Model Kesadaran Keamanan Informasi di Lingkungan Instansi Pemerintah Indonesia
Berdasarkan ISO-SNI/IEC 27001 : 2009 Sistem Manajemen Keamanan Informasi
Jumiati
1dan Tri Wahyudi
2 1Unit Penelitian dan Pengabdian Masyarakat Sekolah Tinggi Sandi Negara
2Program Studi Manajemen Persandian Sekolah Tinggi Sandi Negara
jumiati@stsn-nci.ac.id
,
tri.wahyudi@stsn-nci.ac.id
Abstrak
Tata kelola Teknologi Informasi dan Komunikasi (TIK) dewasa ini telah menjadi suatu kebutuhan seluruh instansi pemerintah di Indonesia dalam mewujudkan good corporate governance. Tata kelola TIK harus didukung dengan keamanan informasi agar kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) informasi dapat terjaga dari segala ancaman yang akan mengganggu keberlangsungan kinerja organisasi, khususnya penyelenggaraan TIK dalam lingkup pemerintahan.
Dalam hal keamanan informasi penyelenggaraan TIK di lingkup pemerintahan, faktor sumber daya manusia merupakan unsur penggerak sekaligus unsur terlemah yang perlu ditingkatkan kapasitas dan kapabilitasnya agar tata kelola TIK dapat berjalan secara efektif dan aman. ISO-SNI/IEC 2700 : 2009 dapat dijadikan sebagai framework manajemen keamanan informasi instansi pemerintah Indonesia karena ruang lingkup yang komprehensif dan sistematis sehingga lebih mudah diterapkan, meskipun hingga saat ini masih banyak instansi pemerintah Indonesia belum atau masih menyusun kerangka keamanan informasi yang memenuhi standar ISO-SNI/IEC 27001 : 2009.
Pada makalah ini akan dibahas model kesadaran keamanan informasi di lingkungan instansi pemerintah Indonesia berdasarkan ISO-SNI/IEC 27001:2009 yang dapat dijadikan acuan dalam penyelenggaraan TIK di lingkup pemerintahan.
Kata Kunci : Tata Kelola TIK, Keamanan Informasi, Kesadaran Keamananan Informasi, ISO-SNI/IEC 27001:2009.
1.
Pendahuluan
Perkembangan teknologi informasi saat ini telah membawa masyarakat Indonesia dalam suatu peradaban baru yaitu e-civilization. Peradaban yang dipicu dan difasilitasi oleh perkembangan teknologi informasi ini memudahkan masyarakat Indonesia dalam berinteraksi dan berkomunikasi sehingga dapat saling berhubungan kapan saja, dimana saja dan tanpa mengenal batas. Fenomena ini tidak hanya berkembang di masyarakat luas namun juga di lingkungan instansi pemerintah di Indonesia. Hal ini sejalan dengan dinamika masyarakat dan upaya pemenuhan kebutuhannya yang selalu berkembang sehingga pemerintah Indonesia berupaya untuk meningkatkan proses kerja dan pelayanannya melalui penerapan e-government. Pemerintah harus mampu memanfaatkan kemajuan teknologi informasi untuk meningkatkan kemampuan mengolah, mengelola, menyalurkan, dan mendistribusikan informasi dan pelayanan publik(Inpres 3 Tahun 2003). Melalui tata kelola Teknologi Informasi dan Komunikasi (TIK) diharapkan dapat diwujudkan good corporate governance yang dapat mendukung pelaksanaan tugas dan fungsi pemerintahan di Indonesia.
Disamping manfaat dari penerapan e-government, ada beberapa kerugian atau ancaman dari pihak yang tidak berkepentingan terhadap informasi yang dimiliki oleh pemerintah yang akan berpengaruh terhadap stabilitas keamanan nasional. Dalam penerapan e-government, tata kelola TIK yang diselenggarakan pemerintah harus memperhatikan aspek keamanan informasi. Meskipun keamanan informasi telah dijadikan kerangka dasar dalam penerapan e-government di Indonesia (Inpres 3 Tahun 2003), permasalahan terkait kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) informasi yang dimiliki instansi pemerintah sering terjadi. Hal ini disebabkan perkembangan teknologi dan lingkungan organisasi yang lebih terbuka di jaringan interkoneksi global menyebabkan kerentanan tinggi dan ancaman yang lebih kreatif. Fenomena tersebut terlihat dari ancaman-ancaman yang terjadi pada jaringan maupun informasi berklasifikasi milik pemerintah Indonesia, antara lain:
▸ Baca selengkapnya: contoh li keamanan
(2)1) Terjadi beberapa tindakan perusakan pada beberapa situs berakhir dengan go.id. Kejadian terbaru adalah situs Kejaksaan Agung (www.kejaksaan.go.id), Lembaga Ketahanan Nasional www.lemhannas.go.id, hanya dua hari setelah situs resmi Kepolisian Negara Republik Indonesia (www.polri.go.id) dan Kementerian Sekretariat Negara (www.setneg.go.id).
2) Jaringan komputer di Kemkominfo (www.depkominfo.go.id) telah lumpuh selama tiga minggu oleh serangan hacker. Situs dari Mabes TNI dan Pertamina juga mendapat serangan hacker.
3) Sampai pertengahan tahun 2011, sebanyak 3 juta kali situs pemerintah diserang oleh hacker. Meskipun serangan itu akhirnya berhasil diatasi oleh para ahli teknologi informasi dan komunikasi (TIK), serangan itu membuktikan kebutuhan pertahanan intensif dan sistem keamanan terus menerus. Berdasarkan data dari situs www.zone-h.org tentang serangan di Indonesia dari bulan September 2011 sampai April 2012, jumlah serangan pada go.id sebanyak 1.250 kali atau sebanyak tujuh website instansi pemerintah yang diserang dalam satu hari, sejak tahun 1998 sampai dengan April 2012 sudah 6.856 kali serangan.
b. Beberapa kebocoran informasi berupa pencurian file pada laptop delegasi pemerintah Indonesia di Seoul, Korea Selatan; informasi dari Wikileaks yang memberitakan tentang penyalahgunaan kekuasaan oleh keluarga Presiden SBY.
Berdasarkan fenomena diatas, Kementerian Komunikasi dan Informatika menerbitkan panduan penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik (Ditkaminfo, 2011) yang dapat dijadikan acuan dalam membenahi, membangun dan menerapkan keamanan informasi di lingkungan instansi pemerintah. Panduan tersebut didasarkan pada Sistem Manajemen Keamanan Informasi ISO-SNI/IEC 27001:2009. Namun penerapan ISO-SNI/IEC 27001:2009 maupun panduan yang diterbitkan Kemenkominfo belum optimal karena faktor sumber daya manusia yang menjadi penggerak dalam penyelenggaraan tata kelola TIK yang efektif dan aman belum menjadi prioritas dalam pengelolaannya.
Dalam hal keamanan informasi, unsur manusia adalah elemen yang paling penting dan harus menjadi perhatian awal dalam penyelenggaraan TIK di lingkungan instansi pemerintah. Berdasarkan Gartner Security and Risk Management Summit tahun 2011, menyatakan bahwa 46% dari peserta yang disurvei telah mengalami beberapa bentuk ancaman insider pada organisasi mereka saat ini, namun yang lebih mengejutkan, satu dari tiga profesional keamanan informasi mengakui bahwa mereka telah melanggar
kebijakan keamanan internal yang mereka ciptakan dalam rangka untuk menyelesaikan tugas yang berhubungan dengan pekerjaan taktis yang cepat dan/atau mudah. Produktivitas dibandingkan dengan serangan keamanan informasi terus menciptakan masalah bagi organisasi. Para pegawai, termasuk para profesional keamanan informasi akan melakukan apa saja untuk mendapatkan pekerjaan yang dilakukan, terlepas dari kebijakan atau risiko keamanan.
Menurut laporan bisnis terbaru dari Data Breach Investigation Report - Verizon, ancaman orang dalam adalah salah satu sumber utama kebocoran data dan pencurian. Temuan menunjukkan bahwa hampir satu dari tiga pelanggaran selama dua tahun terakhir datang sebagai hasil dari serangan orang dalam, dan pada tahun 2010, 93% dari pelanggaran insider dianggap disengaja melakukan serangan berbahaya, naik 3% persen dibanding tahun sebelumnya. Hasil survey dari InfoSecurity Europe pada Information Security Breaches Survey 2010 terhadap tipe-tipe pelanggaran keamanan infromasi dapat dilihat pada gambar dibawah ini :
Gambar 1. Diagram Prosentase Tipe Pelanggaran terhadap Keamanan Informasi
Tabel 1. Sumber Pelanggar Keamanan Informasi
Dari tabel diatas, tampak bahwa sumber daya manusia baik yang masih aktif bekerja, tidak aktif bekerja maupun pihak ketiga yang terkait dengan kegiatan organisasi menjadi salah satu potensi ancaman terhadap keamanan informasi organisasi. Mitnick dan Simon menyatakan manusia merupakan faktor utama dan penting dalam keamanan informasi selain teknologi, karena manusia merupakan rantai terlemah dalam rantai keamanan (Kevin,2002). Oleh sebab itu, dimensi manusia perlu selalu dibina dengan baik agar segala bentuk ancaman dapat dihindari. Salah satu cara yang dapat dilakukan adalah dengan menumbuhkan kesadaran akan pentingnya keamanan informasi.
Saat ini masih banyak instansi pemerintah Indonesia belum atau masih menyusun kerangka keamanan informasi yang memenuhi standar, sedangkan kondisi instansi pemerintah terdiri atas 3 Kementerian Koordinator, 31 Kementerian, 28 LPNK, 6 Komisi Negara, TNI, Polri, dan Kejaksaan, 33 Pemerintah Provinsi, 497 Pemerintah Kabupaten/ Kota, merupakan sebuah potensi besar dalam menjadikan keamanan informasi sebagai framework penyelenggaraan TIK melalui pembinaan kesadaran keamanan informasi di lingkungan instansi pemerintah. Agar pembinaan kesadaran keamanan informasi dapat berjalan efektif dan berkesinambungan, pemerintah perlu menerapkan kesadaran keamanan informasi sesuai dengan standar yang ada. Salah satu standar yang dapat digunakan dalam pembinaan keamanan informasi adalah ISO-SNI/IEC 27001 Sistem Manajemen Keamanan Informasi.
2.
Kajian
2.1. Model
Definisi model menurut Kamus Besar Bahasa Indonesia adalah pola (contoh, acuan, ragam, dan sebagainya) dari sesuatu yang akan dibuat atau dihasilkan. Definisi lain dari model adalah representasi sistem yang disederhanakan (pada suatu ruang dan waktu) untuk meningkatkan pengertian terhadap sistem yang sebenarnya (www.kadipaten-technology.com). Model yang dimaksud dalam kesadaran keamanan informasi merupakan sistem penerapan kesadaran keamanan informasi pada instansi pemerintah.
2.2. Keamanan Informasi
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan informasi adalah
melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, serta mempercepat kembalinya investasi dan peluang usaha (Tipton, 2005). Atau dengan kata lain keamanan informasi merupakan upaya melindungi informasi dan sistem informasi dari akses yang dilakukan oleh pihak yang tidak bertanggung jawab, penggunaan, penyingkapan, gangguan, modifikasi, atau perusakan untuk menjaga integritas, kerahasiaan, dan ketersediaan informasi (NIST SP, 800-59).
Setiap individu dalam organisasi memiliki peran yang berbeda-beda terhadap informasi. Merupakan hal yang penting bagi seluruh anggota organisasi untuk memahami bagaimana peran dan tanggung jawab mereka terhadap informasi. Unsur utama yang menjadi subyek dari informasi adalah peran pengguna, pemilik, atau custodian terhadap informasi (Ronald, 2007).
a. Owner/Pemilik
Pemilik bertanggung jawab atas informasi yang harus dilindungi. Pemilik informasi memiliki tanggung jawab terakhir untuk perlindungan data, dan sesuai dengan konsep kehati-hatian, pemilik dapat bertanggung jawab atas kelalaian atau kegagalannya untuk melindungi informasi yang sensitif. Namun fungsi perlindungan data sehari-harinya ditugaskan kepada custodian. Salah satu tugas penting dari pemilik adalah menentukan tingkat klasifikasi informasi yang diperlukan yang didasarkan pada kebutuhan organisasi untuk melindungi data serta memastikan bahwa setiap tingkat klasifikasi informasi memperoleh kontrol pengamanan yang tepat.
b. Custodian
Custodian adalah pihak yang bertanggung jawab untuk melindungi informasi yang diberikan oleh pemiliknya. Custodian bertanggung jawab untuk menjaga tiga aspek dasar informasi, yaitu kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) informasi. Dalam aplikasinya, custodian harus mampu menentukan teknologi pengamanan yang tepat sesuai dengan klasifikasi informasi yang diamankan, baik secara fisik (firewall, access control) dan lojik (enkripsi, otentikasi). Dan untuk meningkatkan efisiensi dan efektifitas keamanan, custodian harus mampu merumuskan prosedur operasi standar sesuai dengan kebijakan dan aturan yang ditentukan oleh pemilik.
c. User/Pengguna
mereka harus mematuhi prosedur yang telah dipublikasikan. Selain itu, pengguna harus benar-benar peduli untuk mengamankan informasi yang sensitif sesuai dengan kebijakan keamanan informasi dan penggunaannya.
2.3.Kesadaran Keamanan Informasi
Kesadaran merupakan poin atau titik awal untuk sumber daya manusia organisasi dalam mengejar atau memahami pengetahuan mengenai keamanan teknologi informasi. Dengan adanya kesadaran pengamanan, seorang pegawai dapat memfokuskan perhatiannya pada sebuah atau sejumlah permasalahan atau ancaman-ancaman yang mungkin terjadi [11]. Keamanan bukan hanya sebuah alat, tetapi merupakan sistem terintegrasi menyeluruh yang melibatkan manusia, proses dan teknologi. Untuk itu diperlukan kesadaran dalam melakukan proses keamanan informasi dengan memanfaatkan teknologi secara bijaksana.
Tujuan kesadaran keamanan informasi adalah untuk meningkatkan keamanan dengan melakukan hal berikut (NIST SP, 80-100):
a. Pemilik, pengguna maupun custodian dari informasi paham akan tanggung jawab mereka terhadap sistem keamanan informasi dan mengajar mereka bagaimana bentuk pengamanan yang tepat sehingga membantu untuk mengubah perilaku mereka menjadi lebih sadar akan keamanan;
b. Mengembangkan kemampuan dan pengetahuan sehingga pemilik, pengguna maupun custodian informasi dapat melakukan pekerjaan mereka dengan lebih aman;
c. Membangun pemahaman akan pengetahuan yang
diperlukan, untuk merancang,
mengimplementasikan, atau mengoperasikan program pembinaan kesadaran keamanan informasi untuk organisasi.
2.4. ISO-SNI/IEC 27001 : 2009
ISO-SNI/IEC 27001 merupakan standar nasional Indonesia untuk sistem manajemen keamanan informasi yang diadopsi dari ISO/IEC 27001 : 2005 yang digunakan untuk mendukung penyelenggaraan keamanan TIK di instansi pemerintah Indonesia khususnya dalam penerapan e-government.
ISO IEC 27001 : 2005 secara resmi diterbitkan pada tanggal 15 Oktober 2005. ISO 27001: 2005 merupakan standar baru yang membatalkan dan mengganti BS 7799-2 (diterbitkan pada tahun 2002 oleh BSI). BS lama 7799-2 standar keamanan informasi yang telah usang dan telah resmi ditarik. ISO IEC 27001 adalah standar manajemen keamanan informasi. Standar ini mendefinisikan satu set persyaratan manajemen keamanan informasi. Tujuan dari ISO/ IEC 27001 adalah untuk membantu organisasi membangun dan memelihara Sistem Manajemen Keamanan Informasi (SMKI). ISO IEC
27001 berlaku untuk semua jenis organisasi. Tidak peduli apa organisasinya dan dapat membantu organisasi memenuhi kebutuhan manajemen keamanan informasi dan persyaratannya. ISO IEC 27001 merupakan daftar satu set tujuan pengendalian dan kontrol. Semuanya tercantum dalam Lampiran A dan berasal dari ISO/IEC 17799 : 2005 standar keamanan informasi.
ISO/IEC 27001 yaitu kontrol keamanan terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/kontrol (controls).
Faktor penting dalam keberhasilan implementasi ISO-SNI/IEC 27001 yaitu :
a. Kebijakan keamanan informasi, tujuan dan kegiatan yang mencerminkan tujuan bisnis. b. Suatu pendekatan dan kerangka kerja untuk
menerapkan, memelihara, memonitor dan meningkatkan keamanan informasi yang konsisten dengan budaya organisasi.
c. Adanya dukungan dan komitmen dari semua tingkat manajemen.
d. Sebuah pemahaman yang baik tentang persyaratan keamanan informasi, risiko penilaian dan manajemen risiko;
e. Pemasaran keamanan informasi yang efektif untuk semua manajer, karyawan, dan pihak lain untuk mencapai kesadaran.
Menurut SNI - ISO/IEC 27001: 2009 dinyatakan bahwa salah satu komponen penting yang harus diperhatikan adalah sumber daya manusia dengan memperhatikan sebagai berikut :
a. Sebelum dipekerjakan, keamanan sumber daya manusia harus dipenuhi untuk memastikan seluruh personel memahami akan tanggung jawab dan perannya sehingga mengurangi risiko pencurian, kecurangan atau penyalahgunaan fasilitas.
b. Selama bekerja, personel harus diberikan tanggung jawab yang ditetapkan dan kompeten untuk melaksanakan tugas yang dipersyaratkan dengan peduli akan relevansi dan pentingnya kegiatan keamanan informasinya dan bagaimana mereka memberikan kontribusi terhadap pencapaian sasaran sistem manajemen keamanan informasi.
c. Selain kepedulian personel tersebut, peran organisasi untuk meningkatkan keefektifan sistem manajemen keamanan informasi secara berkelanjutan melalui kebijakan keamanan informasi, sasaran keamanan informasi, tindakan korektif dan pencegahan harus benar-benar diperhatikan.
d. Kepedulian, pendidikan dan pelatihan keamanan informasi merupakan salah satu bentuk pengendalian untuk memastikan bahwa semua personel telah peduli terhadap ancaman dan masalah keamanan informasi.
memadai untuk mendukung kebijakan keamanan organisasi selama bekerja dan untuk mengurangi risiko kesalahan manusia.
f. Seluruh personel harus menerima pelatihan kepedulian dan kebijakan serta prosedur organisasi yang mutakhir secara regular sesuai dengan fungsi kerjanya.
ISO-SNI/IEC 27001 : 2009 mengidentifikasi empat langkah penting dalam siklus kehidupan pembinaan kesadaran keamanan informasi dengan organisasi harus memastikan bahwa semua personel yang diberikan tanggung jawab yang ditetapkan dalam sistem manajemen keamanan informasi kompeten untuk melaksanakan tugas yang dipersyaratkan dengan :
a. Menetapkan kompetensi yang perlu untuk personel yang melaksanakan pekerjaan yang mempengaruhi sistem manajemen keamanan informasi.
b. Menyediakan pelatihan atau mengambil tindakan lainnya (misalnya mempekerjakan personel yang kompeten) untuk memenuhi kebutuhan tersebut. c. Mengevaluasi keefektifan tindakan yang diambil. d. Memelihara rekaman pendidikan, pelatihan,
keterampilan, pengalaman dan kualifikasi.
Selain hal-hal tersebut diatas, faktor penting yang menjadi kunci keberhasilan keamanan informasi sebuah organisasi adalah komitmen manajemen. Melalui komitmen manajemen diharapkan penetapan, penerapan, pengoperasian, pemantauan, pengkajian, pemeliharaan dan peningkatan SMKI dengan : a. Menetapkan kebijakan SMKI;
b. Memastikan sasaran dan rencana SMKI telah ditetapkan;
c. Menetapkan peran dan tanggung jawab untuk keamanan informasi;
d. Mengkomunikasikan kepada organisasi tentang pentingnya memenuhi sasaran keamanan informasi dan kesesuaian terhadap kebijakan keamanan informasi, tanggung jawabnya berdasarkan hukum dan kebutuhan untuk peningkatan berkelanjutan;
e. Menyediakan sumber daya yang cukup untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan dan memelihara SMKI;
f. Memutuskan kriteria resiko yang dapat diterima dan tingkat keberterimaan resiko;
g. Memastikan bahwa audit internal SMKI dilaksanakan; dan
h. Melaksanakan kajian SMKI.(ISO-SNI/IEC 27001)
Melalui komitmen manajemen pembinaan kesadaran keamanan informasi sumber daya manusia dalam organisasi dapat berjalan secara efektif karena didasari dengan kebijakan, pembagian peran dan tanggung jawab yang jelas serta dukungan sumber daya yang memadai.
2.5.Model Kesadaran Keamanan Informasi di
Lingkungan Instansi Pemerintah
Keberhasilan penerapan SMKI di instansi pemerintah ditentukan oleh masing-masing instansi yang harus sadar dengan kerentanan dan ancaman potensial terhadap informasi atau sistem informasinya. Setiap instansi harus sadar tentang peran mereka dalam penerapan keamanan informasi di organisasinya masing-masing maupun dalam sistem pemerintahan Indonesia. Dalam hal keamanan informasi, unsur manusia adalah elemen yang paling penting dan menjadi kontributor besar dalam penerapan keamanan informasi yang efektif. Dalam hal ini ada dua kondisi penting yang harus dibangun dalam lingkungan manusia:
a. Bertindak secara profesional dan etis. Tujuannya adalah untuk memastikan bahwa informasi yang berhubungan dengan keamanan kegiatan dilakukan dengan cara yang handal, bertanggung jawab dan efektif. Keamanan informasi sangat bergantung pada kemampuan profesional dalam instansi pemerintah untuk melakukan perannya secara bertanggung jawab dan dengan pemahaman yang jelas tentang bagaimana integritas mereka memiliki dampak langsung terhadap informasi yang diamankan. Pelaku keamanan informasi harus berkomitmen dengan standar kualitas yang tinggi dalam pekerjaannya dan menunjukkan perilaku yang konsisten serta etika dan penghormatan terhadap kebutuhan bisnis, individu lain dan informasi rahasia (pribadi). Para pelaku keamanan informasi memahami peran dan tanggung jawab mereka sebagai pemilik, pengguna maupun custodian sistem keamanan informasi.
b. Mengembangkan budaya keamanan-positif. Tujuannya adalah untuk memberikan pengaruh keamanan yang positif pada perilaku end user, mengurangi kemungkinan insiden keamanan yang terjadi dan membatasi dampak ancaman terhadap keberlangsungan kinerja organisasi. Penekanan harus ditempatkan pada membuat keamanan informasi menjadi bagian penting dari ‘ritme organisasi’, meningkatkan kesadaran keamanan antara pengguna dan memastikan mereka memiliki keterampilan yang dibutuhkan untuk melindungi informasi penting atau rahasia/berklasifikasi dan sistem dalam organisasi. Pengguna harus disadarkan akan risiko terhadap informasi rahasia/berklasifikasi dan bagaimana penanganannya, serta diberdayakan untuk mengambil langkah yang diperlukan untuk melindunginya.
Cara paling efektif untuk meningkatkan kesadaran keamanan informasi di instansi pemerintah yaitu melalui :
sebagai framework dalam pembinaan kesadaran keamanan informasi di lingkungan instansi pemerintah.
b. Menyusun strategi dan rencana untuk sistem manajemen keamanan informasi, dihubungkan secara eksplisit dengan rencana dan strategi organisasi, sehingga seluruh unsur dan level organisasi sulit menolak kebutuhan akan keamanan informasi dalam mendukung kinerja organisasi.
c. Pemetaan komunikasi dan hubungan kekuasaan di tingkat manajemen yaitu bagan struktur informal untuk manajemen dan aliran informasinya, baik yang bersifat biasa maupun rahasia/berklasifikasi. Hal ini dapat membantu memahami penanganan dan pengelolaan informasi organisasi serta pengembangan kemampuan dari pemilik, pengguna dan custodian informasi.
d. Kerjasama efektif dengan pihak ketiga yang memiliki kompetensi dalam bidang keamanan informasi untuk merumuskan rencana dan pendekatan, dan mengeksploitasi potensi organisasi dalam SMKI.
e. Menerapkan SMKI secara formal sehingga dapat merubah mindset seluruh sumber daya manusia organisasi sehingga dapat terlibat penuh dalam penerapan SMKI sebagai sebuah tim.
f. Menjadikan insiden keamanan yang terjadi dalam penerapan SMKI sebagai sebuah pembelajaran bagi seluruh sumber daya manusia organisasi, bukan sebagai kerugian atau cost organisasi. g. Mengintegrasikan kontrol-kontrol keamanan
dalam SMKI ke dalam sistem yang sudah ada dan berjalan di lingkungan instansi pemerintah, misalnya : sistem informasi organisasi, sistem kepegawaian, sistem akuntabilitas kinerja organisasi, dan lain sebagainya.
h. Menerapkan SMKI secara menyeluruh di seluruh level dan unsur organisasi (vertikal dan horisontal) sehingga meminimalisir celah ancaman dan meningkatkan pengendalian manajemen dalam SMKI. Pembinaan kesadaran keamanan informasi dilaksanakan secara berjenjang (sesuai level manajemen), bertahap dan berkesinambungan sehingga kesadaran keamanan informasi sesuai dengan tugas dan fungsi sumber daya manusia dalam organisasi serta dapat melekat dan bertahan dalam periode waktu yang lama.
Model kesadaran keamanan informasi di instansi pemerintah seperti tampak pada Gambar 2 dapat diuraikan sebagai berikut :
a. Faktor-faktor dari lingkungan luar organisasi seperti perubahan konstelasi hukum, sosial budaya, politik, ekonomi hingga ancaman teroris, spionase serta hacker/cracker pada sistem informasi organisasi dapat dianggap sebagai suatu ancaman sehingga menjadi pemicu perlu
dilakukannya kesadaran keamanan informasi dalam organisasi.
b. Tahap awal dalam kesadaran keamanan informasi adalah menimbulkan kesadaran pada level pimpinan puncak (eselon 1 dan 2). Hal ini perlu dilakukan agar pimpinan puncak sadar akan potensi ancaman dan resiko yang ditimbulkannya serta pentingnya keamanan informasi sebagai pendorong kebijakan keamanan informasi yang bersifat strategis. Kesadaran pimpinan puncak terhadap keamanan informasi tampak dari kebijakan-kebijakan yang dihasilkannya. Kebijakan keamanan informasi tersebut menunjukkan komitmen, dukungan anggaran, pembagian tugas dan tanggung jawab dalam organisasi serta adanya roadmap keamanan informasi yang meliputi keamanan aspek teknis, manajemen serta kompetensi sumber daya manusia yang dibutuhkan.
c. Tahap selanjutnya dalam kesadaran keamanan informasi adalah menimbulkan kesadaran pada level pimpinan menengah (eselon 3). Dilanjutkan dengan pemberian pelatihan yang bersifat teknis. Hal ini perlu dilakukan agar pimpinan menengah sadar dan memahami dasar-dasar keamanan dan literasi yang terkait keamanan TI sehingga dapat memformulasikan strategi taktis dari sistem keamanan informasi yang sejalan dengan kebutuhan proses bisnis organisasi dan dapat meminimalisir resiko-resiko keamanan yang terjadi. Dengan kesadaran tersebut diharapkan pimpinan menengah dapat melaksanakan proses kerja dan prosedur keamanan informasi dengan baik, seperti : proses bisnis dan manajemen resiko, perencanaan keamanan informasi, perencanaan kesadaran keamanan, respon terhadap serangan/pelanggaran keamanan, pembuatan data cadangan, perencanaan kondisi darurat, penggunaan aplikasi kriptografis yang spesifik.
kesalahan-kesalahan yang terjadi serta dapat mengidentifikasi serangan-serangan dan melakukan respon.
Dalam model kesadaran keamanan informasi di lingkungan di lingkungan instansi pemerintah perlu difokuskan pada hal-hal sebagai berikut :
a. Kesadaran harus ditekankan dan doktrin terus mempertahankan budaya keamanan di setiap tingkat sehingga menjadi komitmen seluruh organisasi.
b. Untuk keberhasilan mempertahankan budaya keamanan itu harus sejalan dengan komitmen kuat dan kepemimpinan yang berorientasi pada aspek keamanan yang tinggi.
c. Pelatihan harus diberikan karena peran dan tanggung jawab terkait dengan keamanan TIK. d. Pendidikan harus dilakukan untuk orang yang
memiliki integritas yang tinggi dan kompetensi yang berkaitan dengan sistem keamanan TIK. e. Untuk meningkatkan kesadaran keamanan
informasi di lingkungan instansi pemerintah, idealnya pemahaman yang terkait kesadaran keamanan informasi diberikan dalam bentuk pelatihan dan pendidikan.
Gambar 2. Model Kesadaran Keamanan Informasi di Instansi Pemerintah Indonesia
Penerapan dari model kesadaran keamanan informasi perlu diintegrasikan ke dalam sistem yang ada ataupun sedang berjalan di lingkungan instansi pemerintah Indonesia. Salah satu sistem yang dianggap efektif dalam mendukung terciptanya kesadaran keamanan informasi adalah Pendidikan dan Pelatihan Jabatan Pegawai Negeri Sipil (PNS) sebagaimana diamanahkan dalam Peraturan Pemerintah 101 Tahun 2000.
a. Kesadaran keamanan informasi dapat diberikan dalam bentuk pemberian materi-materi mengenai ancaman-ancaman yang dapat terjadi dalam tata kelola TIK serta resiko-resiko yang ditimbulkannya. Materi-materi seperti ini diberikan dalam pra- jabatan untuk calon PNS atau workshop/seminar/lokakarya untuk level pimpinan puncak, menengah, dan terendah/fungsional/staf.
b. Pelatihan keamanan informasi dapat diberikan dalam bentuk pemberian materi-materi yang bersifat teknis dan spesifik yang dibutuhkan dalam keamanan informasi. Pelatihan tersebut dapat berbentuk diklat fungsional maupun teknis. Materi kesadaran keamanan informasi ini juga dapat dberikan pada diklat-diklat kepemimpinan dari level terendah hingga puncak. Materi yang diberikan disesuaikan dengan level manajerial dan tindakan yang diharapkan dalam keamanan informasi organisasi. Untuk lebih memantapkan pengetahuan dan ketrampilan sumber daya manusia organisasi dalam keamanan informasi, dapat diberikan sertifikasi sebagai bentuk pengakuan dari organisasi.
c. Adapun pendidikan tingkat lanjut mengenai keamanan informasi dapat dilakukan apabila kebutuhan organisasi terhadap penanganan ancaman dan resiko dalam keamanan informasi semakin meningkat, sehingga menuntut sumber daya manusia organisasi yang lebih kompeten dalam menangani keamanan informasi. Materi yang diberikan dalam pendidikan terkait keamanan informasi menyangkut pengelolaan keamanan jaringan dan informasi secara menyeluruh. Diharapkan melalui pendidikan ini akan diperoleh sumber daya manusia yang memiliki kualifikasi sebagai pengelola keamanan jaringan organisasi.
3.
Kesimpulan
a. Penyelenggaraan tata kelola TIK dalam kerangka e-government di Indonesia memberikan keuntungan/manfaat dan kerugian/ancaman pada saat yang bersamaan.
untuk melindungi informasi rahasia/berklasifikasi dari pihak yang tidak berkepentingan.
c. Kesadaran keamanan menjadi penting dalam sistem keamanan informasi dimana tujuan dari kegiatan tersebut adalah untuk menjamin seluruh sumber daya manusia organisasi menyadari dan peduli terhadap ancaman dan resiko yang dapat terjadi. Hal ini menjadi bekal utama dalam penerapan kebijakan keamanan informasi dalam kegiatan organisasi sehari-hari.
d. Melalui sumber daya manusia yang kompeten dalam keamanan informasi, nilai informasi akan dikelola dengan baik sehingga informasi yang tepat akan dikirimkan pada waktu yang tepat dan dalam bentuk yang tepat.
e. Keberhasilan penerapan sistem keamanan informasi tergantung pada dukungan manajemen melalui kepemimpinan dan komitmen pada keamanan.
f. Program kesadaran keamanan harus disinergikan dan diintegrasikan dengan sistem lain di instansi pemerintah seperti pengelolaan sumber daya manusia, keuangan dan TIK sehingga dapat mengoptimalkan penerapan sistem keamanan informasi dalam mendukung tercapainya tujuan organisasi.
DAFTAR PUSTAKA
[1] Instruksi Presiden Nomor 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional Pengembangan E-Government.
[2] Direktorat Keamanan Informasi Kominfo, Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,2011.
[3] Gartner Security and Risk Management Summit tahun 2011.
[4] InfoSecurity Europe, 2010, Information Security Breaches Survey 2010 (ISBS-2010) : Technical Report,
www.infosec.co.uk/files/isbs_2010_technical_re port_single_pages.pdf, diakses terakhir tanggal 5 April 2012 jam 13.00. WIB.
[5] Global State of Information Security Survey 2012, diakses terakhir tanggal 5 April 2012 jam 13.30. WIB.
[6] Kevin D. Mitnick and William L. Simon, 2002, The Art of Deception, Wiley Publishing, Inc. [7]http://kadipatentecnology.blogspot.com/2010/11/d
efinisi-model-dan-simulasi.html diakses 6 April 2012 pukul 22.30 WIB.
[8] Hal Tipton and Micki Krause, 2005, Handbook of Information Security Management, CRC Press LLC.
[9] National Institute of Standards and Technology Special Publication (NIST SP) 800-59, Guideline for Identifying an Informastion System as a National Security System.
[10] Ronald L. Krutz and Russell Dean Vines, 2007, The CISSP and CAP Prep Guide: Platinum Edition, John Wiley & Sons.
[11] National Institute of Standards and Technology Special Publication (NIST SP) 800-100, Information Security Handbook: A Guide for Managers.
[12] ISO-SNI/IEC 27001 : 2009, Sistem Manajemen Keamanan Informasi, Badan Standarisasi Nasional.
[13] Data Breach Investigation Report – Verizon, 2010.
[14] http://www.zone-h.org diakses terakhir tanggal 5 April 2012 pukul 13:30 WIB.
