Keamanan informasi

Dari Wikipedia bahasa Indonesia, ensiklopedia bebas
Sistem keamanan informasi yang digambarkan dalam tiga serangkai yang meliputi prinsip (keterjagaan, ketersediaan dan integritas), media ( komunikasi, perangkat lunak, perangkat keras) dan cakupan keamanan (keamanan personal, keamanan fisik dan keamanan organisasi).

Keamanan informasi adalah perlindungan terhadap segala jenis sumber daya informasi dari penyalahgunaan pihak yang tak berwenang mengelolanya.[1] Tujuan pembuatan sistem keamanan informasi adalah mencegah penyalahgunaan informasi oleh pihak yang tidak berkepentingan atau tidak berhak mengelola informasi tersebut. Keamanan informasi terbentuk secara alami karena sifat sistem informasi yang umumnya hanya dapat diberikan hak pengelolaannya kepada pihak-pihak tertentu.[2] Sifat dari perlindungan dalam keamanan informasi adalah perlindungan menyeluruh yang meliputi sistem informasi dan peralatan teknologi informasi.[3] Sedangkan sifat dari informasi yang diamankan adalah informasi yang tidak berbentuk fisik.[4]

Dukungan yang diberikan untuk membentuk keamanan informasi sebagai suatu sistem meliputi penyediaan struktur organisasi, kebijakan keamanan, serta prosedur dan proses pengamanan. Komponen lain yang juga penting adalah penyediaan sumber daya manusia yang bertanggung jawab.[5] Keamanan informasi dapat diterapkan oleh perusahaan, organisasi, lembaga pemerintahan, perguruan tinggi maupun individu.[6] Manfaat adanya keamanan informasi adalah terhindar dari penipuan di dalam suatu sistem informasi.[4] Selain itu, keamanan informasi juga dapat menjaga kerahasiaan, ketersediaan dan integritas terhadap sumber daya informasi yang dimilikinya.[7] Sebaliknya, kegagalan dalam mengadakan keamanan informasi dapat menyebabkan kehancuran suatu organisasi.[8] Oleh karena itu, perlu untuk membahas peran yang perlu bertanggung jawab dalam mengelola keamanan informasi. Misal di dalam perusahaan, pada bagian backend misalnya:database administrator, network administrator, administrator sistem; pada bagian operasional misalnya: information security officer, risk management officer; pada bagian help desk, di mana perlu mematuhi Standard Operational Procedure (SOP) dalam menangani keluhan dan mengklasifikasi informasi (umum, internal, dan kalangan terbatas); penguji sistem; top management/c-level; dan stakeholder.[9]

Tujuan[sunting | sunting sumber]

Keamanan informasi memiliki tiga tujuan utama yaitu keterjagaan, kesesuaian dan integritas. Keterjagaan berarti bahwa keamanan informasi harus melindungi data dan informasi dari pihak yang tidak memiliki wewenang untuk mengetahui atau mengelolanya. Kesesuaian berarti bahwa keamanan informasi harus memastikan bahwa informasi hanya digunakan oleh pihak yang berwenang untuk mengelolanya.[10] Sementara itu, integritas berarti bahwa keamanan informasi harus memberikan gambaran yang tepat dan akurat berkaitan dengan sistem fisik yang ditampilkannya.[11]

Kedudukan[sunting | sunting sumber]

Tingkat keamanan informasi memiliki kedudukan yang berlawanan dengan tingkat akses informasi. Semakin mudah suatu informasi untuk diakses, maka tingkat keamanan informasi menjadi semakin rumit.[12] Kondisi ini dikarenakan informasi tidak lagi hanya dapat diakses secara fisik. Informasi kini dapat diakses secara non fisik melalui internet dengan media komputer. Kemudahan akses ini menambah peluang kebocoran atau pembobolan informasi.[13]

Aspek[sunting | sunting sumber]

Aspek Keamanan adalah aspek-aspek yang dilingkupi dan melingkupi keamanan informasi dalam sebuah sistem informasi. Aspek-aspek ini adalah:

  • privasi/kerahasiaan, menjaga kerahasiaan informasi dari semua pihak, kecuali yang memiliki kewenangan;
  • integritas, meyakinkan bahwa data tidak mengalami perubahan oleh yang tidak berhak atau oleh suatu hal lain yang tidak diketahui (misalnya buruknya transmisi data);
  • otentikasi/identifikasi, pengecekan terhadap identitas suatu entitas, bisa berupa orang, kartu kredit atau mesin;
  • tanda tangan, mengesahkan suatu informasi menjadi satu kesatuan di bawah suatu otoritas;
  • otorisasi, pemberian hak/kewenangan kepada entitas lain di dalam sistem;
  • validasi, pengecekan keabsahan suatu otorisasi;
  • kontrol akses, pembatasan akses terhadap entitas di dalam sistem;
  • sertifikasi, pengesahan/pemberian kuasa suatu informasi kepada entitas yang tepercaya;
  • pencatatan waktu, mencatat waktu pembuatan atau keberadaan suatu informasi di dalam sistem;
  • persaksian, memverifikasi pembuatan dan keberadaan suatu informasi di dalam sistem bukan oleh pembuatnya;
  • tanda terima, pemberitahuan bahwa informasi telah diterima;
  • konfirmasi, pemberitahuan bahwa suatu layanan informasi telah tersedia;
  • kepemilikan, menyediakan suatu entitas dengan sah untuk menggunakan atau mengirimkan kepada pihak lain;
  • anonimitas, menyamarkan identitas dari entitas terkait dalam suatu proses transaksi;
  • nirpenyangkalan, mencegah penyangkalan dari suatu entitas atas kesepakatan atau perbuatan yang sudah dibuat;
  • penarikan, penarikan kembali suatu sertifikat atau otoritas.

Ancaman[sunting | sunting sumber]

Setiap hal yang dapat memberikan kondisi berbahaya terhadap sumber daya informasi disebut sebagai ancaman keamanan informasi. Bentuk ancaman ini dapat berupa orang, organisasi, mekanisme atau suatu peristiwa. Ancaman keamanan informasi dapat ada secara disengaja maupun tidak disengaja. Penyebab timbulnya ancaman keamanan informasi dapat berasal dari sisi internal maupun eksternal.[14] Ancaman baru yang timbul dalam teknologi informasi berkembang seiring dengan meningkatnya jumlah data dan cara untuk mengeksploitasinya. Ancaman ini dapat diatasi dengan menggunakan peralatan dengan teknologi informasi yang canggih.[15] Pada teknologi dan komunikasi internet, perusahaan atau organisasi juga dapat mempekerjakan pekerja yang ahli dalam bidang keamanan sistem informasi agar informasi penting dapat diamankan dari ancaman oleh peretas.[16]

Kandidat pekerja memiliki partisipasi aktif yang dapat dinilai dalam komunitas yang membidangi keamanan informasi. Partisipasi kandidat pekerja dapat diketahui melalui daftar surat elektronik keamanan informasi, keikutsertaan dalam asosiasi profesional atau konferensi keamanan. Selain itu, kandidat juga dapat dinilai berdasarkan publikasi ilmiah yang diterbitkannya, kecakapan dalam manajemen proyek, kemampuan komunikasi dan kemampuan membuat gagasan yang dapat dibuktikan dan diterima keabsahannya.[17]

Penilaian keamanan informasi dari ancamannya ditinjau dari ancaman fisikal dan ancaman logikal. Ancaman fisikal merupakan ancaman yang mengancam personil, perangkat keras, fasilitas, dokumentasi dan persediaan informasi. Sedangkan ancaman logikal mengancam data, informasi dan perangkat lunak. Keamanan informasi dikatakan telah memberikan keadaan aman jika aset informasi dapat terhindar dari kerugian akibat ancaman informasi dalam jangka waktu dengan batasan kondisi tertentu yang dapat diterima.[18]

Risiko[sunting | sunting sumber]

Risiko merupakan berbagai kemungkinan yang dapat disebabkan oleh ancaman informasi selama melakukan pelanggaran keamanan informasi. Timbulnya risiko keamanan informasi merupakan akibat dari tindakan yang dilakukan tanpa pemberian hak pengelolaan. Terdapat beberapa jenis risiko keamanan informasi yaitu pengungkapan, penggunaan, penghancuran, penolakan layanan dan pengubahan informasi tanpa pemberian hak pengelolaan.[19]

Ancaman dan risiko yang timbul dalam keamanan informasi menjadi permasalahan utama dalam sistem informasi. Dampak yang ditimbulkannya akan mempengaruhi efisiensi, kerahasiaan, integritas, keberadaan, kepatuhan dan keandalan dari suatu sistem informasi.[20]

Pengelolaan[sunting | sunting sumber]

Pengelolaan keamanan informasi terbagi menjadi keamanan harian yang disebut manajemen keamanan informasi, dan persiapan pemecahan masalah operasional yang disebut manajemen keberlanjutan bisnis.[21] Pengelolaan keamanan informasi dapat diberikan kepada petugas keamanan sistem informasi. Petugas ini bertanggung jawab terhadap keamanan informasi di dalam suatu organisasi atau perusahaan. Selain itu, keamanan informasi dan kelayakan unit informasi dapat diawasi oleh petugas kelayakan informasi. Pertanggungjawaban atas kinerjanya disampaikan langsung kepada direktur utama dalam suatu perusahaan.[10]

Manajemen keamanan informasi dapat dibagi menjadi empat tahap. Pertama, ancaman-ancaman yang dapat membahayakan informasi diidentifikasi terlebih dahulu. Setelahnya, risiko-risiko yang dapat muncul dari keberadaan ancaman harus diperhitungkan. Dari risiko-risiko tersebut disusunlah kebijakan keamanan informasi. Isi kebijakan ini kemudian memasukkan aturan yang berkaitan dengan pengendalian risiko.[10] Manajemen keamanan informasi dapat dikerjakan dengan terarah dengan adanya kebijakan keamanan informasi.[22]

Standar Keamanan Internasional[sunting | sunting sumber]

Organisasi Standardisasi Internasional (logo) merupakan salah satu organisasi internasional yang menerbitkan beberapa standar berkaitan dengan keamanan informasi. Standar ini antara lain ISO/IEC 17799 dan ISO/IEC 27002.

Pengawasan dan pengendalian penggunaan teknologi informasi dilakukan dengan mengadakan audit teknologi informasi. Kegiatannya meliputi evaluasi pada sistem desain dan efektivitas dari sistem pengendalian informasi yang bersifat internal. Pengadaan audit teknologi informasi dapat mencegah timbulnya bahaya akibat penggunaan teknologi informasi. Audit dapat dilakukan dengan menggunakan beberapa jenis referensi yang telah umum digunakan antara lain COBIT, COSO, ITIL, dan beberapa standar gabungan antara Organisasi Standardisasi Internasional dan Komisi Elektroteknik Internasional.[23]

ISO/IEC 27001[sunting | sunting sumber]

Organisasi Standar Internasional dan Komisi Elektroteknik Internasional telah menerbitkan standar ISO/IEC 27001 tentang Sistem Manajemen Keamanan Informasi. Standar ini menentukan persyaratan untuk menetapkan, menerapkan, memelihara dan secara berkelanjutan memperbaiki Sistem Manajemen Keamanan Informasi (SMKI) dalam konteks organisasi. Standar ini juga mencakup persyaratan untuk penilaian dan penanganan risiko keamanan informasi disesuaikan dengan kebutuhan organisasi. Persyaratan yang ditetapkan dalam Standar ini bersifat umum dan dimaksudkan untuk dapat diterapkan pada semua organisasi, terlepas dari jenis, ukuran atau sifat organisasi.

Badan Standardisasi Nasional telah mengadopsi standar ini ke dalam Standar Nasional Indonesia menjadi SNI ISO/IEC 27001[24].

Manfaat dari sistem ini adalah penjaminan kerahasiaan, integritas dan ketersediaan sumber daya informasi dapat diadakan dengan efektif, sehingga peluang timbulnya risiko keamanan informasi dapat berkurang.[25]

Penerapan[sunting | sunting sumber]

Keamanan komputer[sunting | sunting sumber]

Keamanan informasi diterapkan pada keamanan komputer. Perlindungan diberikan kepada perangkat keras, perangkat lunak dan peralatan komunikasi. Ketiga jenis peralatan tersebut merupakan produk keamanan fisik. Selain ketiganya, keamanan informasi pada komputer juga mencakup keamanan personal dan keamanan organisasi. Keamanan personal ditujukan kepada orang yang menggunakan informasi pada komputer, sedangkan keamanan organisasi ditujukan pada prosedur penggunaan komputer untuk mengelola informasi.[26]

Pengembangan teknologi[sunting | sunting sumber]

Kriptografi[sunting | sunting sumber]

Penggunaan kunci enkripsi dalam kriptografi merupakan salah satu bentuk teknologi keamanan informasi.

Keamanan informasi selama pengiriman dari sumber informasi menuju ke penerima informasi dapat dilakukan dengan teknologi kriptografi. Metode yang digunakan untuk mengamankan informasi ialah algoritme. Terdapat dua jenis algoritme yang diterapkan di dalam kriptografi. Masing-masing yaitu algoritme simetris dan algoritme asimetris. Kriptografi memanfaatkan keberadaan kunci yang digunakan untuk menghubungkan enkripsi dan deskripsi dari informasi yang diamankan. Kunci ini bersifat rahasia sehingga informasi hanya dapat diketahui dan digunakan oleh penerima yang memiliki informasi tentang kunci.[27]

Referensi[sunting | sunting sumber]

Catatan kaki[sunting | sunting sumber]

  1. ^ Jr. dan Schell 2008, hlm. 270.
  2. ^ Sari, I. Y., dkk. 2020, hlm. 1.
  3. ^ Sinaga, Anita Sindar (2020). Aminah, Reski, ed. Keamanan Komputer. Solok: Insan Cendekia Mandiri. hlm. 70. ISBN 978-623-6719-84-8. 
  4. ^ a b Sari, I. Y., dkk. 2020, hlm. 3.
  5. ^ Gultom, Rudy (2021). Cyber Warfare: Sudah Siapkah Kita Menghadapinya?. UNHAN Press. hlm. 202. ISBN 978-602-5808-19-7. 
  6. ^ Suherdi, D., dkk. 2021, hlm. 129.
  7. ^ Pratama, Yohanssen (2021). Sistem Terdistribusi. Malang: Ahlimedia Press. hlm. 10. ISBN 978-623-6351-44-4. 
  8. ^ Suprihadi, Eddy (2021). Sistem Informasi Bisnis: Dunia Versi 4.0. Yogyakarta: ANDI. hlm. 272. ISBN 978-623-01-1029-0. 
  9. ^ Sulistyowati, Indri (2022). MSIM4405 – Keamanan Sistem Informasi (PDF). Tangerang Selatan: Universitas Terbuka. hlm. 1.7–1.8. ISBN 9786234802177. 
  10. ^ a b c Sudiro, Rahadian, dan Prima 2011, hlm. 118.
  11. ^ Suherdi, D., dkk. 2021, hlm. 136.
  12. ^ Stiawan, Deris (2006). Sistem Keamanan Komputer. Jakarta: PT. Elex Media Komputindo. hlm. 2. ISBN 979-20-6525-3. 
  13. ^ Sari, I. Y., dkk. 2020, hlm. 2-3.
  14. ^ Jr. dan Schell 2008, hlm. 272.
  15. ^ Marji, dkk. (2021). Pasar Kerja Generasi-Z Bidang Vokasi. Jember: Cerdas Ulet Kreatif. hlm. 216. ISBN 978-602-7534-72-8. 
  16. ^ Liliweri, Alo (2017). Komunikasi Antarpersonal. Jakarta: Kencana. hlm. 534. ISBN 978-602-1186-43-5. 
  17. ^ Siswoutomo, Wiwit (2005). Panduan Karir di Dunia Teknologi Informasi. Jakarta: PT. Elex Media Komputindo. hlm. 268. ISBN 979-20-7726-X. 
  18. ^ Swastika, I. P. A., dan Putra, I. G. L. A. R. (2016). Audit Sistem Informasi dan Tata Kelola Teknologi Informasi: Implementasi dan Studi Kasus. Yogyakarta: ANDI. hlm. 77. ISBN 978-979-29-5548-4. 
  19. ^ Jr. dan Schell 2008, hlm. 274.
  20. ^ Hidayat, Fendi (2019). Konsep Dasar Sistem Informasi Kesehatan. Sleman: Deepublish. hlm. 45. ISBN 978-623-02-1198-0. 
  21. ^ Sudiro, Rahadian, dan Prima 2011, hlm. 117.
  22. ^ Sutabri, Tata. Konsep Sistem Informasi. Yogyakarta: ANDI. hlm. 206. ISBN 978-979-29-3294-2. 
  23. ^ Sudarmanto, E., dkk. (2021). Sistem Pengendalian Internal. Yayasan Kita Menulis. hlm. 182. ISBN 978-623-342-285-7. 
  24. ^ "Detail SNI ISO/IEC 27001:2013". Sistem Informasi Penilaian dan Kesesuaian. Badan Standardisasi Nasional. Diakses tanggal 2022-09-15. 
  25. ^ Ahmadi, F., dan Hamudulloh,. Wijayanti, Dian Marta, ed. Konsep dan Aplikasi Literasi Baru di Era Revolusi Industri 4.0 dan Society 5.0. Semarang: CV. Pilar Nusantara. hlm. 137. ISBN 978-602-53992-5-1. 
  26. ^ Ramadhani, Fanny (2021). Teknologi Open Source. Medan: Umsu Press. hlm. 76–77. ISBN 978-623-6402-61-0. 
  27. ^ Pangaribuan, Linda Juliana (2018). "Kriptografi Hybrida Algoritma Hill Chiper dan Rivest ShamirAdleman (RSA) Sebagai Pengembangan Kriptografi Kunci Simetris (Studi Kasus: Nilai Mahasiswa AMIK BMP)". Jurnal Teknologi dan Komunikasi. 7 (1): 13. ISSN 2548-7582. 

Daftar pustaka[sunting | sunting sumber]