Oleh: aanalbone | Januari 24, 2011

Pembuatan Rencana Keamanan Informasi Berdasarkan Analisis dan Mitigasi Risiko Teknologi Informasi

Pembuatan Rencana Keamanan Informasi
Berdasarkan Analisis dan Mitigasi Risiko Teknologi Informasi
Aan AlBone
Jurusan Teknik Informatika, Universitas Pasundan
aanalbone@yahoo.com

Abstrak
Rencana keamanan informasi yang terdiri dari strategi dan pembagian tanggungjawab, bertujuan untuk menurunkan risiko, yang berpotensi menjadi ancaman dan gangguan yang dapat menghentikan operasional perusahaan. Penyusunan rencana keamanan sebaiknnya diawali dengan proses analisis dan mitigasi risiko teknologi informasi, agar strategi keamanan yang diusulkan dapat secara efektif menurunkan risiko yang telah diidentifikasi melalui analisis dan mitigasi risiko. Proses analisis risiko selain menghasilkan identifikasi risiko, juga memberikan rekomendasi kontrol keamanan yang sesuai dengan risiko yang akan diturunkan. Kontrol keamanan yang direkomendasikan pada analisis risiko, selanjutnya akan dinilai kembali dari aspek efektivitas dan efisiensi dalam menurunkan setiap risiko, pada proses mitigasi risiko, sehingga proses ini akan memberikan dasar yang kuat dalam menentukan rencana keamanan informasi yang menyeluruh, efektif dan efisien, karena didasarkan dengan prioritas impelementasinya.
Kata Kunci : Analisis risiko, Mitigasi risiko, Rencana Keamanan Informasi

 

1. Pendahuluan
Pada artikel lembaga Information Ass Spring (2008) dijelaskan bahwa rencana keamanan informasi (information security planning) merupakan susunan strategi yang diterapkan untuk mengurangi kelemahan dan menurun potensial ancaman dan risiko terkait dengan teknologi informasi yang berjalan, sehingga kemudian dapat melakukan proses untuk meredakan risiko (risk mitigation), dan melakukan kontrol dan evaluasi.[3]
Komponen dari rencana keamanan meliputi, kebijakan, standard dan prosedur keamanan informasi (policy), kontrol pengelolaan Sumber Daya Manusia (SDM) untuk keamanan informasi (people), dan kontrol teknologi keamanan informasi (technology). Kontrol yang dimaksud adalah langkah implementasi yang spesifik dan prosedural. Sedangkan yang akan menjadi kebutuhan penting rencana ini adalah permintaan akan level pengamanan yang diinginkan.[3]
Rencana keamanan menjadi sangat penting, karena sebagai dasar dalam mengembangan suatu business continuity plan, yang berisi tentang langkah dan prosedur untuk selalu menjaga keberlangsungan bisnis yang dapat saja terganggu dengan gangguan yang mungkin dapat terjadi.
Pada dokumen Information Security Plan Template, yang dikelurkan oleh OTDA, keamanan informasi mengandung konsep lainnya, yaitu pengelolaan risiko, kebijakan (policy), prosedur (procedure), standar (standards), petunjuk (guidelines), klasifikasi informasi (information clasification), operasi keamanan (security operations) dan security awareness.[2]

Gambar 1. CIA triangle [1]
Sesuai dengan gambar diatas, Muhammad Sholeh (2007) menjelaskan bahwa terdapat prinsip-prinsip penting dari sebuah rencana keamanan informasi (information security), ialah kerahasian (confidentiality), keutuhan data (integrity) dan ketersediaan (availability). CIA adalah standar yang digunakan banyak pihak untuk mengukur keamanan sebuah sistem. Prinsip-prinsip keamanan informasi, ialah sebagai berikut: :[4]
- Kerahasiaan (confidentiality), yaitu membatasi akses informasi hanya bagi pengguna tertentu dan mencegah orang yang tidak berhak memperoleh informasi tersebut. Implementasi konsep confidentiality salah satunya adalah user ID dan password dalam skema otentikasi.
- Keutuhan data/informasi (integrity), yaitu taraf kepercayaan terhadap sebuah informasi. Dalam konsep ini tercakup data integrity dan source integrity. Keutuhan data terwujud jika data/informasi belum diubah (masih asli), baik perubahan yang terjadi karena kesalahan atau dilakukan sengaja oleh seseorang.
- Ketersediaan (availability), yaitu ketersediaan, betul sekali. Availability yang dimaksud adalah ketersediaan sumber informasi. Jika sebuah sumber informasi tidak tersedia ketika dibutuhkan, bahkan bisa lebih buruk lagi. Ketersediaan ini bisa terpengaruh oleh faktor teknis, faktor alam maupun karena faktor manusia. Meskipun ada tiga faktor yang berpengaruh, tetapi umumnya manusia adalah link paling lemahnya. Karenanya, wajar jika Anda perlu memperhatikan perlunya menggunakan tools untuk data security, misalnya sistem backup atau anti virus.
Selanjutnya Amti Sodiq (2009) menjelaskan bahwa pada sebuah rencana keamanan, harus dapat mengkombinasikan peran dari kebijakan, teknologi dan orang. Dimana manusia (people), yang menjalankan proses membutuhkan dukungan kebijakan (policy), sebagai petunjuk untuk melakukannya, dan membutuhkan teknologi (technology), merupakan alat (tools), mekanisme atau fasilitas untuk melakukan proses. [1]

Gambar 2. People, policy and technology model

Sebuah rencana keamanan informasi, harus mampu menggambarkan langkah yang sistematis untuk menurunkan risiko, dengan cara mengimplementasikan kontrol keamanan berdasarkan sasarannya. Jenis kontrol berdasarkan sasarannya, sebagai berikut:
1. Kontrol administrasi (administrative security), kontrol yang dilakukan terhadap internal seperti penyusunan kebijakan, prosedur, standar, dan petunjuk, guna pengamanan informasi.
2. Kontrol logik (logical control), yaitu kontrol teknikal yang dilakuakan untuk pengamanan informasi, antara lain dengan misalnya menggunakan passwords, authentication control, firewalls, intrusion detection, dan anti-virus.
3. Kontrol fisik (physical control), yaitu kontrol secara fisik yang dilakukan untuk pengamanan informasi dari penyalahgunaan (misuse), pencurian (theft), perusakan (vandalism), bencana alam (natural disasters).
Kontrol keamanan tidak terlepas dari perlindungan terhadap aset informasi yang sensitif. Enterprise Information Technology services (2001), dalam artikelnya yang berjudul “Information Classification Standard”, menjelaskan bahwa informasi diklasifikasikan menjadi informasi sensitif dan kritikal. Informasi sensitif terkait dengan kerahasiaan (confidentiality) dan integritas data (integrity), sedangkan informasi kritikal terkait dengan ketersediaan data (availability) . [5]
Berdasarkan uraian diatas, maka rencana keamanan akan berisi tentang penentuan kombinasi kontrol keamanan informasi yang digunakan, serta prioritas dalam melakukan implementasinya. Dibawah ini merupakan isi/konten dasar pada dokumen rencana keamanan informasi (information security plan), antara lain:
1. Ancaman dan kelemahan, merupakan proses untuk mereview hasil tahapan penilaian risiko, dengan mengambil informasi mengenai sesuatu yang dapat menganggu kegiatan organisasi jika terjadi (ancaman), yang memanfaatkan kerawanan/kelemahan yang dimiliki oleh perusahaan.
2. Tujuan dan sasaran, merupakan proses menentukan target dan lingkup keamanan informasi yang ingin dicapai, sehingga dapat fokus pada aspek keamanan yang akan diselesaikan. Sasaran keamanan informasi menggambarkan spesifik hasil, kejadian atau manfaat yang ingin di capai sesuai dengan tujuan keamanan yang ditetapkan.
3. Aaturan dan tanggungjawab, merupakan proses menyusun aturan dan penanggungjawab, yang akan mengatur kegiatan sebagai upaya untuk menurunkan risiko keamanan informasi yang bersumber dari ancaman dan kelemahan.
4. Strategi dan kontrol keamanan, merupakan proses untuk memberikan prioritas aksi yang akan dilakukan untuk mencapai tujuan dan sasaran keamanan informasi yang telah ditetapkan. Prioritas aksi tersebut sebagai pengaman untuk menjaga kerahasiaan, keutuhan dan ketersediaan informasi, dengan penentuan kontrol keamanan yang sesuai dengan tujuan dan sasaran yang diinginkan.
Kontrol yang telah ditentukan pada rencana keamaanan informasi, diharapkan dapat secara efektif meredakan risiko gangguan terhadap keamanan informasi pada perusahaan. Salah satu jenis kontrol yang menentukan keberhasilan keamanan informasi pada sebuah organisasi ialah kebijakan (policy) tentang keamanan informasi. Penjelasan tetang kebijakan keamanan informasi, akan dibahas pada bagian selanjutnya.
2. Hasil Analisis Risiko
Analisis risiko pada akhirnya akan memberikan hasil identifikasi risiko, beserta rekomendasi kontrol keamanan yang terkait dengan upaya menurunkan risiko terserbut. Tahapan tersebut dinamakan rekomendasi kontrol. Pada tahap control recommendations ini, dilakukan menyampaikan beberapa rekomendasi kontrol yang dapat diharapkan mampu meredakan atau mengurangi risiko yang ada. Adapun dasar dari rekomendasi sebuah kontrol ialah kemampuan kontrol tersebut dalam menurunkan risiko, berdasarkan penjelasan literatur dan best practice. Penilaian terhadap evaluasi dan analisis cost-benefit dan cost-effectiveness dari setiap kontrol akan dilakukan pada tahap risk mitigation, sehingga akan diperoleh penilaian yang tidak hanya didasarkan pada literatur atau best practice, tetapi akan dianalisis kesesuaian dan kemampuan dalam menurunkan risiko.
Control recommendation akan menjadi hasil dari proses risk assessment dan akan menjadi input bagi proses risk mitigation, serta akan menjadi rekomendasi prosedur dan teknik dalam perencanaan keamaan informasi yang akan diimplementasikan kedepan.
Adapun rekomendasi yang dihasilkan dari atau analsisi risiko diatas, sebagai berikut:
- Risiko yang terkategori pada level “Low”, dengan rangking 1 sampai 5, bernilai risiko rendah, sehingga yang dapat diterima.
- Risiko yang terkategori pada level “Medium”, dengan ranking 6 sampai 10 bernilai menengah, dengan rekomendasi risiko tidak dapat diterima, sehingga risiko tersebut harus dihilangkan, dikurangi atau dipindahkan.
- Risiko yang terkategori pada level “High”, dengan ranking 12 sampai 16 bernilai tinggi, dengan rekomendasi risiko tidak dapat diterima, sehingga risiko tersebut harus dihilangkan, dikurangi atau dipindahkan.
Tabel 1. Identifikasi risiko (1)

Tabel 2. Identifikasi risiko (2)

Tabel 3. Identifikasi risiko (3)

Tabel rekomendasi kontrol akan menjadi hasil dari tahap analisis risiko, yang selanjutnya akan menjadi input bagi tahap risk mitigation, akan melakukan evaluasi, analisis cost-benefit, cost effectiveness terhadap kontrol keamanan yang direkomendasikan, dan pada akhirnya akan dipilih. Pembahasan tentang tahap proses mitigation, akan dijelaskan pada bagian selanjutnya.
3. Hasil Mitigasi Risiko
Proses mitigasi risiko merupakan upaya dalam menilai kontrol keamanan yang secara efektif dan efisien dapat menurunkan risiko teknologi informasi yang berpotensi terjadi. Tahapan pada mitigasi risiko antara lain adalah tahap analisis effectiveness-cost dan cost-benefit analysis. Pada tahap analisis effectiveness-cost kontrol keamanan, akan dilakukan berdasarkan tahapan, sebagai berikut:
1. Melakukan identifikasi investasi dalam rangka implementasi kontrol keamanan yang telah direkomendasikan pada tahapan sebelumnya
2. Menghitung nilai prioritas, setiap investasi
3. Menentukan rangking prioritas investasi.

Tahap pertama ialah mengidentifikasi investasi dalam rangka implementasi kontrol keamanan, yang telah direkomendasikan. Adapun investasi tersebut ialah sebagai berikut:
Tabel 4. Investasi kontrol

Tahap kedua ialah menghitung nilai prioritas, dengan membandingkan efektivitas antar kontrol keamanan satu dengan lainnya, berdasarkan kemampuannya untuk mencapai tiga aspek keamanan informasi, yaitu confidentiality, integrity dan availability. Adapun hasil dari identifikasi dan perbandingan tersebut, sebagai berikut:
Tabel 5. Penilaian investasi (1)

Tabel diatas, menjelaskan ranking prioritas dari kontrol keamanan yang direkomendasikan. Data ini diharapkan dapat menjadi bahan pertimbangan dalam perencanaan keamanan informasi, akan dapat diketahui prioritas impelementasi kontrol agar dapat efektif dalam mencapai tujuan dan sasaran keamanan informasi.
Tabel 6. Penilaian investasi (2)

Berdasarkan hasil dari cost-benefit analysis, pihak manajemen menentukan beberapa rekomendasi yang memiliki cost-effectivenessuntuk mampu mengurangi dan menghilangkan risiko, maka rekomendasi kontrol yang dipilih untuk digunakan, sebagai berikut:

Tabel 7. Penilaian investasi (3)

Pemilihan kontrol telah menyajikan hasil evaluasi, yang menyatakan bahwa seluruh kontrol telah sesuai dengan kerawanan/kelemahan yang akan dikurangi dan mampu menurunkan risiko dibawah maksimum risiko. Sedangkan analisis cost-benefit, yang menyatakan bahwa delapan belas kontrol yang direkomendasikan dapat mengurangi minimum resiko dengan biaya implementasi yang lebih kecil dibanding biaya (nilai risiko) jika tidak diimplementasi.
Analisis cost effectiveness memberikan prioritas dalam mengimplementasikan kontrol-kontrol tersebut, berdasarkan efektvitasnya dalam mencapai tujuan keamanan informasi (confidentiality, integrity, dan availability). Berdasarkan hasil evaluasi dan analisis diatas, maka dapat disimpulkan bahwa delapan belas kontrol diatas dipilih untuk diimplementasikan.
Tindakan selanjutnya setelah rekomendasi kontrol dipilih untuk diimplementasikan ialah menugaskan orang dengan deskripsi tugas tertentu, sebagai orang yang akan bertanggungjawab pada pengendalian perangkat untuk mengurangi dan menghilangkan risiko.Selanjutnya akan dibuat sebuah rencana implementasi pengamanan yang lengkap dan rinci. Rencana tersebut berisi informasi hasil-hasil tahapan risk mitigation sebelumnya, yaitu antara lain:
a. Pilihan kontrol (selected planned control)
b. Prioritas aksi (prioritize action)
c. Kebutuhan sumber daya untuk implementasi kontrol (required resources for implementing the selected planned control)
d. Penugasan personil yang bertanggungjawab (list of responsible team and staff)
Tabel 8. Implementasi Kontrol (1)

Tabel 9. Implementasi Kontrol (2)

Tabel 10. Implementasi Kontrol (3)

Kontrol keamanan yang telah ditelah dipilih, berdasarkan proses evaluasi, analisis cost-benefit dan cost-effectiveness, pada tabel ini dijelaskan kebutuhan sumber daya yang harus dimiliki, serta tim implementator dari setiap kontrol keamanan, sehingga diharapkan dapat memberikan gambaran terhadap proses perencanaan keamanan informasi. Proses perencanaan keamanan informasi akan dijelaskan pada bagian selanjutnya.
4. Rencana Keamanan Teknologi Informasi
Rencana keamanan informasi perusahaan, menyajikan tujuan, sasasan dan rencana dari kegiatan untuk mencapai keamanan sumber daya kritikal untuk melindungi informasi. Rencana keamanan merupakan hal yang strategis, yang harus dibangun dengan didahului melakukan penilaian risiko, dan mitigasi risiko.
Rencana keamanan informasi terdiri dari empat hal penting yaitu informasi ancaman dan kelemahan, aturan dan tanggung jawab, tujuan dan sasaran, dan strategi.

Gambar 3. Rencana Keamanan Informasi
Ancaman dan kelemahan akan memberikan informasi mengenai sesuatu yang dapat menganggu kegiatan organisasi jika terjadi dengan memanfaatkan potensi kegagalan atau kelemahan yang dimiliki oleh perusahaan. Perlu diketahui sumber ancaman dan kelemahan tersebut. Selanjutnya dilakukan perlu ditemukan kontrol untuk menurunkan risiko dari ancaman dan kelemahan tersebut, serta priotitas penyelesaiannya.
Aturan dan tanggungjawab akan menunjukkan terdapatnya tata kelola keamanan informasi yang baik, dengan pengelolaan kontrol keamanan yang telah diusulkan. Aturan yang jelas akan sangat menentukan keberhasilan penerapan kotrol keamanan sebagai upaya untuk menurunkan risiko dari terjadinya gangguang yang bersumber dari ancaman dan kelemahan
Tujuan dan sasaran akan menentukan target dan lingkup keamanan informasi yang ingin dicapai, sehingga dapat fokus pada aspek keamanan yang akan diselesaikan. Sasaran keamanan informasi menggambarkan spesifik hasil, kejadian atau manfaat yang ingin di capai sesuai dengan tujuan keamanan yang ditetapkan.
Strategi akan memberikan prioritas aksi yang akan dilakukan untuk mencapai tujuan dan sasaran keamanan informasi yang telah ditetapkan. Prioritas aksi tersebut sebagai pengaman untuk menjaga kerahasiaan, keutuhan dan ketersediaan informasi.

4.1 Ancaman dan Kerawanan
Ancaman dan kerawanan/kelemahan dapat menggambarkan risiko yang berpotensi diterima oleh perusahaan, berdasarkan aset-aset TI yang dinilai pada tahap penilaia risiko (risk assessment), maka dapat dihasilkan informasi kerawanana/kelemahan dan ancamaan, sebagai berikut:

Tabel 11. Kerawanan dan Ancaman (1)

Tabel 12. Kerawanan dan Ancaman (2)

Tabel 13. Kerawanan dan Ancaman (3)

Berdasarkan ancaman dan kelemahan diatas, maka perlu selanjutnya menentukan tujuan dan sasaran rencana keamanan informasi, yang akan dicapai, agar dapat menurunkan risiko yang berpotensi dapat terjadi terhadap perusahaan, berdasarkan ancaman dan kerawanan/kelemahan yang telah diidentifikasi. Dalam penanganan risiko keamanan informasi ini, perlu dibentuk tatakelola keamanan informasi yang baik, agar dapat diambil keputusan dan pertimbangan masalah-masalah keamanan informasi terkait dengan ancaman dan kerawanan/kelemahan yang berhasil diidentifikasi.

4.2 Aturan dan Tanggungjawab
Keamanan informasi tidak hanya terkait dengan masalah teknikal, tetapi juga harus didukung oleh aturan dan tanggungjawab yang dikeluarkan oleh organisasi, berupa tata kelola keamanan informasi (informatioan security governance).
William Conner (2004) menjelaskan bahwa tata kelola keamanan informasi merupakan salah satu bagian dari konsep tata kelola organisasi yang baik (good organization governance), yang terdiri atas sekumpulan kebijakan dan kontrol internal perusahaan yang terkoordinasi dan terkelola.[23]
Dalam konsep tata kelola keamanan informasi, disampaikan bahwa terdapat kumpulan tanggungjawab dan aturan fungsional. Kumpulan tanggung jawab pada keamanan informasi di perusahaan, sebagai berikut:
- Bertanggungjawab mengelola secara keseluruhan berjalannya keamanan informasi perusahaan.
- Bertanggungjawab membuat laporan dan penjelasan kepada konsumen dan umum.
- Bertanggungjawab merancang kebijakan keamanan, prosedur, program dan pelatiahan keamanan informasi.
- Bertanggungjawab melakukan respond terhadap kejadian/insiden keamanan informasi dengan melakukan investigasi, mitigasi, dan penuntutan.
- Bertanggungjawab melakukan respond terhadap laporan hasil audit mengenai keamanan informasi.
- Bertanggungjawab melakukan audit, penilaian kesesuaian dan kebutuhan terhadap kontrol keamanan.
- Bertanggungjawab mengkomunikasikan dan mensosialisasikan kebijakan, program dan pelatihan kepada seluruh karyawan terkait keamanan informasi.
- Bertanggungjawab mengimplementasikan dan melaksanakan seluruh kebijakan, prosedur dan program keamanan informasi, serta melaporkan jika ditemukan kerawanan/kelemahan keamanan.

Adapun aturan fungsional pada tata kelola keamanan informasi, ialah:
- Chief Executive Officer (CEO)
- Chief Security Officer (CSO), atau Chief Information Officer (CIO), atau Chief Risk Officer (CRO), atau Departemen/Agency Head (DH).
- Mid-Level manager.
- Staf atau karyawan.

Berdasarkan kumpulan tanggungjawab dan aturan fungsional, maka dapat kelompokkan sebagai berikut:

Gambar 4. Tanggungjawab dan aturan fungsional

Gambar diatas, menjelaskan hubungan tanggungjawab di bidang keamanan informasi pada sebuah perusahaan, dan aturan fungsional yang terdapat pada strukur organisasi perusahaan, maka pembagian tanggungjawab sebagai berikut:
1. CEO, bertanggungjawab:
- Bertanggungjawab mengelola secara keseluruhan berjalannya keamanan informasi perusahaan.
- Bertanggungjawab membuat laporan dan penjelasan kepada konsumen dan umum.
2. CSO/CIO/CRO/DH, bertanggungjawab :
- Bertanggungjawab merancang kebijakan keamanan, prosedur, program dan pelatiahan keamanan informasi.
- Bertanggungjawab melakukan respond terhadap kejadian/insiden keamanan informasi dengan melakukan investigasi, mitigasi, dan penuntutan.
- Bertanggungjawab melakukan respond terhadap laporan hasil audit mengenai keamanan informasi.
- Bertanggungjawab melakukan audit, penilaian kesesuaian dan kebutuhan terhadap kontrol keamanan.
3. Mid-level Manager, bertanggungjawab:
- Bertanggungjawab melakukan audit, penilaian kesesuaian dan kebutuhan terhadap kontrol keamanan.
- Bertanggungjawab mengkomunikasikan dan mensosialisasikan kebijakan, program dan pelatihan kepada seluruh karyawan terkait keamanan informasi.
4. Staf/Karyawan, bertanggungjawab:
- Bertanggungjawab mengimplementasikan dan melaksanakan seluruh kebijakan, prosedur dan program keamanan informasi, serta melaporkan jika ditemukan kerawanan/kelemahan keamanan.
Tanggungjawab dan aturan fungsional diatas, sangat terkait dengan struktur organisasi yang berlaku di organisasi tersebut, sehingga perlu untuk menampilkan rekomendasi struktur organisasi pada tata kelola keamanan informasi perusahaan, sebagai berikut:

Gambar 5. Rekomendasi Struktur Organiasi Keamanan Informasi (Larger)

Gambar 6. Rekomendasi Struktur Organisasi Keamanan Informasi (Smaller)

Kedua struktur organisasi yang direkomendasikan oleh konsep tata kelola keamanan informasi, selanjutnya perlu melakukan analisis terhadap struktur organisasi perusahaan.
Struktur organisasi perusahaan meletakkan Divisi yang terkait dengan pengelolaan SI dan TI pada level ketiga dari pimpinan puncak, sehingga pengambilan keputusan dan pemberian pertimbangan dalam penetapan kebijakan menjadi tidak memiliki pengaruh besar.
Aspek SI dan TI merupakan bidang yang strategis menentukan jalannya bisnis perusahaan, sehingga harus ikut mempengaruhi keputusan atau kebijakan tertinggi perusahaan, terutama masalah keamanan informasi perusahaan. Gangguan terhadap keamanan informasi dapat berakibat fatal bagi perusahaan, yaitu hilangnya citra atau nama baik perusahaan dan terhentinya jalannya bisnis perusahaan, sehingga akan memberikan kerugian bagi perusahaan dan mengancam jalannya bisnis perusahaan.
Berdasarkan pertimbangan diatas, maka akan direkomendasikan perubahan secara bertahap struktur organisasi perusahaan, yang mengarah pada tatakelola TI yang baik (IT good governance) dan tatakelola keamanan informasi yang baik (Informatioan Security good governance) yang semua itu, mengacu pada konsep besar yaitu tatakelola perusahaan yang baik (corporate good governance).
4.3 Tujuan dan Sasaran
Tujuan dari keamanan informasi perusahaan ialah meningkatkan kemampuan dalam mencegah, melindungi, merespon dan mengembalikan ke kondisi aman dari kejadian gangguan keamanan. Sasaran strategis ialah hal yang spesifik dalam membantu pencapaian tujuan dari keamanan informasi yang ditetapkan pada sebuah rencana keamanan.
Tabel 14. Tujuan dan Sasaran

Keberhasilan dalam mencapai tujuan, akan ditentukan oleh sasaran-sasaran yang mampu dipenuhi. Adapun penjelasan tentang setiap sasaran diatas, dapat dibahas dalam bagian selanjutnya.
Sasaran pertama dari rencana keamanan informasi ialah dapat menentukan kebijakan yang dibutuhkan dalam mendukung implementasi keamanan informasi. Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Kebijakan dan Prosedur klasifikasi informasi, bermanfaat dalam mengatur pelabelan informasi, yang akan membedakan perlakukan terhadap informasi tersebut.
- Kebijakan dan Prosedur dekstop, bermanfaat untuk mendorong prilaku pengguna komputer di perusahaan, untuk mengaktifkan firewall dan password screen server.
- Kebijakan dan Prosedur pencatatan kejadian gangguan keamanan TI, bermanfaat untuk mengatur tentang kewajiban mencatat dan mendokumentasikan kejadian-kejadian gangguan keamanan TI yang pernah terjadi.
- Kebijakan dan Prosedur Ruang DRC, bermanfaat mengatur penempatan ruang DRC yang berbeda dengan ruangan data center.
- Kebijakan dan Prosedur BCP dan DRP, bermanfaat untuk mengatur tentang rencana penanggulangan bencana yang akan dilakukan agar bisnis tetap berjalan, meskipun terjadi bencana.
- Kebijakan dan Prosedur anti petir dan grounded, bermanfaat untuk mengatur tentang pemasangan anti petir dan grounded yang handal dan sesuai dengan skala gangguan yang sering terjadi.
- Prosedur koreksi kesalahan entry, bermanfaat untuk mengatur tentang langkah-langkah dalam melakukan koreksi kesalahan.
- Kebijakan integrasi sistem aplikasi, bermanfaat untuk mengatur menggunakan platform aplikasi dan database tertentu, yang harus diperhatikan oleh pengembang atau vendor.
- Kebijakan mengukur kinerja dan beban sistem, bermanfaat untuk mengatur kegiatan prediksi beban sistem dimasa yang akan datang, sehingga dapat mengantisipasi dengan perencanaan.
- Kebijakan firewall pada jaringan lokal, bermanfaat bermanfaat untuk mengatur pemasangan firewall pada jaringan lokal, untuk mencegah serangan ke server dari jaringan lokal.
- Prosedur pemeliharaan perangkat pendukung, bermanfaat untuk mengatur waktu dan cara pemeliharaan perangkat pendukung (AC dan Listrik)
- Kebijakan dan prosedur pencegahan penyebaran virus, bermanfaat untuk mengatur kegiatan pencegahan penyebaran virus.
- Prosedur backup data dan sistem, bermanfaat untuk mengatur pengujian hasil backup data dan system.
Sasaran yang kedua ialah dapat mengidentifikasi kebutuhan Sumber Daya Manusia (SDM) dalam mendukung keamanan informasi. Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Dengan mengidentifikasi kebutuhan SDM TI di perusahaan, maka akan dapat menjamin pengelolaan sistem TI yang baik.
- Pekerjaan di bidang TI menuntut perkembangan pengetahun dan keterampilan yang cepat, terutama dibidang keamanan informasi, sehingga dapat meningkatkan efektivitas dan efisiensi dalam mengelola sistem TI dan keamanan TI.
Sasaran yang ketiga ialah dapat mengidentifikasi pembangunan dan pemeliharaan sistem dari aspek keamanan informasi. Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Aplikasi yang saat ini digunakan, dapat terhindar dari serangan dan gangguan keamanan informasi.
- Serta aplikasi yang akan dikembangkan dapat memenuhi standard keamanan informasi.
Sasaran yang keempat ialah dapat mengidentifikasi aset-aset perusahaan yang kritikal milik perusahaan, serta mengidentifikasi risiko, ancaman dan kerawanannya. Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Diketahuinya kelemahan dan ancaman dari gangguan keamanan informasi, berdasarkan kelemahan dan ancaman.
- Dapat menentukan prilaku yang harus diterapkan pada aset-aset kritikal tersebut.
Sasaran yang kelima ialah dapat mengidentifikasi insiden keamanan informasi yang berpotensi terjadi. Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Untuk mengetahui insiden serangan atau gangguan yang pernah terjadi, sehingga dapat dianalisis lebih lanjut.
- Hasil analisa terhadap kejadian/insiden tersebut akan menjadi perhatian bagi admin, untuk mengatahui kelemahan dan kerawanan, yang selanjutnya akan ditentukan langkah mitigasi.
Sasaran yang keenam ialah dapat mengidentifikasi pengelolaan fisik dan lingkungan keamanan informasi. Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Mengetahui kelemahan dan kerawananan fisik ruangan data center dan DRC, yang ada saat ini.
- Mengetahui ancaman yang berpotensi terjadi dengan posisi atau lokasi gedung, dimana terdapat ruang data center, sehingga dapat melakukan langkah mitigasi terhadap risiko dari ancaman tersebut.
Sasaran yang ketujuh ialah dapat mengidentifikasi pengelolaan komunikasi dan operasional keamanan informasi. Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Mengetahui bagaimana perusahaan mengkomunikasikan mengenai standard dan prosedur keamanan informasi yang diterapkan, sehingga dapat memberikan solusi sosialisasi kebijakan, standard dan prosedur keamaanan.
- Mendorong tersosialisasinya kebijakan, standard dan prosedur keamanan informasi.
Sasaran yang kedelapan ialah dapat melakukan audit dan selanjutnya korektif terhadap kesalahan atau gangguan yang terjadi. Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Perusahaan dapat mengetahui dan melacak terjadian kesalahan atau gangguan terhadap sistem dan perangkatnya.
- Setelah diketahui sumber kesalahan tersebut, kemudian dapat melakukan recovery menggunakan file backup atau dokumen fisik, sehingga informasi dapat kembali dikembalikan ke kondisi benar.
Sasaran yang kesembilan ialah dapat mengidentifikasi pengelolaan keberlanjutan bisnis, yang perlu dilakukan.Sasaran diatas, jika dapat dicapai, akan memberikan manfaat kepada perusahaan dalam menjaga keamanan informasinya. Manfaat yang diharapkan dari pencapaian sasaran ini sebagai berikut:
- Memberikan arahan tentang pengelolaan keberlansungan bisnis di perusahaan yang perlu dibangun.
- Perusahaan akan memiliki rencana penanggulangan bencana, untuk tetap menjaga jalannya bisnis bisa terus berlangsung, saat terjadi bencana.

3.5 Strategi
Strategi keamanan informasi merupakan bagian penting dari rencana yang komprehensif untuk keamanan informasi dan komunikasi. Pada setiap strategi tersebut, akan disampaikan kumpulan aksi yang perlu dilakukan dalam pelaksanaan strategi tersebut, dalam upaya mencapai tujuan dan sasaran yang telah ditentukan.
Tabel 15. Strategi

Empat strateg diatas, diperoleh dari hasil tahapan risk mitigation yang telah dilakukan, yang bertujuan untuk menurunkan risiko yang berpotensi dapat terjadi. Upaya untuk menurunkan risiko tersebut, sudah merupakan tujuan dan sasaran dari rencana keamanan informasi. Penjelasan setiap strategi, akan dibahas pada bagian selanjutnya.
Strategi yang pertama ialah menyusun kebijakan, prosedur dan standard terkait dengan keamanan informasi. Strategi ini dijalankan dengan melakukan beberapa aksi atau kegiatan untuk dapat menjalankan strategi diatas, sebagai berikut:
1. Melakukan identifikasi terhadap kebijakan, prosedur dan standard yang penting untuk disusun dan ditetapkan
2. Melakukan identifikasi informasi yang sensitif, untuk menetapkan kebijakan, prosedur dan standard dalam penggunaan dan pengelolaan informasi tersebut.
3. Memilih tempat dan lokasi penyimpanan data backup yang terpisah dari ruang data center, yang akan dijadikan kebijakan.
Strategi yang kedua ialah menyempurnakan pola rekuitmen dan pelatihan SDM TI. Strategi ini dijalankan dengan melakukan beberapa aksi atau kegiatan untuk dapat menjalankan strategi diatas, sebagai berikut:
1. Melakukan pemeriksaan latar belakang dari calon karyawan TI.
2. Melakukan penyesuaian kontrak perjanjian kerja dengan kebijakan pemerintah dan perusahaan, untuk selanjutnya menjalankannya secara disiplin.
3. Melakukan pembinaan dengan melaksanakan pelatihan tentang kepedulian menjaga keamanan informasi.
4. Memberikan penugasan dan memperhatikan sharing responsibilities, berdasarkan beban kerja dan kompetisi, agar pekerjaan dalam menjaga keamanan informasi dapat secara disiplin dijalannkan dengan penuh tanggung jawab.
Strategi yang ketiga ialah mengimplementasikan perangkat preventive dan detection terhadap serangan dan gangguan keamanan informasi. Strategi ini dijalankan dengan melakukan beberapa aksi atau kegiatan untuk dapat menjalankan strategi diatas, sebagai berikut:
1. Melakukan scanning virus secara teratur, serta memperbaharui perangkat anti virus secara berkala.
2. Melakukan pemasangan anti petir dan grounded yang tahan terhadap petir berintensitas besara, yang biasa di lokasi kantor.
3. Melakukan implementasi firewall, yang bertujuan melindungi server dalam daerah DMZ, terhadap serangan yang bisa berasal dari dalam.
4. Mengimpelemtasikan aplikasi intrusion detection system (IDS), untuk mendeteksi serangan dan gangguan keamanan yang menyerang sistem.
5. Menggunakan enkripsi pada informasi yang dianggap sangat rahasia.
6. Melakukan pembatasan fungsi dan informasi kepada user dengan otoritas yang telah ditetapkan.
Strategi yang keempat ialah menerapkan pola pemeriksaan dan evaluasi operasional TI terkait keamanan informasi. Strategi ini dijalankan dengan melakukan beberapa aksi atau kegiatan untuk dapat menjalankan strategi diatas, sebagai berikut:
1. Melakukan peningkatan kegiatan pengawasan terhadap kerja dari para operator yang berjumlah cukup banyak, agar terkelola autentifikasi dan otoritas yang telah diberikan.
2. Melakukan pertukaran perkejaan di divisi TI, agar tidak ada seorang personil yang menguasai satu kritikal teknologi.
3. Melakukan call back system, untuk memversifikasi perubahan data dan kesalahan yang dilakukan pada proses input data, yang dapat menyebabkan kesalahan kirim dan penempatan barang.
4. Mencatat kejadian berupa gangguan atau serangan terhadap sistem TI yang berpotensi besar terjadi kembali.

4.6 Kontrol Keamanan
Tujuan rencana keamanan dapat dicapai jika sasaran yang telah ditentukan, telah dipenuhi. Selanjutnya setiap sasaran hanya dapat dicapai jika menerapkan beberapa strategi keamanan informasi, dan setiap strategi memberikan rekomendasi aksi yang harus dilakukan, sebagai upaya mencapai sasaran yang telah ditentukan.
Rekomendasi aksi tersebut akan mengimplementasikan kontrol-kontrol keamanan sesuai dengan strategi yang akan dicapai. Kontrol keamanan merupakan kebijakan, prosedur, kebiasaan dan struktur organisasi yang dirancang untuk menjamin bahwa tujuan-tujuan bisnis dapat tercapai; sedangkan insiden yang merugikan dapat dicegah, dideteksi dan dikoreksi.
Adapun kontrol keamanan tersebut, sebagai berikut:
Tabel 16. Rencana Keamanan Informasi

Strategi dan kontrol keamanan diperoleh berdasarkan hasil proses penilaian dan mitigasi risiko. Penilaian risiko menghasilkan tingkatan risiko dan rekomendasi kontrol keamanannya, berdasarkan penilaian yang dilakukan terhadap delapan aspek, yaitu:
1. Pengelolaan kebijakan keamanan informasi
2. Pengelolaan aset perusahaan
3. Pengelolaan SDM keamanan informasi
4. Pengelolaan fisik dan lingkungan keamanan informasi
5. Pengelolaan komunikasi dan operasional
6. Pengelolaan pembangunan sistem dan pemeliharaannya
7. Pengelolaan insiden keamanan informasi
8. Pengelolaan keberlanjutan bisnis
Hasil penilaian delapan aspek penilaian risiko diatas, menghasilkan kelemahan/kerawanan dan ancaman, yang menjadi kumpulan risiko. Setiap risiko akan dinilai kecenderungan dan dampaknya, yang akan ‘memberikan nilai risiko. Nilai risiko tersebut akan dikategoterikan menjadi “high”, “medium” atau “low”. Kumpulan risiko dan tingkatannya selanjutnya dijadikan dasar dalam merekomendasikan kontrol keamanan yang dapat mencegah atau menurunkan risiko tersebut, sehingga proses penilaian risiko akan menghasilkan dua hal, yaitu :
b. Risiko yang diperoleh dari kelemahan/kerawanan dan ancamaan terhadap aset kritikal yang dimiliki perusahaan
c. Nilai risiko yang diperoleh dari kecenderungan dan dampak yang dapat ditimbulkan oleh risiko tersebut jika terjadi.
d. Rekomendasi kontrol keamanan informasi, berdasarkan risiko yang akan dimitigasi.

Selanjutnya dilakukan tahapan risk mitigation, atau upaya untuk memitigasi risiko. Proses yang dilakukan dalam tahapan ini ialah melakukan penentuan aksi mitigasi yang dilanjutkan dengan evaluasi, analisis cost-benefit, analisis cost-effectiveness.terhadap rekomendasi kontrol yang terkait dengan prioritas aksi yang harus dilakukan untuk mitigasi risiko. Tahapan risk mitigasi, telah menghasilkan beberapa hal, yaitu:
a. Prioritas aksi yang harus dilakukan dalam rangka memitigasi risiko.
b. Hasil evaluasi terhadap kontrol keamanan yang direkomendasikan. Hasil evaluasi tersebut berupa kesesuaian kontrol terhadap kelemahan/kerawanan yang akan dihilangkan atau dikurangi, serta efektivitas kontrol dalam menurunkan risiko yang dapat timbul akibat kerawanan/kelemahan tersebut.
c. Hasil analisis cost-benefit terhadap kontrol keamanan yang direkomendasikan. Hasi analisis ini akan menjelaskan manfaat dan kerugian, jika kontrol ini diimplementasikan atau tidak diimplemntasikan, sehingga menjadi pertimbangan bagi perencanaan keamanan informasi.
d. Hasil analisis cost-effectiveness terhadap kontrol keamanan yang direkomendasikan. Hasil analsisi ini akan menjelaskan perbandingan efektivitas antar kontrol terhadap pencapaian tujuan keamanan informasi yaitu confidentiality, integrity dan availability, sehingga memberikan usulan prioritas implementasi dari seluruh kontrol yang direkomendasikan.
e. Rencana kontrol keamanan, yang berisi tentang keburuhan sumber daya yang harus disiapkan untuk mengimplementasikan kontrol-kontrol keamanan tersebut, serta tim yang dibentuk untuk mengimplementasikannya.
Rencana keamanan yang komprehensif telah disusun, berdasarkan tahapan penilaian risiko (risk assessment) dan risk mitigation, sehingga secara lengkah memberikan pertimbangan dan dasar dalam menentukan tujuan, sasaran, startegi dan kontrol keamanan untuk menjamin keamamann informasi di perusahaan.

Tabel 16. Rencana Kontrol Keamanan Informasi

Kontrol keamanan yang dipilih, digunakan untuk mencapai sasaran keamana informasi. Terdapat tiga jenis kontrol yang akan digunakan, yaitu kontrol management (management control), kontrol opersional (operasional control), dan kontrol teknikal (technical control).
6. Kesimpulan
Kesimpulan yang dapat diambil dari hasil penelitian ini, ialah:
1. Analisis risiko akan menghasilkan tingkatan risiko, berdasarkan identifikasi kelemahan, ancaman dan kecenderungan, yang dihadapi oleh perusahaan, serta rekomendasi kontrol keamanan untuk menurunkan risiko. Berdasarkan hasil penilaian risiko, dihasilkan perusahaan ini memiliki risiko tinggi (high), akan kehilangan informasi. Risiko tersebut harus diturunkan dengan mengimplementasikan beberapa kontrol keamanan yang direkomendasikan.
2. Pada tahap mitigasi risiko, perusahaan akan dapat melakukan evaluasi dan analisis terhadap kontrol keamanan yang direkomendasikan. Evaluasi tersebut meliputi kesesuaian dan efektifitas, sedangkan analisis yang dilakukan menggunakan teknik analisis cost-effectiveness dan cost-benefit. Berdasarkan hasil mitigasi risiko, maka perusahaan memperoleh prioritas implementasi kontrol-kontrol keamanan, dalam upaya menurunkan risiko yang terdiri dari delapan belas kontrol keamanan.
3. Rencana keamanan informasi, yang disusun berdasarkan tujuan dan sasaran keamanan informasi perusahaan, yang didukung oleh hasil penilaian dan mitigasi risiko yang komprehensif, sehingga dapat menjadi panduan dalam penerapan keamanan informasi, dengan langkah implementasi kontrol keamanan, untuk mencapai tujua dan sasaran keamanan informasi.

DAFTAR PUSTAKA
[1] Amri Sodiq, Aspek Keamanan Informasi, Jan 2009.
[2] Brian S. Rawson,“State Enterprise Security Plan”, 2007
[3] Information Ass Spring, Security Planning and Risk Analysis, CS461, 2008.
[4] Ronald L. Krutz, The CISSP Preparation Guide, 2003.
[5] Thomas R. Peltier, Information Security Risk Anaysis, 2001.

Ditulis dalam Uncategorized

«
»

Tinggalkan Balasan

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Ubah )

Twitter picture

You are commenting using your Twitter account. Log Out / Ubah )

Facebook photo

You are commenting using your Facebook account. Log Out / Ubah )

Batal

Connecting to %s

Kategori

Ikuti

Get every new post delivered to your Inbox.