194212083 / Cosmas Samuel Daeli Delapan Elemen Kebijakan Keamanan Informasi Introduction Masalah keamanan informasi bukan sekedar masalah teknologi, namun juga masalah manajemen. Saat ini setiap organisasi sangat tergantung pada teknologi informasi. Ironisnya banyak organisasi mengalami kegagalan dalam pengendalian keamanan dan integritas sistem informasi. Dibutuhkan strategi untuk memproteksi sistem, mendeteksi dan merespon berbagai serangan terhadap sistem informasi. AICPA dan CICA mengembangkan acuan kerangka kerja untuk memastikan keandalan sistem informasi yang dikenal dengan nama Trust Framework. Trust Framework merupakan kerangka kerja yang terdiri dari lima prinsip yang satu dengan yang lainnya saling terkait dalam memberikan kontribusi terhadap keandalan sistem informasi. Kelima prinsip itu adalah, Security, Confidentiality, Privacy, Processing Integrity dan Availability. Security merupakan hal yang bersifat fundamental bagi keandalan pada sebuah sistem informasi, kemudian apa saja konsep yang terkait keamanan sistem informasi yang bersifat fundamental yang perlu untuk dipahami. Beberapa konsep tersebut adalah masalah keamanan informasi bukan hanya sekedar masalah teknologi namun juga masalah manajemen, kemudian konsep time-based model untuk keamanan informasi. Model ini memiliki tujuan utama untuk mensimulasikan seluruh kombinasi dari berbagai mekanisme pengendalian mulai dari pencegahan, pendeteksian, sampai dengan reaksi respon yang sesuai terhadap ancaman atau resiko yang muncul. Pihak manajemen harus terlibat dalam proses pengendalian keamanan sistem informasi dengan terlebih dahulu melakukan inisiasi awal dalam bentuk assessment. Hal ini dilakukan oleh pihak manajemen untuk mengantisipasi resiko keamanan yang dapat timbul atau dikategorikan sebagai ancaman bagi seluruh komponen yang mendukung berjalannya sistem infomasi selain itu pihak manajemen harus menentukan tindan atau kebijakan apa yang akan dilakukan untuk menghadapi ancaman. Siklus Keamanan Sistem Informasi Dipicu dari keterlibatan pihak manajemen untuk melakukan assessment terhadap potensi ancaman atau risiko yang timbul terhadap sistem informasi. Berikut siklus keamanan sistem informasi yang dimaksud adalah: 1. Melakukan assessment ancaman dan memilih respon terhadap risiko ancaman 2. Mengembangkan dan mengkomunikasikan kebijakan penanganan risiko 3. Mengimplementasikan solusi teknologi yang sesuai 4. Melakukan monitoring dan evaluasi atas rangkaian kinerja yang telah dilakukan 194212083 / Cosmas Samuel Daeli Komponen Time – Based Model Ada tiga aspek yang menjadi komponen time – based model, yaitu: 1. Perlindungan (Protection) 2. Pendeteksian (Detection) 3. Reaksi/respon (Reaction) Dalam keamanan sistem informasi sebagai contoh pola interaksi ketiga komponen tersebut dapat dijabarkan sebagai berikut: • Protection, sistem dapat menerapkan otentifikasi dengan menggunakan username yang merupakan sebuah mekanismen untuk melindungi aset sistem informasi didalam sebuah sistem yang memang hanya bisa diakses oleh pihak – pihak yang memiliki username dan password yang valid. • Detection, sistem dapat melakukan upaya deteksi ketika ada beberapa percobaan gagal login dengan menggunakan username dan password yang diasumsikan sebagai upaya akses ilegal. • Reaction, Sistem dapat memberikan notifikasi kepada pengguna yang sah bahwa terdapat upaya akses login ilegal atau secara langsung sistem dapat menonaktifkan akun tersebut agar tidak dapat dipergunakan secara sementara. Ketiga aspek tersebut diatas secara bersama masing-masing memiliki mekanisme yang dikolaborasikan untuk meningkatkan efektifitas keamanan sistem. Kemudian timebased model untuk keamanan sistem informasi itu sendiri adalah bagaimana caranya mendesain kolaborasi ketiga aspek tersebut agar mekanisme perlindungan dimiliki oleh organisasi atau dalam hal ini sistem dapat memberikan waktu yang cukup bagi organisasi untuk mendeteksi ancaman serangan yang sedang terjadi diteruskan dengan melakukan reaksi yang sesuai untuk menggagalkan ancaman tersebut sebelum terjadi kerugian bagi organisasi karena hilangnya aset informasi atau menimbulkan kondisi yang dapat membahayakan organisasi atau sistem tersebut. Hal tersebut didefenisikan dengan persamaan: 𝑃 >𝐷+𝑅 Keterangan: P = Waktu untuk proteksi D = Waktu untuk deteksi R = Waktu untuk reaksi Jika waktu yang dibutuhkan lebih lama untuk mendeteksi dan merespon atau memberikan reaksi terhadap serangan dibandingkan dengan waktu yang dapat disediakan oleh mekanisme proteksi keamanan yang telah diambil dan diterapkan yaitu justru persamaannya menjadi 𝑃 < 𝐷 + 𝑅 , maka tujuan untuk mengimplementasikan keamanan yang efektif bagi sistem akan sulit bahkan mustahil untuk bisa dicapai. 194212083 / Cosmas Samuel Daeli Pentingnya Kebijakan Keamanan Informasi Ancaman keamanan terus berkembang dan persyaratan kepatuhan menjadi semakin kompleks. Organisasi besar dan kecil harus membuat program keamanan yang komprehensif untuk mencakup kedua tantangan tersebut. Tanpa kebijakan keamanan sistem informasi tidak mungkin untuk mengkoordinasikan dan menegakkan program keamanan diseluruh organisasi, juga tidak mungkin untuk mengkomunikasikan langkahlangkah keamanan kepada pihak ketiga dan auditor eksternal. Ada tiga pengelompokkan keamanan informasi, yaitu: 1. Confidentiality, Integrity, Availability (CIA) 2. Authentication, Authorization, Accountability (AAA) 3. Protect, Defence, Response (PDR). Beberapa karakteristik utama yang membuat kebijakan keamanan efesien, yaitu: kebijakan tersebut harus mencakup keamanan dari ujung ke ujung diseluruh organisasi, dapat diterapkan dan praktis, memiliki ruang untuk revisi dan pembaharuan, dan berfokus pada tujuan bisnis organisasi / perusahaan tersebut. Information Security Policy (ISP) adalah seperangkat aturan yang memandu individu (personal) yang bekerja dengan aset Teknologi Informasi (TI). Sebuah perusahaan dapat membuat kebijakan keamanan informasi untuk memastikan karyawan dan pengguna lain mengikuti protokol dan prosedur keamanan. Kebijakan kemanan yang terus diperbaharui dan terkini bertujuan untuk memastikan bahwa informasi sensitif hanya dapat diakses oleh pengguna resmi. Ada banyak standar yang tersedia untuk menjaga keamanan informasi dan menetapkan kebijakan keamanan, diantaranya: ISO/IEC 27001 (ISO/IEC27001: 2005, 2005), ISO/IEC 27002 (ISO/IEC 27002: 2005, 2005), ISO 13335 (ISO 13335-1: 2004, 2004), ISO 17799 (ISO/IEC17799: 2005, 2005). Semua standar tersebut adalah standar yang paling terkenal untuk menyediakan persyaratan Information Security Management System (ISMS). Informasi sensitif adalah data yang harus dilindungi dari akses yang tidak sah untuk menjaga privasi atau kemanan individu serta organisasi. Ada tiga jenis yang mencakup informasi sensitif, yaitu: informasi personal, informasi bisnis, dan informasi yang diklasifikasikan. Kebijakan keamanan dapat seluas yang organisasi / perusahaan inginkan dari segala hal yang terkait dengan keamanan TI dan keamanan aset fisik terkait. Berikut menawarkan beberapa pertimbangan penting ketika mengembangkan kebijakan keamanan informasi. 194212083 / Cosmas Samuel Daeli Sumber: https://www.exabeam.com/information-security/information-security-policy 1. Purpose Organisasi / perusahaan harus menyatakan tujuan dari kebijakan yang mungkin untuk: • Membuat pendekatan keseluruhan untuk keamanan informasi. • Mendeteksi dan mencegah pelanggaran keamanan informasi seperti penyalahgunaan jaringan, data, aplikasi dan sistem komputer. • Menjaga reputasi organisasi dan menjunjung tinggi tanggung jawab etika dan hukum. • Menghormati hak pelanggan, termasuk bagaimana bereaksi terhadap pertanyaan dan keluhan tentang ketidakpatuhan. 2. Audiens Menentukan audiens yang akan menerapkan kebijakan keamanan informasi. Organisasi juga dapat menentukan audiens mana yang berada diluar cakupan kebijakan (misalnya, staff diunit bisnis lain yang mengelola keamanan secara terpisah yang mungkin tidak berada dalam cakupan kebijakan). 3. Tujuan keamanan informasi (Information Security Objectives) Memandu tim manajemen untuk menyetujui tujuan yang ditetapkan dengan baik untuk strategi dan keamanan. Keamanan informasi berfokus pada tiga tujuan utama, yaitu: • Kerahasiaan (Confidentiality), hanya individu (personal) dengan otorisasi yang dapat mengakses aset data dan informasi. 194212083 / Cosmas Samuel Daeli • 4. 5. 6. 7. Integritas (Integrity), data harus utuh, akurat dan lengkap serta sistem TI harus tetap beroperasi. • Ketersediaan (Availability), pengguna harus dapat mengakses informasi atau sistem saat dibuthkan. Otoritas dan Kebijakan Kontrol Akses (Authority and Access Control Policy) • Pola Hierarki (Hierarchical Pattern) – manejer senior mungkin memiliki kewenangan untuk memutuskan data apa yang dapat dibagikan dan dengan siapa. Kebijakan keamanan mungkin memiliki istilah yang berbeda untuk manejer senior vs karyawan junior. Kebijakan tersebut harus menguraikan tingkat otoritas atas data atas data dan sistem TI untuk setiap peran organisasi. • Kebijakan keamanan jaringan (Network security policy) – pengguna hanya dapat mengakses jaringan dan server perusahaan melalui login unik yang menuntut otentikasi, termasuk sandi, biometrik, ID Cards, atau tokens. Organisasi harus memantau semua sistem dan mencatat semua upaya login. Klasifikasi Data (Data Classification), kebijakan harus mengklasifikasikan data dalam kategori, yang mungkin termasuk “top secret”, “secret”, “confidential”, dan “public”. Tujuan dalam mengklasifikasikan data adalah: • Untuk memastikan bahwa data sensitif tidak dapat diakses oleh individu dengan tingkat izin yang lebih rendah. • Untuk melindungi data yang sangat penting, dan menghindari tindakan pengamanan yang tidak perlu untuk data yang tidak penting. Dukungan dan Operasi Data (Data Support and Operations) • Peraturan perlindungan data (Data protection regulations) – sistem yang menyimpan data pribadi, atau data sensitif lainnya, harus dilindungi sesuai dengan standar organisasi, praktik terbaik, standar kepatuhan industri, dan peraturan terkait. Sebagian besar standar keamanan memerlukan minimal enkripsi, firewall, dan perlindungan anti-malware. • Cadangan data (Data backup) – mengenkripsi backup data sesuai dengan praktik terbaik industri. Menyimpan media backup dengan aman, atau memindahkan backup ke penyimpanan cloud yang aman. • Perpindahan data (Movement of data) – hanya mentransfer data melalui protokol yang aman. Mengenkripsi informasi apapun yang disalin keperangkat portabel atau dikirim melalui jaringan publik. Kesadaran dan perilaku (Security Awareness and Behavior) – Membagikan kebijakan keamanan TI dengan staff lain. Melakukan sesi pelatihan untuk memberi tahu karyawan tentang prosedur dan mekanisme keamanan, termasuk tindakan perlindungan data, tindakan perlindungan akses, dan klasifikasi data sensitif. • Social engineering – Memberikan penekanan khsus pada bahaya serangan manipulasi psikologis (seperti email phishing). Menentukan seseorang untuk bertanggung jawab memperhatikan, mencegah dan melaporkan jika ada tindakan serangan. • Clean desk policy – Laptop atau PC harus di enskripsi (sandi yang unik), rusak dokumen yang tidak lagi diperlukan. 194212083 / Cosmas Samuel Daeli • Acceptable internet usage policy – membatasi koneksi internet, dan memblokir situs yang tidak perlu untuk dikunjungi menggunakan proxy. 8. Tanggung jawab, hak, dan tugas personle (Responsibilities, rights, and duties of personel) – menunjuk staff untuk melakukan tinjauan akses pengguna, pendidikan, change management, incident management, implementasi dan pembaharuan berkala dari kebijakan keamanan. Tanggung jawab tersebut harus didefenisikan dengan jelas sebagai bagian dari kebijakan keamanan.
