MANAJEMEN KEAMANAN INFORMASI
Manajemen Keamanan Informasi Di Perusahaan. Banyak organisasi yang memanfaatkan perangkat teknologi informasi berbasis jaringan baik local maupun global untuk mendukung tujuan pengembangan organisasinya. Namun banyak yang tanpa disadari mengimplementasikan sistem jaringan computer tersebut tanpa dibarengi dan diimbangi dengan sistem keamanan yang memadai sesuai dengan standar keamanan yang berlaku. Hal itu dikarenakan karena banyak yang tidak menggunakan prinsip-prinsip pengamanan sesuai standar, dan dalam mengimplementasikan tidak melalui tahap siklus hidup keamanan informasi.
Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi perusahaan. Manajemen keamanan informasi terdiri dari:
- Perlindungan Sehari-hari disebut Manajemen Keamanan Informasi (information security management/ ISM)
- Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen Kesinambungan Bisnis (business continuity management /BCM)
Tujuan Keamanan Informasi
Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama, yaitu:
- Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan orang –orang yang tidak berhak
- Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya dapat digunakan oleh orang yang berhak menggunakannya.
- Integritas: sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan
Manajemen Keamanan Informasi
Manajemen keamanan informasi menjadi penting diterapkan agar informasi yang beredar di perusahaan dapat dikelola dengan benar sehingga perusahaan dapat mengambil keputusan berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan layanan yang terbaik kepada pelanggan. ISM terdiri dari empat langkah:
- Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi perusahaan
- Mendefinisikan resiko dari ancaman yang dapat memaksakan
- Penetapan kebijakan keamanan informasi
- Menerapkan controls yang tertuju pada resiko
Ancaman
- Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau peristiwa yang dapat berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan
- Ancaman dapat berupa internal atau external, disengaja atau tidak disengaja
Resiko
Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat jenis :
- Pencurian dan Penyingkapan tidak sah
- Penggunaan Tidak Sah
- Pembinasaan dan Pengingkaran Layanan yang tidak sah
- Modifikasi yang tidak sah
Kebijakan Keamanan Informasi
Sebuah kebijakan keamanan infomasi bisa diimplementasikan menggunakan 5 pendekatan dibawah ini:
- Tahap 1: Pengenalan project.
- Tahap 2 Pengembangan kebijakan
- Tahap 3: Konsultasi dan penyetujuan
- Tahap 4: Kesadaran dan pendidikan
- Tahap 5: Penyebaran kebijakan
Kontrol
Kontrol adalah mekanisme yang diimplementasikan untuk melindungi perusahaan dari resiko-resiko dan meminimalisir dampak dari resiko yang terjadi:
- Technical control teknis dibangun didalam sistem oleh sistem pengembang sementara proses pengembangan berjalan.
- Access control adalah dasar keamanan melawan ancaman oleh orang-orang yan tidak berkepentingan langsung/terkait.
- Intrusion detection systems akan mencoba mencari tahu satu percobaan yang dilakukan ntuk menerobos keamanan sebelum menimbulkan kerusakan
Kategori Framework Sistem Manajemen Keamanan Informasi
Berikut ini adalah 3 kategori framework cybersecurity yang dapat digunakan sebagai acuan dalam menyusun sistem manajemen keamanan informasi di organisasi Anda :
A. Control Framework Sistem Manajemen Keamanan Informasi
Framework dalam kategori ini contohnya adalah NIST 800-53 dan CIS Control (CSC). Saat seorang profesional cybersecurity memasuki lingkungan baru dimana ia bertugas membangun dan mengelola Tim IT Security, mereka berhadapan dengan kondisi organisasi yang biasanya relatif belum matang dari perspektif TI dan keamanan TI. Umumnya langkah pertama yang diambil adalah melakukan penentuan basic set of controls untuk di implementasikan. Profesional cybersecurity menggunakan control framework untuk melakukan hal-hal sebagai berikut :
- Identifikasi kumpulan kontrol yang menjadi baseline.
- Asessmen kondisi yang terkait dengan kapabilitas teknis.
- Prioritasi implementasi dari kontrol.
- Mengembangkan roadmap awal untuk Tim Keamanan TI.
NIST SP 800-53 adalah katalog kontrol yang komprehensif yang terkait dengan kontrol keamanan dan privasi, dimana kontrol dapat dimplementasikan berdasarkan prioritas atau kontrol keamanan baseline (low impact, moderate impact, atau high impact). Sedangkan CIS Control telah menerbitkan 20 kontrol keamanan yang paling banyak digunakan, dimana kontrol tsb diterapkan di banyak instansi pemerintahan di Amerika Serikat.
B. Program Framework Sistem Manajemen Keamanan Informasi
Framework dalam kategori ini misalnya adalah ISO 27001 dan NIST Cybersecurity Framework. Profesional cybersecurity menggunakan program framework untuk melakukan hal-hal sebagai berikut :
- Asessmen kondisi keseluruhan program keamanan
- Membangun program keamanan yang komprehensif
- Mengukur maturitas (level kematangan) dan memperbandingkannya dengan standar industri sejenis
- Menyederhanakan komunikasi dengan para pemimpin bisnis
Seri standarisasi ISO27001 adalah seri ISO untuk standar Sistem Manajemen Keamanan Informasi yang fokus pada pembangunan program keamanan, termasuk di dalamnya konteks organisasi, kepemimpinan, perencanana, support, dokumentasi, operasi, penilaian kinerja, dan peningkatan berkelanjutan. Sedangkan NIST Cybersecurity Framework membantuk dalam identifikasi, perlindungan, deteksi, respon, dan pemulihan. Terdiri dari 3 bagian, yaitu : core, implementation tiers, dan profil — dan mendefinisikan bahasa yang sama dalam menangani risiko. Ini membantu organisasi menjawab pertanyaan : apa yang kita lakukan sekarang? mau kemana? bagaimana caranya? dan kapan?, kira-kira demikian.
C. Risk Framework
Contoh framework ini adalah NIST 800-39, 800-37, 800-30, ISO 27005, dan FAIR. Risk framework memungkinkan profesional cybersecurity untuk memastikan bahwa mereka telah mengelola program keamanan dengan cara yang bermanfaat bagi stakeholder organisasi dan membantu menentukan bagaimana cara memprioritaskan aktivitas keamanan. Profesional cybersecurity menggunakan risk framework untuk melakukan hal-hal sebagai berikut :
- Menentukan langkah proses kunci untuk melakukan asessmen dan mengelola risiko
- Strukturisasi program manajemen risiko
- Identifikasi, pengukuran, dan kuantifikasi risiko
- Prioritasi aktivitas keamanan
NIST Security memiliki risk framework yang cukup dikenal yaitu : NIST SP 800-39 (defines the overall risk management process), NIST SP 800-37 (the risk management framework for federal information systems), and NIST SP 800-30 (risk assessment progress). Kemudian ISO 27005 mendefinisikan pendekatan sistematis untuk mengelola risiko untuk organisasi, sementara FAIR adalah standar internasional yang disupport oleh dua organisasi.
Memulai Sistem Manajemen Keamanan Informasi
Bisnis dapat mengambil langkah-langkah berikut untuk mulai mencari tahu kerangka kerja keamanan yang tepat untuk sistem manajemen keamanan informasinya, antara lain dengan cara sebagai berikut:
- Segera: Identifikasi framework cybersecurity yang cocok untuk digunakan di organisasi.
- Dalam tiga bulan: Implementasikan ISMS dan evaluasi dalam tiga bulan bagaimana kerangka kerja itu dapat memberikan kekuatan dari sisi pengamanan dan kinerja TI kemudian petakan satu sama lain untuk memenuhi tujuan kepatuhan dan regulasi.
- Dalam enam bulan: Perbarui rencana program keamanan Anda untuk memanfaatkan masing-masing dari tiga kategori framework tsb, dan sosialisasikan rencana tersebut dengan para pemimpin teknis, operasional, dan eksekutif.
Kita dapat mematangkan program keamanan TI dengan memilih satu atau lebih kerangka kerja dari setiap kategori untuk bekerja sama untuk meningkatkan keadaan keseluruhan aktivitas keamanan TI dalam organisasi.
Komentar
Posting Komentar