Knowledge

Sistem Manajemen Keamanan Informasi

Bisnis dan teknologi merupakan dua hal yang dapat dikatakan hampir tidak terpisahkan di zaman transformasi digital seperti saat ini. Perkembangan teknologi yang begitu cepat seakan menjadi daya tarik untuk para pelaku bisnis dalam mengembangkan setiap lini usaha yang dimilikinya. Tanpa adanya Teknologi Informasi, organisasi tidak dapat berjalan dengan efektif dan efisien, karena informasi yang dihasilkan dari suatu sistem informasi menjadi faktor yang sangat penting dalam membuat kebijakan dan keputusan yang tepat. Bahasan tentang teknologi informasi tidak dapat dipisahkan dengan internet, dimana internet berperan sebagai perantara atau alat untuk mendapatkan informasi dengan mudah. Internet sangat berperan sebagai penghapus batasan ruang dan waktu, sehingga memungkinkan tersebarnya informasi tanpa jeda, jarak dan waktu sudah bukan menjadi kendala utama pada era ini.  

Internet pertamakali diperkenalkan oleh World Wide Web pada 30 tahun lalu, pengguna internet diseluruh dunia memiliki angka yang sangat mengagumkan. Survei lembaga We Are Social (2018) menyatakan bahwa 55 persen dari penduduk dunia merupakan pengguna internet aktif. Jika populasi dunia sebesar 7.655 milyar, maka lebih dari 4.176 milyar jiwa merupakan pengguna internet. Hal tersebut menjadi tanda bahwa internet memiliki peran yang sangat besar dalam kehidupan.

Di Indonesia, berdasarkan hasil survey Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) pada akhir 2017, sebanyak 54.68 persen dari penduduk Indonesia merupakan pengguna internet aktif. Jika total populasi penduduk Indonesia 262 juta jiwa, maka setidaknya 143.26 juta jiwa merupakan pengguna internet aktif. Jumlah tersebut terus mengalami peningkatan dari tahun-tahun sebelumnya, yang mana pada tahun 2015 pengguna internet mencapai 110.2 juta orang, 2016 mencapai 132.7 juta orang seperti yang terlihat pada Gambar 1.1.

Gambar 1.1: Penetrasi pengguna internet Indonesia 2017 (Data APJII: 2017)

 

Data tersebut menunjukkan adanya ketergantungan masyarakat, badan usaha, dan seluruh pemangku kebutuhan untuk mengakses data dan informasi dimanapun dan kapanpun menjadi sangat tinggi. Hal tersebut tentunya untuk mendapatkan informasi dalam menunjang peningkatan efektivitas dan efisiensi perusahaan serta membantu dalam mencapai tujuan perusahaan. Disisi lain, seiring berkembangnya teknologi dan informasi ancaman terhadap pengelolaan informasi juga semakin meningkat. Angka pertumbuhan Internet Users di atas sangat disayangkan sekali karena tidak diimbangi dengan kesadaran akan keamanan internet. Sehingga sangat rawan terjadi ancaman malware melalui kelemahan yang ada.

Tahun 2017 dimana dikenal dengan era Internet of Thing (IoT), ancaman keamanan sistem informasi sempat digegerkan dengan serangan Malware Ransomeware yang dikenal dengan Wannacry. Dalam rentang waktu Januari sampai dengan Desember 2018, insiden keamanan informasi yang paling sering terjadi yaitu Web Defacement, disusul dengan Malware, Spam, IP Brute Force, Phishing dan lain-lain (BSSN- ISSN 2655-8467 Volume 1 Tahun 2018). Berdasarkan Security Report Badan Siber dan Sandi Negara (BSSN) pada tahun 2018 terdapat serangan Cyber di Indonesia sebanyak 513.863 yang sebagian besar berupa aktivitas Malware dengan jumlah 12.895.554 insiden.

Kenyataan tersebut perlu dilihat guna melihat urgensi untuk meningkatkan keamanan informasi. Proses pekerjaan dengan jaringan internet tentunya sangat rentan terkena serangan malware oleh pihak yang tidak diinginkan, untuk menjaga informasi perusahaan, maka risiko tersebut perlu dikendalikan dan diminimalisir. 

Kontrol terhadap malware dan perlindungan terhadap malware perlu dilakukan oleh perusahaan. Untuk mencegah insiden malware dalam sebuah perusahaan. dapat di lakukan dengan tidak membuka spam email dari sumber/pengirim yang tidak jelas. Email yang dicurigai dapat merusak komputer karena mengandung virus, malware atau sejenisnya akan masuk ke folder tersebut. Apabila dalam email yang dibuka terdapat lampiran file (attachments) sebaiknya tidak perlu diunduh atau jika tidak dikenal pengirimnya sebaiknya lakukan pemblokiran terhadap email tersebut.

Sesuai dengan ketentuan pada ISO/IEC 27001:2013 bahwa perusahaan harus menjaga keamanan informasi dari berbagai macam ancaman yang mungkin terjadi salah satunya dapat dilakukan dengan memasang antivirus pada perangkat komputer, hal ini selaras dengan implementasi annex 12.2.1 mengenai perlindungan terhadap malware. Apabila suatu perusahaan memakai sistem jaringan nirkabel, maka pastikan perusahaan memiliki teknisi yang mampu mengamankan jaringan sesuai dengan persyaratan annex 13.1.1 mengenai kemaanan jaringan. Perusahaan juga harus memastikan selalu mengunci router dan juga mengenkripsi seluruh informasi sesuai dengan annex 10.1.1 mengenai kontrol enkripsi. Bila perlu, selalu beri pasword dalam seluruh jaringan data komputer dan hidden seluruh system sesuai dengan annex 9.4.3 mengenai penggunaan password. 

Secara keseluruhan perusahaan harus menjaga keamanan informasi dari berbagai macam ancaman yang mungkin terjadi. Untuk menjaga keamanan inforrmasi dapat dilakukan dengan memasang antivirus pada perangkat komputer, kemudian mengamankan jaringan. Apabila suatu perusahaan memakai sistem jaringan nirkabel, maka pastikan perusahaan memiliki teknisi yang mampu mengamankan jaringan. perusahaan juga harus memastikan selalu mengunci router dan juga mengenkripsi seluruh informasi. Bila perlu, selalu beri pasword dalam seluruh jaringan data komputer dan hidden seluruh sistem. Dengan menyembunyikan data, maka setidaknya hal tersebut dapat mencegah kejahatan dalam perusahaan yang mungkin terjadi. 

Bentuk – bentuk pengendalian yang dapat dilakukan untuk meminimalisasi risiko dan ancaman dari luar maupun dari dalam salah satunya dengan penerapan Sistem Manajemen Keamanan Informasi (SMKI) mengacu pada ISO/IEC 27001:2013. SMKI menurut ISO/IEC 27001:2013 dimaknai sebagai bagian dari sistem manajemen keseluruhan, berdasarkan pendekatan risiko bisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan dan memelihara keamanan informasi serta memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan. 

Dengan menerapkan ISO/IEC 27001:2013, perusahaan dapat melindungi dan memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan. ISO/IEC 27001:2013 memberikan sebuah keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa perusahaan telah mempunyai sistem manajemen keamanan informasi yang baik sesuai standar internasional. Jika suatu perusahaan sudah menerapkan Sistem Manajemen Keamanan Informasi (SMKI), perusahaan akan mampu mengendalikan aset informasi dari adanya ancaman dan serangan, secara tidak langsung juga memberikan jaminan terhadap kelangsungan bisnis perusahaan.

Syifa Aulia Sari
IT GRC Consultant
Robere & Associates (Indonesia)