Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016)
ISSN : 2503-2844
Bandung, 28 Mei 2016
MANAJEMEN RESIKO DIDALAM PEMODELAN SISTEM MANAJEMEN SEKURITAS INFORMASI BERBASIS APLIKASI ISO 27001 dan ISO 27005 Muhammad Taufiq Dosen Tetap Universitas Muhammadiyah Tasikmalaya Jl. Tamansari km 2,5 Gobras Tasikmalaya
[email protected],
[email protected]
Abstrak
I. PENDAHULUAN
Eksistensi Informasi merupakan salah satu “asset” bagi sebuah organisasi / perusahaan, karena dapat berperan sebagai alat pertahanan dan keamanan, keberlangsungan usaha, keutuhan sebuah Negara, dan nilai sebuah kepercayaan masyarakat, maka perlu adanya perhatian untuk menjaga ketersediaan dalam format, media penyimpanan, maupun kualitas terhadap informasi, meliputi aspek: Security / Safety, Timeliness, Accurate, Relationship, Completeness, Efficiency, Reliable, Usability, Correctness, Economy, Competitiveness, Clearly, dan Consistence (STAR CERUCE C3), dalam bentuk Sistem Manajemen Sekuritas Informasi yang berstandarisasi ISO Kata kunci : Informasi, Data, Sekuritas, ISO
Abstract Existence of Information is one of the "asset" for an organization / company, because it can act as a means of defense and security, business continuity, integrity of the State, and the value of a public trust, so it needs for attention to ensuring the availability of the format, storage medium, and the quality of the information, covering aspects: Security / Safety, Timeliness, Accurate, Relationship, Completeness, Efficiency, Reliable, Usability, correctness, Economy, Competitiveness, Cleary, and Consistence (STAR CERUCE C3), in the form of Management System of Securities information ISO standards Keywords : Information, Data, Security, ISO
Manajemen Sekuritas Informasi menjadi sangat penting, karena menyangkut tanggungjawab, privacy (kerahasiaan), integritas, ketersediaan, kredibilitas dan keberlangsungan hidup sebuah usaha dalam masyarakat, baik secara langsung maupun tidak langsung. Oleh karenanya untuk tetap menjaga keutuhan serta kualitas dari Informasi yang ada, maka perlu adanya sebuah konsep manajemen terhadap pengelolaan Sekuritas Informasi, sebagai alat stadarisasi baku terhadap pemanfaatan Informasi Nilai Informasi (Information Value) bagi sebuah organisasi / perusahaan merupakan sebuah asset yang sangat mahal, karena informasi berperan penting dalam menentukan jalannya sebuah organisasi perusahaan, dimana Informasi digunakan sebagai alat (sarana) untuk mendukung dalam pengambilan keputusan (decision making) serta membantu menyelesaikan masalah (problem solving) bagi para pelaku manajemen / pelaku kebijakan organisasi, sehingga diharapkan dapat mengoptimalkan kinerja manajemen secara keseluruhan, untuk mewujudkan tujuan organisasi / perusahaan Pertumbuhan atau perkembangan Informasi sejalan dengan berkembangnya perusahaan, dan ini akan menyangkut banyak tidaknya informasi yang dikelola, baik secara langsung maupun tidak langsung, akibatnya akan mempengaruhi pada tingkat manajemen resiko (risk management) terhadap pemanfaatan informasi itu sendiri, baik itu berupa: kehilangan, kerusakan, disadap, dicopy, dihapus, dan lain sebagainya, sehingga mau tidak mau perlu di fikirkan tingkat keamaan informasi didalam menjamin kualitas informasi itu sendiri
103
Muhammad Taufiq Seminar Nasional Telekomunikasi dan Informatika 2016
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016)
ISSN : 2503-2844
Bandung, 28 Mei 2016 Berdasarkan latar belakang permasalahan tersebut diatas, maka disusunlah sebuah Standart Sistem Manajemen Sekuritas Informasi (SMSI) yang dituangkan dalam ISO 17799, hal mana ISO 17799 ini mengacu pada British Standard (BS) 7799 Part 1, dan pada bulan Desember 2000 diterbitkanlah ISO (International Standard Organization) dan IEC (Internal Electro – Technical Commission), yaitu ISO/IEC 17799:2000, yang kemudian diperbaruhi dan dilengkapi dalam ISO/IEC 27000:2005
pemangku organisasi / perusahaan, sebagaimana ditunjukkan dalam gambar 1. berikut ini:
II. KAJIAN LITERATUR Pada prinsipnya, didalam menjamin sekuritas informasi terdapat 3 faktor penentu, yang disingkat dengan istilah C.I.A, dimana ketiga faktor ini yang akan mempengaruhi jalannya sebuah organisasi / perusahaan, baik secara internal maupun eksternal, dan ketiga faktor ini satu sama lain saling terkait atau saling berhubungan, yaitu: 1. Faktor Confidentiality (kerahasiaan), merupakan faktor yang menjamin eksistensi informasi secara utuh dalam aspek kerahasiaan, yaitu tersembunyi atau tidak dapat diakses / dibaca / dibuka secara langsung oleh yang tidak berkepentingan atau yang tidak berwenang, baik berupa informasi yang terkirim. diterima, maupun yang tersimpan 2. Faktor Integrity (integritas), merupakan faktor yang menjamin konsistensi dari eksistensi informasi dalam kondisi satu kesatuan yang utuh, terintegrasi, serta menjunjung tinggi nilai (value) kualitas informasi, sehingga perubahan atau apapun yang terjadi pada sebuah informasi dapat dideteksi atau diketahui sedini mungkin oleh fihak yang berwenang 3. Faktor Availability (ketersediaan), adalah faktor yang menjamin eksistensi informasi secara sistemik untuk dapat digunakan atau dioperasikan pada waktu yang dibutuhkan, berdasarkan kebutuhan (need) dan keinginan (want) para pengguna (user) Adapun manajemen sekuritas informasi dalam organisasi / perusahaan dilakukan dengan cara menerapkan perangkat alat kendali (control tools), berupa kebijakan, praktek, prosedur atau metodologi, struktur organisasi, piranti lunak, aturan-aturan, termasuk komitmen maupun kebijakan para
Integrity
= Fungsi - Fungsi Manajemen
Gambar 1. Konsep SMSI Dalam Perusahaan
Eksistensi informasi secara totalitas merupakan bagian penentu dari keberlangsungan sebuah organisasi / perusahaan , oleh karenanya harus ada upaya pengamanan, berupa perlindungan atas informasi dari segala bentuk kondisi apapun, seperti kehilangan, kerusakan, sabotase, dan lain sabagainya, termasuk juga terhadap pengembalian nilai investasi dalam membangun sistem informasi, maupun kemampuan dalam meraih pangsa pasar yang ada terhadap pemanfaatan sistem informasi Strategi yang digunakan dalam manajemen sekuritas informasi, terdiri atas: 1. Physical Security, adalah strategi yang ditujukan untuk mengamankan unsur fisik organisasi / perusahaan, berupa aset fisik dan tempat kerja terhadap berbagai ancaman, mencakup kebakaran, akses tanpa otorisasi, bencana alam, dan pencurian 2. Personal Security, adalah strategi yang ditujukan pada aspek sekuritas personal (orang) yang terlibat dalam jalannya organisasi / perusahaan, menyangkut K3 (Kesehatan Keselamatan Kerja)
104
Muhammad Taufiq Seminar Nasional Telekomunikasi dan Informatika 2016
ISSN : 2503-2844
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016 3. Operation Security, adalah strategi yang ditujukan untuk mengamankan kemampuan operasional organisasi / perusahaan, menyangkut penggunaan perangkat kerja, baik berupa hardware, software, dan sarana pendukung lainnya 4. Communications Security, adalah strategi yang ditujukan untuk mengamankan aspek media komunikasi, teknologi komunikasi dan kontennya, serta kemampuan untuk memanfaatkan alat dalam mencapai tujuan organisasi / perusahaan 5. Network Security, adalah strategi yang ditujukan untuk mengamankan peralatan jaringan dari data organisasi, komponen jaringan beserta pendukungnya, serta pendayagunaan dalam pemanfaatan jaringan secara optimal Sebuah keniscayaan yang tidak bisa dihindari bahwa informasi sangat dibutuhkan bagi organisasi / perusahaan, karena informasi memiliki sebuah nilai (value) yang sangat berarti, maka mau tidak mau suka tidak suka perlindungan atau sekuritas terhadap informasi sangat dibutuhkan, karena secara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan, sehingga informasi sering dikatakan sebagai “asset” organisasi / perusahaan, seperti yang dijelaskan dalam tabel 1.
Tabel 1. Nilai Informasi Sebagai Aset
terhadap aset (kelompok asset) yang dimiliki organisasi / perusahaan, sehingga identifikasi aset perlu diingat bahwa sistem informasi terdiri atas perangkat keras (hardware) dan perangkat lunak (software) Terdapat 4 (empat) faktor untuk mencapai sekuritas informasi, yang di istilahkan dengan 4 Right (dalam gambar 2.), adapun untuk menerapkan 4 Right ini perlu adanya jaminan terhadap faktor C.I.A (Confidentiality, Integrity, Availability)
Gambar.2. Konsep 4 Right Dalam Sekuritas Informasi
Manajemen resiko (Risk Management) pada sekuritas informasi harus menjadi proses yang berkelanjutan, sebab proses ini harus menetapkan konteks serta penilaian resiko dan penanganan resiko dengan menggunakan konsep PDCA (Plan, Do, Check, Act), seperti ditunjukkan dalam gambar 3.
P A
SMSI
D
C
Resiko terhadap Sistem Manajemen Sekuritas Informasi (SMSI) bisa berupa potensi terhadap ancaman yang diberikan (dimunculkan), dan ini akan berdampak langsung pada kerentanan (resistance) aset (kelompok asset) yang bisa menyebabkan kerugian pada organisasi / perusahaan, oleh karenanya resiko sekuritas informasi terkait erat
Gambar 3. Proses Berkelanjutan Dari PDCA Terhadap SMSI
Manajemen resiko berperan untuk menganalisis terhadap kejadian (peristiwa) yang bisa terjadi, konsekuensi yang bisa dilakukan, waktu dan tindakan (keputusan) yang harus dilakukan, didalam mengurangi resiko pada tingkat yang dapat diterima
105
Muhammad Taufiq Seminar Nasional Telekomunikasi dan Informatika 2016
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016)
ISSN : 2503-2844
Bandung, 28 Mei 2016 (terjadi), dari gambar 4. dapat dijelaskan bahwa proses manajemen resiko dari sekuritas informasi merupakan proses yang berkesinambungan secara terus menerus, dimana kesinambungan dalam bentuk perulangan terhadap evaluasi resiko yang akan berdampak pada peningkatan kualitas evaluasi resiko
Gambar 5. Hubungan Risko Dengan Aset Informasi
Serial ISO/IEC 27000:2005 merupakan pengelompokkan pada semua standar sekuritas informasi ke dalam satu struktur penomoran, seperti yang ditunjukkan dalam tabel 2., sedangkan serial yang berkaitan dengan manajemen resiko terhadap Sistem Manajemen Sekuritas Informasi (SMSI) adalah ISO 27005
Tabel 2. Serial ISO 27000 Gambar 4. Frame Work Sistem Manajemen Sekuritas Informasi
Proses perulangan (pada frame work diatas) akan memberikan keselarasan dalam meminimalisir waktu dan upaya yang digunakan untuk mengidentifikasi pengendalian, dan setelah diketahui probabilitas maupun dampak suatu resiko, maka dapat ditentukan nilai suatu resiko, sehingga menurut Vasile Dumbravă, Vlăduț - Severian Iacob didalam Journalnya, resiko bisa dihitung dengan menggunakan rumus 1., Risk = Impact x Probability
… [1]
artinya untuk mengetahui kepentingan setiap resiko maka bisa dilakukan perbandingan nilai resiko dari berbagai resiko antara satu dengan yang lainnya Sedangkan hubungan antara resiko dan aset Informasi sebuah organisasi / perusahaan ditunjukkan pada gambar 5. berikut ini:
III. ANALISIS DAN PERANCANGAN Berangkat dari sebuah kasus yang pernah terjadi pada sebuah Bank pemerintah, dengan nama Bank sengaja disembunyikan, demi alasan tertentu. Pada akhir tutup buku (akuntansi) tahunan dikejutkan bahwa pencatatan laporan akuntansi yang sudah
106
Muhammad Taufiq Seminar Nasional Telekomunikasi dan Informatika 2016
ISSN : 2503-2844
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016) Bandung, 28 Mei 2016 terkomputerisasi tidak sama dengan kondisi kas keuangan yang ada, dengan selisih yang cukup besar sekitar 600 juta rupiah, kemudian dilakukan investigasi laporan keuangan secara menyeluruh, dan penelusuran Sistem Informasi yang ada Akhirnya ditemukan adanya kejanggalan pada sistem input data di bagian Teller, dimana ada pengalihan sebagian dana masuk ke rekening tertentu di luar dari rekening yang tertransaksi, usut demi usut, ternyata ada perubahan logika pada coding program, dan dari hasil penelusuran team forensik IT ditangkaplah pelaku atau pembobol Bank tersebut, dimana mekanisme kerja pelaku cukup hanya meminta kepada Teller, yang tidak lain adalah pacar dari si pelaku, untuk melakukan perintah DIR, namun dibalik perintah DIR, dibuat program Copy System untuk sistem input data
sekuritas Informasi Organisasi / perusahaaan, lihat gambar 6.
PLAN System Established
DO System Implemented
Berdasarkan hasil analisis dari berbagai kasus pada sistem informasi yang berbasis komputer (CBIS, Computer Base Information System), diantaranya seperti yang ditunjukan diatas, maka inilah sebuah resiko yang harus diterima oleh manajemen organisasi / perusahaaan, sehingga dengan mengacu pada gambar 4., perlu disusun sebuah satu kesatuan sistem yang mengarah pada proses pengembangan (Plan) berupa pemodelan yang bisa di implementasikan (Do), kemudian dapat dikendalikan atau diawasi (Check), dan dapat dioperasionalkan (Act) dengan baik, sehingga diharapkan dapat memberikan peningkatan terhadap
SMSI
Product Realization
CHECK System Evaluated
Selanjutnya dari sistem input data, dibukalah program yang ada, lalu ditambah satu baris perintah logika IF… THEN … didalamnya, hal mana tidak mengubah tampilan menu yang ada, dan sesudah itu, dilakukan lagi proses over write (penimpaan program) melalui perintah DIR, dengan teknik yang sama ketika mengcopy system, selanjutnya proses sistem input data berlangsung secara terus menerus tanpa diketahui fihak manajemen Bank hingga tutup buku (Akuntansi) pada akhir tahun Berbeda lagi yang menimpa sebuah Bank besar swasta (nama sengaja disembunyikan demi alasan tertentu), dimana web yang dimiliki di jiplak dengan memanfaatkan nama domain yang ada, yaitu KLIK
dibuat mirip atau memanfaatkan kesalahan dalam penulisan domain, yakni KLICK , dimana nama bank dibuat sama persis dan menu web juga sama persis dari web yang sebenarnya, dan banyak lagi kasus – kasus yang ada
SMSI
Management Planning
SMSI
Performance Checking
ACT System Review
SMSI
Management Act
Gambar 6. PDCA Pada Peningkatan Proses Berkesinambungan
Permasalahan yang dijadikan sebagai obyek penelitian ini, berupa perancangan model sistem manajemen sekuritas informasi (SMSI) yang berdasarkan dampak manajemen resiko, maka terdapat 5 faktor yang perlu dipertimbangan didalam perancangan model, yaitu: 1.
2.
Perancangan atas Dokumen Pengembangan Sistem, menyangkut semua file / berkas yang digunakan untuk mengdokumentasi kegiatan pengembangan sistem, mulai dari persiapan, perencanaan, perancangan Data Base Management System (RDBMS), pemrograman (coding), pengujian dan implementasi, termasuk perawatan, baik berupa dokumen relasi Database, Data Flow Diagram, Flowchart, dan sebagainya Perancangan atas Standar Operasional Prosedur (SOP), menyangkut seluruh aturan main dalam operasional pekerjaan, baik prosedur maupun proses pemanfaatan sistem informasi secara keseluruhan yang berkaitan dengan upaya penerapan sekuritas 107
Muhammad Taufiq Seminar Nasional Telekomunikasi dan Informatika 2016
Seminar Nasional Telekomunikasi dan Informatika (SELISIK 2016)
ISSN : 2503-2844
Bandung, 28 Mei 2016
3.
4.
5.
informasi, meliputi hak akses aplikasi, hak akses hot spot, prosedur permohonan domain account bagi seluruh pengguna sistem informasi, hak pakai terhadap device, proteksi atau pembatasan komponen pendukung device, seperti pemasangan flash, penggunaan HDD eksternal, dan sebagainya Perancangan atas Penanggungjawab Sistem, adalah penyusunan personal yang mengakomodir seluruh kebutuhan informasi bagi organisasi / perusahaan dan memantau jalannya sistem informasi secara terus menerus untuk dirawat, dikembangkan, dan diawasi terhadap aspek keamanan (sekuritas) maupun eksistensinya Perancangan atas Peraturan Penggunaan Sistem Informasi, meliputi segala bentuk ketentuan atau undang undang yang diberlakukan, sebagai langkah tindakan preventif dan protektif terhadap eksistensi sistem informasi, berupa upaya solusi dari permasalahan jaringan maupun pelanggaran akan kelemahan sistem informasi untuk segera dilaporkan kepada admin yang ada, termasuk pengendalian terhadap hak akses dari fihak yang tidak berkepentingan Perancangan dalam Sosialisasi Sistem Informasi, bertujuan untuk memberikan penjelasan berupa pelatihan secara utuh kepada para user (pengguna) terhadap pemanfaatan sistem informasi, serta kesadaran terhadap pentingnya sistem sekuritas informasi
Bertitik tolak dari 5 (lima) faktor diatas, maka perancangan model terhadap Sistem Manajemen Sekuritas Informasi tidak lepas dari para pengambil kebijakan manajemen organisasi / perusahaan
IV. KESIMPULAN DAN SARAN Manajemen resiko dalam pemodelan Sistem Manajemen Sekuritas Informasi (SMSI) merupakan sebuah kriteria ancaman terhadap resiko jalannya sebuah sistem informasi berbasis komputer, oleh karenanya perlu disusun sebuah batasan berupa prosedur pengendalian resiko yang berstandarisasi ISO, meliputi jumlah frekuensi kemunculan terhadap pemanfaatan sistem informasi, serta faktor resiko yang menyebabkan kerusakan sistem secara
mendasar (serius), berupa identifikasi resiko, analisis resiko, analisis pengelolaan resiko, dan penentuan sasaran pengendalian serta pengendalian terhadap pengelolaan resiko Untuk itu, disarankan sebaiknya setiap organisasi / perusahaan mengembangkan atau membangun Sistem Manajemen Sekuritas Informasi (SMSI) yang berbasis aplikasi ISO 27001 dan ISO 27005, agar segala resiko yang sering terjadi pada pemanfaatan sistem informasi sudah dapat diantisipasi lebih dini.
REFERENSI Azis Maidy Muspa (2010), Perancangan Sistem Manajemen Sekuritas Informasi (SMSI) Berdasarkan ISO / IEC 27001, Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS), Tesis, Program Studi Magister Manajemen Teknologi Manajemen Teknologi Informasi Program Pascasarjana Institut Teknologi Sepuluh Nopember Surabaya Hadi Syahrial (2014), Prototype Information Security Risk Assessment Tool Berbasis Lotus Notes, Dalam Rangka Penerapan Sistem Manajemen Keamanan Informasi ISO 27001, Seminar Nasional Teknologi Informasi & Komunikasi Terapan 2014 (Semantik 2014) ISBN: 979-26-0276-3 Semarang, 15 November 2014 Universitas Budi Luhur, Jakarta ISO 27005: Information technology – Security techniques – Information security risk management (Terjemahan) Syafrizal, Melwin. (2008). Information Security Management System (ISMS) Menggunakan ISO/IEC 27001:2005. STIMIK Amikom Yogyakarta Vasile Dumbravă, Vlăduț - Severian Iacob (2013), “Using Probability – Impact Matrix in Analysis and Risk Assessment Projects,” Journal of Knowledge Management, Economics and Information Technology, December.
108
Muhammad Taufiq Seminar Nasional Telekomunikasi dan Informatika 2016