Merupakan kewajaran bila semua perusahaan yang tergantung pada
segala jenis aset informasinya punya kebutuhan melindungi aset-aset tersebut.
Di antara aspek fundamental dari upaya melindungi aset-aset informasi ini adalah kontinuitas bisnis, mimalisasi kegagalan bisnis, maksimalisasi hasil investasi (ROI), dan penambahan peluang bisnis.

Imran Dahsyat M.

Ada berbagai macam format aset informasi ini, mulai dari database file, kontrak dan perjanjian, dokumentasi sistem, informasi riset, hingga prosedur support dan operasional teknologi informasi/TI (termasuk masalah business continuity plan dan disaster recovery). Di luar itu, tentu saja, juga ada aset-aset berupa peranti lunak, aset fisik, pelayanan serta aset manusia beserta kualifikasi dan pengalamannya, dan yang tidak bisa dilupakan adalah aset intangible (misalnya, citra dan reputasi perusahaan/organisasi itu sendiri).

Aspek yang sangat penting dalam hal keamanan sistem informasi (information security) adalah terjaminnya tiga komponen kunci, yang disingkat CIA, yakni: confidentiality(kerahasiaan), integrity(integritas) dan availability (ketersediaan).

Dalam konteks ini, perlu diperhatikan pula beberapa hal lainnya, yakni apakah informasi tersebut telah diproses dan diatur secara optimal, bagaimana pengaturan pertukaran informasi dengan mitra bisnis eksternalnya, dan bagaimana pengaturan prosedur bagi karyawan (lingkungan internal) sendiri. Yang terakhir ini, mengingat sudah banyak kejadian kebocoran keamanan informasi bukan karena serangan canggih hacker eksternal, tapi justru karena dari kalangan internal.

Suatu organisasi/perusahaan perlu menilai tingkat risiko itu dalam kaitannya dengan berbagai ancaman (threats) yang dihadapi dan juga pada celah kerentanan dan kelemahan (vulnerabilities) terhadap segala asetnya. Mereka perlu mengadopsi suatu pendekatan dengan risk assessment yang sesuai dengan kondisi bisnis masing-masing serta “berinvestasi” pada urusan manajemen risiko.

Sudah banyak survei yang dilakukan terhadap para CIO perusahaan-perusahaan besar dan internasional yang hasilnya selalu menempatkan sistem keamanan informasinya berada di urutan prioritas teratas.

Sistem Manajemen Keamanan Informasi (Information Security Management System/ISMS) adalah salah satu standar yang sudah banyak digunakan di banyak perusahaan internasional dalam mengontrol dan terutama memproteksi sistem keamanan dan aset informasi mereka. Sekarang, salah satu standar internasional yang diakui dalam mengatur masalah ini adalah ISO/IEC 27001 (yang merupakan kelanjutan dari standar terdahulu, ISO/IEC 17799 dan BS 7799).

Standar ISO 27001 adalah suatu kumpulan dari banyak kelompok kontrol yang menangani langsung masalah ISMS ini. Hal ini dimaksudkan sebagai satu referensi untuk mengidentifikasi berbagai kontrol keamanan yang diperlukan dalam sistem TI yang digunakan di berbagai industri atau organisasi berbagai skala. Standar ini juga memperlakukan informasi sebagai “aset”, yang memiliki nilai tinggi serta perlu dilindungi.

Sekarang, mari kita bahas tiga komponen CIA.

Pertama, komponen confidentiality(kerahasiaan). Tujuannya adalah untuk memastikan bahwa informasi dapat diakses hanya oleh yang berwenang memiliki akses tersebut dan telah terverifikasi sebelumnya. Enkripsi adalah salah satu contoh yang paling sering digunakan sebagai alat untuk mencapai kerahasiaan ini. Begitu pula dengan otentikasi dan otorisasi hak akses (privileges) baik untuk sistem maupun pengguna TI.

Kedua, komponen integrity. Ini merujuk pada akurasi dan kelengkapan data yang tersedia di dalam sistem TI agar tetap sama serta konsisten pada saat sebelumnya dan tidak dapat diubah tanpa adanya otorisasi. Termasuk, upaya melindungi data dari modifikasi atau dihapus oleh pihak yang tidak berwenang dan memastikan bahwa ketika orang-orang yang berwenang telanjur melakukan perubahan yang tidak seharusnya/membuat kerusakan, dapat dibatalkan. Backup atau restore dan verifikasi adalah beberapa standard tool yang sering digunakan dalam masalah integritas ini.

Ketiga, komponen availability; jaminan bahwa pengguna yang berwenang
akan selalu memiliki akses ke informasi dan aset TI terkait, pada saat diperlukan.  Beberapa contoh yang bisa digunakan agar membuat sistem TI andal dan tahan uji adalah high availability protocols, topologi arsitektur jaringan yang redundant, serta sistem hardware titik rawan (single points of failure).

Dalam beberapa tahun terakhir memang sudah banyak perusahaan yang mempekerjakan ekstra karyawan khusus guna menangani bagian keamanan sistem TI perusahaan. Meskipun telah tersedia anggaran untuk bagian jaringan, aplikasi, ataupun infrastuktur TI, secara umum masalah keamanan masih dipandang sebagai isu sekunder. Ini karena ketidakmampuan mereka menganalisis manfaat proteksi sistem TI terhadap aset berharga mereka.

*) Pengamat dan praktisi TI, serta Lead Auditor ISO 27001.