2.3 Masalah Keamanan Informasi Di Negara Republik Indonesia

2.3.1 Hari Persandian Nasional

Tidak banyak masyarakat yang mengetahui kalau tanggal 4 April dicanangkan sebagai hari Persandian Nasional di Indonesia. Mungkin karena mitos persandian adalah rahasia, sehingga pencanangan hari jadinya pun dirahasiakan. Pada tanggal 4 April 1946, tepatnya Pemerintah Indonesia mulai merintis Persandian sebagai bagian resmi Pemerintah Indonesia. Saat itu Menhan RI memerintahkan dr. Roebiono Kertopati untuk merintis sebuah badan yang mengelola persandian pemerintah. Usia Institusi Pemerintah yang mengurusi persandian yang kini sudah menginjak tahun ke-62, adalah usia yang terbilang cukup matang bagi perkembangan sebuah institusi. Pengalaman jatuh bangun dalam mempertahankan eksistensi, pertarungan dalam pengamanan pemberitaan, persaingan dalam ilmu dan teknologi, suka duka membesarkan organisasi dan sebagainya menjadi kekayaan tersendiri yang jika disikapi dengan positif akan menjadi aset berharga yang patut didokumentasikan sebagai sejarah. Di era teknologi informasi yang berkembang sangat pesat, tantangan yang menghadang menjadi begitu banyaknya. Tantangan tersebut menjadi tugas tersendiri yang harus diselesaikan oleh institusi yang menangani persandian yaitu Lembaga Sandi Negara Lemsaneg. Salah satu tantangan yang perlu mendapatkan penanganan segera adalah adanya kebutuhan pengamanan informasi dihadapkan dengan kebebasan memperoleh informasi. Baru-baru ini telah disahkan oleh DPR RI Undang-undang Informasi dan Transfer Elektronik UU ITE dan Undang-undang Keterbukaan Informasi Publik UU KIP. Sedangkan RUU Kerahasiaan Negara belum disahkan dan regulasi tentang keamanan informasi belum ada. Karena pengamanan informasi merupakan kegiatan yang tidak terlihat, seseorang sering abai terhadap pengamanan jenis ini. Terlebih lagi jika datainformasi tersebut dicuri atau hilangpun tidak diketahui. Kita baru akan menyadari bahwa ada datainformasi yang telah hilang atau dicuri orang atau dimanipulasi setelah akibat yang ditimbulkannya mulai terlihat. Jadi sesungguhnya semua informasi patut diberikan pengamanan, terlebih lagi informasi yang bersifat rahasia seperti data-data pribadi, akun keuangan atau kesehatan. Tingkat pengamanan yang diberikan mengikuti tingkat kerahasiaan dari informasinya. Jadi kekhawatiran bahwa regulasi “keamanan informasi” akan berbenturan dengan regulasi “kebebasan informasi” hanyalah ilusi. Kedua regulasi tersebut justru akan saling mendukung. Momen hari persandian yang baik ini selayaknya dijadikan sebagai pelecut semangat untuk berkarya menyelesaikan tugas yang diberikan oleh perkembangan teknologi informasi dan komunikasi, UU ITE, UU KIP dan karena kebutuhan gaya hidup di era masyarakat informasi. Serta tugas yang tidak kalah penting adalah mensosialisasikan dan mencatatkan hari persandian nasional di lembar negara RI..

2.3.2 Informasi Rahasia dalam UU KIP

UU KIP atau Undang Undang Republik Indonesia nomor 14 tahun 2008 tentang Keterbukaan Informasi Publik, ditujukan untuk mengatur hal ihwal informasi yang berkaitan dengan kepentingan umum dan negara. Seperti disebutkan dalam penjelasannya, keberadaan Undang-undang tentang Keterbukaan Informasi Publik sangat penting sebagai landasan hukum yang berkaitan dengan : 1. Hak setiap Orang untuk memperoleh Informasi 2. Kewajiban Badan Publik menyediakan dan melayani permintaan Informasi secara cepat, tepat waktu, biaya ringanproporsional, dan cara sederhana 3. Pengecualian bersifat ketat dan terbatas; 4. Kewajiban Badan Publik untuk membenahi sistem dokumentasi dan pelayanan Informasi. Dengan membuka akses publik terhadap Informasi diharapkan Badan Publik termotivasi untuk bertanggung jawab dan berorientasi pada pelayanan rakyat yang sebaik-baiknya. Dengan demikian, hal itu dapat mempercepat perwujudan pemerintahan yang terbuka yang merupakan upaya strategis mencegah praktik korupsi, kolusi, dan nepotisme KKN, dan terciptanya kepemerintahan yang baik good governance. Ditegaskan juga sebagai bahan pertimbangan pembuatan UU ini salah satunya adalah bahwa informasi merupakan kebutuhan pokok setiap orang bagi pengembangan pribadi dan lingkungan sosialnya serta merupakan bagian penting bagi ketahanan nasional.

2.3.3 Standar Keamanan Nasional

Teknologi informasi dan komunikasi telah sangat maju dan menembus pada hampir semua aspek organisasi. Pengolahan dan penyimpanan informasi telah menjadi aspek yang menentukan kehidupan organisasi. Sehingga standarisasi keamanan informasi secara nasional bagi sebuah pemerintahan negara tentunya juga menjadi sangat penting. Tujuan utama membuat Standar Keamanan Informasi Nasional sebutan singkatnya SKIN adalah agar kegiatan pengamanan informasi pemerintah menjadi efisien dan efektif, sehingga tidak mudah untuk dibongkar pihak asing. Standar keamanan informasi ini penekanannya lebih pada syarat, prosedur, kebijakan, pengelolaan serta pendidikan dan pelatihan. Standarisasi yang dimaksud disini bukanlah standar teknis spesifikasi, bukan pengarahan ke suatu teknologi atau produk, bukan kumpulan tip serta bukan sebagai jaminan dan berfungsinya sebuah alat keamanan informasi. Pendekatan ini memungkinkan SKIN diaplikasikan dan diterapkan dalam berbagai tipe organisasi dan aplikasi. Selain itu, SKIN akan memudahkan dalam menciptakan regulasi yang dapat memberikan keputusan apakah sebuah kegiatan keamanan informasi sudah baik atau belum, apakah sebuah informasi perlu mendapat perlakuan pengamanan atau tidak dan juga dapat menentukan sampai tingkat berapa pengamanan yang diperlukan, dan sebagainya. Sehingga regulasi tentang keamanan informasi tidak perlu menciptakan badaninstitusi lagi yang khusus untuk mengambil keputusan keamanan informasi atau tingkat kerahasiaan sebuah datainformasi. Standarisasi yang akan dipakai bisa saja mengacu pada standar internasional yang sudah ada atau bisa juga sama sekali baru disesuaikan dengan kekhasan keadaan di dalam negeri sendiri. Standar keamanan informasi yang sudah terkenal adalah BS7799 yaitu Code of Practise for Information Security Management, yang dikeluarkan oleh pemerintah Inggris UKAS – the United Kingdom Accreditation Service dan kemudian diadopsi secara internasional menjadi ISO27001 yaitu Information Security Management System ISMS oleh organisasi internasional urusan standarisasi ISO – International Organization for Standardization. Sedangkan SKIN mungkin belum dibuat oleh pemerintah Indonesia saya tidak menemukannya di SNI. Seandainya memang belum dibuat, tulisan ini ditujukan untuk memicu standarisasi keamanan informasi dalam lingkup nasional Indonesia. Saat ini informasi adalah suatu aset organisasi penting dan berharga yang harus dilindungi dari ancaman yang mungkin timbul untuk menjamin kesinambungan bisnis dan meminimalisir kerugian atas ketidakamanan yang terjadi. Oleh karena itu, pengelolaan informasi yang baik sangat penting untuk meningkatkan kesuksesan dalam kompetisi disemua sektor. ISO27001 dalam pengelolaan informasinya berfokus pada melindungi : a. Kerahasiaan confidentiality : memastikan bahwa informasi hanya dapat diakses oleh pihak yang memang berwenang. b. Keutuhan integrity : menjaga kelengkapan dan keakuratan informasi serta metode pemrosesannya. c. Ketersediaan availability : memastikan bahwa pihak yang berwenang dapat mengakses informasi dan aset lainnya ketika memerlukannya. Untuk SKIN, perlu ditambahkan satu syarat yaitu d. Tidak dapat disangkal non repudiation : memastikan bahwa pihak pengakses tersebut adalah memang pihak yang benar, sehingga dapat dijadikan sebagai alat bukt i sesuai UU ITE tahun 2008 bila diperlukan. Standarisasi keamanan informasi pada dasarnya adalah mengenai pengelolaan resiko yang dilakukan dengan cara mengembangkan manajemen risiko dan strategi mitigasi melalui pengidentifikasian aset, ancaman dan vulnerabilities serta pengukuran resiko. Analisa risiko keamanan informasi security risk assessment adalah metode untuk memaksimalkan penggunaan aset organisasi yang terbatas melalui pengukuran risiko dan pengelolaan risiko yang dapat ditoleransi. Untuk kemudian dapat menetapkan syarat-syarat keamanan informasi dan jenis pengendalian yang diperlukan untuk meminimalisir ancaman dan risiko tersebut yang disesuaikan dengan benefit organisasi yang paling optimal. Pengendalian adalah cara yang dipilih untuk menyingkirkan atau meminimalkan risiko ke level yang dapat diterima. Berikut adalah dasar-dasar pengendalian yang biasa digunakan untuk membuat security risk assessment : 1. Pengendalian kebijakan keamanan informasi : ditujukan sebagai dukungan manajemen, komitmen dan pengarah dalam pencapaian tujuan pengamanan informasi. 2. Pengendalian keamanan informasi secara organisasional : ditujukan pada kebutuhan kerangka kerja manajemen yang membuat, menyokong dan mengelola infrastruktur keamanan informasi. 3. Pengendalian dan pengklasifikasian aset : ditujukan pada kemampuan infratruktur keamanan informasi untuk melindungi aset organisasi. 4. Pengendalian keamanan personel : ditujukan pada kemampuan untuk meminimalisir resiko yang timbul akibat interaksi antardengan manusia. 5. Pengandalian keamanan fisik dan lingkungannya : ditujukan pada perlindungan terhadap resiko yang timbul secara fisik di tempatlingkungan sekitar sistem berada. 6. Pengendalian komunikasi dan manajemen operasional : ditujukan pada kemampuan organisasi untuk menjamin ketepatan dan keamanan operasional aset- asetnya. 7. Pengendalian akses : ditujukan pada kemampuan organisasi untuk mengontrol akses kepada aset-aset organisasi berdasarkan kebutuhan bisnis dan keamanan. 8. Pengendalian pengembangan dan pemeliharaan sistem : ditujukan pada kemampuan organisasi untuk menjamin terintegrasi dan terpeliharanya pengendalian terhadap sistem keamanan informasi yang tepat. 9. Pengendalian kelangsungan manajemen bisnis : ditujukan pada kemampuan organisasi untuk menghadapi hambatan yang timbul sehingga operasional organisasi dapat berjalan dengan baik. 10. Pengendalian kepatuhan : ditujukan pada kemampuan organisasi untuk secara disiplin mematuhi semua regulasi, peraturan, kontrak dan syarat-syarat yang telah dibuat.

2.4 Rekayasa Perangkat Lunak