Studi Klasifikasi Keamanan Data untuk Enterprise Imran, Budi Rahardjo Laboratorium Sistem Kendali dan Komputer (LSKK) Kelompok Keahlian Teknologi Informasi Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung [email protected], [email protected] Abstraksi Perkembangan teknologi informasi (TI) yang cukup pesat, ternyata berbanding lurus dengan meningkatnya ancaman terhadap kerahasiaan, keutuhan dan ketersediaan (CIA: Condifentiality, integrity, availability) dari data. Dalam mengelola data yang melimpah yang merupakan aset yang dipergunakan dalam aktifitas rutin dalam mencapai tujuan, enterprise harus mengetahui data apa yang akan diamankan dan parameter keamanannya karena setiap data berbeda tingkat keamanannya, sehingga perlu dilakukan klasifikasi data (data classification). Klasifikasi data dilakukan dengan menentukan level dari data berdasarkan nilai dari data, tingkat resiko yang akan ditimbulkan jika kehilangan data tersebut dan aspek lain sesuai dengan proses bisnis dari enterprise. Proses pengamanan data dilakukan sesuai dengan level dari data tersebut. Data yang sifatnya rahasia mendapat tingkat pengamanan yang tinggi, data yang diperuntukkan internal institusi mendapat tingkat pengamanan yang sedang dan data untuk konsumsi publik mendapat tingkat pengamanan yang rendah. Kata kunci : klasifikasi data, teknologi informasi, CIA. 1. PENDAHULUAN 2. PEMBAHASAN Di era globalisasi, kompetisi antara institusi baik yang profit maupun yang non profit terpola dalam bingkai yang sangat ketat. Untuk menjaga eksistensi enterprise, data seharusnya mendapatkan perhatian karena merupakan salah satu aset yang paling berharga. Dengan data yang akurat, lengkap, up to date (terbaru) dan terjaga kerahasiaan, keutuhan dan ketersediaannya sehingga suatu enterprise dapat mewujudkan visi dengan aktualisasi misi. 2.1 Keamanan Data Keamanan data (Data security) sudah selayaknya mendapat perhatian yang utama dalam kegiatan suatu institusi, dengan data yang aman maka aktifitas suatu institusi tidak akan mengalami gangguan karena masalah data. Penelitian keamanan data ini menggunakan pendekssatan klasifikasi data yaitu dengan mengelompokkan sdata kedalam beberapa level sesuai dengan nilai, tingkat resiko dan proses bisnis dari enterprise. Beberapa standar yang menjadi acuan dalam penelitian ini NIST Special Publication 800-30 untuk analisis resiko dan model Clark Wilson pengamanan data ditiap level. Untuk keamanan data dan informasi, diperlukan penerapan dan pemeliharaan suatu program keamanan dengan memastikan tiga aspek, yaitu : confidentiality, integrity and availability dari sumber daya informasi enterprise[9]. 2.1.1 Kerahasian (Confidentiality) Kerahasiaan harus didefinisikan dengan baik dan melalui suatu prosedur untuk menjaga kerahasiaan melalui identifikasi dan otentikasi pengguna. Identifikasi yang baik dari pengguna sistem memastikan efektifitas dari kebijakan yang menentukan hak akses terhadap suatu data item. 2.1.2 Keutuhan (Integrity) Keutuhan data harus mendapat perlindungan dari pengubahan tidak sah yang disengaja. Tantangan dari program keamanan adalah memastikan bahwa data dijaga dan berada pada kondisi yang diharapkan pengguna. Unsur penting dari integrity adalah melindungi proses atau program yang digunakan dari proses modifikasi data yang tidak sah. 1 2.1.3 Ketersediaan (Availability) Ketersediaan data merupakan jaminan dari sistem komputer untuk dapat diakses oleh pengguna yang berhak kapan saja diperlukan. Aspek yang mempengaruhi ketersediaan ssdata yaitu : 1. Denial of service, merupakan kegitan yang dilakukan yang menggunakan layanan komputasi dengan membebani sistem sehingga tidak dapat dipakai oleh pengguna yang berhak. Sebagai contoh, Internet worm membebani sekitar 10% dari sistem jaringan komputer, menyebabkan sistem tidak me-responsive kebutuhan pengguna. 2. Hilangnya kemampuan pengolahan data sebagai akibat bencana alam (seperti : kebakaran, banjir, badai dan gempa bumi) atau tindakan manusia (seperti : pengeboman atau serangan). 2.2 Pergeseran Persfektif Keamanan Data Untuk mencapai dan mendukung suatu level keamanan yang secara langsung mendukung misi dari enterprise, manajemen harus melakukan pergeseran sudut pandangan enterprise terhadap keamanan dari sudut pandang information technology based, security centric, technology solution menjadi enterprise based, risk management, continuity and resilience yang terorganisir. Untuk mewujudkannya diperlukan pendekatan khusus, reaktif terhadap keamanan, proses yang terpusat, strategis dan adaptif. Tabel 1. Shifting security perspectives (pergeseran perspektif keamanan)[1]. Area Shifting from Shifting to Security scope Technical Organizational Ownership of security Information technology Organization Focus of security Discontinuous and intermittent Integrated Funding for security Expense Investment Security drivers External Internal Security approach Ad hoc Managed 2.3 Klasifikasi Data Saat ini enterprise mengelola data yang melimpah, dari data laporan keuangan, file personil, hasil riset dan arsip pelanggan ke rancang-bangun dan kode pengembangan perusahaan yang berkisar sepuluh sampai beratus-ratus terabytes, dan mengisi dengan berjuta-juta dari file yang berbeda secara konstan tumbuh. Dengan pertumbuhan data yang berkisar 50% tiap tahun terus meningkat, dengan peningkatan ini sulit untuk mengetahui data apa yang ada tersedia, data apa yang kritis bagi bisnis dan bagaimana terbaik untuk mengatur keseluruhan aset informasi. Masalahnya adalah bahwa kebanyakan enterprise tidak menghubungkan informasi dengan proses bisnis mereka, hanya menghasilkan sesuatu yang kurang bermanfaat yang memenuhi sumber daya penyimpanan. Manfaat dari Klasifikasi Data Pada inti nya, proses klasifikasi data membolehkan enterprise untuk mengelola informasinya sesuai dengan kebutuhan bisnis. Kemampuan enterprise ini dapat digolongkan ke dalam empat kategori yang utama: 1. Pemenuhan persyaratan Klasifikasi data digunakan untuk mematuhi hukum, khususnya privacy, dimana diperlukan perlindungan atas informasi-informasi pribadi. Banyak enterprise melihat klasifikasi data sebagai pemenuhan persyaratan dari audit. 2. Peningkatan keamanan dan mengurangi resiko Manfaat lain dari klasifikasi data adalah peningkatan keamanan dan mengurangi resiko karena mendukung prinsip-prinsip kerahasiaan, integritas, dan ketersediaan sehingga dapat melindungi data. Implementasi dari suatu klasifikasi data dapat menjadi dasar dalam mengamankan data yang digunakan untuk mencegah penyingkapan data yang potensial dan membantu dalam pertahanannya. Persyaratan keamanan juga mengharuskan enterprise mengatur penyimpanan dan pemusnahan dari tipe data tertentu atau menyimpan dalam lokasi yang terpisah. Tumpukan data yang tidak teratur yang terus meningkat, akan mustahil untuk mengaturnya tanpa mengimplementasikan suatu klasifikasi data. Kombinasi klasifikasi yang universal dengan fleksibel, perpindahan data berdasarkan kebijakan memberikan solusi pada beberapa area : kebijakan kontrol arsip yang cerdas untuk menyesuaikan aturan, pemenuhan dan kebutuhan penguasa perusahaan lain; fleksibel, dua arah pergerakan data antara yang berdasarkan dengan umur dan attribut data penting lain; peningkatan prosedur backup yang memenuhi nilai dari data pada stategi backup untuk membantu mengurangi masalah backup window. 3. Pemanfaatan perangkat keras yang lebih baik dan penghematan biaya. Klasifikasi data dapat menghemat biaya dengan memindahkan data yang kurang penting dari penyimpanan data utama yang mahal ke penyimpanan data sekunder yang tidak terlalu mahal. Implementasinya menggunakan level infrastruktur penyimpanan dengan menempatkan data yang bernilai pada disk yang terbaik dan mengatur data yang kurang berharga untuk berada pada disk yang lebih murah. 4. Meningkatkan performance dan efisiensi. Hasil studi menunjukkan bahwa dengan data yang tidak tersusun, hampir 80% dari data yang pertahankan oleh enterprise tidak pernah disentuh. Data ini mungkin 2 disimpan pada high performance storage arrays, di backup tiap malam dan disimpan pada remote site. Data yang bernilai rendah sering mengkonsumsi sebagian besar dari media penyimpanan dari suatu enterprise yang seharusnya lebih efektif untuk menyimpan informasi yang kritis. Klasifikasi data juga dapat meningkatkan performance menjadi lebih efektif dalam melakukan prosedur keamanan data seperti encryption. Masalah pada encryption adalah waktu pengolahan yang memperlambat performance bagi pengguna. Tanpa klasifikasi data proses encryption akan mengenkripsi semua data yang mungkin tidak diperlukan oleh pengguna, dengan klasifikasi data proses encryption hanya dilakukan pada data yang relevan sehingga menghemat waktu dan tenaga. Definisi-definisi berikut menguraikan beberapa level pengklasifikasian data pada bidang pemerintahan, yang dikelompokkan dari level terendah hingga level tertinggi. 1 Public Document. Informasi di dalam ranah publik: laporan tahunan, pendapat media pers yang telah disetujui karena penggunaan yang publik. Keamanan pada tingkatan ini adalah minimal. 2 Internal Use Only. Informasi tidak untuk konsumsi umum di luar organisasi di mana penyingkapan akan mempengaruhi organisasi atau manajemen, tetapi tidak mengakibatkan kerugian keuangan atau kerusakan serius pada kredibilitas. 3 Moderate. Prosedur-prosedur operasional rutinitas pekerjaan, perencanaan proyek, desain-desain dan spesifikasi operasional yang ditempuh oleh organisasi. Keamanan pada tingkatan ini adalah lebih tinggi. 4 Highly Confidential. Informasi yang dianggap kritis terhadap kelangsungan operasional organisasi dan berakibat serius jika diketahui. 5 Paling Rahasia (Top Secret). Ini merupakan level yang tertinggi dari pengklasifikasian informasi. Penyingkapan tidak sah dari informasi paling rahasia dapat menyebabkan masalah fatal terhadap tingkat keamanan organisasi. Keamanan pada tingkatan ini adalah yang paling tinggi. Pada sektor swasta, umumnya menggunakan terminologi klasifikasi berikut ini : 1. Publik. Informasi ini tidak bersifat rahasia. Informasi pada kategori ini tidak perlu untuk disebarluaskan, namun jika harus disingkapkan seharusnya tidak memberi dampak serius atau negatif terhadap perusahaan. 2. Sensitif. Informasi pada level sensitif memerlukan satu tingkat perlindungan yang lebih tinggi. Informasi ini perlu dilindungi dari hilangnya kerahasiaan dan integritas akibat pengubahan yang tidak sah. 3. Privat. Informasi dalam kategori ini memiliki sifat privat, yang digunakan hanya untuk kepentingan enterprise. Penyingkapan informasi tersebut dapat berpengaruh buruk terhadap enterprise maupun karyawan. Sebagai contoh, tingkatan gaji dan informasi medis pasien. 4. Konfidensial. Informasi dalam kategori konfidensial dianggap sangat sensitive dan ditujukan untuk digunakan untuk kepentingan internal enterprise. Penyingkapan yang tidak sah dapat berdampak serius dan negatif terhadap enterprise. Sebagai contoh, informasi tentang pengembangan produk baru, rahasia perniagaan dan negosiasi-negosiasi kerjasama diangggap konfidensial. 2.4 Rancangan Siklus Klasifikasi Keamanan Data Tahap Persiapan Menentukan kebijakan keamanan data (data security policy) Monitoring & Evaluasi Risk Analisis NIST SP 800-30 US Rekomendasi kepada enterprise Menetapkan klasifikasi data Melakukan CBA Mengamankan tiap level Gambar 1. Rancanan siklus klasifikasi kemanan data. 2.4.1 Tahap persiapan Untuk memulai proses, enterprise seharusnya membentuk tim atau minimal menunjuk orang sebagai information security officer (ISO) yang bertanggung jawab terhadap proses implementasi klasifikasi dan keamanan data. Sebelum implementasi dari program dimulai, ISO harus menanyakan beberapa permasalahan penting dan memperoleh jawabannya[9]. Apakah ada eksekutif yang mensponsori proyek ini? Dukungan eksekutif yang dihormati enterprise yang dapat menjelaskan posisi ISO atau manager proyek kepada para eksekutif lainnya dan pimpinan departemen akan membantu kelancaran proyek. Apa yang dilindungi dan dari apa? ISO harus mengembangkan matriks tentang analisis ancaman dan resiko untuk menentukan apa yang mengancam informasi enterprise. Matriks ini memberikan masukan untuk analisis dampak bisnis dan merupakan 3 permulaan dari rencana untuk menentukan klasifikasi nyata dari data. Apakah ada peraturan sebagai bahan pertimbangan? Peraturan akan memberikan dampak pada rencana klasifikasi data, jika tidak pada klasifikasi data, minimal pada kontrol yang digunakan untuk melindungi atau menyediakan untuk informasi yang diatur. Apakah bisnis telah memilki tanggungjawab kepemilikan terhadap data? Pemilik data bukan departemen TI tetapi maneger bisnis. Keputusan mengenai siapa yang mempunyai akses apa, klasifikasi data yang seharusnya ditetapkan dan hal lainnya hanya ditentukan oleh pemilik data. TI menyediakan teknologi dan proses untuk mengimplementasikan ketentuan dari pemilik data, tetapi tidak dilibatkan dalam proses pengambilan keputusan. Apakah sumber daya yang tersedia cukup untuk lakukan proyek awal? Jika menginginkan proyek ini sukses. ISO seharusnya tidak melakukannya sendiri, sponsor eksekutif dapat menjadi nilai yang luar biasa dalam memperoleh sumber daya seperti tenaga dan pembiayaan untuk proyek ini dimana ISO tidak dapat melakukannya. Menetapkan proses, prosedur dan tools untuk implementasi yang baik, merumuskan klasifikasi data dengan baik memerlukan biaya, waktu dan personil yang berdedikasi. 2.4.2 Menentukan kebijakan Salah satu aspek yang penting dalam menetapkan rencana klasifikasi data adalah kebijakan keamanan data. Kebijakan ini memberikan otoritas kepada ISO untuk memulai proyek, mencari executive sponsorship, memperoleh dana dan dukungan lain untuk usaha itu. Kebijakan enterprise terhadap keamanan data berfokus pada : Memberikan gambaran bahwa data merupakan aset dari unit bisnis; Menyampaikan bahwa para manager adalah pemilik dari data dan informasi; Menetapkan system informasi yang melindungi informasi enterprise; Menjelaskan peran dan tanggungjawab semua pihak yang dilibatkan dalam hal kepemilikan dan klasifikasi data; Mendefinisikan dan menetapkan klasifikasi dan kriterianya masing-masing; Menentukan ruang lingkup dari masing-masing klasifikasi. 2.4.3 Melakukan analisis resiko Resiko adalah kemungkinan dampak negatif terhadapa enterprise yang akan terjadi dari suatu sumber ancaman dan kelemahan dari sistem. Ada 9 langkah utama dalam melakukan penilaian terhadap resiko yang dapat dilihat pada flowchart berikut ini[8] : Masukan Aktifitas pengukuran resiko - Hardware - Software - Interface - Data & informasi - Misi sistem Langkah 1 Karekteristik sistem keluaran - Batasan sistem - Fungsi sistem - Data kritis - Data sensitif - Sejarah serangan - Media massa Langkah 2 Identifikasi Ancaman Statement ancaman - Laporan - Komentar audit - Test keamanan Langkah 3 Identifikasi Kelemahan Daftar kelemahan yang potensial - Kontrol sekarang - Rencana kontrol Langkah 4 Analisis Kontrol Daftar kontrol sekarang dan rencana Langkah 5 Penentuan kemungkinan Rating dari Kemungkinan - Motivasi sumber ancaman - Kapasitas ancaman - Kelemahan - kontrol - Analisis dampak misi - Penilaian aset kritis - ancaman - dampak terbesar - rencana kontrol Langkah 6 Impact Analysis CIA Rating dari dampak Langkah 7 Penentuan resiko Tingkat resiko Langkah 8 Rekomendasi kontrol Langkah 9 Dokumentasi hasil rekomendasi Laporan penilaian resiko Gambar 2. Aktivitas penilaian resiko. Hasil analisis resiko ini akan dijadikan acuan untuk : menentukan setiap data masuk dalam level klasifikasi yang mana; bahan pertimbangan untuk menentukan tindakan pengamanan dari setiap ancaman; mengantisipasi kelemahan system. 2.4.4 Menetapkan data pada masing-masing level Setelah penilaian resiko dilakukan, maka harus dibuat : matriks yang menunjukkan ancaman setiap data; matriks yang menunjukkan kelemahan dari sistem; matriks yang menunjukkan nilai dari data; matriks yang menunjukkan nilai efektifitask kontrol; matrik yang menunjukkan tingkat resiko; menentukan level klasifikasi masing-masing data sesuai dengan matriks hasil penilaian resiko; Formulasi dalam menentukan tingkat resiko : (1) (2) (3) (4) 4 Keterangan : ERci = Exposure rating of confidentiality or integrity (1 -5) ERa = Exposure rating of availability (1-5) EF = Exposure faktor (20%, 40%, 60%, 80%, 100%) Va = Value asset (nilai aset) V = Vulnerability (Kelemahan 1, 3, 5) CE = Control effectiveness (efektifitas kontrol 0 - 5) VR = Vulnerability Rating (Tingkat kelemahan 0 - 10) IR = Impact rating (tingkat dampak 1 - 10) RL = Risk level (Tingkat resiko 1 – 100) Data & Informasi Risk Analysis perancangan arsitektur pengamanan data sesuai dengan level klasifikasinya. 2.4.8 Melakukan pengawasan dan evaluasi Untuk menjaga kesinambungan sistem klasifikasi data, maka perlu diterapkan pengawasan proses yang berkelanjutan. Departemen/unit pengawasan internal mengorganisir kegiatan ini untuk memastikan pemenuhan dengan kebijakan dan prosedur ditetapkan. Pemilik informasi secara periodik meninjau ulang data untuk memastikan bahwa klasifikasinya masih sesuai, memastikan hak akses sesuai tanggungjawab dan pekerjaanya dan kontrol keamanan pada setiap level klasifikasi ditinjau untuk memastikan kesesuaian dengan yang telah didefinisikan. 3. PENUTUP Nilai Aset Nilai Ancaman Nilai Kelemahan Dampak Nilai Kontrol Kemungkinan Matriks Tingkat Resiko Matriks Klasifikasi Data Gambar 3. Flowchart klasifikasi data. 2.4.5 Melakukan tindakan pengamanan Hal terpenting yang perlu diperhatikan bahwa kontrol harus didesain dan diimplementasikan untuk data dan informasi serta software yang digunakan untuk mengelolanya, memiliki porsi yang berbeda untuk setiap level klasifikasi. 2.4.6 Melakukan analisis manfaat dan biaya Beberapa aspek yang diukur terkait dengan pembiayaan antar lain : Exposure Factor (EF). Merepresentasikan kerugian yang dipengaruhi oleh suatu peristiwa ancaman terhadap suatu aset spesifik. Perkiraan Kerugian Tunggal (SLE). Suatu perkiraan kerugian tunggal adalah nilai uang yang diberikan terhadap suatu peristiwa tunggal. Rumusannya sebagai berikut : . (5) Tingkat Kejadian Gabungan (ARO: Annualized Rate of Occurrence). Tingkat Kejadian Gabungan adalah suatu angka yang merepresentasikan perkiraan frekuensi dari kejadian suatu ancaman. Perkiraan Kerugian Gabungan (ALE). Merupakan perkiraan kerugian keuangan per tahun yang diakibatkan oleh suatu ancaman yang diperoleh dari rumusan sebagai berikut: (6) 2.4.7 Merekomendasikan kepada enterprise Dokumentasi proses yang telah dilakukan dibuat dalam bentuk draft untuk direkomendasikan kepada enterprise yang dapat dijadikan acuan dalam melakukan implementasi Rancangan siklus klasifikasi keamanan data dapat dijadikan acuan oleh enterprise dalam melakukan proses klasifikasi dan pengamanan data pada masing-masing level yang telah diklasifikasikan sehingga kegiatan bisnis enterprise tersebut dapat berjalan dengan lancar karena jaminan kemanan datanya telah dilakukan. Proses ini harus terus dilakukan dan dievaluasi secara kontinyu karena misi enterprise dan data yang dikelola kemungkinanan akan mengalami perubahan sesusai dengan kebijakan yang ditentukan. Hasil pengujian yang dilakukan menunjukkan bahwa, rancangan siklus klasifikasi keamanan data dapat diimplementasikan pada model enterprise (Bank XYZ). 4. DAFTAR PUSTAKA [1] Caralli, Richard A.(2004), Managing for Enterprise Security, Networked Systems Survivability Program. [2] Carlson, Tom (2001), Information Security Management Understanding ISO 17799, CISSP Lucent Technologies Worldwide Services. [3] Gordon, Lawrence A.; Loeb, Martin P.; Lucyshyn, William and Richardson, Robert (2006), Computer Crime and Security Survey, CSI/FBI. [4] Krutz, Ronald L. and Vines, Russell Dean (2001), The CISSP Prep Guide—Mastering the Ten Domains of Computer Security, John Wiley & Sons, Inc. [5] Microsoft Solutions for Security and Compliance and Microsoft Security Center of Excellence (2006), The Security Risk Management Guide, © Microsoft Corporation, http://creativecommons.org/licenses/by-nc/2.5/. [6] Peltier, Thomas R; Peltier, Justin; Blackley John (2005), Information Security Fundamentals, CRC Press LLC. [7] Simpson, Nik (2006), Building a Scalable Enterprise-Class Data Classification System, http://www.scentric.com/pdf/Data_Classification_Systems.pdf. [8] Stoneburner Gary, Goguen Alice and Feringa, Alexis (2002), Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology. [9] Tipton, Harold F. and Krause, Micki (2004), Information Security Management Handbook, CRC Press LLC, Fifth Edition. [10] _________ (2006), Information Breaches Survey 2006, The Department of Trade and Industry U.K, Price waterhouse Coopers. [11] _________(2005), Information Technology – Security Techniques – Information Security Management System – Requirements, International Standard ISO/IEC 27001, first edition. 5 6