ISMS (information security management system)

Apa itu ISMS?

ISMS (information security management system) atau sistem manajemen keamanan informasi adalah istilah yang muncul terutama dari ISO/IEC 27002 yang merujuk pada suatu sistem manajemen yang berhubungan dengan keamanan informasi.

Pentingnya Manajemen Kontrol Keamanan pada Sistem

Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan hidup  bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi  meningkatkan kesuksusesan yang kompetitif dalam  semua sektor ekonomi.

Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai  penipuan, spionase, virus, dan hackers sudah mengancam informasi bisnis  manajemen oleh karena meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.

Mengapa harus mengamankan informasi?

Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi dari  gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan.

Bagaimana mengamankannya?

Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:

Planning

Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:

1)      strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,

2)      tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,

3)      operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi.

Integrity

·         Integrity merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang (authorized). Untuk aplikasi e-procurement, aspek integrity ini sangat penting. Data yang telah dikirimkan tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya sistem e-procurement.

·        Contoh : e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.

·        Bentuk serangan : Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain.

  Confidentiality (Kerahasiaan)

·         Definisi :  aspek yang menjamin kerahasiaan data atau informasi. Sistem yang digunakan untuk mengimplementasikan e-procurement harus dapat menjamin kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat batalnya proses pengadaan. Kerahasiaan ini dapat diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean) pada transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data (storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi pihak yang tidak berhak.

·        Privacy : lebih kearah data-data yang sifatnya privat ,  informasi yang tepat terakses oleh mereka yang berhak ( dan bukan orang lain). Contoh : e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator.

·        Confidentiality atau kerahasiaan adalah pencegahan bagi mereka yang tidak berkepen-tingan dapat mencapai informasi,  berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut.

·        Contoh : data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya.

·        Bentuk Serangan : usaha penyadapan (dengan program sniffer).

·        Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi.

  Availability

·        Defenisi  bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem tidak dapat diakses sehingga penawaran tidak dapat diterima

·        .Contoh hambatan :
a)      “denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
b)      mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.

·        Dampak hambatan : sistem informasi yang diserang atau dijebol dapat  menghambat atau meniadakan akses ke informasi.

Manfaat:

·         Memastikan agar organisasi memiliki kontrol dalam hal keamanan informasi terhadap lingkungan bisnis, pada prosesnya yang mungkin akan menimbulkan resiko atau gangguan.

·         Operasional organisasi atau perusahaan dapat berjalan dengan baik karena tugas, tanggung jawab serta proses bisnis terdefinisi dengan jelas.

·         Membantu organisasi dalam menjalankan sebuah perubahan-perubahan yang baik serta berkesinambungan dalam pengelolaan keamanan informasi.