TINJAUAN PUSTAKA
A. Kesadaran Keamanan Informasi
Kesadaran menurut Freud (dalam Feist dan Feist, 2010) adalah hal-hal yang kita rasakan melalui indera dan tidak dianggap mengancam, masuk ke dalam alam sadar. Alam sadar atau kesadaran (conscious) dirasa menjadi satu-satunya tingkat kehidupan mental yang bisa langsung diraih atau dirasakan oleh manusia. Jung (dalam Feist dan Feist, 2010) menjelaskan bahwa kesadaran (conscious) merupakan hal yang dapat dirasakan oleh ego melalui alam bawah sadar dan menggunakan pengalaman-pengalaman personal untuk memperkuat kepribadiannya. Ahli psikologis bernama Abraham Maslow (dalam Feist dan Feist, 2010) juga memunculkan sebuah teori humanistik yang mengemukakan bahwa kesadaran merupakan keadaan mengerti dan memahami, bagaimana menjadi diri sendiri, potensi, dan gaya apa yang dimiliki, langkah-langkah apa yang perlu diambil, apa yang dirasakan, nilai apa yang dimiliki, serta kearah mana perkembangan diri sendiri.
Menurut Kamus Besar Bahasa Indonesia (KBBI), kesadaran ialah keadaan mengerti; hal yang dirasakan atau dialami oleh seseorang atas keadaan dirinya sendiri; pengertian yang mendalam pada orang seorang atau sekelompok orang yang terwujud dalam pemikiran, sikap, dan tingkah laku yang mendukung pengembangan lingkungan. Berdasarkan pengertian-pengertian di atas, dapat disimpulkan bahwa kesadaran merupakan suatu hal yang dirasakan dan diwujudkan atau dilakukan dalam sebuah tindakan.
8 Menurut Kamus Besar Bahasa Indonesia (KBBI), keamanan berasal dari kata dasar “aman” yang memiliki arti bebas dari bahaya. Keamanan informasi adalah upaya perlindungan dari berbagai macam ancaman untuk memastikan keberlanjutan bisnis, meminimalisir resiko bisnis, dan meningkatkan investasi dan peluang bisnis (ISO/IEC 17799:2005). Tiga aspek keamanan informasi ialah:
1. Confidentiality (Kerahasiaan)
Data-data yang menghasilkan sebuah informasi harus dijaga kerahasiaannya dari pihak yang tidak berhak mengakses. Usaha untuk memastikan informasi diakses oleh orang yang berwenang atau bagi orang yang memiliki otoritas ini dilakukan dengan menerapkan enkripsi agar penyebaran informasi jelas dan terarah sehingga tidak menimbulkan kerugian bagi pihak yang membutuhkan.
2. Integrity (Integritas)
Informasi yang dimiliki tidak boleh diubah oleh orang yang tidak berhak. Hal ini dilakukan untuk memastikan bahwa informasi yang dimiliki dan diakses adalah benar, akurat, dan lengkap. Integritas informasi biasanya dilakukan dengan menerapkan akses kontrol atau pembatasan hak akses untuk mengedit, sehingga yang lain hanya mampu melihat atau membaca informasi yang dihasilkan.
3. Availability (Ketersediaan)
Informasi yang dibutuhkan harus dipastikan ketersediaannya, agar aspek ketersediaan ini tercapai biasanya dalam organisasi menerapkan back-up
data atau cadangan tempat bagi data-data yang akan menghasilkan informasi. Hal tersebut dilakukan agar informasi tetap tersedia walaupun terjadi bencana pada sistem.
Gambar 2.1: CIA Triad (Sumber: www.itgovernanceusa.com)
Menurut Susanto (2017), informasi diartikan sebagai “hasil pengolahan data yang memberikan arti dan manfaat bagi orang yang menerimanya”. Romney dan Steinbart (2017), menjelaskan bahwa informasi adalah data yang telah dikelola dan diproses untuk memberikan arti dan memperbaiki proses pengambilan keputusan. Informasi memiliki beberapa karakteristik berikut agar berguna, yaitu:
1. Relevan
Informasi yang relevan harus dapat mengurangi ketidakpastian dan mampu meningkatkan nilai dalam mengambil keputusan. Informasi akuntansi yang dihasilkan harus memiliki nilai umpan balik terhadap prediksi yang dibuat oleh seorang akuntan sehingga nantinya akan mempengaruhi kebijakan yang diambil oleh perusahaan atau organisasi.
10 2. Reliabel
Informasi yang reliabel harus bebas dari kesalahan, bias, atau penyimpangan. Informasi yang ada juga harus menyajikan fakta secara akurat. Karakteristik reliabel dapat terpenuhi bila informasi yang ada berasal dari data yang jujur, netral, dan wajar. Informasi mengenai keuangan akan diuji kebenaran informasinya atau diperiksa terlebih dahulu oleh pihak lain.
3. Lengkap
Informasi yang lengkap diharapkan tidak menghilangkan aspek penting dari suatu kejadian atau aktivitas yang diukur dimana harus mencakup kebutuhan para pemakai informasi. Informasi akuntansi yang disajikan tidak boleh setengah-setengah sehingga nantinya tidak memunculkan pertanyaan bagi para pengguna informasi.
4. Tepat waktu
Informasi yang disajikan harus diberikan secara tepat pada saat dibutuhkan dalam pengambilan keputusan. Ketepatan waktu sangatlah penting karena akan berpengaruh pada pengambilan keputusan. Apabila informasi yang diberikan terlambat, akan mempengaruhi keterlambatan pengambilan keputusan yang bisa menyebabkan kerugian bagi perusahaan atau organsasi.
5. Dapat dipahami
Informasi yang disajikan berada dalam format yang jelas sehingga mudah dimengerti oleh para pengguna informasi. Pengguna informasi yang
dimaksud ialah pengguna yang memiliki pengetahuan yang memadai mengenai bisnis, ekonomi, akuntansi dan kemauan untuk mempelajari informasi dengan ketekunan yang wajar.
6. Dapat diverifikasi
Informasi yang ada harus dapat dipertanggungjawabkan kebenarannya. Informasi yang ada dapat diverifikasi dari dua orang yang berpengetahuan baik bekerja secara independen dan keduanya menghasilkan informasi yang sama. Hal tersebut mengartikan bahwa informasi harus dapat dibuktikan kebenarannya.
7. Dapat diakses
Informasi yang disajikan hendaknya tersedia untuk pengguna ketika mereka membutuhkannya dan dalam format yang dapat digunakan. Informasi harus mampu tersedia dan diakses dengan cepat sesuai saat dibutuhkan agar dapat segera digunakan dalam pengambilan keputusan.
Menurut Mukhlis (2014), kesadaran keamanan adalah bidang ilmu keamanan yang berhubungan erat dengan faktor manusia mengenai keamanan aset informasi. Pengetahuan yang diperoleh dari sekolah adalah elemen utama untuk menciptakan kesadaran keamanan. Schlienger & Teufel (dalam Mukhlis, 2014), membagi program pelatihan dan kesadaran keamanan dalam tiga bagian yang berbeda:
1. Pendidikan
Karyawan harus memahami, mengapa keamanan informasi sangat penting bagi organisasi. Mereka harus memahami bahwa setiap orang bertanggung
12 jawab atas keamanan yang mempengaruhi lingkungan mereka masing-masing. Pendidikan dapat diimplementasikan melalui kursus keamanan informasi, dapat juga menjadi pendidikan keamanan informasi dasar di sekolah atau perguruan tinggi.
2. Pelatihan
Karyawan harus mengetahui bagaimana mereka bisa merasa aman. Mereka harus tahu bagaimana menggunakan fungsi keamanan di dalam sebuah aplikasi dan dalam proses kerja mereka. Pelatihan tentang peralatan atau fitur keamanan didalam aplikasi perlu diberikan.
3. Kesadaran
Pendidikan dan pelatihan adalah dasar untuk mengetahui program keamanan, namun tidak menjamin perilaku keamanan dalam kehidupan sehari-hari. Pengukuran keamanan yang dilakukan diluar kelas akan mengingatkan karyawan pada pelajaran yang telah diperoleh. Perkakas seperti poster, mouse-pads, dan bolpoin dengan slogan keamanan membantu menghadirkan topik keamanan dimana-mana. Program insentif akan mendorong karyawan untuk berpartisipasi. Kontrol, kewajiban dan hukuman memperlihatkan pentingnya keamanan informasi. Program kesadaran dan pelatihan keamanan merubah “menjadi sadar” menjadi “menyadari” dan berakhir pada “sadar” yang mengubah budaya keamanan secara total.
Kruger & Kearney (2006) menyatakan bahwa kesadaran keamanan informasi merupakan suatu proses yang sangat dinamis yang berkembang
sesuai perkembangan situasi yang ada, baik karena masalah politik maupun perubahan tren perekonomian. Kesadaran tersebut mencakup kesadaran untuk menjaga keamanan informasi individu tersebut maupun informasi bagi organisasi dimana individu tersebut berada. Kruger & Kearney (2006) membagi kesadaran menjadi tiga dimensi yaitu:
1. Knowledge
Knowledge merujuk pada pengetahuan yang dimiliki oleh individu terhadap keamanan informasi. Menurut Kamus Besar Bahasa Indonesia (KBBI), pengetahuan berarti segala sesuatu yang diketahui; kepandaian; segala sesuatu yang diketahui berkenaan dengan hal (mata pelajaran). Menurut Notoatmodjo (2012), “pengetahuan merupakan hasil dari tahu dan ini terjadi setelah orang melakukan pengindraan terhadap suatu objek tertentu”. Pengetahuan menjadi salah satu bagian penting bagi individu dalam kehidupan kesehariannya. Pengetahuan menurut Notoatmodjo (2012) mempunyai 6 tingkatan yaitu:
a. Tahu
Tahu diartikan sebagai keadaan individu dalam mengingat materi yang telah dipelajari. Tingkatan tahu ini berhubungan dengan aktifitas mengingat kembali terhadap sesuatu yang spesifik dari seluruh bahan yang dipelajari atau rangsang yang diterima.
14 b. Memahami
Memahami merupakan kemampuan untuk menjelaskan secara benar mengenai suatu objek dan menginterprestasikan materi yang ada secara benar dan menjelaskan serta menyebutkan contoh.
c. Aplikasi
Aplikasi adalah kemampuan untuk menggunakan materi yang telah didapatkan pada situasi kondisi yang sebenarnya terjadi. Contohnya adalah menggunakan rumus, metode, prinsip, dan lainnya.
d. Analisis
Analisis merupakan kemampuan menjabarkan materi atau objek ke dalam komponen-komponen yang masih berkaitan satu dengan yang lain. Keberhasilan analisis seseorang dapat terlihat dari penggunaan kata kerja dapat menggambarkan, mengelompokkan, membedakan, memisahkan, dan sebagainya.
e. Sintesis
Sintesis mengarah kepada kemampuan untuk meletakkan atau menghubungkan bagian-bagian dalam suatu bentuk keseluruhan yang baru. Sintesis juga merupakan kemampuan untuk menyusun, merencanakan, meringkas, menyesuaikan teori atau rumusan yang telah ada.
f. Evaluasi
Evaluasi merupakan kemampuan untuk melakukan penilaian terhadap suatu materi atau objek penilaian berdasarkan kriteria yang ditentukan sendiri atau menggunakan kriteria yang sudah ada.
2. Attitude
Attitude adalah sikap seseorang dalam berinteraksi ataupun berkomunikasi dengan sesama manusia. Menurut Sukardi (dalam Munandar, 2016), sikap adalah suatu kesiapan seseorang untuk bertindak terhadap hal-hal tertentu. Notoatmodjo (2012) mengungkapkan bahwa sikap merupakan kesiapan atau kesediaan untuk bertindak, dan bukan merupakan pelaksanaan motif tertentu. Komponen-komponen sikap menurut Azwar (2015) adalah: a. Kognitif
Kognitif adalah komponen yang terbentuk dari pengetahuan dan informasi yang diterima oleh individu dalam kehidupannya yang selanjutnya diproses untuk menghasilkan suatu keputusan untuk bertindak.
b. Afektif
Afektif menyangkut masalah emosional subyektif sosial terhadap suatu objek, dimana secara umum dalam psikologi komponen afektif disamakan dengan perasaan yang dimiliki terhadap suatu objek.
16 c. Konatif
Konatif menunjukkan bagaimana kecenderungan berperilaku yang ada dalam diri seseorang berkaitan dengan cara menyikapi objek yang sedang dihadapinya.
Berdasarkan penjelasan yang telah disampaikan di atas, dapat disimpulkan bahwa sikap merupakan suatu bentuk reaksi yang timbul atas objek tertentu yang nantinya berhubungan dengan perilaku. Sikap dapat dibentuk atau dipelajari sepanjang individu terus berkembang dalam kehidupan kesehariannya. Sikap merupakan hasil interaksi individu dengan lingkungan sekitarnya.
3. Behaviour
Perilaku menunjukkan tindakan yang dilakukan oleh individu terhadap keamanan informasi. Menurut Walgito (2010), perilaku merupakan respon dari stimulus yang mana setiap individu memiliki kemampuan untuk menentukan perilaku yang akan diambilnya. Skinner (dalam Walgito, 2010) membagi perilaku menjadi 2 jenis, yaitu:
a. Perilaku Alami
Perilaku alami atau dalam psikologi dikenal dengan innate behaviour merupakan perilaku yang dibawa sejak lahir. Perilaku ini biasanya berupa refleks-refleks tertentu atau insting.
b. Perilaku Operan
Perlaku operan atau biasa dikenal dengan nama operant behaviour merupakan perilaku yang dibentuk melalui proses belajar.
Individu dalam melakukan tindakan atau perilaku tertentu menurut Notoatmodjo (2012) akan melewati proses berikut:
1. Kesadaran, dimana individu akan menyadari dalam arti mengetahui terhadap stimulasi suatu objek yang diterima.
2. Merasa, individu akan tertarik terhadap stimulasi objek tersebut yang terlihat dari sikap yang mulai timbul.
3. Menimbang, individu akan mulai menimbang baik atau tidaknya stimulasi objek tersebut bagi dirinya. Tahap ini menandakan adanya sikap lebih lanjut yang lebih baik dalam menanggapi objek yang ada. 4. Mencoba, individu akan mulai mencoba melakukan sesuatu sesuai
dengan apa yang dikendaki dari objek yang diterima atau dialami. 5. Adaptasi, individu telah berperilaku sesuai dengan pengetahuan dan
sikap yang secara sadar dilakukan terhadap stimulasi objek yang ada. Dimensi-dimensi yang telah dijelaskan merupakan kumpulan dimensi yang membentuk kesadaran manusia untuk menjaga keamanan informasi pribadi. Individu akan mendapatkan pengetahuan mengenai keamanan informasi, kemudian individu tersebut memahami dan menyikapi pengetahuan yang diterima serta mengaplikasikan keamanan informasi yang ada sehingga kesadaran dalam menjaga keamanan informasi menjadi hal yang dapat berdampak positif dalam kehidupan sehari-hari. Kruger & Kearney (2006) membagi kesadaran keamanan informasi dalam level of awareness berikut ini:
18
Gambar 2.2: Level of Awareness (Sumber: Kruger and Kearney, 2006)
Level of Awareness tersebut terdiri dari tiga kategori yaitu: 1. Good (Baik)
Tingkat kesadaran keamanan informasi yang tergolong baik menghasilkan angka ≥80%. Tingkat ini dapat diartikan bahwa penerapan materi mengenai keamanan informasi (knowledge) telah mampu dipahami lewat sikap (attitude) dan diimplementasikan dalam kehidupan sehari-hari (behaviour).
2. Average (Sedang)
Tingkat kesadaran keamanan informasi yang tergolong sedang menghasilkan angka yang berkisar antara ≥60% - <80%. Tingkat ini dapat diartikan bahwa ada salah satu dari tiga aspek dalam kesadaran keamanan informasi, yaitu pengetahuan akan materi keamanan informasi (knowledge) yang dipahami lewat sikap (attitude) dan seharusnya diimplementasikan dalam kehidupan sehari-hari (behaviour) belum mampu terpenuhi.
3. Poor (Buruk)
Tingkat kesadaran keamanan informasi yang tergolong buruk menghasilkan angka yang berkisar antara <60%. Tingkat ini dapat
diartikan bahwa materi keamanan informasi (knowledge) yang diperoleh tidak dapat dipahami, sehingga tidak memengaruhi sikap (attitude) dan diimplementasikan dalam kehidupan sehari-hari (behaviour) untuk menjaga keamanan informasi.
Berdasarkan uraian mengenai kesadaran keamanan informasi, maka dapat disimpulkan bahwa kesadaran keamanan informasi merupakan sebuah tindakan yang dilakukan secara sadar untuk menjaga informasi pribadi yang dimiliki. Tindakan yang dilakukan untuk menjaga informasi pribadi pada setiap individu dipengaruhi oleh sikap yang muncul dalam dirinya sehingga kesadaran yang dimiliki dapat berbeda antara satu dengan yang lain. Adapun kisi-kisi instrumen variabel kesadaran keamanan informasi menurut Kruger & Kearney (2006) dan Mukhlis (2014) sebagai berikut:
Tabel 2.1: Kisi-kisi Indikator Variabel Kesadaran Keamanan Informasi
Variabel Indikator No Butir
Pernyataan Kesadaran Keamanan
Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)
Ketaatan Pada Peraturan A Saya mengetahui adanya UU No 11
Tahun 2008 tentang Informasi dan Transaksi Elektronik.
A1
UU ITE merupakan dasar pengaturan di bidang pemanfaatan Teknologi Informasi dan Transaksi Elektronik.
A2
Penggunaan setiap informasi melalui media atau Sistem Elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.
A3
Transaksi Elektronik adalah perbuatan hukum yang
dilakukan dengan menggunakan komputer, jaringan
komputer, dan/atau media elektronik lainnya.
A4
20
Variabel Indikator No Butir
Pernyataan Kesadaran Keamanan
Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)
Kode Akses adalah angka, huruf, simbol, karakter
lainnya atau kombinasi di antaranya, yang merupakan kunci untuk dapat mengakses Komputer
dan/atau Sistem Elektronik lainnya.
A5
Setiap orang dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan UU ini.
A6
Setiap Orang yang dengan sengaja dan tanpa hak
mendistribusikan dan/atau
mentransmisikan dan/atau membuat dapat diaksesnya Informasi
Elektronik dan/atau Dokumen Elektronik yang memiliki muatan pemerasan dan/atau pengancaman dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak
Rp1.000.000.000,00 (satu miliar rupiah).
A7
Pemerintah melindungi kepentingan umum dari segala jenis gangguan sebagai akibat penyalahgunaan Informasi Elektronik dan Transaksi Elektronik yang mengganggu ketertiban umum, sesuai dengan ketentuan Peraturan Perundang-undangan.
A8
Password dan Personal Identity
Number (PIN) B
Password merupakan kata kunci
untuk memasuki sebuah sistem. B1 Password saya bisa diubah sesuai
kebutuhan. B2
PIN merupakan identitas yang
biasanya bersifat tetap. B3 PIN yang saya miliki harus berupa
angka. B4
Password saya terdiri dari kombinasi angka, huruf, lambang (alfanumerik), dan memiliki kombinasi huruf kapital.
B5
Saya menggunakan nama salah satu
keluarga sebagai password. B6
Variabel Indikator No Butir Pernyataan Kesadaran Keamanan
Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)
Saya menggunakan tanggal lahir atau tanggal yang memiliki kesan khusus sebagai PIN.
B7
Saya mengganti password dan PIN
saya setiap 3 bulan sekali. B8 Saya menggunakan satu password
dan PIN untuk berbagai keperluan
(semua password dan PIN sama). B9 Password dan PIN yang saya miliki
diketahui oleh beberapa orang terdekat saya.
B10
E-mail dan internet C
Email merupakan sarana untuk mengirimkan pesan elektronik melalui internet.
C1
Saya menggunakan email untuk
membantu proses perkuliahan. C2 Saya memiliki email lebih dari tiga
akun. C3
Dalam mengirim email, saya selalu menuliskan subject, salam pembuka, isi, dan penutup dalam body text dengan menggunakan bahasa yang baik dan sopan.
C4
Saya selalu membuka email setiap
hari. C5
Internet merupakan sistem komunikasi global yang
menghubungkan komputer dengan jaringannya di seluruh dunia.
C6
Saya merasa hampa apabila tidak
menggunakan internet dalam sehari. C7 Dengan internet saya mendapatkan
berbagai kemudahan mulai dari informasi pendidikan, sosial, ekonomi-bisnis, agama, hingga pemerintahan.
C8
Email, www, bbs, ftp, chating merupakan sebagian fasilitas yang ada dalam internet.
C9
Info yang saya berikan saat menggunakan internet selalu jelas kebenarannya.
C10
22
Variabel Indikator No Butir
Pernyataan Kesadaran Keamanan
Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)
Penggunaan perangkat seluler D Perangkat seluler (HP) saat ini sudah
ditanami fitur komputer. D1 Saya menggunakan perangkat seluler
hanya untuk telepon dan sms. D2
Saya memiliki lebih dari dua
perangkat seluler. D3
Saya memberikan kunci khusus
untuk perangkat seluler saya. D4 Saya menggunakan perangkat seluler
untuk transaksi perbankan. D5 Saya selalu menghapus history
perangkat seluler setelah saya menggunakannya.
D6
Saya membatasi konten-konten yang saya akses menggunakan perangkat seluler.
D7
Aplikasi yang ada dalam perangkat seluler saya berasal dari apps store resmi.
D8
Saya mengaktifkan debugging (usaha memperbaiki suatu bug atau error dalam suatu program) dalam perangkat seluler saya.
D9
Saya selalu melakukan pembaharuan sistem perangkat seluler secara berkala.
D10
Insiden Keamanan E
Government Computer Security Incident Response Team (GOV-CSIRT) merupakan layanan yang dimiliki oleh kominfo.
E1
Saya pernah menggandakan file (copy-paste) dari flashdisk yang membawa virus masuk ke laptop/komputer.
E2
Saya cenderung langsung mengunduh file dan tidak memeriksa software crack atau attachment kiriman.
E3
Spammail, mailbomb yang terjadi
sebaiknya dilaporkan kepihak terkait. E4 Perkembangan mengenai keamanan
informasi penting untuk diikuti. E5
Variabel Indikator No Butir Pernyataan Kesadaran Keamanan
Informasi (Kruger & Kearney, 2006; Mukhlis, 2014)
Konsekuensi tindakan F Password yang tidak mengandung
kombinasi alfanumerik cenderung mudah dibobol.
F1
Penyebaran virus dari komputer ke komputer dan jaringannya dapat
menyebabkan cyber crime. F2 Phishing mampu menyebabkan
kerugian baik finansial maupun non-finansial.
F3
Kemudahan akses pornografi di internet dapat berdampak pada kesehatan emosional.
F4
Pembajakan hak kekayaan intelektual melalui internet dapat meliputi perbuatan yang melanggar hak cipta, paten, dan merk dagang.
F5
Back Up Data G
Saya melakukan back-up data
terhadap semua file yang ada. G1 Back-up data saya lakukan
menggunakan perangkat internet (gdrive, email, dropbox, dst).
G2
Back-up data saya lakukan dengan
menggunakan flashdisk atau hardisk. G3 Back-up data dilakukan seminggu
sekali. G4
Back-up data penting untuk
mencegah kehilangan data. G5
Sumber: Kruger & Kearney, 2006; Mukhlis, 2014