Keamanan Informasi

Keamanan informasi adalah perlindungan informasi, termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan sistem informasi merupakan hal yang perlu mendapat perhatian saat membangun sebuah sistem informasi. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha.

Keamanan informasi merupakan upaya memastikan, menjamin kelangsungan bisnis (business continuity) dengan menjaga informasi dari berbagai ancaman yang mungkin terjadi, meminimalisir risiko bisnis (reduce bussiness risk) dan memaksimalkan setiap peluang bisnis. Menurut Whitman dan Mattord (2010), keamanan informasi adalah suatu bentuk perlindungan terhadap informasi dan unsur-unsur penting yang ada di dalamnya seperti kerahasiaan, integritas, dan ketersediaan tidak terkecuali sistem dan hardware untuk menyimpan dan mengirim informasi tersebut.

Keamanan sistem informasi bertujuan untuk memastikan dan meyakinkan integritas, ketersediaan dan kerahasiaan dari pengolahan informasi. Pengelolaan keamanan sistem informasi harus dimulai ketika sebuah sistem informasi dibangun, bukan hanya sebagai pelengkap sebuah sistem informasi. Dengan adanya pengelolaan keamanan sistem informasi yang baik, maka diharapkan perusahaan dapat memprediksi risiko-risiko yang muncul akibat penggunaan sistem informasi sehingga dapat menghindari atau mengurangi risiko yang mungkin dapat merugikan perusahaan.

Prinsip Keamanan Informasi 

Menurut Raharjo (2017), terdapat tiga pilar yang menjadi prinsip utama dalam keamanan informasi, yaitu confidentiality (kerahasiaan), integrity (integritas), dan availability (ketersediaan) yang dikenal dengan istilah CIA TRIAD. Adapun penjelasan dari masing-masing prinsip keamanan informasi tersebut adalah sebagai berikut:

a. Confidentiality (kerahasiaan) 

Kerahasiaan merupakan unsur untuk memastikan suatu informasi tersebut hanya bisa diakses oleh pihak yang memiliki wewenang atas akses ke informasi tertentu. Confidentiality atau kerahasiaan adalah aspek yang biasa dipahami tentang keamanan. Confidentiality menyatakan bahwa data hanya dapat diakses atau dilihat oleh orang yang berhak. Biasanya aspek ini yang paling mudah dipahami. Jika terkait dengan data pribadi, aspek ini juga dikenal dengan istilah privacy.

Confidentiality atau kerahasiaan berfokus pada upaya untuk menghindari pengungkapan secara tidak sah terhadap informasi yang bersifat rahasia maupun sensitif. Pengungkapan informasi tersebut dapat terjadi secara disengaja, seperti pemecahan sandi untuk membaca informasi, atau dapat terjadi secara tidak disengaja, dikarenakan kecerobohan dari individu dalam menangani informasi. Serangan terhadap aspek confidentiality dapat berupa penyadapan data (melalui jaringan), memasang keylogger untuk menyadap apa-apa yang diketikkan di keyboard, dan pencurian fisik mesin/disk yang digunakan untuk menyimpan data.

Menurut Osborne (2006), sejumlah mekanisme yang sering digunakan untuk mempertahankan konsep confidentiality adalah sebagai berikut: 

1. Klasifikasi Data. Merupakan proses pelabelan informasi sehingga masing-masing individu mengetahui siapa yang diizinkan untuk melihatnya dan siapa yang tidak.
2. Enkripsi. Merupakan mekanisme teknis yang digunakan untuk menjaga kerahasiaan (confidentiality). 
3. Pemusnahan Peralatan (Equipment Disposal). Merupakan segala bentuk usaha/aktivitas yang ditujukan untuk melindungi kearahasiaan suatu informasi ketika tidak lagi dipergunakan dalam media penyimpanan. Beberapa contoh aksi dalam hal ini adalah proses format pada disk sekurang-kurang tujuh kali atau lebih, penyobekan kertas (dengan bantun mesin shredder), dan lain sebagainya.

b. Integrity (integritas) 

Integritas merupakan unsur yang memastikan bahwa kualitas, keutuhan, dan kelengkapan data terjaga sesuai dengan keaslian data. Aspek yang menjamin bahwa data tidak diubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya. Dengan kata lain integrity memastikan data tidak boleh berubah tanpa ijin dari yang berhak. Dalam keamanan informasi, integrity (integritas atau keutuhan) berarti bahwa data tidak dapat dibuat, diganti, atau dihapus tanpa proses otorisasi.

Beberapa data tidak boleh dimodifikasi sama sekali seperti kontrol pengguna, karena perubahan sesaat dapat menyebabkan gangguan layanan yang signifikan dan pelanggaran kerahasiaan. Sebagai contoh, data yang disimpan pada salah satu bagian dari sistem database telah melewati persetujuan dengan data terkait yang tersimpan pada bagian lain dari sistem database. Adapun tujuan dari integrity adalah menghindari modifikasi informasi dari user atau pengguna yang tidak berhak dan menghindari akses yang tidak sah atau modifikasi informasi yang tidak disengaja dari pengguna yang tidak berhak.

Beberapa mekanisme yang dapat dilakukan untuk menjaga integritas terhadap suatu data atau informasi yaitu: 

1. Checksums. Merupakan serangkaian angka yang dihasilkan melalui fungsi matematika untuk memastikan bahwa blok data yang diberikan tidak berubah. 
2. Kontrol Akses. Merupakan mekanisme untuk memastikan bahwa individu/pihak tertentu dapat hanya dapat melakukan sejumlah aksi tertentu.

c. Availability (ketersediaan) 

Kerahasiaan merupakan unsur yang memastikan bahwa pihak yang memiliki hak akses ke suatu informasi dapat mengakses informasi tersebut dalam bentuk yang dibutuhkan tanpa gangguan atau hambatan. Aspek ini menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Ketergantungan kepada sistem yang berbasis teknologi informasi menyebabkan sistem (beserta datanya) harus dapat diakses ketika dibutuhkan. Jika sistem tidak tersedia, not available, maka dapat terjadi masalah yang menimbulkan kerugian finansial atau bahkan nyawa. Itulah sebabnya aspek availability menjadi bagian dari keamanan.

Serangan terhadap aspek availability dilakukan dengan tujuan untuk meniadakan layanan atau membuat layanan menjadi sangat lambat sehingga sama dengan tidak berfungsi. Perlindungan terhadap aspek availability dapat dilakukan dengan menyediakan redundansi. Sebagai contoh, jaringan komputer dapat menggunakan layanan dari dua penyedia jasa yang berbeda. Jika salah satu penyedia jasa jaringan mendapat serangan (atau rusak), maka masih ada satu jalur lagi yang dapat digunakan.

Beberapa mekanisme yang dapat dilakukan untuk menjaga ketersediaan data adalah sebagai berikut:

1. Redundant Systems atau implementasi sistem berganda ke dalam suatu infrastruktur (seperti disk array atau mesin-mesin yang di-cluster). 
2. Perangkat Lunak Anti Virus untuk menghentikan worm atau program berbahaya lainnya yang mengganggu kondisi jaringan. 
3. Penerapan perangkat IPS guna mengantisipasi ancaman serangan tertentu (seperti DDoS) yang dapat mengganggu ketersediaan suatu layanan.

d. Nonrepudiation (tidak terbantah) 

Selain dari tiga prinsip utama yang dijelaskan di atas. Masih terdapat suatu prinsip lain yang juga ditambahkan ke dalam prinsip CIA, yaitu prinsip nonrepudiation. Nonrepudiation adalah prinsip yang memastikan suatu aksi atau transaksi menjadi tidak dapat dibantah. Dalam kebanyakan kasus, berbagai layanan yang diturunkan melalui prinsip ini telah menggantikan penggunaan tanda tangan atau peranan notaris pada dokumen berbasis kertas.

Beberapa mekanisme yang biasa digunakan dalam penerapan prinsip Nonrepudiation antara lain yaitu: 

1. Nonrepudiation pada tanda terima. Melalui mekanisme ini pengirim dapat membuktikan bahwa pesan telah dikirimkan kepada orang yang tepat. Hal ini dimaksudkan untuk menghindari situasi dimana pihak pengirim telah mengirimkan pesan atau informasi namun tidak dapat membuktikan bahwa pihak penerima telah mendapatkannya. 
2. Nonrepudiation bagi pengirim. Merupakan mekanisme yang mampu membuktikan bahwa suatu pesan datang dari orang yang tepat. Hal ini dimaksudkan untuk menghindari situasi dimana pesan yang diterima kemudian dibantah oleh pihak pengirim.
3. Nonrepudiation terhadap waktu. Merupakan mekanisme yang mendefinisikan waktu ketika suatu pesan atau informasi dikirimkan.

Aspek-aspek Keamanan Informasi 

Perlindungan informasi dilakukan untuk memenuhi aspek keamanan informasi yang perlu diperhatikan, dikontrol dan dipahami untuk diterapkan. Menurut Whitman dan Mattord (2009), terdapat beberapa aspek yang terkait dengan keamanan informasi, yaitu sebagai berikut:

a. Privacy 

Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain.

b. Identification 

Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali penggunaannya. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi umumnya dilakukan dengan penggunaan username dan user ID.

c. Authentication 

Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang diklaim.

d. Authorization 

Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia dan komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari informasi.

e. Accountability 

Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktivitas terhadap informasi yang telah dilakukan, dan siapa yang melakukan aktivitas itu.

Strategi Keamanan Informasi 

Keamanan Informasi memiliki kontrol keamanan yang berguna sebagai upaya perlindungan dari berbagai macam ancaman, memastikan keberlanjutan bisnis dan meminimalkan risiko bisnis serta dapat meningkatkan investasi dan peluang bisnis. Menurut Salazar (2005), strategi yang dapat digunakan dalam pelaksanaan keamanan informasi adalah sebagai berikut: 

1. Physical Security, merupakan strategi yang berfokus dalam mengamankan anggota organisasi atau pekerja, asset fisik, dan tempat kerja dari berbagai macam ancaman yang meliputi bahaya kebakaran, akses ilegal atau tanpa adanya otorisasi, dan bencana alam. 
2. Personal Security, yang overlap dengan physical security dalam melindungi orang-oragan dalam instansi atau organisasi. 
3. Operation Security, merupakan strategi yang berfokus dalam mengamankan kemampuan dari instansi atau organisasi untuk melakukan pekerjaan tanpa adanya gangguan. 
4. Communication Security, bertujuan untuk mengamankan media komunikasi, teknologi komunikasi beserta isinya, dan kemampuan dalam memanfaatkan peralatan untuk terealisasinya tujuan dari organisasi. 
5. Network Security, adalah pengamanan terhadap peralatan jaringan dan data organisasi, jaringan beserta isinya, dan kemampuan dalam memanfaatkan alat untuk tercapainya tujuan organisasi.