Jagat maya belakangan ini digegerkan dengan kasus kebocoran data yang masif di Indonesia. Salah satu pelakunya adalah sebuah akun anonim yang bernama Bjorka. Bjorka menjadi masalah besar bagi pemerintah Indonesia terutama Kementerian Komunikasi dan Informatika (Kemenkominfo) karena ia telah menguak betapa lemahnya keamanan informasi digital di Indonesia. Awalnya, Bjorka mengklaim memiliki 26 juta data pengguna provider internet milik BUMN. Data ini dia perjual-belikan di sebuah forum yang tak bisa diakses oleh pengguna internet yang menggunakan provider dari Indonesia atau termasuk ke kategori situs gelap. Kehebohannya diketahui pada akhir Agustus 2022 lalu. Tidak berakhir di situ, Bjorka belakangan kembali mengklaim memiliki data baru. Kali ini, Bjorka memperjual-belikan 1,3 miliar data dari proses registrasi subscriber identity module (SIM) card atau kartu SIM di Indonesia. Data-data tersebut kemudian diverifikasi oleh Kemenkominfo dan memang 15-20 persennya valid dengan data yang diperoleh dari operator seluler di Indonesia. Setelah itu, kasus kebocoran data tentu tak berhenti begitu saja. Bjorka malah bertubi-tubi membeberkan data-data sensitif yang dia retas dan mengklaim bakal terus melakukannya di hari-hari ke depan. Mungkin bagi sebagian orang kasus peretasan data adalah hal yang sepele, namun di tangan entitas yang mampu mengolahnya, data-data curian itu bisa saja dimanfaatkan untuk kepentingan tertentu yang berisiko. Maka dari itu sistem manajemen keamanan informasi adalah hal yang sangat penting.
Sebelum membahas lebih jauh alangkah baiknya kita mengetahui apakah yang dimaksud dengan informasi itu. Seiring dengan perkembangan laju teknologi, informasi merupakan salah satu aset penting dari perusahaan. Kemampuan untuk menyediakan informasi yang akurat dan cepat menjadi suatu hal yang penting. Dapat dikatakan Sistem Informasi (SI) sudah menjadi sebuah bagian dari perusahaan. Sistem Informasi digunakan untuk mendukung berbagai kegiatan dalam perusahaan, bahkan untuk memperoleh keuntungan dan memenangkan persaingan. Sistem Informasi berkembang seiring perkembangan Teknologi Informasi (TI). Namun, seiring perkembangannya teknologi sering kali dimanfaatkan oleh beberapa pihak yang tidak bertanggungjawab yang dapat menyebabkan munculnya ancaman dan resiko dari penggunaan teknologi seperti pada contoh di paragraf sebelumnya. Masalah keamanan sistem informasi sering kali kurang mendapatkan perhatian dari para stakeholder dan pengelola sistem informasi. Sering kali, permasalahan keamanan sistem informasi mendapatkan perhatian dari para stakeholder dan pengelola sistem informasi ketika sudah terjadi sebuah ancaman yang menimbulkan kerugian pada perusahaan. Ketika sebuah ancaman sudah menimbulkan kerugian pada perusahaan, stakeholder dan pengelola sistem mulai melakukan berbagai tindakan pencegahan dan perbaikan atas keamanan sistem informasi. Hal ini dapat menyebabkan perusahaan mengeluarkan pengeluaran ekstra untuk melakukan pengamanan sistem informasi dan perbaikan atas ancaman yang sudah terjadi. Apabila menggangu performansi dari sistem, sering kali keamanan dikurangi atau ditiadakan.
Seringkali kita mendengar istilah, “Prevention is better than cure”, mencegah lebih baik dari pada mengobati. Keamanan sistem informasi bertujuan untuk memastikan dan menyakinkan integritas, ketersediaan dan kerahasiaan dari pengolahan informasi. Pengelolaan keamanan sistem informasi harus dimulai ketika sebuah sistem informasi dibangun, bukan hanya sebagai pelengkap sebuah sistem informasi. Keamanan sistem informasi merupakan hal yang perlu mendapat perhatian saat membangun sebuah sistem informasi. Bayangkan kita membuat sebuah rumah yang lengkap dengan jendela dan pintu, tetapi kita tidak membuat kunci untuk pintu dan jendela. Hal ini dapat menyebabkan seseorang bisa dengan mudah memasuki rumah kita, bahkan mungkin melakukan pencurian. Sama halnya dengan membangun sistem informasi, keamanan sistem informasi digunakan untuk menghindari seseorang yang tidak memiliki akses untuk dapat masuk ke dalam sistem. Dengan adanya pengelolaan keamanan sistem informasi yang baik, maka diharapkan perusahaan dapat memprediksi resiko-resiko yang muncul akibat penggunaan sistem informasi sehingga dapat menghindari atau mengurangi resiko yang mungkin dapat merugikan perusahaan. Keamanan sistem informasi merupakan tanggungjawab semua pihak yang ada di dalam perusahaan.
Berbicara tentang keamanan informasi, beberapa dari kita mungkin setuju bahwa Informasi merupakan salah satu aset penting dari perusahaan. Jika saja informsi tersebut bocor di tangan yang tidak bertanggungjawab maka akan berdampak buruk bagi perusahaan. Maka dari itu perusahaan melakukan pengolahan terhadap informasi, kemudian hasilnya disimpan dan diamankan. Keamanan sistem informasi sendiri terdiri dari perlindungan terhadap aspek-aspek berikut ini: Confidentiality (Kerahasiaan). Yaitu aspek yang menjamin kerahasian data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasian data yang dikirim, diterima dan disimpan; Lalu Integrity (Integritas). Yaitu aspek yang menjamin bahwa data tidak diubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini; Yang terakhir Availability (Ketersediaan). Yaitu aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Pengelolaan keamanan sistem informasi yang baik dibutuhkan untuk mengantisipasi ancaman-ancaman yang mungkin terjadi. Lantas bagaimana sistem manajemen keamanan informasi yang baik itu? Jawabannya adalah dengan memanfaatkan ISO/IEC 27000 series. ISO 27001 merupakan standar tentang Information Security Management System (ISMS) atau dikenal juga dengan istilah Sistem Manajemen Keamanan Informasi (SMKI). ISMS sendiri terdiri dari prosedur, kebijakan, dan kontrol lainnya yang melibatkan teknologi, orang, dan proses yang kompleks. Landasan dari didirikannya ISO 27001 adalah manajemen risiko, yang bertujuan untuk menentukan kontrol keamanan mana yang memang harus dipelihara dan diterapkan. ISO 27001 pertama kali dirilis pada tahun 2005. ISO 27001 ini terus mengalami pembaharuan. Standar ini dibuat sebagai model untuk penetapan, penerapan, pengoperasian, pemantauan, pengkajian, pemeliharaan dan perbaikan ISMS. ISO 27001 memberikan gambaran umum mengenai kebutuhan yang dibutuhkan perusahaan atau organisasi dalam usahanya untuk mengimplementasikan konsep-konsep keamanan informasi. Penerapan ISO 27001 disesuaikan dengan tujuan, sasaran dan kebutuhan organisasi. Versi terbaru dari standar ISO 27001 dikeluarkan pada bulan September tahun 2013 lalu, menggantikan versi sebelumnya yang diterbitkan tahun 2005.
Menurut ISO 27001:2013, keamanan sistem informasi tidak hanya berhubungan dengan penggunaan perangkat lunak antivirus, firewall, penggunaan password untuk komputer, tetapi merupakan pendekatan secara keseluruhan baik dari sisi orang, proses dan teknologi untuk memastikan berjalannya efektivitas keamanan. Seperti yang dijelaskan sebelumnya jika standar ini dibuat sebagai model untuk penetapan, penerapan, pengoperasian, pemantauan, pengkajian, pemeliharaan dan perbaikan ISMS. Maka ISO 27001:2013 menekankan beberapa pendekatan yang dapat diadopsi oleh perusahaan atau organisasi, yaitu: menjelaskan pemahaman persyaratan keamanan informasi organisasi dan kebutuhan terhadap kebijakan serta sasaran keamanan informasi, menerapkan dan pengoperasian kontrol untuk mengelola resiko keamanan informasi dalam bentuk konteks resiko bisnis organisasi secara keseluruhan, memantau dan meninjau ulang kinerja dan efektivitas ISMS, dan meningkatkan keefektifan ISMS berdasarkan pada pengukuran tingkat ketercapaian sasaran yang sebelumnya pernah dibuat.
Seperti standar ISO pada umumnya, ISO 27001:2013 juga mengadopsi model “Plan-Do-Check-Act” (PDCA), untuk membentuk seluruh proses ISMS. Standar ini memberikan model yang kokoh untuk menerapkan prinsip-prinsip yang ada dalam panduan tersebut yang mengatur evaluasi resiko, desain keamanan, penerapan keamanan, dan manajemen keamanan yang jika kita uraikan akan menjadi seperti berikut: Plan: Pada tahapan ini dilakukan dengan menetapkan kebijakan ISMS, sasaran, proses dan prosedur yang relevan untuk mengelola resiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan kebijakan dan sasaran. Do: Tahapan ini dilakukan dengan menetapkan cara pengoperasian kebijakan ISMS, kontrol, proses dan prosedur-prosedur. Check: Tahapan ini dilakukan dengan mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek dalam menjalankan ISMS dan melaporkan hasilnya untuk penilaian efektivitasnya. Act: Tahapan ini dilakukan dengan melakukan tindakan perbaikan dan pencegahan berdasarkan hasil evaluasi, audit internal dan tinjauan manajemen tentang ISMS atau kegiatan pemantauan lainya untuk mencapai peningkatan yang berkelanjutan.
Bagaimana dengan persyaratannya? ISO 27001:2013 yang berisi tentang persayaratan terkandung dalam klausul 4-10 yang dapat dijabarkan sebagai berikut: Klausul 4 yang berisi tentang konteks organisasi membahas bahwa salah satu prasyarat keberhasilan penerapan Sistem Manajemen Keamanan Informasi adalah memahami konteks organisasi. Isu-isu eksternal dan internal, serta pihak-pihak yang berkepentingan, perlu diidentifikasi dan dipertimbangkan; Klausul 5 yang berisi tentang kepemimpinan membahas bahwa persyaratan ISO 27001 untuk pemimpin yaitu manajemen puncak harus wajib berkomitmen untuk sistem manajemen. Tujuan manajemen puncak perlu ditetapkan sesuai dengan tujuan organisasi. Menyediakan sumber daya yang dibutuhkan untuk SMKI, serta mendukung bawahannya untuk berkontribusi pada SMKI, adalah contoh lain dari kewajiban yang harus dipenuhi. Selain itu Manajemen puncak juga perlu menetapkan kebijakan yang sesuai dengan keamanan informasi. Kebijakan ini harus didokumentasikan, serta dikomunikasikan di dalam organisasi dan kepada pihak yang berkepentingan. Peran dan tanggung jawab juga perlu ditetapkan untuk memenuhi persyaratan standar ISO 27001 dan untuk melaporkan kinerja SMKI; Klausul 6 yang berisi tentang perencanaan membahas bahwa perencanaan dalam lingkungan SMKI harus selalu memperhitungkan risiko dan peluang. Perencanaan risiko keamanan informasi membentuk pondasi yang kuat bagi perusahaan. Oleh karena itu, tujuan keamanan informasi harus didasarkan pada perencanaan risiko. Persyaratan ini diselaraskan dengan tujuan perusahaan secara keseluruhan. Selain itu, perencanaan terhadap tujuan perusahaan juga perlu dipromosikan di dalam perusahaan, gunanya agar tujuan perusahaan dapat selaras dengan semua anggota perusahaan; Klausul 7 yang berisi tentang dukungan membahas bahwa sumber daya, kompetensi karyawan, kesadaran, dan komunikasi adalah isu-isu kunci untuk mendukung kinerja SMKI. Persyaratan lainnya adalah pendokumentasian informasi tentang ISO 27001. Informasi perlu didokumentasikan, dibuat, diperbarui, dikendalikan, dan dipelihara untuk mendukung keberhasilan SMKI; Klausul 8 yang berisi tentang proses membahas bahwa menerapkan keamanan informasi wajib melalui proses. Proses-proses ini perlu direncanakan, dilaksanakan, dan dikendalikan. Penilaian dan penanganan risiko perlu menjadi perhatian manajemen puncak, seperti yang telah dibahas pada klausul 5; Klausul 9 yang berisi tentang evaluasi kinerja membahas bahwa persyaratan standar ISO 27001 mengharapkan hasil pemantauan, pengukuran, analisis, dan evaluasi Sistem Manajemen Keamanan Informasi di perusahaan. Evaluasi perlu dilakukan dengan melakukan audit internal, bahkan manajemen puncak juga perlu melakukan evaluasi terhadap kinerja SMKI; Klausul 10 yang membahas tentang peningkatan membahas bahwa peningkatan mengikuti hasil dari evaluasi, dimana hasil yang tidak sesuai dengan standar yang ditemukan dalam proses evaluasi harus sesegera mungkin diperbaiki guna memberikan peningkatan pada kinerja SMKI perusahaan.
Apa manfaatnya jika perusahaan atau organisasi menerapkan ISO 27001? Dengan menerapkan ISO 27001 akan meningkatkan kepercayaan publik terhadap informasi yang dihasilkan dan diproses oleh sebuah perusahaan serta meningkatkan jaminan kualitas dari sebuah informasi. Standar ini dibuat untuk memudahkan organisasi dalam penerapan ISMS. Standar ini dapat disesuikan kebutuhannya terhadap tujuan, sasaran dan lingkup organisasi. Standar ini juga memungkinkan integrasi dengan model keamanan sistem informasi lainnya. Penerapan ISO 27001 dapat dijadikan sebagai acuan penilaian keamanan sistem informasi. Penerapan ISO 27001 ini dapat juga digunakan untuk meyakinkan pihak stakeholder terhadap pentingnya keamanan sistem informasi.
Semoga bermanfaat