Apa itu ISMS?
ISMS (information security management system) atau sistem
manajemen keamanan informasi adalah istilah yang muncul terutama dari ISO/IEC
27002 yang merujuk pada suatu sistem manajemen yang berhubungan dengan keamanan
informasi.
Pentingnya Manajemen Kontrol Keamanan pada Sistem
Informasi adalah salah suatu asset penting dan
sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam
berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual.
Oleh karena itu, manajemen informasi penting bagi meningkatkan
kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk melindungi
kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya
berbagai penipuan, spionase, virus, dan hackers sudah mengancam informasi
bisnis manajemen oleh karena meningkatnya keterbukaan informasi dan lebih
sedikit kendali/control yang dilakukan melalui teknologi informasi modern.
Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra
usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen informasi
yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan
meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu upaya untuk
mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan
bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi”
atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu
pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT
Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi
dari gangguan-gangguan berupa akses terlarang serta utilisasi jaringan
yang tidak diizinkan.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab
untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya,
yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan informasi meliputi
proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan.
Ada tiga tahapannya yaitu:
1) strategic
planning yang dilakukan oleh tingkatan tertinggi dalam organisasi
untuk periode yang lama, biasanya lima tahunan atau lebih,
2) tactical
planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi
sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih
singkat, misalnya satu atau dua tahunan,
3) operational
planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi.
Integrity
·
Integrity merupakan
aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang
berwenang (authorized). Untuk aplikasi e-procurement, aspek integrity ini
sangat penting. Data yang telah dikirimkan tidak dapat diubah oleh pihak yang
berwenang. Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya
sistem e-procurement.
·
Contoh : e-mail di intercept di tengah
jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.
·
Bentuk serangan : Adanya virus, trojan
horse, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the middle
attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar
sebagai orang lain.
Confidentiality (Kerahasiaan)
·
Definisi : aspek yang menjamin kerahasiaan data atau
informasi. Sistem yang digunakan untuk mengimplementasikan e-procurement harus
dapat menjamin kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya
informasi dapat berakibat batalnya proses pengadaan. Kerahasiaan ini dapat
diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi
kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean) pada
transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data
(storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi
pihak yang tidak berhak.
·
Privacy : lebih kearah data-data yang
sifatnya privat , informasi yang tepat terakses oleh mereka yang berhak (
dan bukan orang lain). Contoh : e-mail seorang pemakai (user) tidak boleh
dibaca oleh administrator.
·
Confidentiality atau kerahasiaan adalah
pencegahan bagi mereka yang tidak berkepen-tingan dapat mencapai
informasi, berhubungan dengan data yang diberikan ke pihak lain untuk
keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut.
·
Contoh : data-data yang sifatnya pribadi
(seperti nama, tempat tanggal lahir, social security number, agama, status
perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya)
harus dapat diproteksi dalam penggunaan dan penyebarannya.
·
Bentuk Serangan : usaha penyadapan
(dengan program sniffer).
·
Usaha-usaha yang dapat dilakukan untuk
meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi
kriptografi.
Availability
·
Defenisi bahwa
data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang terjadi ketika
proses penawaran sedang dilangsungkan ternyata sistem tidak dapat diakses
sehingga penawaran tidak dapat diterima
·
.Contoh hambatan :
a) “denial of service attack” (DoS attack),
dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau
permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain
atau bahkan sampai down, hang, crash.
b) mailbomb, dimana seorang pemakai dikirimi
e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga
sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.
·
Dampak hambatan : sistem informasi yang
diserang atau dijebol dapat menghambat atau meniadakan akses ke
informasi.
Manfaat:
·
Memastikan agar
organisasi memiliki kontrol dalam hal keamanan informasi terhadap lingkungan
bisnis, pada prosesnya yang mungkin akan menimbulkan resiko atau gangguan.
·
Operasional organisasi
atau perusahaan dapat berjalan dengan baik karena tugas, tanggung jawab serta
proses bisnis terdefinisi dengan jelas.
·
Membantu
organisasi dalam menjalankan sebuah perubahan-perubahan yang baik serta
berkesinambungan dalam pengelolaan keamanan informasi.
