Informasi adalah salah suatu asset penting dan sangat
berharga bagi kelangsungan hidup bisnis dan disajikan dalam berbagai format
berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu,
manajemen informasi penting bagi meningkatkan kesuksusesan yang kompetitif
dalam semua sektor ekonomi. Tujuan manajemen informasi adalah untuk melindungi
kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai
penipuan, spionase, virus, dan hackers sudah mengancam informasi bisnis
manajemen oleh karena meningkatnya keterbukaan informasi dan lebih sedikit
kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai
konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra usaha,
auditor,dan stakeholders lainnya menuntut adanya manajemen informasi yang
efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan
meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa
keamanan.
Keamanan Informasi adalah suatu upaya untuk
mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan
bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi”
atau IT Security.
Keamanan
informasi terdiri dari perlindungan terhadap aspek-aspek berikut :
a. Confidentiality (kerahasiaan) aspek yang
menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya
dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang
dikirim, diterima dan disimpan.
b. Integrity (integritas) aspek yang menjamin bahwa
data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga
keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek
integrity ini.
c. Availability (ketersediaan) aspek yang menjamin
bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat
menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana
diperlukan). Keamanan informasi diperoleh dengan mengimplementasi seperangkat
alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan,
praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti
lunak.
Informasi yang merupakan aset harus dilindungi
keamanannya. Keamanan bisa dicapai dengan beberapa strategi yang biasa
dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang
lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada
masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah:
1. Physical Security yang memfokuskan strategi untuk
mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari
berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana
alam.
2. Personal Security yang overlap dengan
‘phisycal security’ dalam melindungi orang-orang dalam organisasi.
3. Operation Security yang memfokuskan strategi
untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa
gangguan.
4. Communications Security yang bertujuan
mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan
untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
5. Network Security yang memfokuskan pada pengamanan
peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan
untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data
organisasi.
Manajemen keamanan informasi memiliki tanggung jawab
untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya,
yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
a. Planning
Planning
dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1. Strategic planning
2. Tactical planning
3. Operational planning
b. Policy
Dalam
keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
1. Enterprise Information Security Policy (EISP)
2. Issue Spesific Security Policy
(ISSP)
3. System Spesific Policy (SSP)
c. Programs
Adalah
operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian.
d. Protection
Fungsi
proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi
perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi,
teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat
keras.
e. People
Manusia
adalah penghubung utama dalam program keamanan informasi.
Sebuah
system harus mempunyai tiga properti (sifat), yaitu :
a. Integritas,
b. Audibilitas,
c. Daya kontrol
Kontrol
Proses Pengembangan
Tujuan dari
kontrol pengembangan adalah untuk memastikan bahwa CBIS yang diimplementasikan
dapat memenuhi kebutuhan pemakai. Yang termasuk dalam kontrol pengembangan :
1. Manajemen puncak menetapkan kontrol proyek secara
keseluruhan selama fase perencanaan dengan cara membentuk komite MIS.
2. Manajemen memberitahu pemakai mengenai
orientasi CBIS.
3. Manajemen menentukan kriteria
penampilan yang digunakan dalam mengevaluasi operasi CBIS.
4. Manajemen dan bagian pelayanan
informasi menyusun disain dan standar CBIS.
5. Manajemen dan pelayanan informasi secara
bersama-sama mendefinisikan program pengujian yang dapat diterima.
6. Manajemen melakukan peninjauan sebelum
instalasi yang dilakukan tepat setelah penggantian dan secara berkala meninjau
CBIS untuk memastikan apakah ia memenuhi kriteria penampilan.
7. Bagian pelayanan informasi menetapkan
prosedur untuk memelihara dan memodifikasi CBIS dan prosedur yang disetujui
oleh manajemen.
Manajemen
dapat melakukan kontrol dengan tiga cara, yaitu :
- Manajemen
dapat melakukan kontrol langsung, yaitu mengevaluasi kemajuan dan penampilan,
dan menentukan tindakan koreksi apa yang harus dilakukan
- Manajemen
mengontrol CBIS secara tidak langsung dengan terus menerus melalui CIO.
- Manajemen
mengontrol CBIS secara tidak langsung berkenan dengan proyeknya melalui pihak
ketiga.
Referensi :
http://kyfi.wordpress.com/2011/11/14/pentingnya-manajemen-kontrol-keamanan-pada-sistem/
http://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-manajemen-kontrol-keamanan-pada-sistem/
http://edysoewanto.wordpress.com/2010/11/18/pentingnya-manajemen-kontrol-keamanan-pada-sistem/
0 komentar:
Posting Komentar