+6281252334881

blog Detail

10 June

Definisi Keamanan Informasi & 3 Aspek Di dalamnya

Di masa ini dimana teknologi informasi telah melekat dan menjadi salah satu aspek dari kehidupan masyarakat terdapat suatu ancaman keamanan informasi yang perlu untuk ditangani. Pada saat ini sebagian besar perusahaan, organisasi, atau instansi telah mengadopsi teknologi untuk mendukung proses operasional dan perkembangan bisnis mereka.

Namun tanpa disadari, teknologi informasi yang diterapkan pada perusahaan/organisasi/instansi tidak diimbangi dengan sistem keamanan informasi yang memadai dan sesuai dengan standar keamanan yang berlaku. Hal tersebut disebabkan karena banyak dari mereka yang belum memahami prinsip-prinsip pengamanan yang sesuai dengan standar dan peraturan yang berlaku, dan juga penerapannya tidak melalui tahap siklus hidup keamanan informasi.

 

Definisi Keamanan Informasi

Sebelum beranjak ke pembahasan lebih lanjut, definisi dari keamanan informasi secara umum adalah seperangkat strategi, aturan, pedoman, praktik untuk melindungi kerahasiaan, ketersediaan, dan integritas data serta mencegah akses, penggunaan, modifikasi, pencatatan, dan penghancuran informasi yang tidak sah.

Keamanan informasi tidak hanya bisa diterapkan pada aspek teknologi informasi saja, akan tetapi perusahaan/instansi harus memiliki suatu pemahaman agar ketika terdapat suatu masalah yang muncul, perusahaan/instansi dapat secara cepat dan tepat menanganinya. Dengan demikian kebutuhan akan keamanan informasi dapat terpenuhi melalui pengelolahan secara menyeluruh di setiap aspek perusahaan/organisasi.

Dengan memiliki pemahaman yang baik tentang keamanan informasi, serta penerapan kebijakan, strategi, aturan, dan pedoman yang tepat dan sesuai dengan standar dan peraturan yang berlaku, maka perusahaan/organisasi dapat meminimalisir adanya masalah atau risiko sistem yang muncul dengan lebih baik.

Dalam menerapkan Keamanan Informasi, perusahaan/organiasasi harus memperhatikan 3 aspek yaitu Confidentially, Integrity, dan Availability (CIA). Pada umumnya ketika serangan, masalah, risiko yang mengancam keamanan informasi muncul, maka setidaknya terdapat salah satu dari aspek CIA yang akan menjadi target dari serangan tersebut. 

 

3 Aspek dalam Keamanan Informasi 

What Is The Cia Triad 431804671 550x500pxSumber : klikgss.com

 

Confidentiality

Menurut ISO 27000, confidentiality (kerahasiaan) dideskripsikan sebagai suatu properti bahwa informasi tidak akan tersedia atau diungkapkan kepada individu, entitas, atau proses yang tidak sah. Tidak hanya itu kerahasiaan juga harus dijaga dari kebocoran informasi disebabkan oleh suatu individu/entitas dari dalam maupun dari luar perusahaan/oeganisasi. Oleh karena hal tersebut, kerahasiaan juga memiliki definisi lain yaitu perlindungan dari pengungkapan atau penyalahgunaan informasi yang tidak sah.

Confidentiality (kerahasiaan) memiliki 2 kata kunci penting dalam penerapanya yaitu Authentication (autentifikasi) dan Authorization (otorisasi). Berikut adalah penjelasan dari kata kunci tersebut.

  • Authentication (Otentikasi) yang mencakup proses yang memungkinkan sistem untuk menentukan suatu identitas pengguna yang akan masuk ke dalam sistem. Otentikasi memuat kata sandi dan teknik lengkap yang tersedia untuk membangun identitas seperti biometrik, token keamanan, kunci kriptografi, dan sejenisnya.
  • Authorization (Otorisasi) yang bertugas untuk menentukan siapa yang berhak mengakses suatu data atau informasi yang berada di dalam sistem. Sistem akan mengenali pengguna yang memang memiliki suatu tanda pengenal, akan tetapi tidak semua pengguna diperbolehkan untuk mengakses data ataupun fitur tertentu di dalam sistem. Salah satu cara/teknik yang dapat diterapkan oleh perusahaan/organisasi dalam menjaga kerahasiaan mereka adalah dengan membangun suatu mekanisme pembatasan akses informasi dan data. Dengan begitu ketika terdapat pengguna yang akunnya telah diretas atau mungkin memamng pengguna tersebut ingin menyalahgunakan wewenangnya ataupun ada seseorang yang tidak memiliki izin tidak dapat mengakses ataupun mengetahui data sensitif yang ada pada perusahaan/organisasi.

 

Integrity

Menurut ISO 27000, Intergerity (integritas) berhubungan dengan akurasi dan kelengkapan data dan informasi. Data dan informasi yang berada di dalam perusahaan/organisasi harus dijaga dalam keadaan yang benar dan tidak seorang pun boleh memodifikasinya dengan tidak semestinya, baik secara tidak sengaja atau ingin melakukan kejahatan. Integritas yang dirancang bertujuan untuk melindungi data dari penghapusan atau modifikasi dari pihak yang tidak berwenang, dan memastikan bahwa ketika orang yang berwenang membuat perubahan yang seharusnya tidak dilakukan, kerusakan dapat dibalik.

Banyak teknik dan metode yang dapat diterapkan untuk menjaga integritas data seperti penetapan aturan untuk pengaksesan data tertentu yang diberlakukan di sebagian sistem operasi. Teknik lain yang dapat diterapkan untuk menjaga integritas data adalah dengan melakukan pencadangan data yang terjadwal dan cermat.

Pelanggaran pada aspek integritas memang kurang umum atau jelas dibandingkan dengan pelanggaran terhadap dua aspek lainnya. Pelanggaran terhadap integritas juga perlu diperhatikan karena di beberapa kasus ketika suatu pelanggaran aspek integritas muncul dapat mempengaruhi pengambilan keputusan atau peretasan sistem keuangan yang bertujuan untuk ecara singkat meningkatkan nilai saham atau rekening bank dan kemudian menyedot kelebihannya. Contoh serangan yang lebih sederhana dan umum terhadap integritas data adalah serangan defacement, di mana peretas mengubah HTML situs web untuk merusaknya demi kesenangan atau alasan ideologis.

 

Availability

Menurut ISO 27000, Availability (Ketersediaan) adalah kemudahan akses dan penggunaan yang sesuai dengan permintaan oleh entitas yang berwenang. Maksud dari definisi tersebut adalah pengguna yang memiliki kewenangan dapat mengakses data dan informasi dimanapun dan kapanpun mereka perlu untuk melakukannya. Tidak hanya data dan informasi saja, akan tetapi mekanisme otentikasi, saluran akses, dan sistem operasi semuanya harus berfungsi dengan baik untuk melindungi informasi dan data yang berada di dalamnya dan memastikan ketersediaan data dan informasi tersebut saat dibutuhkan.

Cara terbaik dalam memastikan ketersediaan adalah dengan menjaga semua sistem yang ada dan memastikan bahwa mereka mampu untuk menangani beban jaringan yang diharapkan. Tidak hanya sistem, akan tetapi perangkat keras juga harus dijaga kemutahirannya, pemantauan bandwidth, dan menyediakan kapasitas failover sistem. Manajemen risiko dan perencanaan aturan dan strategi untuk pemulihan bencana juga akan membantu dalam menjaga ketersediaan.

 

Siklus hidup Keamanan Informasi

Menurut NIST (National Institute of Standards and Technology) Special Publication 80014, “Generally Accepted Principles and Practices for Securing Information Technology Systems.”. Siklus hidup keamanan informasi merupakan tahapan atau fase yang harus dilalui pada pengembangan keamanan computer. Siklus hidup keamanan informasi dibagi menjadi lima fase dasar yaitu inisiasi, pengembangan/akusisi, impelementasi, operasi dan pembuangan.

Lifecycle1

 

Inisiasi

Inisiasi merupakan fase awal yang dibutuhkan untuk menetapkan tujuan dari sistem dikembangkan. Di sisi keamanan informasi pada fase ini dilakukan penillaian (asessment) sensitivitas untuk melihat tingkat kesensitifan dari suatu data dan informasi yang diproses dan sistem itu sendiri.

 

Pengembangan/Akusisi

Pengembangan/Akusisi merupakan fase dimana sistem dirancang, dikembangkan, dibeli, atau dikonstruksikan. Pada fase ini terdapat hal-hal yang perlu dipertimbangkan antara lain sebagai berikut.

  1. Penentuan persyaratan keamanan yang merupakan bagian dari persyaratan sistem yang akan dikembangkan. Persyaratan ini dapat dinyatakan sebagai fitur teknis (misalnya, kontrol akses), jaminan (misalnya, pemeriksaan latar belakang untuk pengembang sistem), atau praktik operasional (misalnya, kesadaran dan pelatihan).
  2. Memasukkan Persyaratan Keamanan Ke dalam Spesifikasi untuk memberitahukan kepada pengguna tentang informasi keamanan yang tersedia saat menggunakan sistem. Informasi ini perlu divalidasi, diperbarui, dan diatur ke dalam persyaratan dan spesifikasi perlindungan keamanan terperinci yang digunakan oleh perancang atau pembeli sistem.
  3. Mendapatkan Sistem dan Aktivitas Keamanan Terkait yang mencakup pengembangan fitur keamanan sistem, pemantauan proses pengembangan itu sendiri untuk masalah keamanan, menanggapi perubahan, dan memantau ancaman. Ancaman atau kerentanan yang mungkin muncul selama fase pengembangan termasuk Trojan Horse, kode yang salah, alat pengembangan yang tidak berfungsi dengan baik, manipulasi kode, dan orang dalam yang ingin berbuat jahat.

 

Implementasi

Implementasi merupakan fase dimana suatu sistem akan diuji dan diterapkan pada proses operasional bisnis perusahaan/organisasi. Hal-hal seperti berikut harus ikut dipertimbangkan selama fase ini : 

  1. Pengaktifan Kontrol yang sering kali diabaikan yang diperoleh ketika sistem yang dilengkapi dengan fitur keamanan yang dinonaktifkan. Hal tersebut perlu diaktifkan dan dikonfigurasi.
  2. Pengujian keamanan yang mencakup pengujian bagian-bagian tertentu dari sistem yang telah dikembangkan atau diperoleh dan pengujian seluruh sistem. Contoh area yang mempengaruhi keamanan seluruh sistem diantaranya Manajemen keamanan, fasilitas fisik, personel, prosedur, penggunaan layanan komersial atau internal (seperti layanan jaringan), dan perencanaan kontinjensi.
  3. Akreditasi keamanan sistem yang merupakan otorisasi formal oleh pejabat akreditasi (manajemen) untuk operasi sistem dan penerimaan risiko secara eksplisit. Biasanya didukung oleh tinjauan sistem, termasuk manajemen, operasional, dan kontrol teknisnya.

 

Operasi/Pemeliharaan

Operasi/Pemeliharaan merupakan fase dimana sistem akan dipantau dan dipelihara. Tidaka hanya itu sewaktu-waktu sistem akan dimodifikasi untuk memenuhi kebutuhan baru pengguna. Terdapat beberapa hal yang harus dipertimbangkan dalam fase ini :

  1. Operasi dan Administrasi Keamanan. Pengoperasian suatu sistem melibatkan banyak aktivitas keamanan yang dibahas dalam publikasi ini. Melakukan pencadangan, mengadakan kelas pelatihan, mengelola kunci kriptografi, mengikuti administrasi pengguna dan hak akses, dan memperbarui perangkat lunak keamanan adalah beberapa contohnya.
  2. Jaminan Operasional yang memeriksa apakah suatu sistem dioperasikan sesuai dengan persyaratan keamanan saat ini. Ini mencakup tindakan orang yang mengoperasikan atau menggunakan sistem dan berfungsinya kontrol teknis.
  3. Audit dan Pemantauan untuk mempertahankan jaminan operasional, organisasi menggunakan dua metode dasar: audit sistem dan pemantauan. Istilah-istilah ini digunakan secara longgar dalam komunitas keamanan komputer dan sering tumpang tindih. Audit sistem adalah peristiwa satu kali atau berkala untuk mengevaluasi keamanan. Pemantauan mengacu pada aktivitas berkelanjutan yang memeriksa sistem atau pengguna. Secara umum, semakin "real-time" suatu aktivitas, semakin masuk dalam kategori pemantauan.

 

Pembuangan

Pembuangan merupakan bagian dari siklus hidup sistem dimana akan dilakukan disposisi pada informasi, hardware dan software. Item yang harus dipertimbangkan dalam fase ini adalah sebagai berikut.

  1. Informasi dapat dipindahkan ke sistem lain, diarsipkan, dibuang, atau dihancurkan. Saat mengarsipkan informasi, terdapat metode yang harus dipertimbangkan untuk mengambil informasi yang dibutuhkan di masa mendatang. Tindakan mungkin juga harus diambil untuk penggunaan data yang telah dienkripsi di masa mendatang, seperti mengambil langkah-langkah yang tepat untuk memastikan penyimpanan kunci kriptografik jangka panjang yang aman. Penting untuk mempertimbangkan persyaratan hukum untuk penyimpanan arsip saat membuang sistem TI. Untuk sistem federal, pejabat manajemen sistem harus berkonsultasi dengan kantor agensi mereka yang bertanggung jawab untuk menyimpan dan mengarsipkan catatan federal.
  2. Sanitasi Media. Penghapusan informasi dari media penyimpanan dengan cara menghapus informasi dan menghancurkan informasi sehingga menjadikannya tidak dapat untuk dipulihkan.

 

Refrensi :

https://www.logique.co.id/blog/2021/02/18/keamanan-informasi/

https://itgid.org/manajemen-keamanan-informasi-perusahaan/

https://itgid.org/siklus-hidup-keamanan-informasi-perusahaan/

https://www.csoonline.com/article/3519908/the-cia-triad-definition-components-and-examples.html

https://www.forcepoint.com/cyber-edu/cia-triad

Bitzer, M., Brinz, N., & Ollig, P. (2021). Disentangling the Concept of Information Security Properties - Enabling DISENTANGLING THE CONCEPT OF INFORMATION SECURITY PROPERTIES - ENABLING EFFECTIVE INFORMATION SECURITY GOVERNANCE. ECIS 2021 Research Papers, 134(May). https://aisel.aisnet.org/ecis2021_rp/134

ISO/IEC 27000, Nunes CQSI Ariosto Farias Junior MÓDULO Alberto Bastos MÓDULO Marcelo Gherman, F., Apresentação, Wang, L., Wijesekera, D., Jajodia, S., Va, F., & Operation, S. (2018). INTERNATIONAL STANDARD ISO / IEC Information technology — Security techniques — Information security management systems — Overview and. ACM Workshop on Formal Methods in Security Engineering.Washington, DC, USA, 34(19), 45–55. https://doi.org/10.1016/j.im.2003.02.002

Swanson, M., & Guttman, B. (1996). NIST Special Publication 800-14, "Generally Accepted Principles and Practices for Securing Information Technology Systems ". https://doi.org/10.6028/NIST.SP.800-14

 

Ingin tahu informasi menarik lainnya, silahkan kunjungi website kami yang lain di :

https://fittechinova.com/

 

Dan jangan lupa follow media sosial kami

Instagram          : fittechinova

linkedin              : https://www.linkedin.com/company/fti-global

Facebook           : Fit Tech Inova Global