MENGAMANKAN INFORMASI PERUSAHAAN

Leave a Comment / Artikel / By

Setiap organisasi memiliki beberapa bentuk informasi yang setiap hari digunakan untuk keperluan bisnisnya. Untuk melindungi informasi yang bersifat sensitif seperti: informasi pembayaran pelanggan; data karyawan; atau informasi strategis lainnya, maka sangat penting untuk mengambil langkah-langkah pengamanan dan memastikan bahwa informasi tersebut tidak pernah memasuki akses publik.

APA ITU INFORMATION SECURITY?

Menurut CISCO information security, atau yang biasa disebut juga dengan InfoSec adalah proses dan perangkat yang didesain untuk melindungi informasi penting dan rahasia suatu bisnis dari terjadinya modifikasi dan kerusakan.

Selain itu, information security juga bisa diartikan sebagai perlindungan kepada informasi atau sistem informasi dari akses, penggunaan, gangguan, modifikasi, dan perusakan yang tidak diizinkan.

Terkadang, banyak orang yang tidak bisa membedakan information security dengan cybersecurity.

InfoSec adalah bagian krusial dari cybersecurity yang merupakan proses yang didesain khusus untuk keamanan data. Cybersecurity merupakan istilah yang lebih general dibandingkan InfoSec.

Secara khusus, terkadang ada pekerjaan untuk menangani information security.

Jenisnya bisa beragam, terlepas dari itu, menurut Infosec Institute, beberapa pekerjaan ini membutuhkan latar belakang programmer yang kuat.

JENIS-JENIS INFORMATION SECURITY

Berikut adalah beberapa jenis dari InfoSec:

  1. Application security
    Application security atau kemanan aplikasi mencakup kerentanan software di aplikasi web dan mobile serta programming interfaces (APIs).
    Kerentanan ini biasa ditemukan di otentikasi atau otorisasi pengguna. Selain itu, bisa pula ditemukan di integritas kode dan konfigurasi, serta kebijakan dan prosedur.
    Kerentanan aplikasi mengakibatkan rentannya terjadi pelanggaran information security yang signifikan. Application security merupakan salah satu perimeter penting dalam InfoSec.
  1. Cloud security
    Cloud security atau keamanan cloud berfokus pada pembuatan hosting aplikasi yang aman. Hal ini termasuk saat berhubungan dengan aplikasi cloud pihak ketiga.
    “Cloud” sendiri artinya adalah aplikasi beroperasi dengan sistem berbagi atau shared environment.
    Perusahaan dan bisnis perlu memastikan bahwa terdapat batasan dan isolasi yang aman di antara proses pembagian ketika menggunakan cloud.
  1. Kriptografi
    Enkripsi data saat sedang diproses membantu memastikan kerahasiaan dan integritas data. Tanda tangan digital biasanya digunakan dalam kasus kriptografi untuk memvalidasi keaslian data.
    Oleh karena itu, kriptografi dan enkripsi menjadi sangat penting. Salah satu contoh dari kriptografi adalah Advanced Encryption Standard (AES).
  1. Keamanan Infrastruktur
    Keamanan infrastruktur berkaitan dengan perlindungan jaringan internal dan ekstranet seperti laboratorium, pusat data, server, desktop, dan perangkat seluler.
  1. Respons insiden
    Respons insiden berfungsi memantau dan menyelidiki perilaku serta aktivitas yang berbahaya atau mencurigakan.
    Untuk mencegah pelanggaran, staf IT harus memiliki rencana insiden untuk mengatasi ancaman yang ada dan memulihkan jaringan.
    Selain itu, rencana tersebut perlu meliputi menciptakan sistem yang dapat menyimpan data untuk digunakan dalam analisis forensik dan penuntutan yang mungkin terjadi.
    Data ini dapat juga digunakan untuk membantu mencegah pelanggaran lebih lanjut dan menemukan penyerang.
  1. Manajemen kerentanan
    Manajemen kerentanan adalah proses pemindaian lingkungan untuk menemukan titik-titik lemah dan memprioritaskan perbaikan berdasarkan risiko.
    Di banyak jaringan, bisnis terus menambahkan aplikasi, pengguna, infrastruktur, dan lain-lain.
    Oleh karena itu, penting untuk selalu memindai jaringan secara konstan sehingga dapat mengetahui jika ada potensi terjadinya kerentanan.
    Menemukan kerentanan di awal dapat menghemat biaya besar dikeluarkan ketika pelanggaran sudah terjadi.

APA SAJA ANCAMAN BAGI INFORMATION SECURITY?

Dalam information security, ancaman dapat berupa serangan pada software, pencurian identitas, sabotase, bahkan penghancuran informasi. Ancaman ini akan berusaha mengambil keuntungan dari kerentanan keamanan.

Selain itu, software juga rentan terkena virus, wormsTrojan horses, dan lain-lain. Banyak yang menganggap ancaman tersebut pada umumnya sama.

Namun, geeks for geeks menyebut bahwa kesamaan yang mereka miliki hanya sama-sama ancaman bagi software. Di luar itu, mereka memiliki perilaku serta butuh penanganan yang berbeda.

Setelah mengetahui beberapa jenis InfoSec, waktunya mengetahui macam ancaman untuk kamu antisipasi.

  1. Malware

Malware terdiri dari dua kata yaitu malicious dan software.

Pada dasarnya, malware berarti software berbahaya yang dapat berupa kode program yang mengganggu atau apa pun yang dirancang untuk melakukan aktivitas jahat pada sistem.

Adapun malware terbagi menjadi 2 yaitu:

  • infection methods
  • malware actions

Malware berdasarkan infection methods antara lain;

  • Virus merupakan suatu program atau aplikasi yang dapat memperbanyak, dan menyebar dengan sendirinya, dan menyebabkan efek negatif pada komputer yang terjangkit. Biasanya virus masuk kedalam komputer dengan cara menyisipkan dirinya dalam suatu file ataupun program. Efek yang ditimbulkan virus komputer pun beragam, mulai dari hilangnya file dari komputer, timbul error yang tidak biasa (misalnya freeze), program tidak dapat digunakan, hingga file yang dicuri. Virus juga dapat memungkinkan untuk merusak hardware pada komputer. Komputer yang terjangkit banyak virus biasanya sudah tidak bisa di bersihkan dengan antivirus lagi, dan salah satu caranya adalah membersihkan/format harddisk dalam komputer.
  • Worms dikategorikan sebagai virus yang tidak membahayakan, namun mengganggu. Pasalnya, jika komputer terjangkit virus worm dibiarkan terlalu lama, worm akan menggandakan dirinya sendiri dan membuat space pada harddisk pengguna penuh.
  • Trojan adalah virus yang dibuat dengan tujuan untuk mencuri data serta mengkontrol data korban. Virus ini masuk kedalam komputer lewat internet, email, dan lain-lain.
  • Bots adalah sebuah malware yang bekerja secara otomatis dengan berinteraksi pada jaringan lain. Bots ini memerlukan suatu perintah atau arahan dari pembuat bot ini sendiri agar melakukan apa yang diperintahkan, contohnya seperti mencuri informasi penting atau mengirimkan spam. Bots adalah software yang dibuat untuk melakukan suatu tujuan tertentu, banyak juga tujuan dibuatnya adalah untuk tujuan yang tidak berbahaya, seperti permainan video, kontes online dan hal ini sudah sangat umum. Bot ini tapi digunakan oleh pihak tidak bertanggung jawab untuk tujuan yang jahat seperti mencuri informasi penting seseorang. Namun, banyak juga situs web yang telah melindungi diri dari bot yang beredar di luar sana dengan tes CAPTCHA dan memverifikasi pengguna sebagai human.

Sementara itu, malware berdasarkan aksi adalah;

  • Adware

Adware tidak sepenuhnya berbahaya tetapi mereka melanggar privasi pengguna. Mereka menampilkan iklan di desktop komputer atau di dalam program individual. Mereka dilengkapi dengan perangkat lunak yang bebas digunakan, sehingga menjadi sumber pendapatan utama bagi pengembang tersebut. Mereka memantau minat Anda dan menampilkan iklan yang relevan. Penyerang dapat menyematkan kode berbahaya di dalam perangkat lunak dan adware dapat memantau aktivitas sistem Anda dan bahkan dapat membahayakan mesin Anda.

  • Spyware

Adalah program atau kami dapat mengatakan perangkat lunak yang memantau aktivitas Anda di komputer dan mengungkapkan informasi yang dikumpulkan ke pihak yang berkepentingan. Spyware umumnya dijatuhkan oleh Trojan, virus atau worm. Setelah dijatuhkan, mereka memasang diri dan duduk diam untuk menghindari deteksi.

Salah satu contoh paling umum dari spyware adalah KEYLOGGER. Tugas dasar keylogger adalah merekam penekanan tombol pengguna dengan stempel waktu. Dengan demikian menangkap informasi menarik seperti nama pengguna, kata sandi, detail kartu kredit, dll.

  • Ransomware

Ini adalah jenis malware yang akan mengenkripsi file Anda atau akan mengunci komputer Anda sehingga tidak dapat diakses baik sebagian atau seluruhnya. Kemudian layar akan ditampilkan meminta uang yaitu tebusan sebagai gantinya.

  • Scareware

Ini menyamar sebagai alat untuk membantu memperbaiki sistem Anda tetapi ketika perangkat lunak dijalankan itu akan menginfeksi sistem Anda atau menghancurkannya sepenuhnya. Perangkat lunak akan menampilkan pesan untuk menakut-nakuti Anda dan memaksa untuk mengambil beberapa tindakan seperti membayar mereka untuk memperbaiki sistem Anda.

  • Rootkit

Dirancang untuk mendapatkan akses root atau kita dapat mengatakan hak administratif dalam sistem pengguna. Setelah memperoleh akses root, pengeksploitasi dapat melakukan apa saja mulai dari mencuri file pribadi hingga data pribadi.

  • Zombie

Mereka bekerja mirip dengan Spyware. Mekanisme infeksinya sama tetapi mereka tidak memata-matai dan mencuri informasi melainkan menunggu perintah dari peretas

  1. Pencurian kekayaan intelektual

Pencurian kekayaan intelektual berarti pelanggaran terhadap hak kekayaan intelektual suatu pihak seperti hak cipta atau paten.

  1. Pencurian identitas

Pencurian identitas artinya ketika seseorang bertindak sebagai orang lain untuk mendapatkan informasi pribadi seseorang atau mengakses informasi penting.

Contohnya, seperti mengakses akun media sosial seseorang dengan menggunakan kredensial milik mereka.

  1. Pencurian perangkat dan informasi

Ancaman ini semakin meningkat karena sistem perangkat mobile dan informasi yang telah tersebar melalui mobile dan cloud.

  1. Sabotase

Sabotase berarti menghancurkan situs web suatu perusahaan untuk menghilangkan kepercayaan pelanggan pada perusahaan tersebut.

  1. Pemerasan informasi

Pemerasan informasi adalah pencurian informasi perusahaan untuk menerima pembayaran sebagai imbalannya.

Contohnya, mengunci file korban sehingga tidak dapat diakses. Umumnya, ini dilakukan untuk memaksa korban membayar sebagai syarat membuka kunci tersebut.

 

 

  1. Serangan media sosial

Kini, serangan media sosial marak terjadi. Istilah cyber criminal bahkan muncul di mana mereka dapat mengidentifikasi sekelompok situs web dan media sosial yang ramai dikunjungi untuk mencuri informasi.

  1. Mobile malware

Banyak yang mengatakan bahwa ketika kita terhubung dengan internet, maka bahaya keamanan akan terjadi.

Begitu pula dengan telepon seluler yang di mana aplikasi game dirancang untuk menarik perhatian pelanggan. Sayangnya, pelanggan bisa secara tidak sengaja memasang virus di perangkat mereka.

LANGKAH-LANGKAH UNTUK MENGAMANKAN INFORMASI

  1. Membuat kebijakan untuk menangani informasi

Jika suatu organisasi tidak mampu untuk membedakan secara benar antara informasi yang bersifat sensitif dengan informasi yang bersifat non-sensitif maka tidak mungkin bisa mengamankan data yang penting. Suatu kode kebijakan data mampu menguraikan jenis data yang dianggap sensitif dan mampu menentukan proses yang ketat untuk mengidentifikasi dan menangani serta mengamankan berbagai jenis data. Suatu sistem klasifikasi data yang bertingkat dapat membantu untuk membedakan antara informasi sensitif dan non-sensitif.

Langkah-langkah keamanan diberlakukan untuk setiap tingkat data, tingkat pertama yaitu data yang sangat sensitif yang dapat menyebabkan kerusakan parah dan membutuhkan tingkat keamanan tertinggi serta akses hanya diperbolehkan atas dasar kebutuhan khusus. Tingkat ke-dua yaitu data cukup sensitif yang dapat menimbulkan resiko relatif rendah dan membutuhkan sedikit kontrol keamanan serta hak akses internal. Kemudian tingkat yang ke-tiga yaitu data non-sensitif yang tidak menimbulkan resiko bagi organisasi dan hanya membutuhkan keamanan yang sedikit atau tidak ada pembatasan akses.

  1. Menggunakan enkripsi untuk mentransfer data

Banyak organisasi telah memahami pentingnya menerapkan langkah-langkah keamanan untuk melindungi dan mengamankan sistem informasi dalam jaringan perusahaan dari akses yang tidak sah. Data sensitif selalu diakses dan berinteraksi dengan segala macam orang dan aplikasi, sebab itu untuk melindungi informasi ketika diakses melalui sistem mengharuskan organisasi untuk mengenkripsi data yang bertujuan untuk melindungi serta mengamankan informasi itu sendiri. Enkripsi adalah suatu bentuk pengamanan informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan penterjemah khusus.

  1. Memilih software yang aman untuk organisasi

Tentukanlah perangkat lunak yang direkomendasikan oleh ahli sistem keamanan informasi untuk standar keamanan yang digunakan. Perangkat lunak yang Anda gunakan mungkin tidak mengikuti prosedur keamanan yang handal dan dapat menyebabkan meningkatnya kemungkinan Peretas mengakses informasi sensitif. Hal ini menjadi masalah serius terutama ketika menangani dan menyimpan informasi pembayaran pelanggan melalui perangkat lunak akuntansi.

Ada beberapa langkah dasar bagi organisasi untuk dapat memilih dan mengidentifikasi software yang aman, yaitu dengan cara: memilih perangkat lunak dari penyedia yang dapat dipercaya; melakukan analisis menyeluruh mengenai kebutuhan perangkat lunak; melakukan beberapa penelitian untuk mengidentifikasi perangkat lunak yang paling sesuai dan aman untuk organiasasi; membaca ulasan dan umpan balik dari perangkat lunak yang akan dipilih. Tidaklah mengapa walaupun harganya relatif tinggi jika perangkat lunak yang dipilih memang sesuai dan aman untuk organisasi.

  1. Meningkatkan keamanan password

Peretas menggunakan berbagai metode untuk mencoba masuk ke akun Anda. Metode paling umum adalah dengan mengetik huruf, angka, dan simbol secara manual untuk menebak kata sandi. Metode yang lebih canggih adalah menggunakan metode “serangan brute force”. Dalam teknik ini, program komputer menjalankan setiap kemungkinan kombinasi huruf, angka, dan simbol secepat mungkin untuk memecahkan kata sandi. Semakin panjang dan kompleks kata sandi, maka akan semakin lama proses ini berlangsung. Kata sandi yang terdiri dari tiga karakter membutuhkan waktu kurang dari satu detik untuk dipecahkan.Penggunaan password yang lemah merupakan masalah yang sangat umum dan merupakan salah satu keamanan yang secara signifikan dapat ditingkatkan dengan pelatihan dan pengenalan berbagai aplikasi manajemen password. Kebanyakan pencurian data sensitif disebabkan oleh segelintir kesalahan keamanan informasi dasar.

  1. Menggunakan komputer pribadi

Penggunaan komputer atau perangkat pribadi merupakan bagian yang tak terpisahkan dari kehidupan dan pekerjaan, selain membawa manfaat bagi produktivitas dan efektivitas biaya, juga dapat mengamankan data sensitif dari akses yang tidak sah. Adalah tindakan yang tepat untuk menggunakan komputer pribadi untuk mencegah data sensitif diakses dan disimpan oleh orang lain yang tidak berhak.

  1. Mematuhi aturan keamanan

Banyak Peretas memilih untuk menargetkan pimpinan atau direksi, karena kemungkinan besar direksi memiliki akses ke data aset yang bernilai tinggi. Direksi seringkali diberikan otonomi yang lebih besar dan kebebasan bergerak melalui sistem yang sensitif yang mungkin tidak mematuhi praktik keamanan yang sama seperti karyawan. sangat penting bahwa praktik keamanan harus dipahami dan ditaati seluruh infrastruktur organisasi untuk mencegah hacker dari mendapatkan akses yang mudah ke informasi sensitif melalui jalur ini.

  1. Meningkatkan kesadaran keamanan

Karyawan adalah aset keamanan yang paling berharga bagi perusahaan dalam menciptakan budaya kesadaran keamanan yang dapat membantu karyawan mengidentifikasi masalah data, dan juga membantu untuk mengidentifikasi kesalahan penyebaran informasi dan potensi ancaman keamanan data. Di mana ada data sensitif maka terdapat upaya yang berbahaya dari pihak ketiga untuk mencoba mencurinya. Tidak ada sistem keamanan sempurna sekalipun dengan menerapkan langkah-langkah keamanan yang komprehensif dan juga kesadaran yang tinggi. Melindungi organisasi dalam hal kehilangan data sensitif mengharuskan organisasi untuk aktif mengembangkan rencana untuk menghindari pelanggaran keamanan informasi.

  1. Menerapkan Sistem Manajemen Keamanan Informasi

Sistem Manajemen Keamanan Informasi atau ISO / IEC 27001 merupakan suatu metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO / IEC 27001 merupakan dokumen sistem manajemen keamanan informasi yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh suatu perusahaan maupun organisasi dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi yang dimiliki berdasarkan ”best practise” dalam pengamanan informasi.

ISO/IEC 27001

ISO/IEC 27001 disebut ISMS ( Information Security Management System ) ialah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO/IEC 27001 merupakan dokumen sistem manajemen keamanan informasi yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan maupun organisasi dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi dimiliki berdasarkan ”best practise” dalam pengamanan informasi. Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini :

  • Memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
  • Memastikan bahwa informasi tetap lengkap dan akurat, serta informasi tersebut tidak dapat dimodifikasi tanpa otorisasi yang jelas.

Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari struktur organisasi, kebijakan, proses, prosedur, serta fungsi-fungsi infrastruktur teknologi informasi. Dengan kata lain ISO/IEC 27001 adalah suatu cara untuk melindungi dan mengelola informasi terhadap resiko bisnis berdasarkan pendekatan yang sistematis untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi.

 

MENGAPA ORGANISASI HARUS MENERAPKAN ISO/IEC 27001 ?

  • Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
  • Standar ini memberikan kendali pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
  • Pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisa risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima.
  • Melalui audit dan review, segala proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan .
  • Suatu proses harus dapat memastikan perkembangan yang berkelanjutan dari semua elemen informasi dan sistem manajemen pengamanan dengan mengadopsi model PDCA (Plan-Do-Check-Act).

 

MANFAAT MENERAPKAN ISO/IEC 27001 ANTARA LAIN :

  • Membantu organisasi yang terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji.
  • Meningkatkan hal positif berkenaan dengan reputasi perusahaan, nilai, dan persepsi yang baik dari pihak lain.
  • Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin dapat menimbulkan risiko atau gangguan.
  • Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi.
  • Membantu organisasi menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi.
  • Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah etos kerja organisasi.
  • Meminimalkan resiko melalui proses yang profesional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko.
  • Diferensiasi pasar.
  • Meningkatkan efektivitas dan kehandalan pengamanan informasi.
  • Salah satu standar pengamanan informasi yang diakui di seluruh dunia.
  • Karena standar yang sudah teruji maka kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi.
  • Patuh terhadap hukum dan perundangan seperti UU ITE, dll.
  • Meningkatkan profit perusahaan.
  • Menunjukkan tata kelola yang baik dalam penanganan informasi.
  • Staf lebih fokus terhadap tanggung-jawabnya karena manajemen senior memiliki tanggung-jawab keamanan informasi.
  • Adanya penilaian yang independen terkait ISMS dengan adanya audit setiap tahun.
  • Dapat digabung atau diintegrasikan dengan sistem manajemen lainnya seperti ISO 9001, ISO 14001.
  • Adanya mekanisme untuk mengukur berhasil atau tidaknya kendali pengamanan.

 

Sumber:

https://isokonsultindo.com/cara-mengamankan-informasi-perusahaan

https://isokonsultindo.com/iso-27001

https://glints.com/id/lowongan/kupas-information-security/#.Y8St43ZBzrc

https://www.cisco.com/c/en/us/products/security/what-is-information-security-infosec.html

https://www.geeksforgeeks.org/threats-to-information-security/

https://socs.binus.ac.id/2018/12/10/mengenal-virus-komputer-sejarah-jenis-serta-penanggulangannya/

Leave a Comment

Your email address will not be published. Required fields are marked *