information security (infosec)

Apa itu keamanan informasi (infosec)?

Keamanan informasi (infosec) adalah serangkaian kebijakan, prosedur, dan prinsip untuk menjaga keamanan data digital dan jenis informasi lainnya. Tanggung jawab infosec mencakup penerapan serangkaian proses bisnis yang melindungi aset informasi, tanpa memandang format data tersebut atau apakah sedang dalam perjalanan, diproses, atau disimpan.

Secara umum, organisasi menerapkan keamanan informasi untuk melindungi data digital sebagai bagian dari program keamanan siber secara keseluruhan. Infosec memastikan bahwa karyawan memiliki akses ke data yang mereka butuhkan, sambil mencegah akses yang tidak sah. Infosec juga berkaitan erat dengan manajemen risiko dan regulasi hukum.

Prinsip-prinsip keamanan informasi

Pilar atau prinsip dasar infosec dikenal sebagai triad CIA (confidentiality-integrity-availability). Prinsip-prinsip ini bertujuan sebagai panduan dalam kebijakan dan proses keamanan informasi di dalam organisasi. Tujuan utama dari infosec adalah membiarkan pihak yang berwenang mengakses data, dan mencegah pihak tidak berwenang masuk. Tiga prinsip utamanya yaitu kerahasiaan, integritas, dan ketersediaan.

  • Kerahasiaan (Confidentiality) adalah prinsip bahwa informasi hanya boleh diakses oleh pihak yang memiliki wewenang terhadap data tersebut.
  • Integritas (Integrity) adalah prinsip bahwa informasi harus konsisten, akurat, dan dapat dipercaya.
  • Ketersediaan (Availability) adalah prinsip bahwa informasi harus mudah diakses oleh pihak yang berwenang, bahkan saat terjadi kegagalan, untuk meminimalkan gangguan kepada pengguna.

Ketiga prinsip ini tidak berdiri sendiri, tetapi saling memengaruhi satu sama lain. Jadi, sistem infosec manapun pasti melibatkan keseimbangan antara faktor-faktor ini. Contoh ekstremnya, informasi yang hanya tersedia dalam bentuk lembaran kertas yang disimpan di brankas memang sangat rahasia, tapi tidak mudah diakses. Sementara informasi yang diukir di batu dan dipajang di lobi mungkin punya integritas tinggi, tapi tidak rahasia dan tidak mudah diakses.

Prinsip infosec lainnya

Walaupun triad CIA adalah fondasi dalam kebijakan dan pengambilan keputusan infosec, ada juga beberapa faktor lain yang perlu diperhatikan dalam perencanaan infosec yang komprehensif:

  • Manajemen risiko. Karena infosec adalah keseimbangan antara berbagai faktor, maka hal ini erat kaitannya dengan manajemen risiko. Tujuannya adalah memaksimalkan hasil positif dan meminimalkan dampak negatif. Organisasi menggunakan prinsip manajemen risiko untuk menentukan sejauh mana mereka siap mengambil risiko dalam menjalankan suatu sistem. Mereka juga bisa menetapkan perlindungan atau mitigasi untuk mengurangi risiko tersebut.
  • Klasifikasi data. Klasifikasi data penting dalam infosec untuk memberikan perlakuan khusus terhadap data yang perlu dijaga kerahasiaannya atau data yang harus selalu tersedia dengan mudah.
  • Media dan perjanjian kerahasiaan. Keamanan informasi tidak hanya terbatas pada data digital atau sistem komputer. Kebijakan infosec yang utuh juga mencakup informasi fisik, cetakan, dan media lainnya. Ini bisa termasuk perjanjian kerahasiaan (NDA).
  • Pelatihan pengguna. Organisasi juga sebaiknya memberikan pelatihan kepada pengguna untuk melindungi data pribadi, serta menerapkan kontrol teknis dan kebijakan organisasi sebagai bagian dari mitigasi risiko. Misalnya, untuk menghindari risiko seorang analis keuangan mengubah data secara sepihak, organisasi bisa menggunakan kontrol teknis untuk membatasi hak akses perubahan dan mencatat log perubahan. Atau bisa juga menggunakan kebijakan organisasi, seperti mewajibkan audit oleh orang kedua setelah entri data selesai.
  • Nonrepudiation. Faktor penting lainnya dalam infosec adalah nonrepudiation, yaitu kemampuan untuk membuktikan bahwa data tidak diubah secara sembarangan. Artinya, data tidak boleh diubah saat disimpan atau dikirimkan, sumbernya harus bisa dipercaya, dan tidak boleh dimodifikasi secara tidak sengaja atau dengan niat jahat.
  • Business continuity and disaster recovery (BCDR). BCDR adalah bagian penting lainnya dari infosec. Data harus tetap tersedia dan tidak berubah meskipun terjadi kegagalan perangkat lunak atau perangkat keras. Organisasi bisa menerapkan ini melalui backup atau sistem redundan.
  • Manajemen perubahan. Manajemen perubahan juga penting dalam kebijakan infosec. Perubahan yang dikelola dengan buruk bisa menyebabkan gangguan pada ketersediaan sistem. Perubahan sistem juga bisa berdampak terhadap keamanan data secara keseluruhan.
  • Hukum lokal dan regulasi pemerintah. Badan regulasi sering kali mengatur perlakuan terhadap data pribadi yang dapat diidentifikasi (PII) tergantung wilayahnya. Regulasi seperti Health Insurance Portability and Accountability Act (HIPAA) untuk data medis, Payment Card Industry Data Security Standard (PCI DSS) untuk data pembayaran, atau General Data Protection Regulation (GDPR) dari Uni Eropa, bisa jadi mewajibkan perlakuan khusus terhadap data tertentu dan pengamanan tambahan.

Jenis-jenis Keamanan Informasi

Meskipun keamanan informasi bisa berbentuk macam-macam, berikut ini adalah jenis-jenis yang paling umum:

  • Keamanan aplikasi. Pendekatan infosec ini dirancang untuk menjaga keamanan aplikasi dan application programming interfaces (API). Tujuannya adalah menghentikan dan memblokir kerentanan serta kebocoran data agar tidak memengaruhi aplikasi. Keamanan aplikasi bisa dicapai lewat berbagai teknik, misalnya menggunakan web application firewall dan pemindai (scanner) yang secara terus-menerus mencari, memantau, dan mengurangi kerentanan.
  • Keamanan infrastruktur. Keamanan infrastruktur fokus pada perlindungan intranet dan ekstranet, serta laboratorium, pusat data, server, komputer desktop, aset cloud, dan perangkat mobile. Ia juga melindungi dari kejahatan siber, bencana alam, dan insiden lainnya. Intinya, keamanan infrastruktur punya peran besar dalam mengurangi dan memitigasi kerusakan dari segala jenis malfungsi.
  • Keamanan cloud. Pendekatan ini berfokus pada pengamanan, pembangunan, dan hosting aplikasi di cloud. Untuk menjamin keamanan cloud, perusahaan harus memastikan penggunaan aplikasi yang aman dan adanya isolasi antara proses-proses yang berbeda karena aplikasi cloud dijalankan di lingkungan bersama.
  • Kriptografi. Kriptografi adalah proses mengubah data biasa menjadi data yang aman lewat enkripsi. Pendekatan infosec ini mengenkripsi data baik saat disimpan maupun saat dikirim untuk menjaga integritas data dan melindungi dari serangan siber. Untuk membuat pesan dan data lebih sulit dibaca, tim keamanan sering memakai tanda tangan digital dan algoritma canggih. Contohnya, algoritma kunci simetris seperti Advanced Encryption Standard sering digunakan untuk mengamankan data sensitif milik pemerintah.
  • Manajemen kerentanan. Tiap tahun, ribuan kerentanan baru ditemukan yang membuat organisasi perlu melakukan patch terhadap sistem operasi dan aplikasinya, serta mengatur ulang konfigurasi keamanan jaringan mereka. Proses manajemen kerentanan bertugas mengidentifikasi dan mengelola semua titik lemah di lingkungan IT agar bisa ditangani sebelum menjadi ancaman nyata.
  • Rencana tanggap insiden. Rencana tanggap insiden adalah kumpulan proses keamanan informasi yang digunakan untuk mengidentifikasi, mengendalikan, dan memulihkan diri dari pelanggaran keamanan. Dengan memiliki strategi ini, organisasi bisa menahan ancaman dan pulih dengan lebih mudah dari insiden keamanan. Langkah-langkah untuk menjaga bukti demi keperluan forensik dan penuntutan di masa depan juga harus disiapkan sebagai bagian dari rencana ini. Detail ini bisa digunakan untuk mengidentifikasi pelaku dan mencegah serangan lanjutan.

Ancaman terhadap Keamanan Informasi

Ancaman terhadap keamanan informasi bisa muncul dalam berbagai bentuk. Berikut ini adalah vektor ancaman yang paling umum:

  • Sistem yang tidak aman. Teknologi baru terus bermunculan. Namun kalau tidak dirancang dengan mempertimbangkan aspek keamanan, bisa berdampak buruk terhadap keamanan informasi organisasi. Jadi, kalau bisnis masih menjalankan sistem usang atau legacy, maka risiko terjadinya pelanggaran keamanan makin besar. Organisasi harus mengidentifikasi sistem yang lemah dan segera melakukan patch atau menonaktifkannya.
  • Serangan melalui media sosial. Serangan terhadap keamanan informasi melalui media sosial makin meningkat. Pada 7 Oktober 2022, induk perusahaan Facebook yaitu Meta mengumumkan bahwa peneliti mereka menemukan 400 aplikasi Android dan iOS berbahaya dalam setahun terakhir yang dirancang untuk mencuri nama pengguna dan password Facebook serta mengambil alih akun. Pelaku kejahatan bisa menyerang secara langsung melalui pesan atau secara tidak langsung dengan mengumpulkan data untuk menyusun strategi serangan.
  • Serangan rekayasa sosial. Rekayasa sosial adalah teknik memanipulasi orang agar memberikan atau mencuri informasi pribadi. Teknik ini memanfaatkan sifat manusia yang sering jadi titik lemah. Biasanya, penyerang mengirim email atau pesan phishing dengan nada mendesak atau menakutkan, supaya korban tertipu dan memberikan informasi sensitif.
  • Pelanggaran dari pihak ketiga. Terkadang, penyerang memanfaatkan celah atau kerentanan untuk masuk dan mencuri data dari sistem vendor pihak ketiga. Contohnya, pada tahun 2021, hacker mengeksploitasi kerentanan di Microsoft Exchange Server untuk mengakses email dari 60.000 perusahaan swasta dan 9 entitas pemerintah.
  • Kurangnya enkripsi. Enkripsi adalah cara yang sangat baik untuk melindungi aset informasi dalam organisasi. Tapi sayangnya, metode ini sering diabaikan karena sifatnya yang kompleks dan belum banyak diwajibkan secara hukum. Misalnya, industri kesehatan wajib patuh pada HIPAA, yang mewajibkan semua komputer dienkripsi karena data yang ditangani bersifat sangat sensitif.

Apa Perbedaan antara Keamanan Informasi dan Keamanan Siber?

Karena sebagian besar pertukaran informasi sekarang terjadi di dunia maya, istilah keamanan informasi dan keamanan siber sering digunakan bergantian. Meskipun berkaitan, keduanya punya arti yang berbeda.

Keamanan fisik, keamanan endpoint, enkripsi data, dan keamanan jaringan adalah contoh dari keamanan informasi. Ini juga erat kaitannya dengan information assurance, yaitu perlindungan data dari ancaman seperti bencana alam atau kegagalan server. Intinya, keamanan informasi fokus melindungi segala jenis data, bukan cuma yang berada di dunia maya.

Sedangkan keamanan siber adalah subkategori dari keamanan informasi. Ia lebih berfokus pada ancaman teknologi serta praktik dan alat untuk mencegah serangan siber seperti spyware atau ransomware. Keamanan data juga termasuk dalam kategori ini, yang tujuannya adalah mencegah data organisasi terekspos secara sengaja atau tidak kepada pihak yang tidak berwenang.

Undang-Undang Perlindungan Data untuk Keamanan Informasi

Saat ini, tidak ada hukum federal yang secara spesifik mengatur keamanan data di Amerika Serikat, namun ada beberapa regulasi yang dibuat untuk melindungi jenis data tertentu. Di sisi lain, Uni Eropa mengikuti regulasi GDPR yang mengatur pengumpulan, penggunaan, penyimpanan, keamanan, dan pengiriman data milik warga UE.

Beberapa regulasi keamanan data di AS meliputi:

  • Federal Trade Commission Act melarang bisnis untuk menyesatkan konsumen soal aturan privasi, gagal menjaga privasi pelanggan dengan baik, serta menggunakan iklan yang menipu.
  • Children’s Online Privacy Protection Act mengatur bagaimana data dan informasi anak-anak dikumpulkan dan dikelola.
  • HIPAA mengatur penggunaan, penyimpanan, dan kerahasiaan data kesehatan.
  • Fair and Accurate Credit Transactions Act menjelaskan bagaimana data laporan kredit harus digunakan dan dimusnahkan.
  • Gramm-Leach-Bliley Act membatasi bagaimana bank dan lembaga keuangan boleh mengumpulkan dan menyimpan informasi pribadi.

Pekerjaan di Bidang Infosec

Sebagian besar pekerjaan yang berhubungan dengan komputer pasti punya unsur keamanan informasi di dalamnya. Karena itu, infosec jobs (pekerjaan di bidang keamanan informasi) bisa beda-beda nama tergantung organisasinya dan seringkali melibatkan lintas disiplin atau antar divisi.

Berikut ini beberapa jabatan paling umum dalam bidang keamanan informasi:

  • Dalam dunia IT, posisi chief security officer atau chief information security officer, biasanya bekerja sama dengan chief information officer, bertanggung jawab atas kebijakan keamanan siber dan keamanan informasi secara keseluruhan.
  • Security director adalah profesional tingkat senior yang mengawasi penerapan semua langkah keamanan IT di dalam perusahaan.
  • IT security architect bertugas mengembangkan dan mengawasi infrastruktur keamanan jaringan dan komputer perusahaan.
  • Security engineer atau sistem administrator keamanan biasanya bertugas menjalankan atau mengevaluasi kontrol keamanan, mengatur konfigurasi firewall, menjaga solusi keamanan IT perusahaan tetap up to date, dan menyelidiki insiden penyusupan.
  • Information security analyst atau IT security consultant bertugas menilai risiko keamanan, mengevaluasi efektivitas kontrol, atau menganalisis kegagalan dan dampaknya.

Sertifikasi Infosec

Ada banyak sertifikasi yang tersedia buat profesional IT yang sudah — atau ingin — fokus ke infosec dan cybersecurity secara umum. Beberapa contohnya:

  • CompTIA Security+. Sertifikasi ini mencakup pengetahuan dasar cybersecurity dan sering jadi syarat buat posisi entry-level di bidang IT dan keamanan informasi.
  • Certified Information Systems Auditor (CISA). Sertifikasi ini ditawarkan oleh ISACA, organisasi nirlaba independen yang mendukung profesional di bidang keamanan informasi, tata kelola, manajemen risiko, dan audit sistem. Buat dapetin sertifikasi ini, kandidat harus punya pengalaman kerja profesional selama lima tahun di bidang audit sistem informasi, kontrol, atau keamanan.
  • Certified Information Security Manager (CISM). CISM adalah sertifikasi tingkat lanjut dari ISACA yang ditujukan buat mereka yang punya pengalaman dan pengetahuan mendalam dalam mengembangkan dan mengelola program keamanan informasi perusahaan. Cocok buat manajer keamanan informasi, calon manajer, atau konsultan IT yang mendukung manajemen program keamanan.
  • GIAC Security Essentials (GSEC). Dikelola oleh organisasi Global Information Assurance Certification (GIAC), sertifikasi ini ditujukan bagi profesional keamanan yang ingin menunjukkan kemampuan mereka dalam menjalankan tugas keamanan TI secara praktis. Ujian ini mengharuskan kandidat memahami keamanan informasi secara mendalam, bukan cuma sekadar teori atau istilah.
  • Certified Information Systems Security Professional (CISSP). CISSP adalah sertifikasi lanjutan dari (ISC)², lembaga sertifikasi keamanan siber internasional yang bersifat nirlaba. Sertifikasi ini cocok buat profesional cybersecurity berpengalaman yang ingin menunjukkan kemampuan mereka dalam merancang dan mengembangkan program keamanan informasi.

Ada juga sertifikasi keamanan khusus cloud dari berbagai vendor yang makin banyak diminati. Beberapa contoh yang cukup populer: Google Professional Cloud Security Engineer, Microsoft Information Protection Administrator, dan AWS Certified Security – Specialty.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *