Penggunaan teknologi dalam berkomunikasi dan penyampaian informasi sudah semakin berkembang dewasa ini. Perkembangan teknologi yang digunakan dalam berkomunikasi turut mempermudah layanan informasi dan data. Oleh karena itu, keadaan tersebut semakin mempermudah seseorang untuk berkomunikasi kapanpun dan dimanapun. Lalu bagaimana peran ISO 27001 menjaga keamanan informasi?
Jika melihat data yang dikeluarkan oleh International Telecommunication Union (ITU), dimana pada tahun 2022 terdapat 5,3 miliar (66%) pengguna layanan internet di seluruh negara. Angka tersebut meningkat sebanyak 3% dari tahun sebelumnya, yaitu 4,9 miliar pengguna layanan internet.
Banyaknya pengguna layanan internet tidak sebanding dengan kesadaran pentingnya menjaga keamanan informasi, sebagai contohnya adalah tentang keamanan siber. Baca juga tentang bahaya membagikan informasi lewat sosial media.
Baca Juga: Pentingnya Menjaga Keamanan Informasi Organisasi
Berdasarkan data yang dikeluarkan oleh National Cyber Security Index, Indonesia berada pada peringkat 85 dari 160 negara tentang keamanan siber di awal tahun 2023. Hal tersebut menunjukkan bahwa keamanan terkait data dan informasi masih belum menjadi sesuatu hal yang dianggap penting.
Kenapa Informasi Harus Dijaga?
Setiap individu terlebih organisasi, memiliki banyak data dan informasi yang sifatnya rahasia dan perlu dilindungi. Terlepas dari apakah organisasi tersebut bergerak di bidang produk atau jasa, serta apakah organisasi tersebut merupakan profit oriented ataukah social oriented.
Suatu organisasi dapat menjaga informasi dengan menjaga kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) informasi serta mempertimbangkan setiap potensi risiko yang dikelola dengan baik.
Terdapat beberapa alasan utama yang menekankan pentingnya organisasi menjaga informasi, yaitu berupa:
1. Informasi sebagai data perusahaan
Setiap organisasi harus menjaga semua data dan informasi yang dimiliki, karena rentan akan kejahatan siber berupa pencurian data. Data yang dimiliki organisasi dapat berupa informasi yang dimiiliki secara personal masing-masing petugas ataupun informasi milik organisasi itu sendiri.
Bentuknya sendiri dapat berupa kata, kalimat, angka, simbol, dan lainnya. Yang mana masing-masing data dan informasi tersebut akan berbeda tingkat kerahasiaannya dari setiap organisasi.
Suatu organisasi perlu cermat dalam memetakan setiap data dan informasi yang dimiliki agar pengendalian yang dilakukan selanjutnya dapat berjalan efektif. Hal ini tentunya dimaksudkan untuk menghindari atau meminimalisir upaya tindak pencurian data dan informasi yang dapat berdampak negatif bagi individu ataupun organisasi itu sendiri.
2. Informasi sebagai aset organisasi
Informasi merupakan salah satu aset berharga yang dimiliki oleh organisasi, disamping terkait dengan layanan jasa, dokumen organisasi, dan SDM yang berafiliasi dengan organisasi. Meskipun terkadang tidak semua organisasi menyadari hal tersebut.
Dengan informasi dikategorikan sebagai salah satu aset organisasi, maka sudah sewajarnya organisasi perlu lebih peduli dalam menerapkan keamanan informasi.
3. Optimalisasi kinerja organisasi
Dalam menjalankan proses bisnisnya, organisasi memerlukan setiap data informasi tersedia dan tersimpan dengan baik, apakah yang sifatnya fisik ataupun dalam bentuk soft file. Seberapa baik penyimpanan dan ketersediaanya, tentu memengaruhi seberapa baik kinerja dari organisasi tersebut.
4. Upaya menghindari ancaman kerusakan
Ada banyak ancaman terkait dengan bagaimana organisasi menjaga data dan informasi yang dimiliki, seperti berupa kurang baiknya sarpras infrastruktur yang dimiliki sehingga tempat penyimpanan mudah rusak atau mudah dibobol.
Seperti halnya penggunaan software bajakan rentan terhadap virus yang mengancam informasi di dalamnya, ataupun individu organisasinya sendiri yang lalai atau kurang peduli terhadap informasi yang dimiliki.
5. Upaya memperlancar keamanan informasi proses bisnis
Semakin banyaknya pengguna teknologi sebagai sarana bertukar informasi dan data, serta semakin baiknya upaya organisasi dalam menjaga informasi tersebut, akan membuat komunikasi yang dilakukan oleh organisasi menjadi semakin lancar.
6. Penerapan peraturan dan kebijakan yang berlaku
Dunia internasional telah menetapkan peraturan dan kebijakan mengenai pentingnya menjaga informasi, termasuk Indonesia. Dimana terdapat beberapa peraturan yang mengatur. Peraturan tersebut adalah BSSN No 4 tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik.
Sistem Manajemen Keamanan Informasi
Dalam pentingnya organisasi menjaga informasi, diperlukan suatu sistem yang mengawal hal tersebut. Sistem ini dimaksudkan agar organisasi dapat melakukan perlindungan yang lebih baik terhadap informasi yang dimiliki, utamanya dengan semakin tingginya penggunaan teknologi saat ini.
Sistem Manajemen Keamanan Informasi sendiri atau yang dikenal juga sebagai Information Security Management System (ISMS) menurut Kepmenkumham No M.HH-01.TI.06.02 tahun 2017 tentang Sistem Manajemen Keamanan Informasi di Lingkungan Kementerian Hukum dan Hak Asasi Manusia merupakan suatu sistem manajemen yang meliputi kebijakan, organisasi, perencanaan, penanggung jawab, proses, dan sumber daya yang mengacu pada pendekatan risiko bisnis untuk menetapkan, mengimplementasikan, mengoperasikan, memantau, mengevaluasi, mengelola, dan meningkatkan keamanan informasi.
Sedangkan risiko keamanan informasi sendiri merupakan suatu potensi yang tidak diinginkan terhadap keluaran (informasi) yang dihasilkan organisasi. Pengidentifikasian risiko sebagai implementasi dari sistem ini tidak terlepas dari 3 (tiga) elemen penting seperti yang sudah dijelaskan sebelumnya, terdiri dari:
- Confidentiality, maksud dari elemen kerahasiaan ini adalah meminta kita untuk menjamin bahwa informasi yang tersedia hanya untuk pihak-pihak yang berkepentingan saja. Dengan kata lain, elemen ini mencegah pihak-pihak yang tidak berkepentingan dapat mengakses informasi atau data kita.
- Integrity, maksud dari elemen integritas ini adalah meminta kita untuk menjamin keaslian (originalitas) dari informasi atau data yang tersedia. Sehingga informasi atau data tersebut terhindar dari kerusakan, perubahan, ataupunhal lainnya dari informasi atau data aslinya.
- Availability, maksuda dari elemen ketersediaan ini adalah meminta kita untuk menjamin mudahnya pihak-pihak yang memiliki hak akses untuk dapat mengakses informasi atau data tanpa adanya hal yang menghambat, seperti contohnya adalah informasi atau data tersedia dalam format yang tidak bisa dibuka oleh pihak yang memiliki akses.
Ketiga elemen dasar di atas merupakan elemen yang saling berkaitan dan tidak bisa dipisahkan dalam pengelolaan risiko di penerapan sistem ini.
Sertifikasi Sistem Manajemen Keamanan Informasi
Agar penerapan sistem manajemen keamanan informasi ini dapat dipertanggungjawabkan, maka dibutuhkan adanya pengakuan terkait dengan hal tersebut. Pengakuan yang diakui secara internasional dalam penerapan sistem ini adalah sertifikasi ISO/IEC 27001. Dimana standar tersebut merupakan panduan bagi organisasi dalam menerapkan sistem manajemen keamanan informasi.
Dengan organisasi telah tersertifikasi ISO/IEC 27001, maka dapat dikatakan bahwa organisasi telah diakui secara internasional dalam penerapan sistem manajemen keamanan informasi. Selain itu, juga membuktikan bahwa organisasi sudah melakukan pengelolaan dan pengendalian terkait risiko keamanan informasi yang berpengaruh pada proses bisnis organisasi.
Dengan merancang, menerapkan, mengelola, dan memelihara sistem manajemen keamanan informasi melalui ISO/IEC 27001, organisasi dapat melindungi data rahasia, pribadi, dan sensitif serta mengendalikan dan meminimalisir risiko keamanan informasi organisasi.
Referensi:
- Anonim. 2023. Individuals Using the Internet. https://www.itu.int/itu-d/reports/statistics/2022/11/24/ff22-internet-use/. Diakses tanggal 21 Januari 2023.
- Anonim. 2023. National Cyber Security Index. https://ncsi.ega.ee/ncsi-index/. Diakses tanggal 30 Januari 2023.
- Badan Siber dan Sandi Neara. 2021. Peraturan BSSN No 4 tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbaiss Elektronik.
- ISO. 2018. ISO/IEC 27000:2018 Information Technology – Security Techniques – Information Security Management Systems – Overview and Vocabulary.
- Puriwigati, A.N. 2020. Sistem Informasi Manajemen-Keamanan Informasi. Yogyakarta. Universitas Mercu Buana.
Penulis: (R)
0 Comments