Data dan informasi terbentuk melalui suatu rangkaian mulai dari pengumpulan, penyimpanan, pemrosesan, dan menyebarkannya. Kualitas informasi yang disebar mengalami tiga jenis perlakukan hilang, rusak atau terkurangi. Padahal pengguna selalu mengharapkan data yang akurat (sesuai dengan aslinya). Sehubungan dengan adanya gangguan data yang selalu ada, hasil survei tentang keamanan data informasi tahun 2005 di AS, memberikan gambaran kepada kita bahwa kebocoran/kehilangan informasi di beberapa tipe kecelakaan mendapatkan hasil prosentase yang cukup significan
Bahkan capital loss sebagai akibat dari kecelakaan tsb dapat mencapai nilai US$130 juta pada tahun 2005. Jumlah yang tidak kecil. Yang menarik adalah kecelakaan dari serangan virus menduduki posisi tertinggi dengan nilai US$42 juta.
Menurut ISO/IEC 17799: 2005 Keamanan Informasi mencakup 3 hal yang yang berkaitan satu dan yang lain yaitu confidentiality, integrity danavailability (CIA)
Paradigma Keamanan Informasi. Terjadi fase perubahan perlakukan terhadap keamanan informasi. Secara konvensional pengamanan informasi adalah tugas Administrator, di siapkan inrastruktur berupa server firewall sebagai pintu gerbang lalu lintas data dan informasi. Tidak ada keharusan untuk mengontrol mekanisme ini.Dalam perspektif modern, pengamanan informasi mencakup banyak aspek antara lain : |:Owner (pemilik data) adalah penanggungjawab utama. |:Mengetahui penyebab terjadinya sesuatu pada data dan memberi solusi yang jitu. |:Urusan tugas dan fungsi dan keamanan data tidak dapat dipisahkan. |:Penanggungjawab keamanan meliputi pimpinan puncak, pimpinan di bidang IT dan pimpinan di bidang keamanan informasi.|:Menerapkan manajemen Plan,Do,Check, Action (PDCA). |:Membangun integrasi dan sinergi antara Kualitas Informasi, Kebijakan IT dan Model Keamanan Informasi.|:Komponen Keamanan Informasi terdiri dari dari CIA yang mempunyai keandalan untuk di akses oleh pengguna.
Dengan demikian keamanan informasi bertujuan untuk mengontrol semua kegiatan yang berkaitan dengan lalulintas data dan infromasi.
Manfaat. Standarisasi suatu sistem memudahkan bagi pengguna untuk dapat menyelesaikan lebih efektif, efisien, realistis dan komprehensif, Hal ini dapat dimengerti karena semua dokumen pembangunan sistem tersusun rapi dan terstruktur. Dengan demikian jaminan kualitas data dan informasi yang dihasilkan dapat diandalkan dengan standar keamanan yang tinggi. Dan yang lebih penting adalah antisipasi adanya bencana.
Handycap . Penerapan ISMS merupakan barang baru di negara kita, hal ini dapat dimengerti karena budaya kita belum terbiasa dengan perlu adanya standarisasi. Pembangunan sistem yang komplek dirasakan menimbulkan kesulitan untuk menuangkan dalam format tulisan yang mudah dimengerti oleh pengguna. Hasil kerja sistem ini tidak dirasakan dalam kondisi normal, sehingga menyulitkan untuk memberlakukan sistem reward bagi pengelolanya. Dan yang penting adalah kesulitan untuk meyakinkan otorita keuangan untuk mengalokasikan anggaran khusus untuk pembanguna sistem ini. Selain alokasi anggaran yang sangat besar, dan manfaatnya tidak dapat dinikmati secara langsung.
 |
| 11 Kunci Keberhasilan Penerapan ISMS |
 |
| 10 Titik Rawan Kebocoran Keamanan Data & Informasi |
Kata Kunci.Terdapat 11 hal yang harus dilakukan untuk menerapakan ISMS. Diantara ke-11 hal tersebut, yang menarik adalah 7 diantaranya adalah persoalan manajemen sedangkan masalah teknis hanya 1 bagian saja.
Kebocoran.Secara tidak sadar terdapat 10 titik yang mempunyai kontribusi terjadinya kebocoran terhadap keamanan informasi di sekitar lingkungan kerja kerja kita. Yaitu [1-Inadequate Router AccesControl, [2-Unsecured/Unmonitored Remote Access, [3- Information Leakage ViaZone Transfer Services(SMTP,Telnet), [4- Running Unnecessary Services, [5- Weak or reused Password, [6- User accts with Exessive Privileges, [7-Mis-configures Internet Services, [8-Mis-configured Firewall or Router, [9- Un-patched,Outdated Software with Deafult Configurations, [10- Exessive File ; Directory Access Controls.
Penerapan ISMS. Implementasi dari konsep PDCA yang terdiri dari :
1. PLAN, beberapa tahap yang harus dilakukan antara lain : (a).Menentukan ruang lingkup dan batasan ttg organisasi, tupoksi, lokasi, aset dan teknologi (b).Mendefinisikan kebijakan berkaitan dengan visi dan misi, perundang-undangan dan peraturan. (c).Menentukan pendekatan penilaian risiko meliputi metodologi, kriteria untuk tingkat menerima risiko (c).Identifikasi risiko tentang aset, ancaman, kerentanan; dampak thd kerahasiaan,integritas & ketersediaan (d).Penilaian risiko terhadap dampak terhadap penyediaan,kegagalan & penanganan data (e).Rencana untuk mengelola dan mengidentifikasi risiko (f).Menentukan dan memilih tujuan untuk kontrol dan bagaimana memberlakukan risiko tersebut (g).Komitmen dari puncak pimpinan tentang akibat dari risiko yang dihadapi (h).Mendapatkan otorisasi dari puncak pimpinan untuk mengimplementasikan ISMS (i).Komitmen dari semua pihak untuk pengelolaan dampak dan resiko, termasuk pengecualiannya
2. DO, beberapa tahap yang harus dilakukan antara lain : (a).Membuat perencanaan,pelaksanaan dan pengawasan tentang pengelolaan resiko.(b).Melaksanakan penerapan dan pengawasan (c).Melaksanakan sosialisasi dan pelatihan kegiatan (e).Menentukan bagaimana mengukur efektivitas fungsi pengawasan (f).Mengelola sumber daya (f).Menerapkan prosedur dan kontrol lain untuk penanganan insiden
3. CHECK, melakukan beberapa tahap kegiatan antara lain : (a).Membuat SOP untuk penanganan & mendeteksi adanya kesalahan prosedur, pelanggaran keamanan,pembobolan sistem keamanan dan mencegah timbulnya insiden (b).Review secara rutin penerapan mengukur efektifitas fungsi pengawasan ISMS (c).Review penilaian risiko dan tingkat risiko yang diterima (d).Melakukan audit internal terhadap penerapan ISMS (e).Manajemen monitoring dan evaluasi secara rutin (f).Memperbarui sistem keamanan (g).Merekam tindakan dan peristiwa yang berdampak pada penerapan ISMS
4. ACT, yaitu menerapkan beberapa kegiatan antara lain : (a).Menginventarisir dan mengidentifikasi setiap adanya perbaikan (b).Melakukan perbaikan atau tindakan preventif terhadap kejadian yang sudah berlangsung (c).Melakukan komunikasikan terhadap hasil dan perbaikan kepada pihak-pihak yang berkepentingan (d).Pastikan bahwa perbaikan mencapai tujuan Menentukan ruang lingkup dan batasan ttg organisasi, tupoksi, lokasi, aset dan teknologi
Dokumentasi .
[- Terhadap dokumentasi yang ada dan sudah diterapkan harus dikelola dengan baik untuk :
-.Menyimpan dan mengawasi,
-.Menyetujui sebelum dokumen diterbitkan,
-.Memperbarui apabila diperlukan dan harus disetujui lagi,
-.Memastikan bahwa perubahan-perubahan yang ada dapat diidentifikasi,
-.Memastikan bahwa setiap dokumen yang berlaku tersedia keberadaannya,
-.Memastikan bahwa dokumen tetap dapat dibaca,
-.Memastikan bahwa dokumen yang berasal dari luar organisasi juga dapat diidentifikasi ,
-.Mengawasi penyebaran dan distribusi dokumen,
-.Memastikan bahwa dokumen lama tidak dapat digunakan lagi (walaupun dengan tidak sengaja),
-.Jika dokumen lama akan dipertahankan, diidentifikasi bahwa dokumen tersebut dapat di perbarui lebih baik.
[=Terhadap data yang tersimpan harus dilakukan pengawasan yang meliputi :
=. Pencatatan, perekaman dan pemeliharaan data untuk mendukung kualitas data,
=.Dokumentasi prosedur untuk memastikan bahwa data harus dapat (a) di baca, diambil dan diidentifikasi (b) dikontrol untuk identifikasi, penyimpanan, perlindungan, pengambilan, waktu retensi dan pencatatan, =.Apakah pencatatan untuk waktu retensi minimum harus dilakukan ?
Internal Audit. Berbagai alasan harus dijelaskanan kenapa kegiatan ini dilakukan dengan menyiapkan berbagai dokumen pendukung. Dokumen yang belum tersedia harus disiapkan sebagai pedoman bagi auditor untuk melakukan tugasnya. Persyaratan sebagai auditor merupakan hal yang harus dipernuhi, mengingat spesifikasi kegiatan yang memerlukan keahlian khusus.
Perbaikan.
Hasil audit bukan dokumen yang mati, tetapi harus ditindaklanjuti dengan perencanaan dan pelaksanaan yang nyata, kontinyu dan bersifat preventifi serta tindakan koreksi. Ditetapkan penanggungjawab jawab terhadap perbaikan, termasuk tahap-tahap perbaikan dan posisi-nya.
Apa yang harus dilakukan untuk Menerapkan ISMS ?
Pertanyaan sederhana yang memerlukan jawaban yang konsisten dari semua komponen penyelenggara kegiatan (baca kantor).Ketidak konsistenan terhadap komitmen yang sudah dibuat dan disepakati, dapat berakibat ke dua hal yaitu kegagalan dan dapat berjalan tetapi tersendat. Inventarisasi dan identifikasi kondisi dan situasi kantor dalam mengelola data dan informasi menentukan proses lanjut apa yang harus dilakukan. Inventarisasi adalah quisioner yang berisi tentang beberapa hal mengenai (a) sejauh mana peran atau tingkat kepetingan TIK di kantor ybs (b) bagaimana mengelolanya (c) sejuah mana resiko terhadap pengelolaan TIK penaganannya (d) apakah kantor ybs mempunyai kerangka kerja dalam pengelolaan keamananan informasi (e) bagaimana pengelolaan aset-nya dan (f) teknologi dan keamanan informasi yang ditangani kantor ybs. KemKomInfo sudah membuat aplikasi khusus untuk meng-asses data tersebut yang disebut dengan aplikasi Indeks KAMI (Keamanan Informasi). Dari hasil asesement akan terlihat bahwa dimana posisi kita dalam range skala yang sudah ditentukan. Tentu keterlibatan konsultan sangat penting untuk memberi advis dan tanggapan terhadap langkah-langkah yang harus dilakukan. Sekali lagi, kembali ke 11 kata kunci yang harus dipenuhi untuk menerapkan ISMS adalah bahwa keberhasilan sebagain besar ditentukan dari sisi manajemen (baca komitmen). Harapan sekaligus Tantangan.
disarikan dari sosialisasi Pengamanan Informasi oleh Dit.Sistem Informasi,Pernagkat Lunak ; Konten, 29 Juni-2 Juli,2010
Tidak ada komentar:
Posting Komentar