PERLINDUNGAN ASPEK CONFIDENTIALITY, INTEGRITY, AVAILABILITY PADA ISMS

APA ITU ISMS ?

Information Security Management System (ISMS) atau yang di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi) adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. ISMS diprogram untuk melindungi asset informasi dari seluruh gangguan keamanan.

Contohnya ISO27K adalah sebuah seri dari standar internasional untuk manajemen keamanan informasi. Standar ini mencakup seluruh tipe organisasi (Contohnya perusahaan komersial, agen pemerintahan, organisasi nir-laba, dll) dan seluruh ukuran bisnis, mulai dari usaha kecil hingga perusahaan besar multinasional.

ISMS juga dapat disebut sebagai sebuah proses dari mengaplikasikan kontrol manajemen keamanan di dalam sebuah organisasi untuk mendapatkan servis keamanan agar dapat memastikan keberlangsungan bisnis. Servis keamanan informasi terdiri dari perlindungan terhadap aspek-aspek seperti berikut:

1. Confidentiality (kerahasiaan) adalah aspek yang menjamin tentang kerahasiaan data atau informasi, dipastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima ataupun disimpan.

2. Integrity (integritas) adalah aspek yang menjamin bahwa data tidak bisa dirubah tanpa ada ijin dari pihak yang berwenang (authorized), juga menjaga keakuratan data dan keutuhan informasi.

3. Availability (ketersediaan) adalah aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Gambar 1 Elemen-elemen keamanan informasi

ISMS juga menstandarkan sebuah model bernama Plan-Do-Check-Act (PDCA), yang diaplikasikan ke struktur di dalam seluruh proses ISMS. Gambar dibawah mengilustrasikan model PDCA

1. Plan: Adalah proses membangun ISMS dengan cara mengaplikasikan kebijakan-kebijakan dan objektif-objektif dari ISMS termasuk membangun prosedur yang menitikberatkan pada mengelola risiko.

2. Do: Adalah proses mengimplementasi dan mengoperasikan ISMS yang telah direncanakan di langkap sebelumnya.

3. Check: Adalah proses pemantauan/monitoring dan peninjauan/reviewing ISMS dengan cara mengukur performa terhadap kontrol yang telah diaplikasikan, termasuk kebijakan, dan pada akhirnya mengeluarkan hasilnya untuk ditinjau oleh manajemen.

4. Act: Berdasarkan peninjauan dari manajemen dari langkah sebelumnya, peningkatan dari ISMS yang telah diaplikasikan akan mengambil tempatnya.

MANFAAT

Keamanan informasi merupakan suatu upaya dalam mengamankan aset informasi yang dimiliki. Keamanan informasi fokusnya justru pada data atau informasi milik perusahaan. Usaha usaha yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua kegiatan terkait dengan bagaimana data dan informasi bisnis dapat digunakan sesuai dengan fungsinya dan tidak disalahgunakan atau dibocorkan ke pihak-pihak yang tidak berkepentingan.

Berdasarkan penjelasan tersebut, keamanan teknologi informasi merupakan bagian dari keseluruhan aspek keamanan informasi. Karena teknologi informasi merupakan salah satu alat penting dalam mengamankan akses serta penggunaan dari data dan informasi perusahaan. Dari pemahaman ini pula, kita akan tahu bahwa teknologi informasi bukanlah satu-satunya yang memungkinkan terwujudnya konsep keamanan informasi di perusahaan.

MENGAPA DIPERLUKAN KEAMANAN INFORMASI?

Keamanan informasi memlindungi informasi dari ancaman untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan keuntungan atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronik, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.

Hasil survey ISBS (Information Security Breaches Survey) pada tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang terkait dengan hal ini dapat dilihat dalam gambar berikut:

Gambar 2 Grafik persentase ancaman keamanan sistem informasi

Survey tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini diantaranya kesalahan dalam pengoperasian sistem (40%) dan diskontinuitas power supply (32%).

Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar.

Gambar 3 UK business network attack

Langkah-langkah untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini