TUJUAN DARI MANAGEMEN KEAMANAN INFORMASI

Mengelola keamanan komputer dan jaringan semakin lama menjadi pekerjaan yang sangat menantang.Perkembangan teknolagi informasi dan telematika telah memindahkan pusat pengolahan data,dari data center ke personal computer (PC) di kantor dan dirumah..Alhasil,focus perhatian dalam pengawasan keamanan informasi menjadi lebih
luas,dan membuat kerja para manager keamanan informasi menjadi sangat sulit.


Manajer keamanan informasi harus membuat dan menjalankan inisiatif keamanan informasi yang memastikan tiga hal utama,yaitu:
• Kerahasiaan (confidentionality)
• Integritas (integrity)
• Ketersediaan (availability) system informasi perusahaan.


I.Kerahasiaan

Dapat diartikan sebagai perlindungan terhadap datadalam sisteam informasi perusahaan,sehingga tidak dapat diskses orang yang tidak berhak.Kerahasiaan harus terdefinisikan dengan baik,dan prosedur untuk menjaga kerahasiaan informasi harus diterapkan secara hati-hati,kususnya untuk computer bersifat standalone atau tidak terhubung kejaringan.

Ancaman terhadap perusahaan
• Seorang hacker adalah orang yang membobol pengendalian akses dari sebuah system,dengan memanfaatkan kelemahan system tersebut.
• Seorang masquerader adalah orang yang berhak mengakses system, tetapi telah memiliki password dari orang lain,sehingga dapat mengakses file yang tersedia untuk user lain.
• Aktivitas user yang tidak terotoritasi ini terjadi saat user yang berhak mengakses system dan mereka memiliki kemampuan untuk mengakses file-file yang sebenarnya tidak berhak untuk mereka akses.
• Download file tanpa proteksi dapat mengancam keamanan informasi saat dipindahkan karena tidak dilindungi dengan baik,mungkin telah diikuti oleh virus saat download.
• LAN (local area network),biasanya mengunakan topologi bus (meng_ hub) karena data2 dalam bentuk tidak terenkripsi bias saja terlihat oleh orang2 yang tidak berhak.
• Trojan horse,bias menyalin file2 rahasia ke t4yang tidak aman yang tidak dapat diketahui oleh user.progaram ini semacam virus.

Model-model kerahasiaan
Model bell-lapadula merupakan model hubungan antara objek.Dalam model ini menerapkan sebuah prinsip yang menentukan bahwa subyek memiliki hak tulis terhadap obyek yang berada dalam tingkat yang sama atau lebih tinggi dari subyek.
Model access control dimana mengorganisir sebuah sistemkedalam obyek,subyek,dan operasi.Yang bermanfaat memastikan integritas dan juga kerahasiaan informasi.

Penerapan model-model kerahasiaan
Trusted system criteria yang dikembangkan oleh National Computer Security Center(NCSC) yang mempublikasikan Department of Defense Trusted Computer System Evaluation Criteria (ORANGE BOOK),merupakan paduan terbaik dalam menerapkan model-model kerahasiaan.
Ncsc juga mengembangkan Trusted Network Inrterpretation of the Computer System Evaluation Criteria (RED BOOK) merupakan aplikasi dari criteria-kriteria dalam orange book.

II.Integritas

Merupakan perlindungan terhadap data dalam system dari perubahan yang tidak terotoritas,baik secara sengaja atupun tidak.elemen tambahan dari integritas adalah kebutuhan untuk melindungio proses atau program yang digunakan untuk memanipulasi data dari modifikasi yang tidak terotoritasi.pentingnya integritas data untuk mencegah penipuan (fraud)dan kesalahan (error).
Tiga prinsipdasar yang digunakan untuk menerapkan pengendalian integritas adl:
1. memberikan akses dalam kerangka need-to-know basis..
2. pemisahan tugas (separation of duties).
3. rotasi tugas.

Model integritas
Digunakan untuk menjelaskan apa yang perlu dilakukanuntuk menerapkan kebijaksanaan integritas informasi dalam suatu organisasi.
Ada tiga sasaran integritas:
• Mencegah user yang tidak berhak melakukan perubahan dat atau program.
• Mencegah user yang berhak melakukan perubahan yang tidak benar atau tidak terotoritas.
• Menjaga konsistensi data dan program secara internal dan external.

III.Ketersediaan

Yang dapat diartikan sebagai kepastian bahwa sebuah system informasi dapat diakses oleh user yang berhak kapan saja system informasi tersebut dibutuhkan.
Ada 2 “pengganggu” ketrsediaan yang sering dibicarakan,yaitu:
1. Denial of service,dilakukan dengan mengunci layanan dari system informasi sehingga tidak bias digunakn oleh user yang berhak.
2. Hilangnay kemampuan pemrosesan dat karena bencana alam atau perbuatan manusia.Yang lebih sering dihadapi dan dapat ditangulagi dengan membuat contingency plan yang dapat mengurangi waktu yang dibutuhkan untuk memulihkan kemampuan pemrosesan data saat terjadinya bencana.
Masalah urusan fisik,teknis dan administrasi merupakan aspek penting dari inisiatif keamanan informasi untuk mengatasi isu ketersediaan.

Kesimpulan
Tiga tujuan utama dari managemen keamanan informasi kerahsiaan,integritas, dan ketersediaan haruslah hadir disetiap system informasi.Kombinasi kerahasiaan,ketersediaaan,dan integritas dalm porsi yang pantas untuk mendukung tujuan organisasi akan dapat menghasilkan system yang dapat diprcayai (trustworthy)oleh para user.Tingkat kepaercayaan ini memiliki definisi lebih luas dari sekedar keamanan informasi,karena mengabungkan isu keamanan informasi dengan isu keselamatan dan keandalan,serta perlindungan trhadap privasi.






ELEMEN PEMBAGUNAN KEAMANAN INFORMASI

Keamanan informasi tidak selalumerupakan pengendalian dari sisi teknologi dan tidak dapat dicapai hanya melalui perelatan software atau hardware.pendekatan terbaik untuk mencapai keamanan informasi yang efektif adalah melalui pendekatan berlapis –lapis yang meliputi prelindungan disisi teknologi dan nonteknologi.

Teknologi keamanan informasi tidak dapat menghilangkan seluruh peluang ancaman terhadap keamanan informasi perusahaan.Manager keamanan informasi harus berkerja sama dengan seluruh bagian perusahaan.Kebijaksanaan,standar,prosedur,,dan panduankeamanan inpormasi perusahaan dikembangkan secara bersamaan sebagai fondasi dari segala aktifitas keamanan informasi.Dengn pendekatan seperti ini keamanan informasi akan menjadi sebuah fungsi dalam prerusahaan bukan sebagi penghalang.

Pendekatan keamanan informasi harus melihat seluruh aspek.Yang dapat diandaikan sebagiai rumah yang dibangun tanpa fondasi.
Tanpa fondasi yang didasrkan pada kebijakan keamanan informasi yang solit,dan intra strukturnya.Tanpa kebijakan,standar,prosedur dan panduan keamanan informasi,artinya
Tidak ada kerangaka kerja umum atau fondasi keamanan informasi.Kebijakan menenyukan landasan terhadap pemilihan teknolaogi dan bagai mana teknologi tersebut akan diconfigure dideploy.

Audit keaman informasi,pemeriksaan dan mungkin juga tes terhadap kebijakan,standar.prosedur,dan panduaan keamanan informasi dari seluruh organisasi biasanya terdaftar sebagai elemen pertama dalam menilai resiko keamana organisasi.Sangat mudah melihat kebijakan dalam bentuk kebijakan tapi apakah dipraktekan perlu dilakukan obserfasi secara langsung di lingkar,untuk mengevaluasi apa yang sebenarnya dilakuakn sehari-hari.

Misi keamanan informasi:untuk meliundungi asset informasi,system,dan jaringan yang menjadi media transmisi informasi,dari kerusakan yang menghasilkan kegagalan terhadp kerahasiaan,integritas,dan ketersediaan informasi.
Sasaran keamanan informasi:untuk menigkatkan produktifitas perusahaan melaluyi pengurangan peluang terjadinya kehilangan melalui desain dan implementasi kebijakan,standar,prosedur,dan panduan yang menigkatkan perlindungan terhadap asset perusahaan.
Keamanan system informasi dimana mengkhususkan terhadap keamanan data,baik dalam bentuk technology(hardware&software)maupun nonteknolaogi (kebijakan, standar, prosedur, panduan keamanan informasi).
Corporate Security Officer(CSO) atau Chief Security Officer, yang diberikan tanggung jawab yang meliputi keamanan informasi tanpa memperdulikan teknologinynadan tanggung jawab seluurh bagian perusahaan tanpa memperdulikan batasan-batasan geografis.

*Filosofi dasar keamanan informasi
Keamanan informasi sering kali diharapkan untuk memberikan return on invertment (ROI)secara langsung untuk menjustifikasi biaya yang dikeluarka.Keamanan informasi seringkali merupaakn proses yang intangibledan banyak kasus tingkat keamanan disuatu perusahaan tidak terlihat jelas sampai terjadinya klekacauan,dimana dalam kondisi seperti ini,kurangnya tingkat keamanan ter;lihat secara nyata.

3 elemen perlindungan keamanan informasi:
1. Authentication ,merupakan proses saat system melakukan verifikasi thd user yang meminta hak akses terhadp informasi,bahwa orang tersebut memang merupakan orang yang mengklaim memiliki hak akses.
2. Akuntabilitas,melibatkan audit trail,dimana akan dapat menunjukkan user mana yang mengakses informasi
3. Audit,untuk menunjukan apakah aktivitas tertentu,baik teroterial atau tdk,terjadi dalam suatu system yang dilakukan oleh user pad suatu sat tertentu.

Perlindungan keamanan informasi yang berlapis-lapis terdiri dari:
• Kebijakan keamanan informasi perusahaan
• Kebijakan fungsional keamanan informasi
• Kebijakan keamanan computer
• Standar minimum keamanan informasi
• Keamanan disisi teknologi dan fisik


Point yang penting yang harus diperhatikan dalam keamanan informasi :
• Keamanan informasi bukan sekedar masalah pengendalian disisi teknologi
• Keamanan informasi harus dilihat dari sudut pandang proses dan tujuan bisnis
• Keamana informasi harus menjadi sebuah fungsi dalam perusahaan,bukan dilihat dari sudut penghalang.
• Buatlah sebuah tim.hanya dengan tim yang solitperusahaan dapat mengetahuikebijakan apa yang sudah ada,dan apa yang masih perlu ditambah.
• Kebijakan keamanan informasi sebaiknya ditung seringkas mungkindalam rangka mempermudah pemahaman dan kebijakan dari pimpinan sampai bawahan mengenai keamanan informasi.
• Kebijakan keamanan informasi yang padat &ringkas harus dibarengi dengan tersediaya panduan dan prosedur,sehingga dapat mencapai tujuan dari perusahaaan tsb.
• Lakukan pemeriksaan rutin thd apa yang tercantum didalam kebijakan dan standar,dengan apa yang sebenarnya dilakukan,
• Definisikan secara hati-hati domain yang menjadi tanggung jawab meniger keamana informasi.identifikasi secara jelas cakupan dari perusahaan.
• Komunikasi adalah kunci sukses no.1 dari setiap inisiatif keamanan informasi.

Keamanan informasi adlaah hasil usaha bersama dari sebuah tim,dimana dari seluruh anggota organisasi harus mendukung tujuan bisnis perusahaan.
Keamanan informasi juga suatu bagian penting dari tujaun disnis ,dimasna dapat menciptakan peluang bisnis baru dan menurangi resiko bisnis.