Kesadaran Keamanan Informasi - TINJAUAN PUSTAKA

TINJAUAN PUSTAKA

A. Kesadaran Keamanan Informasi

Kesadaran menurut Freud (dalam Feist dan Feist, 2010) adalah hal-hal yang kita rasakan melalui indera dan tidak dianggap mengancam, masuk ke dalam alam sadar. Alam sadar atau kesadaran (conscious) dirasa menjadi satu-satunya tingkat kehidupan mental yang bisa langsung diraih atau dirasakan oleh manusia. Jung (dalam Feist dan Feist, 2010) menjelaskan bahwa kesadaran (conscious) merupakan hal yang dapat dirasakan oleh ego melalui alam bawah sadar dan menggunakan pengalaman-pengalaman personal untuk memperkuat kepribadiannya. Ahli psikologis bernama Abraham Maslow (dalam Feist dan Feist, 2010) juga memunculkan sebuah teori humanistik yang mengemukakan bahwa kesadaran merupakan keadaan mengerti dan memahami, bagaimana menjadi diri sendiri, potensi, dan gaya apa yang dimiliki, langkah-langkah apa yang perlu diambil, apa yang dirasakan, nilai apa yang dimiliki, serta kearah mana perkembangan diri sendiri.

Menurut Kamus Besar Bahasa Indonesia (KBBI), kesadaran ialah keadaan mengerti; hal yang dirasakan atau dialami oleh seseorang atas keadaan dirinya sendiri; pengertian yang mendalam pada orang seorang atau sekelompok orang yang terwujud dalam pemikiran, sikap, dan tingkah laku yang mendukung pengembangan lingkungan. Berdasarkan pengertian-pengertian di atas, dapat disimpulkan bahwa kesadaran merupakan suatu hal yang dirasakan dan diwujudkan atau dilakukan dalam sebuah tindakan.

8 Menurut Kamus Besar Bahasa Indonesia (KBBI), keamanan berasal dari kata dasar “aman” yang memiliki arti bebas dari bahaya. Keamanan informasi adalah upaya perlindungan dari berbagai macam ancaman untuk memastikan keberlanjutan bisnis, meminimalisir resiko bisnis, dan meningkatkan investasi dan peluang bisnis (ISO/IEC 17799:2005). Tiga aspek keamanan informasi ialah:

1. Confidentiality (Kerahasiaan)

Data-data yang menghasilkan sebuah informasi harus dijaga kerahasiaannya dari pihak yang tidak berhak mengakses. Usaha untuk memastikan informasi diakses oleh orang yang berwenang atau bagi orang yang memiliki otoritas ini dilakukan dengan menerapkan enkripsi agar penyebaran informasi jelas dan terarah sehingga tidak menimbulkan kerugian bagi pihak yang membutuhkan.

2. Integrity (Integritas)

Informasi yang dimiliki tidak boleh diubah oleh orang yang tidak berhak. Hal ini dilakukan untuk memastikan bahwa informasi yang dimiliki dan diakses adalah benar, akurat, dan lengkap. Integritas informasi biasanya dilakukan dengan menerapkan akses kontrol atau pembatasan hak akses untuk mengedit, sehingga yang lain hanya mampu melihat atau membaca informasi yang dihasilkan.

3. Availability (Ketersediaan)

Informasi yang dibutuhkan harus dipastikan ketersediaannya, agar aspek ketersediaan ini tercapai biasanya dalam organisasi menerapkan back-up

data atau cadangan tempat bagi data-data yang akan menghasilkan informasi. Hal tersebut dilakukan agar informasi tetap tersedia walaupun terjadi bencana pada sistem.

Gambar 2.1: CIA Triad (Sumber: www.itgovernanceusa.com)

Menurut Susanto (2017), informasi diartikan sebagai “hasil pengolahan data yang memberikan arti dan manfaat bagi orang yang menerimanya”. Romney dan Steinbart (2017), menjelaskan bahwa informasi adalah data yang telah dikelola dan diproses untuk memberikan arti dan memperbaiki proses pengambilan keputusan. Informasi memiliki beberapa karakteristik berikut agar berguna, yaitu:

1. Relevan

Informasi yang relevan harus dapat mengurangi ketidakpastian dan mampu meningkatkan nilai dalam mengambil keputusan. Informasi akuntansi yang dihasilkan harus memiliki nilai umpan balik terhadap prediksi yang dibuat oleh seorang akuntan sehingga nantinya akan mempengaruhi kebijakan yang diambil oleh perusahaan atau organisasi.

10 2. Reliabel

Informasi yang reliabel harus bebas dari kesalahan, bias, atau penyimpangan. Informasi yang ada juga harus menyajikan fakta secara akurat. Karakteristik reliabel dapat terpenuhi bila informasi yang ada berasal dari data yang jujur, netral, dan wajar. Informasi mengenai keuangan akan diuji kebenaran informasinya atau diperiksa terlebih dahulu oleh pihak lain.

3. Lengkap

Informasi yang lengkap diharapkan tidak menghilangkan aspek penting dari suatu kejadian atau aktivitas yang diukur dimana harus mencakup kebutuhan para pemakai informasi. Informasi akuntansi yang disajikan tidak boleh setengah-setengah sehingga nantinya tidak memunculkan pertanyaan bagi para pengguna informasi.

4. Tepat waktu

Informasi yang disajikan harus diberikan secara tepat pada saat dibutuhkan dalam pengambilan keputusan. Ketepatan waktu sangatlah penting karena akan berpengaruh pada pengambilan keputusan. Apabila informasi yang diberikan terlambat, akan mempengaruhi keterlambatan pengambilan keputusan yang bisa menyebabkan kerugian bagi perusahaan atau organsasi.

5. Dapat dipahami

Informasi yang disajikan berada dalam format yang jelas sehingga mudah dimengerti oleh para pengguna informasi. Pengguna informasi yang

dimaksud ialah pengguna yang memiliki pengetahuan yang memadai mengenai bisnis, ekonomi, akuntansi dan kemauan untuk mempelajari informasi dengan ketekunan yang wajar.

6. Dapat diverifikasi

Informasi yang ada harus dapat dipertanggungjawabkan kebenarannya. Informasi yang ada dapat diverifikasi dari dua orang yang berpengetahuan baik bekerja secara independen dan keduanya menghasilkan informasi yang sama. Hal tersebut mengartikan bahwa informasi harus dapat dibuktikan kebenarannya.

7. Dapat diakses

Informasi yang disajikan hendaknya tersedia untuk pengguna ketika mereka membutuhkannya dan dalam format yang dapat digunakan. Informasi harus mampu tersedia dan diakses dengan cepat sesuai saat dibutuhkan agar dapat segera digunakan dalam pengambilan keputusan.

Menurut Mukhlis (2014), kesadaran keamanan adalah bidang ilmu keamanan yang berhubungan erat dengan faktor manusia mengenai keamanan aset informasi. Pengetahuan yang diperoleh dari sekolah adalah elemen utama untuk menciptakan kesadaran keamanan. Schlienger & Teufel (dalam Mukhlis, 2014), membagi program pelatihan dan kesadaran keamanan dalam tiga bagian yang berbeda:

1. Pendidikan

Karyawan harus memahami, mengapa keamanan informasi sangat penting bagi organisasi. Mereka harus memahami bahwa setiap orang bertanggung

12 jawab atas keamanan yang mempengaruhi lingkungan mereka masing-masing. Pendidikan dapat diimplementasikan melalui kursus keamanan informasi, dapat juga menjadi pendidikan keamanan informasi dasar di sekolah atau perguruan tinggi.

2. Pelatihan

Karyawan harus mengetahui bagaimana mereka bisa merasa aman. Mereka harus tahu bagaimana menggunakan fungsi keamanan di dalam sebuah aplikasi dan dalam proses kerja mereka. Pelatihan tentang peralatan atau fitur keamanan didalam aplikasi perlu diberikan.

3. Kesadaran

Pendidikan dan pelatihan adalah dasar untuk mengetahui program keamanan, namun tidak menjamin perilaku keamanan dalam kehidupan sehari-hari. Pengukuran keamanan yang dilakukan diluar kelas akan mengingatkan karyawan pada pelajaran yang telah diperoleh. Perkakas seperti poster, mouse-pads, dan bolpoin dengan slogan keamanan membantu menghadirkan topik keamanan dimana-mana. Program insentif akan mendorong karyawan untuk berpartisipasi. Kontrol, kewajiban dan hukuman memperlihatkan pentingnya keamanan informasi. Program kesadaran dan pelatihan keamanan merubah “menjadi sadar” menjadi “menyadari” dan berakhir pada “sadar” yang mengubah budaya keamanan secara total.

Kruger & Kearney (2006) menyatakan bahwa kesadaran keamanan informasi merupakan suatu proses yang sangat dinamis yang berkembang

sesuai perkembangan situasi yang ada, baik karena masalah politik maupun perubahan tren perekonomian. Kesadaran tersebut mencakup kesadaran untuk menjaga keamanan informasi individu tersebut maupun informasi bagi organisasi dimana individu tersebut berada. Kruger & Kearney (2006) membagi kesadaran menjadi tiga dimensi yaitu:

1. Knowledge

Knowledge merujuk pada pengetahuan yang dimiliki oleh individu terhadap keamanan informasi. Menurut Kamus Besar Bahasa Indonesia (KBBI), pengetahuan berarti segala sesuatu yang diketahui; kepandaian; segala sesuatu yang diketahui berkenaan dengan hal (mata pelajaran). Menurut Notoatmodjo (2012), “pengetahuan merupakan hasil dari tahu dan ini terjadi setelah orang melakukan pengindraan terhadap suatu objek tertentu”. Pengetahuan menjadi salah satu bagian penting bagi individu dalam kehidupan kesehariannya. Pengetahuan menurut Notoatmodjo (2012) mempunyai 6 tingkatan yaitu:

a. Tahu

Tahu diartikan sebagai keadaan individu dalam mengingat materi yang telah dipelajari. Tingkatan tahu ini berhubungan dengan aktifitas mengingat kembali terhadap sesuatu yang spesifik dari seluruh bahan yang dipelajari atau rangsang yang diterima.

14 b. Memahami

Memahami merupakan kemampuan untuk menjelaskan secara benar mengenai suatu objek dan menginterprestasikan materi yang ada secara benar dan menjelaskan serta menyebutkan contoh.

c. Aplikasi

Aplikasi adalah kemampuan untuk menggunakan materi yang telah didapatkan pada situasi kondisi yang sebenarnya terjadi. Contohnya adalah menggunakan rumus, metode, prinsip, dan lainnya.

d. Analisis

Analisis merupakan kemampuan menjabarkan materi atau objek ke dalam komponen-komponen yang masih berkaitan satu dengan yang lain. Keberhasilan analisis seseorang dapat terlihat dari penggunaan kata kerja dapat menggambarkan, mengelompokkan, membedakan, memisahkan, dan sebagainya.

e. Sintesis

Sintesis mengarah kepada kemampuan untuk meletakkan atau menghubungkan bagian-bagian dalam suatu bentuk keseluruhan yang baru. Sintesis juga merupakan kemampuan untuk menyusun, merencanakan, meringkas, menyesuaikan teori atau rumusan yang telah ada.

f. Evaluasi

Evaluasi merupakan kemampuan untuk melakukan penilaian terhadap suatu materi atau objek penilaian berdasarkan kriteria yang ditentukan sendiri atau menggunakan kriteria yang sudah ada.

2. Attitude

Attitude adalah sikap seseorang dalam berinteraksi ataupun berkomunikasi dengan sesama manusia. Menurut Sukardi (dalam Munandar, 2016), sikap adalah suatu kesiapan seseorang untuk bertindak terhadap hal-hal tertentu. Notoatmodjo (2012) mengungkapkan bahwa sikap merupakan kesiapan atau kesediaan untuk bertindak, dan bukan merupakan pelaksanaan motif tertentu. Komponen-komponen sikap menurut Azwar (2015) adalah: a. Kognitif

Kognitif adalah komponen yang terbentuk dari pengetahuan dan informasi yang diterima oleh individu dalam kehidupannya yang selanjutnya diproses untuk menghasilkan suatu keputusan untuk bertindak.

b. Afektif

Afektif menyangkut masalah emosional subyektif sosial terhadap suatu objek, dimana secara umum dalam psikologi komponen afektif disamakan dengan perasaan yang dimiliki terhadap suatu objek.

16 c. Konatif

Konatif menunjukkan bagaimana kecenderungan berperilaku yang ada dalam diri seseorang berkaitan dengan cara menyikapi objek yang sedang dihadapinya.

Berdasarkan penjelasan yang telah disampaikan di atas, dapat disimpulkan bahwa sikap merupakan suatu bentuk reaksi yang timbul atas objek tertentu yang nantinya berhubungan dengan perilaku. Sikap dapat dibentuk atau dipelajari sepanjang individu terus berkembang dalam kehidupan kesehariannya. Sikap merupakan hasil interaksi individu dengan lingkungan sekitarnya.

3. Behaviour

Perilaku menunjukkan tindakan yang dilakukan oleh individu terhadap keamanan informasi. Menurut Walgito (2010), perilaku merupakan respon dari stimulus yang mana setiap individu memiliki kemampuan untuk menentukan perilaku yang akan diambilnya. Skinner (dalam Walgito, 2010) membagi perilaku menjadi 2 jenis, yaitu:

a. Perilaku Alami

Perilaku alami atau dalam psikologi dikenal dengan innate behaviour merupakan perilaku yang dibawa sejak lahir. Perilaku ini biasanya berupa refleks-refleks tertentu atau insting.

b. Perilaku Operan

Perlaku operan atau biasa dikenal dengan nama operant behaviour merupakan perilaku yang dibentuk melalui proses belajar.

Individu dalam melakukan tindakan atau perilaku tertentu menurut Notoatmodjo (2012) akan melewati proses berikut:

1. Kesadaran, dimana individu akan menyadari dalam arti mengetahui terhadap stimulasi suatu objek yang diterima.

2. Merasa, individu akan tertarik terhadap stimulasi objek tersebut yang terlihat dari sikap yang mulai timbul.

3. Menimbang, individu akan mulai menimbang baik atau tidaknya stimulasi objek tersebut bagi dirinya. Tahap ini menandakan adanya sikap lebih lanjut yang lebih baik dalam menanggapi objek yang ada. 4. Mencoba, individu akan mulai mencoba melakukan sesuatu sesuai

dengan apa yang dikendaki dari objek yang diterima atau dialami. 5. Adaptasi, individu telah berperilaku sesuai dengan pengetahuan dan

sikap yang secara sadar dilakukan terhadap stimulasi objek yang ada. Dimensi-dimensi yang telah dijelaskan merupakan kumpulan dimensi yang membentuk kesadaran manusia untuk menjaga keamanan informasi pribadi. Individu akan mendapatkan pengetahuan mengenai keamanan informasi, kemudian individu tersebut memahami dan menyikapi pengetahuan yang diterima serta mengaplikasikan keamanan informasi yang ada sehingga kesadaran dalam menjaga keamanan informasi menjadi hal yang dapat berdampak positif dalam kehidupan sehari-hari. Kruger & Kearney (2006) membagi kesadaran keamanan informasi dalam level of awareness berikut ini:

Gambar 2.2: Level of Awareness (Sumber: Kruger and Kearney, 2006)

Level of Awareness tersebut terdiri dari tiga kategori yaitu: 1. Good (Baik)

Tingkat kesadaran keamanan informasi yang tergolong baik menghasilkan angka ≥80%. Tingkat ini dapat diartikan bahwa penerapan materi mengenai keamanan informasi (knowledge) telah mampu dipahami lewat sikap (attitude) dan diimplementasikan dalam kehidupan sehari-hari (behaviour).

2. Average (Sedang)

Tingkat kesadaran keamanan informasi yang tergolong sedang menghasilkan angka yang berkisar antara ≥60% - <80%. Tingkat ini dapat diartikan bahwa ada salah satu dari tiga aspek dalam kesadaran keamanan informasi, yaitu pengetahuan akan materi keamanan informasi (knowledge) yang dipahami lewat sikap (attitude) dan seharusnya diimplementasikan dalam kehidupan sehari-hari (behaviour) belum mampu terpenuhi.

3. Poor (Buruk)

Tingkat kesadaran keamanan informasi yang tergolong buruk menghasilkan angka yang berkisar antara <60%. Tingkat ini dapat

diartikan bahwa materi keamanan informasi (knowledge) yang diperoleh tidak dapat dipahami, sehingga tidak memengaruhi sikap (attitude) dan diimplementasikan dalam kehidupan sehari-hari (behaviour) untuk menjaga keamanan informasi.

Berdasarkan uraian mengenai kesadaran keamanan informasi, maka dapat disimpulkan bahwa kesadaran keamanan informasi merupakan sebuah tindakan yang dilakukan secara sadar untuk menjaga informasi pribadi yang dimiliki. Tindakan yang dilakukan untuk menjaga informasi pribadi pada setiap individu dipengaruhi oleh sikap yang muncul dalam dirinya sehingga kesadaran yang dimiliki dapat berbeda antara satu dengan yang lain. Adapun kisi-kisi instrumen variabel kesadaran keamanan informasi menurut Kruger & Kearney (2006) dan Mukhlis (2014) sebagai berikut:

Tabel 2.1: Kisi-kisi Indikator Variabel Kesadaran Keamanan Informasi

Variabel Indikator ^{No Butir}

Pernyataan Kesadaran Keamanan

Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)

Ketaatan Pada Peraturan A Saya mengetahui adanya UU No 11

Tahun 2008 tentang Informasi dan Transaksi Elektronik.

UU ITE merupakan dasar pengaturan di bidang pemanfaatan Teknologi Informasi dan Transaksi Elektronik.

Penggunaan setiap informasi melalui media atau Sistem Elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.

Transaksi Elektronik adalah perbuatan hukum yang

dilakukan dengan menggunakan komputer, jaringan

komputer, dan/atau media elektronik lainnya.

Variabel Indikator ^{No Butir}

Pernyataan Kesadaran Keamanan

Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)

Kode Akses adalah angka, huruf, simbol, karakter

lainnya atau kombinasi di antaranya, yang merupakan kunci untuk dapat mengakses Komputer

dan/atau Sistem Elektronik lainnya.

Setiap orang dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan UU ini.

Setiap Orang yang dengan sengaja dan tanpa hak

mendistribusikan dan/atau

mentransmisikan dan/atau membuat dapat diaksesnya Informasi

Elektronik dan/atau Dokumen Elektronik yang memiliki muatan pemerasan dan/atau pengancaman dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak

Rp1.000.000.000,00 (satu miliar rupiah).

Pemerintah melindungi kepentingan umum dari segala jenis gangguan sebagai akibat penyalahgunaan Informasi Elektronik dan Transaksi Elektronik yang mengganggu ketertiban umum, sesuai dengan ketentuan Peraturan Perundang-undangan.

Password dan Personal Identity

Number (PIN) ^B

Password merupakan kata kunci

untuk memasuki sebuah sistem. ^B1 Password saya bisa diubah sesuai

kebutuhan. ^B2

PIN merupakan identitas yang

biasanya bersifat tetap. ^B3 PIN yang saya miliki harus berupa

angka. ^B4

Password saya terdiri dari kombinasi angka, huruf, lambang (alfanumerik), dan memiliki kombinasi huruf kapital.

Saya menggunakan nama salah satu

keluarga sebagai password. ^B6

Variabel Indikator ^{No Butir} Pernyataan Kesadaran Keamanan

Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)

Saya menggunakan tanggal lahir atau tanggal yang memiliki kesan khusus sebagai PIN.

Saya mengganti password dan PIN

saya setiap 3 bulan sekali. ^B8 Saya menggunakan satu password

dan PIN untuk berbagai keperluan

(semua password dan PIN sama). ^B9 Password dan PIN yang saya miliki

diketahui oleh beberapa orang terdekat saya.

B10

E-mail dan internet C

Email merupakan sarana untuk mengirimkan pesan elektronik melalui internet.

Saya menggunakan email untuk

membantu proses perkuliahan. ^C2 Saya memiliki email lebih dari tiga

akun. ^C3

Dalam mengirim email, saya selalu menuliskan subject, salam pembuka, isi, dan penutup dalam body text dengan menggunakan bahasa yang baik dan sopan.

Saya selalu membuka email setiap

hari. ^C5

Internet merupakan sistem komunikasi global yang

menghubungkan komputer dengan jaringannya di seluruh dunia.

Saya merasa hampa apabila tidak

menggunakan internet dalam sehari. ^C7 Dengan internet saya mendapatkan

berbagai kemudahan mulai dari informasi pendidikan, sosial, ekonomi-bisnis, agama, hingga pemerintahan.

Email, www, bbs, ftp, chating merupakan sebagian fasilitas yang ada dalam internet.

Info yang saya berikan saat menggunakan internet selalu jelas kebenarannya.

C10

Variabel Indikator ^{No Butir}

Pernyataan Kesadaran Keamanan

Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)

Penggunaan perangkat seluler D Perangkat seluler (HP) saat ini sudah

ditanami fitur komputer. ^D1 Saya menggunakan perangkat seluler

hanya untuk telepon dan sms. _D2

Saya memiliki lebih dari dua

perangkat seluler. ^D3

Saya memberikan kunci khusus

untuk perangkat seluler saya. ^D4 Saya menggunakan perangkat seluler

untuk transaksi perbankan. ^D5 Saya selalu menghapus history

perangkat seluler setelah saya menggunakannya.

Saya membatasi konten-konten yang saya akses menggunakan perangkat seluler.

Aplikasi yang ada dalam perangkat seluler saya berasal dari apps store resmi.

Saya mengaktifkan debugging (usaha memperbaiki suatu bug atau error dalam suatu program) dalam perangkat seluler saya.

Saya selalu melakukan pembaharuan sistem perangkat seluler secara berkala.

D10

Insiden Keamanan E

Government Computer Security Incident Response Team (GOV-CSIRT) merupakan layanan yang dimiliki oleh kominfo.

Saya pernah menggandakan file (copy-paste) dari flashdisk yang membawa virus masuk ke laptop/komputer.

Saya cenderung langsung mengunduh file dan tidak memeriksa software crack atau attachment kiriman.

Spammail, mailbomb yang terjadi

sebaiknya dilaporkan kepihak terkait. ^E4 Perkembangan mengenai keamanan

informasi penting untuk diikuti. ^E5

Variabel Indikator ^{No Butir} Pernyataan Kesadaran Keamanan

Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)

Konsekuensi tindakan F Password yang tidak mengandung

kombinasi alfanumerik cenderung mudah dibobol.

Penyebaran virus dari komputer ke komputer dan jaringannya dapat

menyebabkan cyber crime. ^F2 Phishing mampu menyebabkan

kerugian baik finansial maupun non-finansial.

Kemudahan akses pornografi di internet dapat berdampak pada kesehatan emosional.

Pembajakan hak kekayaan intelektual melalui internet dapat meliputi perbuatan yang melanggar hak cipta, paten, dan merk dagang.

Back Up Data G

Saya melakukan back-up data

terhadap semua file yang ada. ^G1 Back-up data saya lakukan

menggunakan perangkat internet (gdrive, email, dropbox, dst).

Back-up data saya lakukan dengan

menggunakan flashdisk atau hardisk. ^G3 Back-up data dilakukan seminggu

sekali. ^G4

Back-up data penting untuk

mencegah kehilangan data. ^G5

Sumber: Kruger & Kearney, 2006; Mukhlis, 2014

Dalam dokumen Evaluasi tingkat kesadaran keamanan informasi mahasiswa akuntansi Universitas Sanata Dharma (Halaman 24-40)