2 bab ii landasan teori

advertisement
2 BAB II
LANDASAN TEORI
2.1 Teori Keamanan Informasi
Ketika suatu informasi berharga suatu organisasi berada di salah satu
anggotanya, maka kerentanan telah muncul. Karena itu dengan pemahaman dan
persepsi yang memadai akan isu keamanan informasi akan menyebabkan
perubahan perilaku anggota organisasi tersebut untuk melindungi informasi
berharga organisasi (Mattia, 2011).
Keamanan sistem informasi jauh lebih luas perspektifnya dibandingkan
dengan keamanan komputer. Hal tersebut termasuk sistem manual dan “human
processors.”(Mattia, 2011).
Penelitian Aishboul (2010) menunjukkan bahwa pentingnya korelasi antara
aset organisasi, gangguan keamanan data, dan evaluasi tingkat keamanan sistem
informasi. Selain itu, untuk mengelola tingkat keamanan informasi yang
diharapkan, haruslah mengimplementasikan prosedur, pengukuran tingkat
keamanan, serta panduan.
Allen (2007) mengutip pengertian pengelolaan keamanan informasi menurut
US National Institute of Standards and Technology (NIST) adalah suatu proses
dalam membangun dan mengelola suatu kerangka dan mendukung struktur
manajemen dan proses-proses untuk menyediakan keyakinan akan strategi
keamanan informasi. Selain itu, isu keamanan informasi pada dasarnya ada
budaya kelompok atau organisasi. Dengan terciptanya budaya akan mendorong
hubungan berkesinambungan antara kebijakan , proses, orang, dan kinerja (Allen,
2007).
Untuk mengetahui bagaimana organisasi menempatkan keamanan informasi
sebagai perhatian penting sekalian pengelolaan adalah dengan melihat bagaimana
pemimpin organisasi menyebarluaskan keyakinan, perilaku, kapabilitas, dan
tindakan yang sesuai dengan standar dan praktek yang biasa digunakan di tingkat
internasional secara periodik. (Allen, 2007).
2.2 Model Bisnis untuk Keamanan Informasi
Suatu kepercayaan umum, bahwa untuk menangani area kritis seperti
keamanan informasi, harus didukung dengan model yang telah terbukti berhasil.
Information Systems Audit and Control Association (ISACA) dalam publikasinya,
“An Introduction to the Business Model for Information Security” mengenalkan
Model Bisnis untuk Keamanan Informasi. Model ini merupakan model
manajemen keamanan sistemik, diciptakan oleh Dr Laree Kiely dan Terry Benzel
di USC Marshall School of Business Institute untuk Perlindungan Infrastruktur
Informasi Kritis (ISACA, 2010).
Model ini mengambil pendekatan yang berorientasi bisnis untuk mengelola
keamanan informasi. Pendekatan keamanan informasi tersebut bersifat dinamis
dalam konteks bisnis dan menunjukkan bahwa keamanan informasi perusahaan
dapat baik prediktif dan proaktif. Model ini dapat diadopsi tanpa memperhatikan
ukuran organisasi atau arus kerangka keamanan informasi organisasi di tempat itu.
Selain itu, model tersebut tidak tergantung pada setiap teknologi tertentu atau
perubahan teknologi dari waktu ke waktu. Model ini dapat diterapkan di berbagai
industri, geografi, peraturan dan sistem hukum. Model ini mencakup keamanan
informasi tradisional maupun privasi, berkaitaan dengan risiko, maupun secara
keamanan fisik dan kepatuhan (ISACA, 2010).
.
Gambar 2.1 The Business Model for Information Security (ISACA, 2010)
2.2.1 Organisasi
Unsur Organisasi, ditunjukkan dalam gambar di atas, merupakan komponen
penting dari Model Bisnis untuk Keamanan Informasi. Desain keseluruhan dari
perusahaan adalah salah satu bagian dari elemen ini, sedangkan strategi adalah
prasyarat menyeluruh yang mempengaruhi unsur Organisasi. Banyak pendekatan
untuk memfokuskan keamanan informasi pada Orang, Proses dan pandangan
teknologi keamanan, tetapi tidak memeriksa perusahaan secara keseluruhan.
Pendekatan ini mencakup aspek spesifik dari kesulitan dan masalah diamati, tanpa
menyertakan aspek-aspek lain dari perusahaan secara keseluruhan yang mungkin
telah berkontribusi terhadap pengamatan ini. Pendekatan ini sering berpusat pada
teknologi atau proses, tapi tanpa pemahaman tentang kekuatan sekitar yang
mungkin menetralisir usaha pengamanan informasi.
2.2.2 Proses
Elemen Proses menyediakan kaitan penting untuk semua Model. Proses
diciptakan untuk membantu organisasi mencapai strategi mereka. Proses adalah
kegiatan terstruktur yang diciptakan untuk mencapai hasil tertentu melalui
individu atau serangkaian tugas yang diterapkan secara konsisten. Elemen Proses
menjelaskan praktek dan prosedur sebagai orang dan organisasi ingin mereka
capai. Proses adalah persyaratan mendasar bagi suatu perusahaan untuk
mengembangkan, menyebarluaskan, mendidik dan menegakkan praktik dan
prosedur keamanan dalam suatu cara yang sedang berlangsung.
2.2.3 Teknologi
Teknologi seringkali bagian paling kompleks dari program keamanan
informasi dalam model ini. Teknologi memberikan praktisi keamanan banyak alat
untuk mencapai misi dan strategi keamanan informasi perusahaan secara
keseluruhan, termasuk parameter keamanan generik kerahasiaan, integritas dan
ketersediaan. Namun, tidak semua teknologi yang ada untuk keamanan informasi,
meskipun sering ada kesalahpahaman bahwa investasi di bidang teknologi akan
menyelesaikan setiap dan semua masalah keamanan.
2.2.4 Orang
Orang merupakan sumber daya manusia dalam suatu organisasi-dalam,
kontraktor karyawan, vendor dan penyedia layanan. Orang-orang utama dalam
Model Bisnis untuk Keamanan Informasi adalah mereka yang bekerja atau
berhubungan dengan organisasi.
Namun, dalam situasi outsourcing, hubungan beberapa vendor atau
pengelolaan layanan solusi teknologi, ada lingkaran kedua dimana ada orang yang
tidak langsung bekerja di dalam atau untuk organisasi. Ini lingkaran orang yang
lebih luas perlu dipertimbangkan, tetapi dampak mereka pada keamanan mungkin
tidak berada dalam elemen Orang. Sebagai contoh, penyedia layanan help desk
dapat dilihat sebagai suatu Proses dalam elemen, dan setiap efek
sistemik
berbasis orang akan melalui Munculnya. Dalam prakteknya, hasil akhir dari
perubahan sistemik tentang orang sering kali sama-terlepas dari apakah orang
internal atau eksternal yang diperbantukan.
Keamanan informasi menurut ISO/IEC 17799: 2005 adalah:
the ‘preservation of the confidentiality, integrity and availability of
information; in addition, other properties, such as authenticity, accountability,
non-repudiation and reliability can also be involved’. Dengan kata lain, ada tiga
unsur utama yang terkandung dalam konteks keamanan informasi, yaitu:
confidentiality, integrity, dan availibiliy, selain itu tambahannya adalah keaslian,
akuntabilitas, tidak mengelak, dan keandalan Lebih lanjut pengertian tiga unsur
utama tersebut adalah sebagai berikut.
1. Confidentiality
ISO/IEC 27001 mendefinisikan
confidentiality adalah bahwa informasi
tidak tersedia atau diungkapkan kepada individu, entitas, atau proses yang tidak
sah. Misalnya pengungkapan informasi pada pihak tidak berhak secara lisan, surat
elektronik, menyalin, mencetak dokumen, dan sebagainya.
2. Integrity
ISO/IEC 27001 mendefinisikan integrity adalah tindakan menjaga
keakuratan dan kelengkapan aset. Integritas suatu data bukan hanya benar, tetapi
juga terpercaya. Sebagai contoh, jika sebuah informasi disalin ke dalam USB atau
mengupload ke email, maka informasi tersebut bukan hanya tidak rahasia lagi,
tetapi telah diragukan integritasnya. Sebab, jika sebuah file/data telah digandakan,
maka akan terbuka kemungkinan risiko untuk diubah atau mengalami modifikasi.
3. Availability
ISO/IEC 27001 mendefinisikan availability sebagai aset yang dapat diakses
dan digunakan saat diminta oleh entitas yang berwenang. Ketersediaan dapat
diukur dengan sebagai contoh adalah dalam konteks bisnis memiliki web portal
yang aman melawan serangan Denial of Service (DoS) atau bila ketersediaan
infrastruktur komputer tidak dapat diyakini bekerja pada sistem organisasi, hal ini
menyebabkan proses atau orang-orang tidak dapat bekerja pada saat itu.
Veiga (2007) mengatakan Komponen keamanan informasi dapat dijelaskan
sebagai prinsip yang memungkinkan implementasi dan maintenance keamanan
informasi seperti kebijakan keamanan informasi, penilaian risiko, pengendalian
teknikal, dan kesadaran keamanan informasi. Semua komponen tersebut meliputi
Information Security Governance Framework.
2.3 Manajemen Risiko
Wheeler (2011) menyatakan bahwa pengertian risiko yang dilekatkan pada
informasi adalah kemungkinan frekuensi dan kemungkinan besarnya kehilangan
kerahasiaan, ketersediaan, integritas, atau akuntabilitas pada masa depan.
Kerahasiaan, keakuratan, dan ketersediaan merupakan elemen penting
dalam keamanan informasi. Risiko gangguan terhadap elemen tersebut merupakan
hal yang sangat mungkin terjadi. Karena itu untuk meminimalkan risiko serta
mengupayakan agar sistem informasi tetap berjalan dibutuhkan suatu manajemen
atas risiko tersebut.
Gallagher (2012) menyatakan bahwa proses manajemen risiko yaitu: (1)
memetakan risiko, (2) menilai risiko, (3) respon terhadap risiko, dan (4)
pemantauan risiko.
Jayawardhana (2009) menyatakan bahwa risiko yang dihadapi organisasi
yang kurang memadai yaitu: kerusakan operasional, kerusakan reputasi, dan
kerusakan legal. Kerusakan ini bisa berdampak jangka pendek dan jangka
panjang.
Manajemen risiko merupakan salah satu bagian terpenting dalam
pengelolaan keamanan sistem informasi. Agar pengelolaan risiko tersebut berjalan
efektif, ISO/IEC 27001: 2005 memberikan klausul bahwa organisasi harus
menjalankan manajemen risiko. Di dalam ISO/IEC 27001: 2005, manajemen
risiko disempurnakan oleh pengembangan manajemen risiko, dimana aset,
ancaman, dan kerentanan diidentifikasi dan risiko sepadan diukur.
Jones (2007) menyatakan bahwa ada empat prinsip dasar yang mendukung
strategi manajemen risiko, yaitu: koordinasi, kredibilitas, efektivitas, dan
transparansi. Jones menjelaskan keempat prinsip tersebut sebagai berikut:
1. Koordinasi
Ketika suatu risiko berhasil diidentifikasi, hal itu boleh jadi akan berdampak
pada bagian lain dalam organisasi. Orang yang bertanggung jawab atas risiko
tersebut perlu diberikan otoritas untuk mengkoordinasikan setiap risiko yang
muncul pada berbagai area yang relevan.
2. Kredibilitas
Pendekatan manajemen risiko sedapat mungkin proaktif dan proporsional
dan ancaman (threats) potensial dan kerentanan seharusnya ditangani sebelum
ada dampak. Ketika tindakan diambil, seharusnya biaya berimbang dengan
dampak potensial.
3. Efektivitas
Pendekatan manajemen risiko harus kuat dan mencakup seluruh aspek dari
proses. Pendekatan tersebut harus dapat berlaku bagi pengawasan internal maupun
eksternal dan seharusnya dibangun dari praktek yang berlaku umum (best
practices).
4. Transparansi
Agar proses manajemen risiko dapat berjalan efektif, maka dibutuhkan
keterbukaan akan proses tersebut. Pada risiko yang telah diidentifikasi, staf yang
berkaitan harus diberikan akses pada informasi terkait sesuai dengan kebutuhan
organisasi.
Lebih lanjut Jones (2007) menjelaskan bahwa untuk menjelaskan prinsip
dan komponen esensial dari proses manajemen risiko keamanan, diperlukan
kerangka risiko (risk framework). Kerangka tersebut akan menjelaskan bagaimana
risiko keamanan informasi yang signifikan dapat diidentifikasi (identified), dinilai
(assessed), dievaluasi (monitored), dan diperlakukan (treated). Pemetaan
kerangka risiko tersebut terhadap siklus model plan-do-check-act (PDCA) dapat
dilihat pada gambar berikut.
Gambar 2 Pemetaan kerangka risiko pada model PDCA
Tremper (2005) menyatakan fungsi umum yang biasa digunakan dalam
menghitung risiko adalah: RISK = Probability x Impact, dimana probability
ialah ukuran kemungkinan suatu kejadian, dan impact adalah ukuran dampak jika
hal tersebut terjadi.
2.3.1 Identifikasi risiko
Identifikasi risiko secara akurat merupakan kegiatan penting dalam
manajemen risiko. Setiap organisasi memiliki cara tersendiri dalam membuat
daftar hasil identifikasi risiko. Pentingnya membuat identifikasi maupun pemetaan
risiko agar organisasi memahami risiko bisnisnya dan selanjutnya membuat
mitigasinya.
Gallagher (2012) menyatakan bahwa memetakan risiko bertujuan untuk
menghasilkan strategi manajemen risiko yang menunjukkan bagaimana organisasi
bermaksud menilai risiko, merespons risiko, dan memantau risiko.
Identifikasi risiko terdiri dari:
1. Kepatuhan terhadap standar dan regulasi
Pada semua organisasi, ada regulasi tertentu yang meminta agar organisasi
untuk memenuhi standar yang diatur. Sebagai contoh produk perundangan seperti
Sarbanes Oxley dan Basel II, standar sektor perdagangan, dan juga standar dan
kebijakan yang berlaku secara internasional yang diadopsi oleh organisasi.
Regulasi yang relevan harus diidentifikasi dan persayaratan dalam regulasi
tersebut harus dipahami.
2. Identifikasi aset dan proses
Pengidentifikasian aset dan proses dilakukan untuk melihat elemen mana
saja yang akan menjadi subjek penilaian risiko. Identifikasi ini akan mencakup
aset berwujud (tangible assets) dan aset tak berwujud (intangible assets). Selain
itu, bila organisasi menggunakan teknologi informasi dalam operasinya, maka
pemahaman komprehensif akan lingkungan operasi bisnis mesti ditangkap
(captured). Sebuah survey dapat dilakukan untuk untuk menangkap dan merekam
sumber daya (resources), lokasi, konfigurasi hardware dan software, antar muka
(interface) dan saling ketergantungan (interdependencies).
3. Pemetaan lingkungan teknologi informasi
Tujuan melakukan pemetaan lingkungan teknologi informasi adalah
memperoleh pemahaman akan infrastruktur teknologi informasi organisasi untuk
mengidentifikasi secara utuh kebutuhan keamanan informasi. Pemetaan ini
mencakup pemetaan infrastruktur yang mendukung fungsi-fungsi bisnis dan
kebijakan keamanan, standar, dan prosedur yang sedang digunakan. Hal ini juga
mengkaji teknologi informasi terkait dengan hukum dan persyaratan yang telah
diatur.
4. Identifikasi risiko
Proses pengidentifikasian risiko dilakukan untuk mengetahui informasi yang
memadai agar dilakukan perhitungan akan nilai setiap ancaman (threat) dan
kerentanan (vulnerabilities) yang telah teridentifikasi. Nilai tersebut berdasarkan
kemungkinan ancaman mengekspolitasi kerentanan dan tingkat dampak yang
muncul dari ancaman yang mengeksploitasi kerentanan yang ada terdapat pada
sistem. Dampak didefinisikan sebagai kehilangan kerahasiaan (confidentiality),
integritas (integrity), dan ketersediaan (availibility). Proses tersebut dapat dilihat
pada gambar berikut.
Gambar 2.3 Identifikasi Risiko (Jones, 2007)
Penjelasan gambar di atas adalah sebagai berikut:
(1) pengidentifikasian ancaman potensial pada sistem;
(2) pengidentifikasian kerentanan yang dapat dieksploitasi;
(3) pengidentifikasian
pengendalian
dan
penanggulangan
(countermeasures) yang memitigasi kemungkinan (likelihood)
kerentanan yang dapat dieksploitasi;
(4) Perhitungan tingkat dampak yang dibuat oleh ancaman yang
mengeksploitasi kerentanan;
(5) Perhitungan
tingkat risiko ancaman yang
kerentanan spesifik; dan
mengeksploitasi
(6) Pengidentifikasian dan pendokumentasian risiko residu.
5. Kepemilikan risiko
Kepemilikan risiko yaitu orang yang bertanggung jawab untuk memastikan
strategi penanggulangan risiko telah memadai, dan orang yang memiliki otoritas
untuk memastikan tindakan yang tepat telah dilakukan.
2.3.2 Penilaian risiko
Proses penilaian risiko dicapai dengan pembentukan keterkaitan kualitatif
dan kuantitatif antara risiko-risiko yang telah teridentifikasi. Hal tersebut meliputi
proses penentuan signifikansi pasangan ancaman dan kerentanan, dan
pengestimasian risiko yang mungkin muncul terhadap sistem akibat ancaman dan
kerentanan tersebut. Bila dilihat dari sudut pandang perencanaan, hal-hal yang
berkaitan dengan penilaian risiko adalah sebagai berikut:
1. Perencanaan pengurangan risiko
(1) Evaluasi atas pilihan dan identifikasi solusi yang diharapkan
Pada bagian ini, rencana keamanan informasi bertujuan untuk memperkuat
perlindungan.
(2) Prioritas terhadap tindakan
Hal-hal yang perlu dipertimbangkan dalam menentukan prioritas antara
lain: dampak potensial bagi organisasi, biaya pencegahan dibandingkan
biaya akibat gangguan, waktu, tenaga dan kompleksitas penerapan,
kemungkinan keberhasilan, dan konsekwensi pengendalian yang baru atas
suatu proses.
(3) Pembuatan dan penerapan suatu rencana aksi keamanan
Sebuah rencana aksi keamanan adalah dokumen yang bertujuan untuk
mengetahui langkah-langkah yang tepat dalam rangka mengatasi
permasalahan disertai dengan jadwal waktu penerapannya.
(4) Review kebijakan dan prosedur
Pada bagian ini, dilakukan perbaikan atas tindakan yang telah dilakukan,
perbaikan tersebut dapat bersumber dari analisis atas pelajaran yang
diperoleh (lesson learned) dan analisis kejadian setelah suatu tindakan
telah diambil.
(5) Pembangunan rencana manajemen krisis
Pada bagian ini, serangkaian skenario kemungkinan krisis disusun setelah
laporan penilaian risiko diterbitkan. Rencana manajemen krisis terdiri dari
analisis ruang lingkup skenario krisis potensial dan pembangunan rencana
tindak atas respon dari skenario krisis.
(6) Pembangunan rencana komunikasi
Pada bagian ini, dibangun rencana komunikasi untuk meyakinkan setiap
anggota organisasi tahu siapa orang yang berkaitan dengan aspek
komunikasi selama krisis.
(7) Pengembangan rencana pemulihan setelah krisis
Pada bagian ini, dibangun rencana secara sistematis untuk mengembalikan
krisis ke operasi normal, serta meyakinkan biaya pemulihan setelah krisis
masih di dalam anggaran organisasi.
2. Pemodelan risiko
Tujuan melakukan pemodelan risiko adalah menyajikan aspek keamanan
informasi organisasi untuk mengeksplorasi sistem dengan menggunakan
pertanyaan apa-jika (what-if scenario). Contoh: apa dampak kerentanan yang ada
dalam sistem?, apa hal yang harus dilakukan untuk mengurangi dampak pada
sebuah insiden?, penanggulangan apa yang efektif?
3. Pengujian
Tujuan pengujian yaitu mengetahui apakah perencanaan maupun prosedur
yang telah dirancang dapat memberikan hasil yang diharapkan. Selain itu pada
tahapan ini dilakukan review atas implementasi perencanaan, merumuskan
kembali perencanaan, dan melakukan kembali rencana tersebut. pada dasarnya
dalam manajemen risiko, haruslah dilihat sebagai sebuah siklus dari mulai
pengidentifikasian risiko, penilaian risiko, perlakuan risiko, dan monitoring dan
pelaporan risiko.
2.3.3 Analisis Risiko
Munteanu (2006) menyimpulkan bahwa pengukuran resiko keamanan
merupakan pekerjaan yang sulit, yang hampir tidak mungkin dilakukan secara
akurat, untuk sebuah SI. Pada literatur keamanan informasi, dapat dilihat bahwa
dalam metode kuantitatif terdapat tahapan penilaian value of the assets. Dalam
memperoleh nilai aset, seperti aset berupa informasi atau database, sangat terbuka
peluang munculnya subjektifitas penilai. Sebab dalam penilaian tersebut, terdiri
dari beberapa elemen yang harus ditaksir. Elemen tersebut antara lain, nilai dari
kompetitis aset, biaya perangkat lunak, biaya untuk melindunginya, dan lain-lain.
Sedangkan pada metode kualitatif menggunakan kuesioner untuk memperoleh
fakta, melalui estimasi secara statistik, dengan penilaian low, medium dan high,
sehingga ditemukan kesulitan dalam menghitung kerugian finansial jika hanya
berdasarkan asumsi atau judgment.
Mazareanu (2007) menyimpulkan bahwa pada pendekatan kualitatif sangat
didominasi oleh pengukuran yang subjektif, sedangkan pada pendekatan
kuantitatif dapat meniadakan sifat subjektif yang ada, sehingga akan lebih objektif
dibandingkan metode kualitatif.
Hasil penelitian yang dituliskan oleh Munteanu (2006), bahwa pendekatan
kualitatif dan kuantitatif, sama-sama tidak dapat terlepas dari penilaian yang
bersifat subjektif, karena pada pendekatan kuantitatif pun ditemukan tahapan
dimana perlu dilakukan sebuah perkiraan dan judgment dari peneliti agar dapat
menilai value of asset, nilai dari kompetitif aset, biaya perangkat lunak, biaya
untuk melindunginya. Sedangkan hasil penelitian yang dituliskan oleh Mazareanu
(2007), menyatakan bahwa pendekatan kuantitif dapat menghilangkan penilaian
yang bersifat subjektif, karena melakukan penilaian dengan angka-angka yang
akurat dan terukur.
2.3.4 Penanggulangan risiko
Ada empat penanggulangan terhadap risiko setelah berhasil diidentifikasi,
yaitu sebagai berikut:
1. Penghindaran risiko (risk avoidance)
Penghindaran risiko berarti tidak melakukan aktivitas apapun yang
memungkinkan datangnya risiko. Menghindari semua risiko berarti membatasi
seluruh fungsionalitas sistem atau menghindari timbulnya biaya tambahan bila
risiko diterima.
2. Pengurangan risiko (risk reduction)
Pengurangan risiko adalah perlakuan yang mencakup metode yang diambil
untuk mengurangi keparahan akibat suatu insiden. Contoh pengurangan risiko
antara lain penggunaan pengendalian internal yang efektif, penggunaan firewall
dan intruder detection systems (IDSs) untuk mengurangi kemungkinan serangan
terhadap kerentanan, atau simplifikasi proses bisnis yang dapat mengurangi risiko
atau mengurangi biaya.
3. Penerimaan risiko (risk acceptance)
Penerimaan risiko adalah perlakuan dimana risiko dari insiden dapat
diterima. Penerimaan terhadap suatu risiko dapat menjadi layak ketika dampak
atau kemungkinannya kecil, atau biaya untuk menanggulanginya lebih kecil dari
kemungkinan dampak yang dihasilkan. Risiko yang tidak semuanya dihindari,
dikurangi, atau dialihkan merupakan bagian dari penerimaan risiko.
4. pengalihan risiko (risk transfer)
Pengalihan risiko berarti mengalihkan risiko ke pihak lain. Contoh
pengalihan risiko adalah asuransi.
Pilihan perlakuan atas risiko terkait dengan frekuensi dan dampaknya
tersebut dapat dilihat pada gambar berikut.
Gambar 2.4 Pilihan perlakuan risiko (Jones, 2007)
Menurut Krutz (2003), dengan menggunakan kontrol keamanan informasi,
diharapkan akan mampu meredam risiko yang ada, dimana kontrol akan memiliki
fungsi sebagai berikut:
-
Kontrol pencegahan (preventive control), yaitu kontrol yang befungsi
melakukan pencegahan dari upaya-upaya melanggar kebijakan dan aturan
keamanan informasi.
-
Kontrol pendeteksi (detective control): yaitu kontrol yang berfungsi
melakukan peringatan adanya pelanggaran yang terjadi sebagai upaya
pelanggaran kebijakan atau aturan keamanan informasi. Beberapa detective
control overlap dengan preventive control, karena sebuah kontrol dapat
digunakan sebagai preventive untuk masa depan, dan detective untuk
kejadian saat ini.
-
Kontrol koreksi (corrective control), yaitu kontrol yang berfungsi untuk
melakukan recovery dari dampak yang telah ditimbulkan oleh terjadinya
risiko.
2.3.5 Monitoring dan pelaporan risiko
1. Monitoring risiko
Monitoring risiko adalah aktivitas pemantauan yang dilakukan pihak
internal dalam tiap jangka waktu tertentu. Monitoring risiko dapat berupa
pengelolaan dokumentasi atas accidents dan incidents yang berpengaruh terhadap
sistem informasi, pengidentifikasian risiko baru yang mungkin terjadi serta
pendeteksian perubahan atas risiko yang telah teridentifikasi, menyediakan
peringatan atas kerentanan dan insiden, dan mengelola rencana manajemen risiko.
2. Pelaporan
Pelaporan yang efektif merupakan elemen mendasar dari manajemen risiko.
Suatu pelaporan risiko seharusnya menyediakan informasi yang terpercaya dan
relevan bagi para pembaca agar pembaca memperoleh pemahaman yang cukup
atas risiko yang mengancam organisasi. Selanjutnya, atas pemahaman tersebut
digunakan untuk pengambilan keputusan.
Penilaian risiko merupakan bagian penting dari manajemen risiko dan
berhubungan dengan mengidentifikasi dan grading risiko bagi organisasi. Peltier
(2009) menyatakan bahwa penilaian risiko adalah serangkaian proses untuk
mengidentifikasi ancaman (threats) secara sistematis dan dan menentukan level
risiko berdasarkan metode spesifik. Dengan mengetahui tingkat risiko, organisasi
dapat mengidentifikasi pengukuran pengendalian untuk mengurangi risiko yang
dapat diterima. Penilaian risiko memiliki empat tahapan utama, yaitu
mengidentifikasi ancaman terhadap misi organisasi, memprioritaskan ancaman
tersebut ke tingkat risiko, mengidentifikasi mitigasi kontrol atau perlindungan,
dan membuat rencana aksi untuk menerapkan kontrol-kontrol yang meringankan
risiko.
Penilaian risiko terdiri dari analisis risiko dan evaluasi risiko. Analisis risiko
adalah pendekatan sistematis memperkirakan besarnya risiko. Evaluasi risiko
adalah proses membandingkan estimasi risiko terhadap kriteria risiko untuk
menentukan signifikansi risiko (ISO 17799).
2.4 Sistem Manajemen Keamanan Informasi
Sistem Manajemen Keamanan Informasi (SMKI) merupakan bagian dari
manajemen secara keseluruhan. Informasi dipandang sebagai aset penting sama
seperti aset perusahaan lainnya, karena itu bagi perusahaan adalah hal yang
penting untuk menggunakan pendekatan risiko dalam mengelola aset tersebut
(ISO 27001:2005). Pengamanan atas aset informasi tersebut mencakup aspek
kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability).
Tujuan pengamanan atas informasi tersebut pada dasarnya adalah melindungi
informasi dari berbagai ancaman agar aktivitas bisnis dapat terus berlangsung
serta risiko bisnis dapat terminimalisasi.
Sistem Manajemen Keamanan Informasi (SMKI) diterapkan dengan
menggunakan model Plan Do Check Act (PDCA). Tahapan dalam model tersebut
adalah sebagai berikut (SNI ISO/IEC 27001:2009).
1. Plan (penetapan SMKI)
Menetapkan kebijakan, sasaran,proses dan prosedur SMKI yang sesuai
untuk pengelolaan risiko dan perbaikan keamanan informasi agarmenghasilkan
hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan.
2. Do (penerapan dan pengoperasian SMKI)
Menerapkan dan mengoperasikan kebijakan, pengendalian, proses, dan
prosedur SMKI.
3. Check (pemantauan dan pengkajian SMKI)
Mengases dan, apabila berlaku, mengukur kinerja proses terhadap
kebijakan, sasaran SMKI dan pengalaman praktis dan melaporkan hasilnya
kepada manajemen untuk pengkajian.
4. Act (peningkatan dan pemeliharaan SMKI)
Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal
audit SMKI dan tinjauan manajemen atau informasi terkait lainnya,untuk
mencapai perbaikan berkesinambungan dalam SMKI.
Hubungan antara Plan, Do, Act, dan Check dalam SMKI dapat dilihat pada
gambar berikut.
Gambar 2.5 Pemetaan ISMS/SMKI terhadap model PDCA
Manfaat implementasi dari sistem manajemen keamanan informasi yang
komprehensif, seperti yang disebutkan oleh Jalil (2004) dari hasil survei adalah
sebagai berikut:
1. Meningkatkan pemahaman terhadap aspek-aspek bisnis
2. Mengurangi pelanggaran pengamanan atau keluhan
3. Mengurangi publikasi yang merugikan
4. Memperbaiki rating dari liabilitas jaminan perusahaan
5. Mengidentifikasi aset-aset kritikal melalui penilaian risiko bisnis
6. Menjamin bahwa modal pengetahuan akan disimpan dalam sistem manajemen
bisnis
7. Meningkatkan faktor kepercayaan diri, baik internal maupun eksternal
8. Pendekatan sistematik
9. Menyediakan struktur untuk perbaikan terus menerus
10. Meningkatkan pengetahuan dan kepentingan dari isu-isu tentang pengamanan
di level manajemen
Kakkar (2012) menyatakan bahwa kebutuhan utama sistem manajemen
keamanan informasi adalah untuk mengelola risiko terkait keamanan informasi.
Dengan membangun sistem manajemen keamanan informasi, organisasi dapat
menentukan tingkat keamanan, rencana mitigasi, dan menyebarkan risiko terkait
aset-aset tersebut pada upaya-upaya penanggulangan secara teknikal. Selain itu,
sistem manajemen keamanan informasi memungkinkan untuk membantu
organisasi dalam membangun pemahaman akan aktivitas utama bisnis dan strategi
serta mengidentifikasi risiko-risiko terkait aktivitas tersebut.
Namun Kakkar (2012) menyatakan bahwa bahwa pemilihan dan
implementasi sistem manajemen keamanan informasi memiliki kelemahan dalam
kondisi berikut:
1. Definisi ruang lingkup kebijakan keamanan informasi adalah langkah krusial.
Banyak organisasi memilih ruang lingkup yang terlalu terbatas untuk
meminimalisasi kompleksitas, namun ketika tahap implementasi, mereka tidak
efektif melakukannya.
2. Tujuan utama sistem manajemen keamanan informasi pada dasarnya adalah
keuntungan keamanan informasi terhadap organisasi. Banyak organisasi
mengimplementasikan sistem manajemen keamanan informasi hanya untuk
mendapatkan sertifikasi dan menunjukkannya pada pelanggan. Hal ini
menyebabkan tujuan penerapan sistem manajemen keamanan informasi
berisiko kehilangan kefektifannya.
3. Implementasi sistem manajemen keamanan informasi membutuhkan biaya.
Karena itu manajemen seharusnya memahami bahwa keuntungan (akan
keamanan informasi) tidak pernah gratis.
4. Sebelum tergantung akan sistem manajemen keamanan informasi, organisasi
harus memahami bahwa keberhasilan dan keefektifan sistem manajemen
keamanan informasi sangat tergantung pada faktor kesadaran dan ketertarikan
orang di dalamnya.
5. Di beberapa organisasi, banyak orang yang enggan mengambil tanggung
jawab dalam kaitannya kewajiban keamanan karena takut akan kesalahan dan
kelalaian. Manajemen seharusnya menyadari bahwa keberhasilan tidak dapat
dicapai dalam waktu semalam, karena itu dibutuhkan tindakan proaktif agar
memberikan hasil nyata.
6. Kesadaran dan training tentang kebijakan keamanan informasi, prosedur dan
keuntungannya adalah faktor kunci keberhasilan sistem manjemen keamanan
informasi. Hal itu membutuhkan partisipasi aktif orang-orang dari setiap level
dalam organisasi.
7. Meski sistem manajemen keamanan informasi dilakukan oleh orang-orang.
Namun kenyataannya faktor teknologi dan teknikal merupakan faktor
mayoritas dalam pengimplementasiannya. Karena itu dibutuhkan analisis
selanjutnya seperti biaya, kelayakan praktikal, keefektifan, kegunaan,
keuntungan, dan seterusnya.
8. Setelah pengimplementasian sistem manajemen keamanan informasi, langkah
penting selanjutnya adalah melakukan assessment dan pengembangan.
Assessment seharusnya dilakukan secara komprehensif, tertata dengan baik,
dan fokus pada tujuan. Hasil studi menunjukkan bahwa banyak organisasi
tidak melakukan assesstment secara menyeluruh, sehingga dampak ancaman
internal dan eksternal boleh jadi terdapat dalam perlindungan data sementara
belum pernah ditentukan risiko yang dapat diterima dimana seharusnya dapat
dirumuskan seperti apa pengamanannya.
9. Frekuensi audit dan assessment juga memegang peranan penting. Assessment
yang terlalu cepat di awal akan mengeluarkan banyak biaya dan tidak
memberi banyak perubahan, sementara assessment yang terlalu lama di akhir
akan membuat terlalu banyak risiko keamanan.
10. Mengembangkan sistem manajemen keamanan informasi setelah adanya hasil
audit merupakan hal yang penting. Menunda pengembangan berarti tidak ada
pengembangan.
Pengembangan
yang
dilakukan
tepat
waktu
berarti
peningkatan akan keuntungan dari sistem manajemen keamanan informasi.
Banyak organisasi yang menunda melakukan perbaikan pada kebijakan
keamanan maupun teknologinya. Hal ini berarti memperbesar risiko akan
keamanan informasinya.
Calder dan Watkins (2006) menyatakan bahwa ketika bahaya keamanan
informasi begitu jelas mengancam kerahasiaan, integritas, dan ketersediaan,
tanggung jawab stratejik untuk menyelamatkan aset informasi bukan hanya
pekerjaan Chief Information Officer(CIO).
2.5 ISO 27001: 2005
ISO 27001: 2005 merupakan standar spesifikasi kebutuhan sistem
manajemen keamanan informasi yang dikeluarkan oleh the International
Organisation for Standardisation (ISO) dan the International Electrotechnical
Commission (IEC) pada bulan Oktober 2005.
Standar ini telah disiapkan untuk menyediakan model untuk penetapan,
penerapan, pelaksanaan, pemantauan, pengkajian, pemeliharaan dan perbaikan
sebuah Sistem Manajemen Keamanan Informasi (SMKI).
ISO/IEC 27001:2005 awalnya muncul sebagai BS 7799 (standar Inggris)
pada tahun 1999. BS7799 diinsiasi oleh Departemen Industri dan Perdagangan
Inggris bersama dengan sektor industri terkemuka di Inggris. Awalnya BS 7799
adalah sebuah standar praktek manajemen keamanan informasi. Bagi organisasi
yang SMKI-nya berkembang dengan baik, dapat menerapkan BS7799 dengan
baik. Namun, saat itu tidak ada yang bisa memperoleh sertifikasi BS7799, sebab
United Kingdom Accreditation Service (UKAS), sebuah badan yang bertugas
memberi akreditasi pada badan sertifikasi di Inggris, tidak masuk ke ranah
BS7799. BS7799 part 1 direvisi oleh British Standard Institute (BSI) pada tahun
2000, menjadi ISO/IEC 17799:2000. Pada tahun 2002, part 2 dari BS7799
diluncurkan dengan nama BS7799-2. Pada part 2 ini telah mencakup SMKI, lebih
dari sekedar code of practice, dan telah mendekati standar manajemen mutu
seperti ISO 9000. Alasan mengapa BSI memutuskan agar BS7799 dijadikan
sebagai standar manajemen keamanan informasi internasional adalah agar setiap
organisasi dapat melindungi proses bisnis dan aktivitas untuk mencapai kebutuhan
bisnis dengan berbagai macam kontrol. Dengan menggunakan best practice
internasional diharapkan banyak organisasi dapat mengamankan prosesdan
aktivitias bisnis untuk mencapai tujuan.
Pada 15 Juni 2005, diluncurkan dengan secara eksplisit menggabungkan
Plan-Do-Check-Act ke dalam konsep siklus proses, akhirnya ISO 27001:2005
menggantikan ISO/IEC 17799:2000.
Pada tahun 2009, Indonesia melalui Badan Standardisasi Nasional (BSN)
menyusun standar SNI ISO/IEC 27001: 2009 “ Teknologi informasi – Teknik
Keamanan – Sistem manajemen keamanan informasi – Persyaratan” disusun
secara adopsi identik terhadap standar ISO/IEC 27001:2005, Information
technology – security techniques- Information security management systems –
Requirements, dengan metode terjemahan oleh Panitia Teknis Sistem Manajemen
Mutu yang dibentuk oleh BSN.
ISO/IEC 27001 adalah bagian dari standar manajemen keamanan informasi
seri 27000. Adapun seri lengkapnya sebagai berikut.
1. ISO/IEC 27000 – Overview and Vocabulary;
2. ISO/IEC 27001:2005 – ISMS Requirements (revised BS7799 Part 2:200);
3. ISO/IEC 27002:2005 – Code of Practice for Information Security
Management; sebelumnya ISO/IEC 17799;
4. ISO/IEC 27003 – ISMS Implementation Guidance;
5. ISO/IEC 27004 – Information Security Management Measurement;
6. ISO/IEC 27005 – Information Security Risk Management;
7. ISO/IEC 27006 – Requirements for bodies providing audit and
certification of information security management systems.
SMKI merupakan suatu proses dan bukan suatu produk, dalam hal ini dapat
diartikan sebagai suatu proses yang bertujuan untuk mengidentifikasikan dan
meminimalkan resiko keamanan informasi sampai ketingkat yang dapat diterima,
proses dimaksud haruslah dapat dikelola sesuai dengan standar yang telah
ditetapkan.
ISO telah memperkenalkan Standar ini dengan konsep “Sistem Manajemen"
ke dalam bidang keamanan, yang secara garis besar dapat dikatakan sebagai suatu
perangkat
yang
diambil
dari
sistem
yang
berkualitas
untuk
menyimpan/memelihara proses keamanan di bawah kendali yang secara sistematis
dan dari waktu ke waktu dengan menjelasankan peran, tanggung-jawab, prosedur
formal dan saluran komunikasi. Dimana suatu Sistem Manajemen Keamanan
Informasi yang efektif dan efisien mengizinkan perusahaan/organisasi untuk:
1. Secara konstan diperbaharui atas adanya ancaman baru dan poin-poin penting
serta mengambilnya ke dalam pertimbangan sistematis
2. Menangani kecelakaan dan kerugian dari segi pandangan pencegahan dan
peningkatan sistem berlanjut
3. Mengetahui ketika kebijakan dan prosedur tidak cukup diterapkan pada
mulanya untuk mencegah kerusakan
4. Menerapkan kebijakan dan prosedur tentang pentingnya manajemen
keamanan, dengan mengikuti "prosedur praktek terbaik" dan manajemen
resiko yang baik.
ISMS tidak spesifik mengarah ke salah satu industri, namun merupakan
kerangka kerja yang dengan memodifikasinya dapat diterapkan di berbagai
industri seperti perbankan, pemerintahan, manufaktur dan sebagainya.
Struktur ISO/IEC 27001:2005 ini terdiri dari 11 klausa utama, 39 kontrol
obyektif, dan 134 kontrol individual. Masing-masing area kontroltersebut
menyediakan panduan dan best practices dalam membuata suatu pengamanan
yang efektif. Kesebelas klausa utama tersebut yaitu:
1. Security Policy (Kebijakan keamanan);
Kebijakan keamanan informasi bertujuan untuk menyediakan arahan dan
dukungan manajemen untuk keamanan informasi termasuk regulasi.
2. Organization of information security (Organisasi keamanan informasi);
Organisasi keamanan informasi merupakan proses yang diimplementasikan
untuk pengelolaan keamanan informasi dalam organisasi.
3. Asset Management (Manajemen aset);
Bertujuan untuk memelihara perlindungan yang sesuai terhadap aset
organisasi
4. Human resources security (Keamanan sumberdaya manusia);
Bertujuan untuk mengurangi risiko terjadinya human error, pencurian,dan
penyalahgunaan fasilitas
5. Physical and Environmental Security (Keamanan fisik dan lingkungan);
Bertujuan untuk mencegah akses yang tidak terotorisasi, kehancuran, dan
campur tangan pada informasi dan proses bisnis.
6. Communication and operations management (Komunikasi dan manajemen
operasi );
Bertujuan untuk menjamin ketepatan dan keamanan fasilitas pemrosesan
informasi.
7. Access Control (Kendali Akses);
Bertujuan untuk mengontrol akses informasi.
8. Information systems acquisition, development and maintenance (Akuisisi
sistem informasi, pengembangan dan pemeliharaan);
Bertujuan uyntuk menjamin pengamanan sistem informasi.
9. Information security incident management (Manajemen kejadian keamanan
informasi);
Bertujuan untuk menjamin insidaen yang berkaitan denganpenamanan
indormasi dikomuniakasikandan ditangani melalui tindakan korektif.
10. Business continuity management (Manajemen kesinambungan bisnis);
Bertujuan untuk mengamankan interupsi pada aktivitas bisnis dan untuk
melindungi proses bisnis yang kritikal dari kegagalan yang terjadi ataupun
bencana.
11. Compliance (kepatuhan terhadap peraturan).
Bertujuan untuk menghindari terjadinya kriminalitas,pelanggaran hukum
dan pelanggaran peraturan.
Hui Lin (2012) mengatakan bahwa pada dasarnya organisasi dapat memilih
framework apa yang digunakan dalam rangka sistem manajemen keamanan
informasi, apakah yang sifatnya kontrol yang spesifik seperti ISO 27001 atau
yang sifatnya IT processes seperti COBIT. Dan bahkan dapat menggabungkan
beberapa framework sesuai kebutuhan organisasi tersebut.
Jayawickrama (2006) mengatakan bahwa kelebihan organisasi mengadopsi
ISO 27001:2005 sebagai sistem manajemen keamanan informasi adalah karena
ISO 27001:2005 memiliki pendekatan yang sistematis dan komprehensif atas
keamanan suatu prosesn sistem pengendalian. Salah satunya adalah penilaian
risiko dan rencana aksi atas fokus penilaian risiko dari suatu sistem atau proses
yang mempertimbangkan banyak faktor-faktor yang dapat berdampak pada
ketergantungan organisasi secara internal maupun eksternal.
ISO 27001:2005 mendefinisikan critical success factor dalam implementasi
pengamanan informasi yaitu sebagai berikut:
1. Kebijakan,
tujuan
dan
mencerminkan tujuan bisnis;
kegiatan
pengamanan
informasi
yang
2. Pendekatan dan kerangka untuk mengimplementasian, memelihara,
memonitor,dan memperbaiki pengamanan informasi yang konsisten
dalam budaya organisasi;
3. Dukungan dan komitmen yang jelas dari seluruh level manajemen
4. Pemahaman yang baik tentang keburuhan pengamanan informasi, risk
assessment, dan risk management;
5. Sosialiasi yang efektif tentang pengamanan informasi kepada semua
manaher, personil, dan pihak lain untuk menumbuhkan awareness
(kesadaran);
6. Distribusi panduan kebujakan pengamanan informasui,dan standar
kepada seluruh manajer,personil, dan pihak lain;
7. Komitmen untuk mendanai kegiatan manajemen pengamanan informasi;
8. Penyediaan training awareness dan pendidikan yang memadai;
9. Menetapkan proses manejemen insiden pengamanan informasi yang
efektif;
10. Implementasi
dari
sistem
pengukuran
yang
digunakan
untuk
mengevaluasi kinerja dalam manajemen oengamanan informasi dan
umpan balik untuk perbaikan.
2.6 Pengendalian Aplikasi
GAO (2009) menyatakan bahwa dalam evaluasi suatu pengendalian sistem
informasi, meliputi pengendalian umum dan pengendalian aplikasi. Suatu entitas
harus memiliki pengendalian umum dan pengendalian aplikasi yang efektif untuk
mencapai kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan
(availibility) informasi kritis yang sesuai.
ISACA (2009) memberikan pengertian pengendalian aplikasi adalah
kumpulan kebijakan, prosedur dan aktivitas yang dirancang untuk menyediakan
keyakinan yang memadai dimana tujuan-tujuan relevan dengan solusi otomatis
yang diberikan tercapai. Tujuan-tujuan tersebut yaitu:
1. Kelengkapan (completeness)
2. Akurasi (accuracy)
3. Validitas (validity)
4. Otorisasi (authorisation)
5. Pemisahan fungsi (segregation of duties)
2.7 Analytic Hierarchy Process
Analytic Hierarchy Process (AHP) adalah analisis pengambilan keputusan
dengan multi kriteria yang diperkenalkan oleh Saaty (1990). AHP merupakan
metode pengambilan keputusan dengan memetakan masalah ke dalam suatu
hierarki. Pada dasarnya, metode AHP adalah menempatkan tiap-tiap masalah dan
mendefinsikan dalam bentuk variabel, menatanya dalam susunan hierarki,
selanjutnya dengan pertimbangan subyektif memberi nilai tentang pentingnya
pada variabel tersebut dan selanjutnya menghitung serta menetapkan variabel
mana yang memiliki prioritas tertinggi dalam mempengaruhi situasi tersebut.
AHP lebih disukai karena problem pengambilan keputusan yang sangat
kompleks (dengan faktor berwujud atau tidak berwujud) dapat dibangun dengan
baik (Syamsuddin, 2011). Selanjutnya para pengambil keputusan dapat
memadukan analisis kualitatif dan kuantitatif dengan menggunakan teknik ini
(Syamsuddin, 2011). AHP juga telah terbukti sebagai teknik pengambilan
keputusan yang sudah terpakai luas 25 tahun atau lebih (Vadya dan Kumar,
2006).
Secara umum, ada empat langkah yang diambil dalam pengimplementasian
AHP (Saaty,1990), yaitu:
Langkah pertama, susun permasalahan dalam hirarki. Langkah ini
berisikan cara untuk memetakan permasalahan dalam elemen-elemen yang sesuai
dengan karakteristiknya dan bentuknya. Model pemetaan ini terdiri dari tiga level
yaitu: goal, criteria, dan alternatives.
Langkah kedua, bandingkan dan peroleh matriks judgment. Pada langkah
ini elemen pada tiap level dibandingkan dengan level di atasnya. Hasilnya berupa
local weight tiap level.
Langkah ketiga, rata-rata tertimbang (weight sum factor) dan konsistensi
perbandingan. Pada langkah ini menentukan weight sum factor tiap elemen dari
matriks dengan mengalikan row average dengan matriks awal, dan consistency
vector dengan membagi weight sum vector dengan row average.
Setelah mendapatkan consistency vector, lalu dapat dihitung lambda dan
consistency index dengan lambda (λ ) adalah rata-rata dari consistency vector
dan consistency index (CI) dengan rumus :
dimana n adalah jumlah item dari sistem yang dibandingkan. Setelah
mendapatkan consistency index (CI), bisa didapatkan consistency ratio (CR)
dengan rumus :
Dengan random index (RI) yang didapat dari tabel random index berikut
Untuk mendapatkan hasil yang konsisten, maka nilai dari consistency ratio
(CR) harus lebih kecil sama dengan 0,10. Jika CR lebih besar dari 0,10 maka
keputusan yang diambil harus dievaluasi ulang.
Langkah keempat, menghitung local weight antar level untuk menentukan
final weight dari alternatif-alternatif. Pada langkah ini, seluruh local weight
dikumpulkan dan dihitung secara keseluruhan untuk menentukan berapa final
weight untuk tiap alternatif-alternatif keputusan.
Download