Assesment) Penerapan Sistem Manajemen Keamanan
Melakukan audit setelah pelaksanaan program penerapan sistem manajemen keamanan. Hal ini untuk menilai kemajuan-kemajuan yang diperoleh setelah proses penerapan. Hasilnya berupa laporan audit yang dibahas bersama pihak-pihak terkait mengenai kekurangan-kekurangan yang ditemukan saat audit serta memastikan telah dilakukan tindakan perbaikan.
Setelah perusahaan atau organisasi melaksanakan tindakan perbaikan, dapat dilakukan proses verifikasi atau sertifikasi oleh pihak ketiga yang berupa Factory Security Assessment (FSA) oleh SGS atau Global Security Verification (GSV) oleh Intertek. Hal ini dilakukan untuk menjaga kelangsungan penerapan sistem manajemen keamanan serta meningkatkan kepercayaan dari para stakeholder bahkan konsumen.
J. Kerugian Perusahaan Jika Terjadi Kebocoran Informasi
Sebagai konsekwensi dari bocornya informasi perusahaan dapat mengakibatkan kerugian meliputi yang berikut ini :
1. Kehilangan jiwa dan kecelakaan
2. Kehilangan kepercayaan para pemegang saham
3. Gangguan proses business
4. Kehilangan financial
5. Kehilangan kepercayaan clients
6. Ancaman criminal
7. Kerusakan nama dan reputasi
STUDY KASUS
DATAR PUSTAKA
McLeod Jr, Raymond, George P. Schell. 2008. Management Information Systems. Salemba Empat: Jakarta.
http://swa.co.id/technology/sistem-keamanan-perlu-bagi-perusahaan
http://dandyalexandra.wordpress.com/2012/01/23/penerapan-sistem-manajemen-keamanan/
http://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-manajemen-kontrol-keamanan-pada-sistem/
No comments:
Post a Comment