Model Kesadaran Keamanan Informasi di Li (1)
Model Kesadaran Keamanan Informasi di Lingkungan Instansi Pemerintah Indonesia
Berdasarkan ISO-SNI/IEC 27001 : 2009 Sistem Manajemen Keamanan Informasi
Jumiati1 dan Tri Wahyudi2
1
Unit Penelitian dan Pengabdian Masyarakat Sekolah Tinggi Sandi Negara
2
Program Studi Manajemen Persandian Sekolah Tinggi Sandi Negara
jumiati@stsn-nci.ac.id, tri.wahyudi@stsn-nci.ac.id
Abstrak
Tata kelola Teknologi Informasi dan Komunikasi (TIK) dewasa ini telah menjadi suatu kebutuhan seluruh
instansi pemerintah di Indonesia dalam mewujudkan good corporate governance. Tata kelola TIK harus
didukung dengan keamanan informasi agar kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan
(availability) informasi dapat terjaga dari segala ancaman yang akan mengganggu keberlangsungan kinerja
organisasi, khususnya penyelenggaraan TIK dalam lingkup pemerintahan.
Dalam hal keamanan informasi penyelenggaraan TIK di lingkup pemerintahan, faktor sumber daya manusia
merupakan unsur penggerak sekaligus unsur terlemah yang perlu ditingkatkan kapasitas dan kapabilitasnya
agar tata kelola TIK dapat berjalan secara efektif dan aman. ISO-SNI/IEC 2700 : 2009 dapat dijadikan sebagai
framework manajemen keamanan informasi instansi pemerintah Indonesia karena ruang lingkup yang
komprehensif dan sistematis sehingga lebih mudah diterapkan, meskipun hingga saat ini masih banyak instansi
pemerintah Indonesia belum atau masih menyusun kerangka keamanan informasi yang memenuhi standar ISOSNI/IEC 27001 : 2009.
Pada makalah ini akan dibahas model kesadaran keamanan informasi di lingkungan instansi pemerintah
Indonesia berdasarkan ISO-SNI/IEC 27001:2009 yang dapat dijadikan acuan dalam penyelenggaraan TIK di
lingkup pemerintahan.
Kata Kunci : Tata Kelola TIK, Keamanan Informasi, Kesadaran Keamananan Informasi, ISO-SNI/IEC
27001:2009.
1. Pendahuluan
Perkembangan teknologi informasi saat ini telah
membawa masyarakat Indonesia dalam suatu
peradaban baru yaitu e-civilization. Peradaban yang
dipicu dan difasilitasi oleh perkembangan teknologi
informasi ini memudahkan masyarakat Indonesia
dalam berinteraksi dan berkomunikasi sehingga dapat
saling berhubungan kapan saja, dimana saja dan
tanpa mengenal batas. Fenomena ini tidak hanya
berkembang di masyarakat luas namun juga di
lingkungan instansi pemerintah di Indonesia. Hal ini
sejalan dengan dinamika masyarakat dan upaya
pemenuhan kebutuhannya yang selalu berkembang
sehingga pemerintah Indonesia berupaya untuk
meningkatkan proses kerja dan pelayanannya melalui
penerapan e-government. Pemerintah harus mampu
memanfaatkan kemajuan teknologi informasi untuk
meningkatkan kemampuan mengolah, mengelola,
menyalurkan, dan mendistribusikan informasi dan
pelayanan publik(Inpres 3 Tahun 2003). Melalui tata
kelola Teknologi Informasi dan Komunikasi (TIK)
diharapkan dapat diwujudkan good corporate
governance yang dapat mendukung pelaksanaan
tugas dan fungsi pemerintahan di Indonesia.
Disamping manfaat dari penerapan egovernment, ada beberapa kerugian atau ancaman
dari pihak yang tidak berkepentingan terhadap
informasi yang dimiliki oleh pemerintah yang akan
berpengaruh terhadap stabilitas keamanan nasional.
Dalam penerapan e-government, tata kelola TIK yang
diselenggarakan pemerintah harus memperhatikan
aspek keamanan informasi. Meskipun keamanan
informasi telah dijadikan kerangka dasar dalam
penerapan e-government di Indonesia (Inpres 3
Tahun 2003), permasalahan terkait kerahasiaan
(confidentiality),
keutuhan
(integrity)
dan
ketersediaan (availability) informasi yang dimiliki
instansi pemerintah sering terjadi. Hal ini disebabkan
perkembangan teknologi dan lingkungan organisasi
yang lebih terbuka di jaringan interkoneksi global
menyebabkan kerentanan tinggi dan ancaman yang
lebih kreatif. Fenomena tersebut terlihat dari
ancaman-ancaman yang terjadi pada jaringan
maupun informasi berklasifikasi milik pemerintah
Indonesia, antara lain:
a. Serangan-serangan terhadap website pemerintah,
seperti :
1
1) Terjadi beberapa tindakan perusakan pada
beberapa situs berakhir dengan go.id.
Kejadian terbaru adalah situs Kejaksaan
Agung (www.kejaksaan.go.id), Lembaga
Ketahanan Nasional www.lemhannas.go.id,
hanya dua hari setelah situs resmi Kepolisian
Negara Republik Indonesia (www.polri.go.id)
dan
Kementerian
Sekretariat
Negara
(www.setneg.go.id).
2) Jaringan
komputer
di
Kemkominfo
(www.depkominfo.go.id)
telah
lumpuh
selama tiga minggu oleh serangan hacker.
Situs dari Mabes TNI dan Pertamina juga
mendapat serangan hacker.
3) Sampai pertengahan tahun 2011, sebanyak 3
juta kali situs pemerintah diserang oleh
hacker. Meskipun serangan itu akhirnya
berhasil diatasi oleh para ahli teknologi
informasi dan komunikasi (TIK), serangan itu
membuktikan kebutuhan pertahanan intensif
dan sistem keamanan terus menerus.
Berdasarkan data dari situs www.zone-h.org
tentang serangan di Indonesia dari bulan
September 2011 sampai April 2012, jumlah
serangan pada go.id sebanyak 1.250 kali atau
sebanyak tujuh website instansi pemerintah
yang diserang dalam satu hari, sejak tahun
1998 sampai dengan April 2012 sudah 6.856
kali serangan.
b. Beberapa kebocoran informasi berupa pencurian
file pada laptop delegasi pemerintah Indonesia di
Seoul, Korea Selatan; informasi dari Wikileaks
yang memberitakan tentang penyalahgunaan
kekuasaan oleh keluarga Presiden SBY.
Berdasarkan fenomena diatas, Kementerian
Komunikasi dan Informatika menerbitkan panduan
penerapan tata kelola keamanan informasi bagi
penyelenggara pelayanan publik (Ditkaminfo, 2011)
yang dapat dijadikan acuan dalam membenahi,
membangun dan menerapkan keamanan informasi di
lingkungan instansi pemerintah. Panduan tersebut
didasarkan pada Sistem Manajemen Keamanan
Informasi ISO-SNI/IEC 27001:2009. Namun
penerapan ISO-SNI/IEC 27001:2009 maupun
panduan yang diterbitkan Kemenkominfo belum
optimal karena faktor sumber daya manusia yang
menjadi penggerak dalam penyelenggaraan tata
kelola TIK yang efektif dan aman belum menjadi
prioritas dalam pengelolaannya.
Dalam hal keamanan informasi, unsur manusia
adalah elemen yang paling penting dan harus menjadi
perhatian awal dalam penyelenggaraan TIK di
lingkungan instansi pemerintah. Berdasarkan Gartner
Security and Risk Management Summit tahun 2011,
menyatakan bahwa 46% dari peserta yang disurvei
telah mengalami beberapa bentuk ancaman insider
pada organisasi mereka saat ini, namun yang lebih
mengejutkan, satu dari tiga profesional keamanan
informasi mengakui bahwa mereka telah melanggar
kebijakan keamanan internal yang mereka ciptakan
dalam rangka untuk menyelesaikan tugas yang
berhubungan dengan pekerjaan taktis yang cepat
dan/atau mudah. Produktivitas dibandingkan dengan
serangan keamanan informasi terus menciptakan
masalah bagi organisasi. Para pegawai, termasuk
para profesional keamanan informasi akan
melakukan apa saja untuk mendapatkan pekerjaan
yang dilakukan, terlepas dari kebijakan atau risiko
keamanan.
Menurut laporan bisnis terbaru dari Data Breach
Investigation Report - Verizon, ancaman orang dalam
adalah salah satu sumber utama kebocoran data dan
pencurian. Temuan menunjukkan bahwa hampir satu
dari tiga pelanggaran selama dua tahun terakhir
datang sebagai hasil dari serangan orang dalam, dan
pada tahun 2010, 93% dari pelanggaran insider
dianggap disengaja melakukan serangan berbahaya,
naik 3% persen dibanding tahun sebelumnya. Hasil
survey dari InfoSecurity Europe pada Information
Security Breaches Survey 2010 terhadap tipe-tipe
pelanggaran keamanan infromasi dapat dilihat pada
gambar dibawah ini :
Gambar 1. Diagram Prosentase Tipe Pelanggaran
terhadap Keamanan Informasi
Dari data pelanggaran diatas, terlihat bahwa
penyebab mayoritas pelanggaran keamanan dalam
penyelenggaraan TIK organisasi adalah manusia baik
secara individu maupun berkelompok. Sumber daya
manusia dalam organisasi menjadi salah satu
ancaman potensial dalam keamanan informasi,
sebagaimana hasil yang ditunjukkan Global State of
Information Security Survey 2012 yang menunjukkan
pelaku pelanggaran keamanan informasi seperti
tampak dalam tabel dibawah ini :
2
Tabel 1. Sumber Pelanggar Keamanan Informasi
Dari tabel diatas, tampak bahwa sumber daya
manusia baik yang masih aktif bekerja, tidak aktif
bekerja maupun pihak ketiga yang terkait dengan
kegiatan organisasi menjadi salah satu potensi
ancaman terhadap keamanan informasi organisasi.
Mitnick dan Simon menyatakan manusia merupakan
faktor utama dan penting dalam keamanan informasi
selain teknologi, karena manusia merupakan rantai
terlemah dalam rantai keamanan (Kevin,2002). Oleh
sebab itu, dimensi manusia perlu selalu dibina
dengan baik agar segala bentuk ancaman dapat
dihindari. Salah satu cara yang dapat dilakukan
adalah dengan menumbuhkan kesadaran akan
pentingnya keamanan informasi.
Saat ini masih banyak instansi pemerintah
Indonesia belum atau masih menyusun kerangka
keamanan informasi yang memenuhi standar,
sedangkan kondisi instansi pemerintah terdiri atas 3
Kementerian Koordinator, 31 Kementerian, 28
LPNK, 6 Komisi Negara, TNI, Polri, dan Kejaksaan,
33 Pemerintah Provinsi, 497 Pemerintah Kabupaten/
Kota, merupakan sebuah potensi besar dalam
menjadikan keamanan informasi sebagai framework
penyelenggaraan TIK melalui pembinaan kesadaran
keamanan informasi di lingkungan instansi
pemerintah. Agar pembinaan kesadaran keamanan
informasi
dapat
berjalan
efektif
dan
berkesinambungan, pemerintah perlu menerapkan
kesadaran keamanan informasi sesuai dengan standar
yang ada. Salah satu standar yang dapat digunakan
dalam pembinaan keamanan informasi adalah ISOSNI/IEC 27001 Sistem Manajemen Keamanan
Informasi.
2. Kajian
2.1. Model
Definisi model menurut Kamus Besar Bahasa
Indonesia adalah pola (contoh, acuan, ragam, dan
sebagainya) dari sesuatu yang akan dibuat atau
dihasilkan. Definisi lain dari model adalah
representasi sistem yang disederhanakan (pada suatu
ruang dan waktu) untuk meningkatkan pengertian
terhadap sistem yang sebenarnya (www.kadipatentechnology.com). Model yang dimaksud dalam
kesadaran keamanan informasi merupakan sistem
penerapan kesadaran keamanan informasi pada
instansi pemerintah.
2.2. Keamanan Informasi
Informasi yang merupakan aset harus dilindungi
keamanannya.
Keamanan
informasi
adalah
melindungi informasi dari berbagai ancaman untuk
menjamin kelangsungan usaha, meminimalisasi
kerusakan akibat terjadinya ancaman, serta
mempercepat kembalinya investasi dan peluang
usaha (Tipton, 2005). Atau dengan kata lain
keamanan informasi merupakan upaya melindungi
informasi dan sistem informasi dari akses yang
dilakukan oleh pihak yang tidak bertanggung jawab,
penggunaan, penyingkapan, gangguan, modifikasi,
atau perusakan
untuk menjaga integritas,
kerahasiaan, dan ketersediaan informasi (NIST SP,
800-59).
Setiap individu dalam organisasi memiliki peran
yang berbeda-beda terhadap informasi. Merupakan
hal yang penting bagi seluruh anggota organisasi
untuk memahami bagaimana peran dan tanggung
jawab mereka terhadap informasi. Unsur utama yang
menjadi subyek dari informasi adalah peran
pengguna, pemilik, atau custodian terhadap informasi
(Ronald, 2007).
a. Owner /Pemilik
Pemilik bertanggung jawab atas informasi yang
harus dilindungi. Pemilik informasi memiliki
tanggung jawab terakhir untuk perlindungan data,
dan sesuai dengan konsep kehati-hatian, pemilik
dapat bertanggung jawab atas kelalaian atau
kegagalannya untuk melindungi informasi yang
sensitif. Namun fungsi perlindungan data sehariharinya ditugaskan kepada custodian. Salah satu
tugas penting dari pemilik adalah menentukan
tingkat klasifikasi informasi yang diperlukan
yang didasarkan pada kebutuhan organisasi untuk
melindungi data serta memastikan bahwa setiap
tingkat klasifikasi informasi memperoleh kontrol
pengamanan yang tepat.
b. Custodian
Custodian adalah pihak yang bertanggung jawab
untuk melindungi informasi yang diberikan oleh
pemiliknya. Custodian bertanggung jawab untuk
menjaga tiga aspek dasar informasi, yaitu
kerahasiaan
(confidentiality),
integritas
(integrity), dan ketersediaan (availability)
informasi. Dalam aplikasinya, custodian harus
mampu menentukan teknologi pengamanan yang
tepat sesuai dengan klasifikasi informasi yang
diamankan, baik secara fisik (firewall, access
control) dan lojik (enkripsi, otentikasi). Dan
untuk meningkatkan efisiensi dan efektifitas
keamanan, custodian harus mampu merumuskan
prosedur operasi standar sesuai dengan kebijakan
dan aturan yang ditentukan oleh pemilik.
c. User /Pengguna
Pengguna adalah pihak yang dianggap secara
rutin menggunakan informasi sebagai bagian dari
pekerjaannya. Pengguna juga dapat dianggap
konsumen
data,
yang
sehari-harinya
membutuhkan akses ke informasi untuk
melaksanakan tugas-tugas mereka. Pengguna
harus mengikuti prosedur operasi yang ditetapkan
dalam kebijakan keamanan organisasi, dan
3
mereka harus mematuhi prosedur yang telah
dipublikasikan. Selain itu, pengguna harus benarbenar peduli untuk mengamankan informasi yang
sensitif sesuai dengan kebijakan keamanan
informasi dan penggunaannya.
2.3.Kesadaran Keamanan Informasi
Kesadaran merupakan poin atau titik awal untuk
sumber daya manusia organisasi dalam mengejar
atau memahami pengetahuan mengenai keamanan
teknologi informasi. Dengan adanya kesadaran
pengamanan, seorang pegawai dapat memfokuskan
perhatiannya
pada
sebuah
atau
sejumlah
permasalahan atau ancaman-ancaman yang mungkin
terjadi [11]. Keamanan bukan hanya sebuah alat,
tetapi merupakan sistem terintegrasi menyeluruh
yang melibatkan manusia, proses dan teknologi.
Untuk itu diperlukan kesadaran dalam melakukan
proses keamanan informasi dengan memanfaatkan
teknologi secara bijaksana.
Tujuan kesadaran keamanan informasi adalah
untuk meningkatkan keamanan dengan melakukan
hal berikut (NIST SP, 80-100):
a. Pemilik, pengguna maupun custodian dari
informasi paham akan tanggung jawab mereka
terhadap sistem keamanan informasi dan
mengajar mereka bagaimana bentuk pengamanan
yang tepat sehingga membantu untuk mengubah
perilaku mereka menjadi lebih sadar akan
keamanan;
b. Mengembangkan kemampuan dan pengetahuan
sehingga pemilik, pengguna maupun custodian
informasi dapat melakukan pekerjaan mereka
dengan lebih aman;
c. Membangun pemahaman akan pengetahuan yang
diperlukan,
untuk
merancang,
mengimplementasikan, atau mengoperasikan
program pembinaan kesadaran keamanan
informasi untuk organisasi.
2.4. ISO-SNI/IEC 27001 : 2009
ISO-SNI/IEC 27001 merupakan standar nasional
Indonesia untuk sistem manajemen keamanan
informasi yang diadopsi dari ISO/IEC 27001 : 2005
yang digunakan untuk mendukung penyelenggaraan
keamanan TIK di instansi pemerintah Indonesia
khususnya dalam penerapan e-government.
ISO IEC 27001 : 2005 secara resmi diterbitkan
pada tanggal 15 Oktober 2005. ISO 27001: 2005
merupakan standar baru yang membatalkan dan
mengganti BS 7799-2 (diterbitkan pada tahun 2002
oleh BSI). BS lama 7799-2 standar keamanan
informasi yang telah usang dan telah resmi ditarik.
ISO IEC 27001 adalah standar manajemen keamanan
informasi. Standar ini mendefinisikan satu set
persyaratan manajemen keamanan informasi. Tujuan
dari ISO/ IEC 27001 adalah untuk membantu
organisasi membangun dan memelihara Sistem
Manajemen Keamanan Informasi (SMKI). ISO IEC
27001 berlaku untuk semua jenis organisasi. Tidak
peduli apa organisasinya dan dapat membantu
organisasi
memenuhi kebutuhan manajemen
keamanan informasi dan persyaratannya. ISO IEC
27001 merupakan daftar satu set tujuan pengendalian
dan kontrol. Semuanya tercantum dalam Lampiran A
dan berasal dari ISO/IEC 17799 : 2005 standar
keamanan informasi.
ISO/IEC 27001 yaitu kontrol keamanan terdiri
dari 11 klausul kontrol keamanan (security control
clauses), 39 objektif kontrol (control objectives) dan
133 kontrol keamanan/kontrol (controls).
Faktor penting dalam keberhasilan implementasi
ISO-SNI/IEC 27001 yaitu :
a. Kebijakan keamanan informasi, tujuan dan
kegiatan yang mencerminkan tujuan bisnis.
b. Suatu pendekatan dan kerangka kerja untuk
menerapkan, memelihara, memonitor dan
meningkatkan
keamanan
informasi
yang
konsisten dengan budaya organisasi.
c. Adanya dukungan dan komitmen dari semua
tingkat manajemen.
d. Sebuah pemahaman yang baik tentang
persyaratan
keamanan
informasi,
risiko
penilaian dan manajemen risiko;
e. Pemasaran keamanan informasi yang efektif
untuk semua manajer, karyawan, dan pihak lain
untuk mencapai kesadaran.
Menurut SNI - ISO/IEC 27001: 2009 dinyatakan
bahwa salah satu komponen penting yang harus
diperhatikan adalah sumber daya manusia dengan
memperhatikan sebagai berikut :
a. Sebelum dipekerjakan, keamanan sumber daya
manusia harus dipenuhi untuk memastikan
seluruh personel memahami akan tanggung jawab
dan perannya sehingga mengurangi risiko
pencurian, kecurangan atau penyalahgunaan
fasilitas.
b. Selama bekerja, personel harus diberikan
tanggung jawab yang ditetapkan dan kompeten
untuk melaksanakan tugas yang dipersyaratkan
dengan peduli akan relevansi dan pentingnya
kegiatan keamanan informasinya dan bagaimana
mereka
memberikan
kontribusi
terhadap
pencapaian sasaran sistem manajemen keamanan
informasi.
c. Selain kepedulian personel tersebut, peran
organisasi untuk meningkatkan keefektifan sistem
manajemen
keamanan
informasi
secara
berkelanjutan melalui kebijakan keamanan
informasi, sasaran keamanan informasi, tindakan
korektif dan pencegahan harus benar-benar
diperhatikan.
d. Kepedulian, pendidikan dan pelatihan keamanan
informasi merupakan salah satu bentuk
pengendalian untuk memastikan bahwa semua
personel telah peduli terhadap ancaman dan
masalah keamanan informasi.
e. Tanggung jawab dan pertanggunggugatan
mereka, dan disediakan perlengkapan yang
4
memadai untuk mendukung kebijakan keamanan
organisasi selama bekerja dan untuk mengurangi
risiko kesalahan manusia.
f. Seluruh personel harus menerima pelatihan
kepedulian dan kebijakan serta prosedur
organisasi yang mutakhir secara regular sesuai
dengan fungsi kerjanya.
ISO-SNI/IEC 27001 : 2009 mengidentifikasi
empat langkah penting dalam siklus kehidupan
pembinaan kesadaran keamanan informasi dengan
organisasi harus memastikan bahwa semua personel
yang diberikan tanggung jawab yang ditetapkan
dalam sistem manajemen keamanan informasi
kompeten untuk melaksanakan tugas yang
dipersyaratkan dengan :
a. Menetapkan kompetensi yang perlu untuk
personel yang melaksanakan pekerjaan yang
mempengaruhi sistem manajemen keamanan
informasi.
b. Menyediakan pelatihan atau mengambil tindakan
lainnya (misalnya mempekerjakan personel yang
kompeten) untuk memenuhi kebutuhan tersebut.
c. Mengevaluasi keefektifan tindakan yang diambil.
d. Memelihara rekaman pendidikan, pelatihan,
keterampilan, pengalaman dan kualifikasi.
Selain hal-hal tersebut diatas, faktor penting yang
menjadi kunci keberhasilan keamanan informasi
sebuah organisasi adalah komitmen manajemen.
Melalui komitmen manajemen diharapkan penetapan,
penerapan, pengoperasian, pemantauan, pengkajian,
pemeliharaan dan peningkatan SMKI dengan :
a. Menetapkan kebijakan SMKI;
b. Memastikan sasaran dan rencana SMKI telah
ditetapkan;
c. Menetapkan peran dan tanggung jawab untuk
keamanan informasi;
d. Mengkomunikasikan kepada organisasi tentang
pentingnya
memenuhi sasaran keamanan
informasi dan kesesuaian terhadap kebijakan
keamanan informasi, tanggung jawabnya
berdasarkan hukum dan kebutuhan untuk
peningkatan berkelanjutan;
e. Menyediakan sumber daya yang cukup untuk
menetapkan,
menerapkan,
mengoperasikan,
memantau,
mengkaji,
meningkatkan
dan
memelihara SMKI;
f. Memutuskan kriteria resiko yang dapat diterima
dan tingkat keberterimaan resiko;
g. Memastikan bahwa audit internal SMKI
dilaksanakan; dan
h. Melaksanakan
kajian
SMKI.(ISO-SNI/IEC
27001)
Melalui komitmen manajemen pembinaan
kesadaran keamanan informasi sumber daya manusia
dalam organisasi dapat berjalan secara efektif karena
didasari dengan kebijakan, pembagian peran dan
tanggung jawab yang jelas serta dukungan sumber
daya yang memadai.
2.5. Model Kesadaran Keamanan Informasi di
Lingkungan Instansi Pemerintah
Keberhasilan penerapan SMKI di instansi
pemerintah ditentukan oleh masing-masing instansi
yang harus sadar dengan kerentanan dan ancaman
potensial
terhadap
informasi
atau
sistem
informasinya. Setiap instansi harus sadar tentang
peran mereka dalam penerapan keamanan informasi
di organisasinya masing-masing maupun dalam
sistem pemerintahan Indonesia. Dalam hal keamanan
informasi, unsur manusia adalah elemen yang paling
penting dan menjadi kontributor besar dalam
penerapan keamanan informasi yang efektif. Dalam
hal ini ada dua kondisi penting yang harus dibangun
dalam lingkungan manusia:
a. Bertindak
secara
profesional
dan
etis.
Tujuannya adalah untuk memastikan bahwa
informasi yang berhubungan dengan keamanan
kegiatan dilakukan dengan cara yang handal,
bertanggung jawab dan efektif. Keamanan
informasi sangat bergantung pada kemampuan
profesional dalam instansi pemerintah untuk
melakukan perannya secara bertanggung jawab
dan dengan pemahaman yang jelas tentang
bagaimana integritas mereka memiliki dampak
langsung terhadap informasi yang diamankan.
Pelaku keamanan informasi harus berkomitmen
dengan standar kualitas yang tinggi dalam
pekerjaannya dan menunjukkan perilaku yang
konsisten serta etika dan penghormatan terhadap
kebutuhan bisnis, individu lain dan informasi
rahasia (pribadi). Para pelaku keamanan
informasi memahami peran dan tanggung jawab
mereka sebagai pemilik, pengguna maupun
custodian sistem keamanan informasi.
b. Mengembangkan
budaya
keamanan-positif.
Tujuannya adalah untuk memberikan pengaruh
keamanan yang positif pada perilaku end user ,
mengurangi kemungkinan insiden keamanan yang
terjadi dan membatasi dampak ancaman terhadap
keberlangsungan kinerja organisasi. Penekanan
harus ditempatkan pada membuat keamanan
informasi menjadi bagian penting dari ‘ritme
organisasi’, meningkatkan kesadaran keamanan
antara pengguna dan memastikan mereka
memiliki keterampilan yang dibutuhkan untuk
melindungi
informasi
penting
atau
rahasia/berklasifikasi
dan
sistem
dalam
organisasi. Pengguna harus disadarkan akan
risiko terhadap informasi rahasia/berklasifikasi
dan
bagaimana
penanganannya,
serta
diberdayakan untuk mengambil langkah yang
diperlukan untuk melindunginya.
Cara paling efektif untuk meningkatkan
kesadaran keamanan informasi di instansi pemerintah
yaitu melalui :
a. Sasaran yang baik untuk memulai langkah adalah
meningkatkan kesadaran di tingkat manajemen
tertinggi. Hal ini perlu dilakukan terkait
komitmen
manajemen
dalam
penetapan,
penerapan,
pengoperasian,
pemantauan,
pengkajian, pemeliharaan dan peningkatan SMKI
5
sebagai framework dalam pembinaan kesadaran
keamanan informasi di lingkungan instansi
pemerintah.
b. Menyusun strategi dan rencana untuk sistem
manajemen keamanan informasi, dihubungkan
secara eksplisit dengan rencana dan strategi
organisasi, sehingga seluruh unsur dan level
organisasi sulit menolak kebutuhan akan
keamanan informasi dalam mendukung kinerja
organisasi.
c. Pemetaan komunikasi dan hubungan kekuasaan
di tingkat manajemen yaitu bagan struktur
informal
untuk
manajemen
dan
aliran
informasinya, baik yang bersifat biasa maupun
rahasia/berklasifikasi. Hal ini dapat membantu
memahami
penanganan
dan
pengelolaan
informasi organisasi serta pengembangan
kemampuan dari pemilik, pengguna dan
custodian informasi.
d. Kerjasama efektif dengan pihak ketiga yang
memiliki kompetensi dalam bidang keamanan
informasi untuk merumuskan rencana dan
pendekatan,
dan
mengeksploitasi
potensi
organisasi dalam SMKI.
e. Menerapkan SMKI secara formal sehingga dapat
merubah mindset seluruh sumber daya manusia
organisasi sehingga dapat terlibat penuh dalam
penerapan SMKI sebagai sebuah tim.
f. Menjadikan insiden keamanan yang terjadi dalam
penerapan SMKI sebagai sebuah pembelajaran
bagi seluruh sumber daya manusia organisasi,
bukan sebagai kerugian atau cost organisasi.
g. Mengintegrasikan kontrol-kontrol keamanan
dalam SMKI ke dalam sistem yang sudah ada dan
berjalan di lingkungan instansi pemerintah,
misalnya : sistem informasi organisasi, sistem
kepegawaian, sistem akuntabilitas kinerja
organisasi, dan lain sebagainya.
h. Menerapkan SMKI secara menyeluruh di seluruh
level dan unsur organisasi (vertikal dan
horisontal) sehingga meminimalisir celah
ancaman dan meningkatkan pengendalian
manajemen dalam SMKI. Pembinaan kesadaran
keamanan informasi
dilaksanakan
secara
berjenjang (sesuai level manajemen), bertahap
dan berkesinambungan sehingga kesadaran
keamanan informasi sesuai dengan tugas dan
fungsi sumber daya manusia dalam organisasi
serta dapat melekat dan bertahan dalam periode
waktu yang lama.
Model kesadaran keamanan informasi di instansi
pemerintah seperti tampak pada Gambar 2 dapat
diuraikan sebagai berikut :
a. Faktor-faktor dari lingkungan luar organisasi
seperti perubahan konstelasi hukum, sosial
budaya, politik, ekonomi hingga ancaman teroris,
spionase serta hacker/cracker pada sistem
informasi organisasi dapat dianggap sebagai suatu
ancaman sehingga menjadi pemicu perlu
dilakukannya kesadaran keamanan informasi
dalam organisasi.
b. Tahap awal dalam kesadaran keamanan informasi
adalah menimbulkan kesadaran pada level
pimpinan puncak (eselon 1 dan 2). Hal ini perlu
dilakukan agar pimpinan puncak sadar akan
potensi ancaman dan resiko yang ditimbulkannya
serta pentingnya keamanan informasi sebagai
pendorong kebijakan keamanan informasi yang
bersifat strategis. Kesadaran pimpinan puncak
terhadap keamanan informasi tampak dari
kebijakan-kebijakan
yang
dihasilkannya.
Kebijakan
keamanan
informasi
tersebut
menunjukkan komitmen, dukungan anggaran,
pembagian tugas dan tanggung jawab dalam
organisasi serta adanya roadmap keamanan
informasi yang meliputi keamanan aspek teknis,
manajemen serta kompetensi sumber daya
manusia yang dibutuhkan.
c. Tahap selanjutnya dalam kesadaran keamanan
informasi adalah menimbulkan kesadaran pada
level pimpinan menengah (eselon 3). Dilanjutkan
dengan pemberian pelatihan yang bersifat teknis.
Hal ini perlu dilakukan agar pimpinan menengah
sadar dan memahami dasar-dasar keamanan dan
literasi yang terkait keamanan TI sehingga dapat
memformulasikan strategi taktis dari sistem
keamanan informasi yang sejalan dengan
kebutuhan proses bisnis organisasi dan dapat
meminimalisir resiko-resiko keamanan yang
terjadi. Dengan kesadaran tersebut diharapkan
pimpinan menengah dapat melaksanakan proses
kerja dan prosedur keamanan informasi dengan
baik, seperti : proses bisnis dan manajemen
resiko, perencanaan keamanan informasi,
perencanaan kesadaran keamanan, respon
terhadap
serangan/pelanggaran
keamanan,
pembuatan data cadangan, perencanaan kondisi
darurat, penggunaan aplikasi kriptografis yang
spesifik.
d. Tahap terakhir dalam kesadaran keamanan
informasi adalah menimbulkan kesadaran pada
level pimpinan terendah (eselon 4), fungsional
dan staf. Dilanjutkan dengan pemberian pelatihan
hingga pendidikan tingkat lanjut mengenai
keamanan informasi.Hal ini perlu dilakukan agar
pimpinan terendah, fungsional dan staf sadar
mengenai ancaman-ancaman yang dapat terjadi
terhadap informasi dan resiko yang terjadi jika
salah dalam penanganannya. Untuk itu
dibutuhkan pemahaman terhadap peran masingmasing sehingga dapat menyelenggarakan sistem
keamanan informasi sesuai dengan tugas dan
kewenangannya. Dengan cara ini diharapkan
pimpinan terendah, fungsional dan staf yang
menangani teknologi keamanan informasi secara
langsung dapat melaksanakan prosedur keamanan
jaringan dan informasi dengan baik, dapat
menerapkan keamanan fisik dan aplikasi
kriptografis, dapat menangani kesalahan6
kesalahan
yang
terjadi
serta
dapat
mengidentifikasi
serangan-serangan
dan
melakukan respon.
Dalam model kesadaran keamanan informasi di
lingkungan di lingkungan instansi pemerintah perlu
difokuskan pada hal-hal sebagai berikut :
a. Kesadaran harus ditekankan dan doktrin
terus mempertahankan budaya keamanan di
setiap tingkat sehingga menjadi komitmen
seluruh organisasi.
b. Untuk keberhasilan mempertahankan budaya
keamanan itu harus sejalan dengan komitmen
kuat dan kepemimpinan yang berorientasi pada
aspek keamanan yang tinggi.
c. Pelatihan harus diberikan karena peran dan
tanggung jawab terkait dengan keamanan TIK.
d. Pendidikan harus dilakukan untuk orang yang
memiliki integritas yang tinggi dan kompetensi
yang berkaitan dengan sistem keamanan TIK.
e. Untuk meningkatkan kesadaran keamanan
informasi di lingkungan instansi pemerintah,
idealnya pemahaman yang terkait kesadaran
keamanan informasi diberikan dalam bentuk
pelatihan dan pendidikan.
Penerapan dari model kesadaran keamanan
informasi perlu diintegrasikan ke dalam sistem yang
ada ataupun sedang berjalan di lingkungan instansi
pemerintah Indonesia. Salah satu sistem yang
dianggap efektif dalam mendukung terciptanya
kesadaran keamanan informasi adalah Pendidikan
dan Pelatihan Jabatan Pegawai Negeri Sipil (PNS)
sebagaimana
diamanahkan
dalam
Peraturan
Pemerintah 101 Tahun 2000.
a. Kesadaran keamanan informasi dapat diberikan
dalam bentuk pemberian materi-materi mengenai
ancaman-ancaman yang dapat terjadi dalam tata
kelola
TIK
serta
resiko-resiko
yang
ditimbulkannya. Materi-materi seperti ini
diberikan dalam pra- jabatan untuk calon PNS
atau workshop/seminar/lokakarya untuk level
pimpinan
puncak,
menengah,
dan
terendah/fungsional/staf.
b. Pelatihan keamanan informasi dapat diberikan
dalam bentuk pemberian materi-materi yang
bersifat teknis dan spesifik yang dibutuhkan
dalam keamanan informasi. Pelatihan tersebut
dapat berbentuk diklat fungsional maupun teknis.
Materi kesadaran keamanan informasi ini juga
dapat dberikan pada diklat-diklat kepemimpinan
dari level terendah hingga puncak. Materi yang
diberikan disesuaikan dengan level manajerial
dan tindakan yang diharapkan dalam keamanan
informasi organisasi. Untuk lebih memantapkan
pengetahuan dan ketrampilan sumber daya
manusia organisasi dalam keamanan informasi,
dapat diberikan sertifikasi sebagai bentuk
pengakuan dari organisasi.
c. Adapun pendidikan tingkat lanjut mengenai
keamanan informasi dapat dilakukan apabila
kebutuhan organisasi terhadap penanganan
ancaman dan resiko dalam keamanan informasi
semakin meningkat, sehingga menuntut sumber
daya manusia organisasi yang lebih kompeten
dalam menangani keamanan informasi. Materi
yang diberikan dalam pendidikan terkait
keamanan informasi menyangkut pengelolaan
keamanan jaringan dan informasi secara
menyeluruh. Diharapkan melalui pendidikan ini
akan diperoleh sumber daya manusia yang
memiliki kualifikasi sebagai pengelola keamanan
jaringan organisasi.
3. Kesimpulan
Gambar 2. Model Kesadaran Keamanan Informasi di
Instansi Pemerintah Indonesia
a. Penyelenggaraan tata kelola TIK dalam kerangka
e-government
di
Indonesia
memberikan
keuntungan/manfaat dan kerugian/ancaman pada
saat yang bersamaan.
b. Keamanan informasi mutlak diperlukan dalam
tata kelola TIK di lingkungan instansi pemerintah
7
c.
d.
e.
f.
untuk melindungi informasi rahasia/berklasifikasi
dari pihak yang tidak berkepentingan.
Kesadaran keamanan menjadi penting dalam
sistem keamanan informasi dimana tujuan dari
kegiatan tersebut adalah untuk menjamin seluruh
sumber daya manusia organisasi menyadari dan
peduli terhadap ancaman dan resiko yang dapat
terjadi. Hal ini menjadi bekal utama dalam
penerapan kebijakan keamanan informasi dalam
kegiatan organisasi sehari-hari.
Melalui sumber daya manusia yang kompeten
dalam keamanan informasi, nilai informasi akan
dikelola dengan baik sehingga informasi yang
tepat akan dikirimkan pada waktu yang tepat dan
dalam bentuk yang tepat.
Keberhasilan penerapan sistem keamanan
informasi tergantung pada dukungan manajemen
melalui kepemimpinan dan komitmen pada
keamanan.
Program kesadaran keamanan harus disinergikan
dan diintegrasikan dengan sistem lain di instansi
pemerintah seperti pengelolaan sumber daya
manusia, keuangan dan TIK sehingga dapat
mengoptimalkan penerapan sistem keamanan
informasi dalam mendukung tercapainya tujuan
organisasi.
[9] National Institute of Standards and Technology
Special Publication (NIST SP) 800-59,
Guideline for Identifying an Informastion
System as a National Security System.
[10] Ronald L. Krutz and Russell Dean Vines, 2007,
The CISSP and CAP Prep Guide: Platinum
Edition, John Wiley & Sons.
[11] National Institute of Standards and Technology
Special Publication (NIST SP) 800-100,
Information Security Handbook: A Guide for
Managers.
[12] ISO-SNI/IEC 27001 : 2009, Sistem Manajemen
Keamanan Informasi, Badan Standarisasi
Nasional.
[13] Data Breach Investigation Report – Verizon,
2010.
[14] http://www.zone-h.org diakses terakhir tanggal
5 April 2012 pukul 13:30 WIB.
[15]http://www.iso27001security.com
diakses
terakhir kali pada 6 April 2012 pukul 23.10
WIB.
DAFTAR PUSTAKA
[1] Instruksi Presiden Nomor 3 Tahun 2003 tentang
Kebijakan dan Strategi Nasional Pengembangan
E-Government.
[2] Direktorat Keamanan Informasi Kominfo,
Panduan Penerapan Tata Kelola Keamanan
Informasi bagi Penyelenggara Pelayanan
Publik,2011.
[3] Gartner Security and Risk Management Summit
tahun 2011.
[4] InfoSecurity Europe, 2010, Information Security
Breaches Survey 2010 (ISBS-2010) : Technical
Report,
www.infosec.co.uk/files/isbs_2010_technical_re
port_single_pages.pdf, diakses terakhir tanggal 5
April 2012 jam 13.00. WIB.
[5] Global State of Information Security Survey
2012, diakses terakhir tanggal 5 April 2012 jam
13.30. WIB.
[6] Kevin D. Mitnick and William L. Simon, 2002,
The Art of Deception, Wiley Publishing, Inc.
[7]http://kadipatentecnology.blogspot.com/2010/11/d
efinisi-model-dan-simulasi.html diakses 6 April
2012 pukul 22.30 WIB.
[8] Hal Tipton and Micki Krause, 2005, Handbook
of Information Security Management, CRC
Press LLC.
8
9
Berdasarkan ISO-SNI/IEC 27001 : 2009 Sistem Manajemen Keamanan Informasi
Jumiati1 dan Tri Wahyudi2
1
Unit Penelitian dan Pengabdian Masyarakat Sekolah Tinggi Sandi Negara
2
Program Studi Manajemen Persandian Sekolah Tinggi Sandi Negara
jumiati@stsn-nci.ac.id, tri.wahyudi@stsn-nci.ac.id
Abstrak
Tata kelola Teknologi Informasi dan Komunikasi (TIK) dewasa ini telah menjadi suatu kebutuhan seluruh
instansi pemerintah di Indonesia dalam mewujudkan good corporate governance. Tata kelola TIK harus
didukung dengan keamanan informasi agar kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan
(availability) informasi dapat terjaga dari segala ancaman yang akan mengganggu keberlangsungan kinerja
organisasi, khususnya penyelenggaraan TIK dalam lingkup pemerintahan.
Dalam hal keamanan informasi penyelenggaraan TIK di lingkup pemerintahan, faktor sumber daya manusia
merupakan unsur penggerak sekaligus unsur terlemah yang perlu ditingkatkan kapasitas dan kapabilitasnya
agar tata kelola TIK dapat berjalan secara efektif dan aman. ISO-SNI/IEC 2700 : 2009 dapat dijadikan sebagai
framework manajemen keamanan informasi instansi pemerintah Indonesia karena ruang lingkup yang
komprehensif dan sistematis sehingga lebih mudah diterapkan, meskipun hingga saat ini masih banyak instansi
pemerintah Indonesia belum atau masih menyusun kerangka keamanan informasi yang memenuhi standar ISOSNI/IEC 27001 : 2009.
Pada makalah ini akan dibahas model kesadaran keamanan informasi di lingkungan instansi pemerintah
Indonesia berdasarkan ISO-SNI/IEC 27001:2009 yang dapat dijadikan acuan dalam penyelenggaraan TIK di
lingkup pemerintahan.
Kata Kunci : Tata Kelola TIK, Keamanan Informasi, Kesadaran Keamananan Informasi, ISO-SNI/IEC
27001:2009.
1. Pendahuluan
Perkembangan teknologi informasi saat ini telah
membawa masyarakat Indonesia dalam suatu
peradaban baru yaitu e-civilization. Peradaban yang
dipicu dan difasilitasi oleh perkembangan teknologi
informasi ini memudahkan masyarakat Indonesia
dalam berinteraksi dan berkomunikasi sehingga dapat
saling berhubungan kapan saja, dimana saja dan
tanpa mengenal batas. Fenomena ini tidak hanya
berkembang di masyarakat luas namun juga di
lingkungan instansi pemerintah di Indonesia. Hal ini
sejalan dengan dinamika masyarakat dan upaya
pemenuhan kebutuhannya yang selalu berkembang
sehingga pemerintah Indonesia berupaya untuk
meningkatkan proses kerja dan pelayanannya melalui
penerapan e-government. Pemerintah harus mampu
memanfaatkan kemajuan teknologi informasi untuk
meningkatkan kemampuan mengolah, mengelola,
menyalurkan, dan mendistribusikan informasi dan
pelayanan publik(Inpres 3 Tahun 2003). Melalui tata
kelola Teknologi Informasi dan Komunikasi (TIK)
diharapkan dapat diwujudkan good corporate
governance yang dapat mendukung pelaksanaan
tugas dan fungsi pemerintahan di Indonesia.
Disamping manfaat dari penerapan egovernment, ada beberapa kerugian atau ancaman
dari pihak yang tidak berkepentingan terhadap
informasi yang dimiliki oleh pemerintah yang akan
berpengaruh terhadap stabilitas keamanan nasional.
Dalam penerapan e-government, tata kelola TIK yang
diselenggarakan pemerintah harus memperhatikan
aspek keamanan informasi. Meskipun keamanan
informasi telah dijadikan kerangka dasar dalam
penerapan e-government di Indonesia (Inpres 3
Tahun 2003), permasalahan terkait kerahasiaan
(confidentiality),
keutuhan
(integrity)
dan
ketersediaan (availability) informasi yang dimiliki
instansi pemerintah sering terjadi. Hal ini disebabkan
perkembangan teknologi dan lingkungan organisasi
yang lebih terbuka di jaringan interkoneksi global
menyebabkan kerentanan tinggi dan ancaman yang
lebih kreatif. Fenomena tersebut terlihat dari
ancaman-ancaman yang terjadi pada jaringan
maupun informasi berklasifikasi milik pemerintah
Indonesia, antara lain:
a. Serangan-serangan terhadap website pemerintah,
seperti :
1
1) Terjadi beberapa tindakan perusakan pada
beberapa situs berakhir dengan go.id.
Kejadian terbaru adalah situs Kejaksaan
Agung (www.kejaksaan.go.id), Lembaga
Ketahanan Nasional www.lemhannas.go.id,
hanya dua hari setelah situs resmi Kepolisian
Negara Republik Indonesia (www.polri.go.id)
dan
Kementerian
Sekretariat
Negara
(www.setneg.go.id).
2) Jaringan
komputer
di
Kemkominfo
(www.depkominfo.go.id)
telah
lumpuh
selama tiga minggu oleh serangan hacker.
Situs dari Mabes TNI dan Pertamina juga
mendapat serangan hacker.
3) Sampai pertengahan tahun 2011, sebanyak 3
juta kali situs pemerintah diserang oleh
hacker. Meskipun serangan itu akhirnya
berhasil diatasi oleh para ahli teknologi
informasi dan komunikasi (TIK), serangan itu
membuktikan kebutuhan pertahanan intensif
dan sistem keamanan terus menerus.
Berdasarkan data dari situs www.zone-h.org
tentang serangan di Indonesia dari bulan
September 2011 sampai April 2012, jumlah
serangan pada go.id sebanyak 1.250 kali atau
sebanyak tujuh website instansi pemerintah
yang diserang dalam satu hari, sejak tahun
1998 sampai dengan April 2012 sudah 6.856
kali serangan.
b. Beberapa kebocoran informasi berupa pencurian
file pada laptop delegasi pemerintah Indonesia di
Seoul, Korea Selatan; informasi dari Wikileaks
yang memberitakan tentang penyalahgunaan
kekuasaan oleh keluarga Presiden SBY.
Berdasarkan fenomena diatas, Kementerian
Komunikasi dan Informatika menerbitkan panduan
penerapan tata kelola keamanan informasi bagi
penyelenggara pelayanan publik (Ditkaminfo, 2011)
yang dapat dijadikan acuan dalam membenahi,
membangun dan menerapkan keamanan informasi di
lingkungan instansi pemerintah. Panduan tersebut
didasarkan pada Sistem Manajemen Keamanan
Informasi ISO-SNI/IEC 27001:2009. Namun
penerapan ISO-SNI/IEC 27001:2009 maupun
panduan yang diterbitkan Kemenkominfo belum
optimal karena faktor sumber daya manusia yang
menjadi penggerak dalam penyelenggaraan tata
kelola TIK yang efektif dan aman belum menjadi
prioritas dalam pengelolaannya.
Dalam hal keamanan informasi, unsur manusia
adalah elemen yang paling penting dan harus menjadi
perhatian awal dalam penyelenggaraan TIK di
lingkungan instansi pemerintah. Berdasarkan Gartner
Security and Risk Management Summit tahun 2011,
menyatakan bahwa 46% dari peserta yang disurvei
telah mengalami beberapa bentuk ancaman insider
pada organisasi mereka saat ini, namun yang lebih
mengejutkan, satu dari tiga profesional keamanan
informasi mengakui bahwa mereka telah melanggar
kebijakan keamanan internal yang mereka ciptakan
dalam rangka untuk menyelesaikan tugas yang
berhubungan dengan pekerjaan taktis yang cepat
dan/atau mudah. Produktivitas dibandingkan dengan
serangan keamanan informasi terus menciptakan
masalah bagi organisasi. Para pegawai, termasuk
para profesional keamanan informasi akan
melakukan apa saja untuk mendapatkan pekerjaan
yang dilakukan, terlepas dari kebijakan atau risiko
keamanan.
Menurut laporan bisnis terbaru dari Data Breach
Investigation Report - Verizon, ancaman orang dalam
adalah salah satu sumber utama kebocoran data dan
pencurian. Temuan menunjukkan bahwa hampir satu
dari tiga pelanggaran selama dua tahun terakhir
datang sebagai hasil dari serangan orang dalam, dan
pada tahun 2010, 93% dari pelanggaran insider
dianggap disengaja melakukan serangan berbahaya,
naik 3% persen dibanding tahun sebelumnya. Hasil
survey dari InfoSecurity Europe pada Information
Security Breaches Survey 2010 terhadap tipe-tipe
pelanggaran keamanan infromasi dapat dilihat pada
gambar dibawah ini :
Gambar 1. Diagram Prosentase Tipe Pelanggaran
terhadap Keamanan Informasi
Dari data pelanggaran diatas, terlihat bahwa
penyebab mayoritas pelanggaran keamanan dalam
penyelenggaraan TIK organisasi adalah manusia baik
secara individu maupun berkelompok. Sumber daya
manusia dalam organisasi menjadi salah satu
ancaman potensial dalam keamanan informasi,
sebagaimana hasil yang ditunjukkan Global State of
Information Security Survey 2012 yang menunjukkan
pelaku pelanggaran keamanan informasi seperti
tampak dalam tabel dibawah ini :
2
Tabel 1. Sumber Pelanggar Keamanan Informasi
Dari tabel diatas, tampak bahwa sumber daya
manusia baik yang masih aktif bekerja, tidak aktif
bekerja maupun pihak ketiga yang terkait dengan
kegiatan organisasi menjadi salah satu potensi
ancaman terhadap keamanan informasi organisasi.
Mitnick dan Simon menyatakan manusia merupakan
faktor utama dan penting dalam keamanan informasi
selain teknologi, karena manusia merupakan rantai
terlemah dalam rantai keamanan (Kevin,2002). Oleh
sebab itu, dimensi manusia perlu selalu dibina
dengan baik agar segala bentuk ancaman dapat
dihindari. Salah satu cara yang dapat dilakukan
adalah dengan menumbuhkan kesadaran akan
pentingnya keamanan informasi.
Saat ini masih banyak instansi pemerintah
Indonesia belum atau masih menyusun kerangka
keamanan informasi yang memenuhi standar,
sedangkan kondisi instansi pemerintah terdiri atas 3
Kementerian Koordinator, 31 Kementerian, 28
LPNK, 6 Komisi Negara, TNI, Polri, dan Kejaksaan,
33 Pemerintah Provinsi, 497 Pemerintah Kabupaten/
Kota, merupakan sebuah potensi besar dalam
menjadikan keamanan informasi sebagai framework
penyelenggaraan TIK melalui pembinaan kesadaran
keamanan informasi di lingkungan instansi
pemerintah. Agar pembinaan kesadaran keamanan
informasi
dapat
berjalan
efektif
dan
berkesinambungan, pemerintah perlu menerapkan
kesadaran keamanan informasi sesuai dengan standar
yang ada. Salah satu standar yang dapat digunakan
dalam pembinaan keamanan informasi adalah ISOSNI/IEC 27001 Sistem Manajemen Keamanan
Informasi.
2. Kajian
2.1. Model
Definisi model menurut Kamus Besar Bahasa
Indonesia adalah pola (contoh, acuan, ragam, dan
sebagainya) dari sesuatu yang akan dibuat atau
dihasilkan. Definisi lain dari model adalah
representasi sistem yang disederhanakan (pada suatu
ruang dan waktu) untuk meningkatkan pengertian
terhadap sistem yang sebenarnya (www.kadipatentechnology.com). Model yang dimaksud dalam
kesadaran keamanan informasi merupakan sistem
penerapan kesadaran keamanan informasi pada
instansi pemerintah.
2.2. Keamanan Informasi
Informasi yang merupakan aset harus dilindungi
keamanannya.
Keamanan
informasi
adalah
melindungi informasi dari berbagai ancaman untuk
menjamin kelangsungan usaha, meminimalisasi
kerusakan akibat terjadinya ancaman, serta
mempercepat kembalinya investasi dan peluang
usaha (Tipton, 2005). Atau dengan kata lain
keamanan informasi merupakan upaya melindungi
informasi dan sistem informasi dari akses yang
dilakukan oleh pihak yang tidak bertanggung jawab,
penggunaan, penyingkapan, gangguan, modifikasi,
atau perusakan
untuk menjaga integritas,
kerahasiaan, dan ketersediaan informasi (NIST SP,
800-59).
Setiap individu dalam organisasi memiliki peran
yang berbeda-beda terhadap informasi. Merupakan
hal yang penting bagi seluruh anggota organisasi
untuk memahami bagaimana peran dan tanggung
jawab mereka terhadap informasi. Unsur utama yang
menjadi subyek dari informasi adalah peran
pengguna, pemilik, atau custodian terhadap informasi
(Ronald, 2007).
a. Owner /Pemilik
Pemilik bertanggung jawab atas informasi yang
harus dilindungi. Pemilik informasi memiliki
tanggung jawab terakhir untuk perlindungan data,
dan sesuai dengan konsep kehati-hatian, pemilik
dapat bertanggung jawab atas kelalaian atau
kegagalannya untuk melindungi informasi yang
sensitif. Namun fungsi perlindungan data sehariharinya ditugaskan kepada custodian. Salah satu
tugas penting dari pemilik adalah menentukan
tingkat klasifikasi informasi yang diperlukan
yang didasarkan pada kebutuhan organisasi untuk
melindungi data serta memastikan bahwa setiap
tingkat klasifikasi informasi memperoleh kontrol
pengamanan yang tepat.
b. Custodian
Custodian adalah pihak yang bertanggung jawab
untuk melindungi informasi yang diberikan oleh
pemiliknya. Custodian bertanggung jawab untuk
menjaga tiga aspek dasar informasi, yaitu
kerahasiaan
(confidentiality),
integritas
(integrity), dan ketersediaan (availability)
informasi. Dalam aplikasinya, custodian harus
mampu menentukan teknologi pengamanan yang
tepat sesuai dengan klasifikasi informasi yang
diamankan, baik secara fisik (firewall, access
control) dan lojik (enkripsi, otentikasi). Dan
untuk meningkatkan efisiensi dan efektifitas
keamanan, custodian harus mampu merumuskan
prosedur operasi standar sesuai dengan kebijakan
dan aturan yang ditentukan oleh pemilik.
c. User /Pengguna
Pengguna adalah pihak yang dianggap secara
rutin menggunakan informasi sebagai bagian dari
pekerjaannya. Pengguna juga dapat dianggap
konsumen
data,
yang
sehari-harinya
membutuhkan akses ke informasi untuk
melaksanakan tugas-tugas mereka. Pengguna
harus mengikuti prosedur operasi yang ditetapkan
dalam kebijakan keamanan organisasi, dan
3
mereka harus mematuhi prosedur yang telah
dipublikasikan. Selain itu, pengguna harus benarbenar peduli untuk mengamankan informasi yang
sensitif sesuai dengan kebijakan keamanan
informasi dan penggunaannya.
2.3.Kesadaran Keamanan Informasi
Kesadaran merupakan poin atau titik awal untuk
sumber daya manusia organisasi dalam mengejar
atau memahami pengetahuan mengenai keamanan
teknologi informasi. Dengan adanya kesadaran
pengamanan, seorang pegawai dapat memfokuskan
perhatiannya
pada
sebuah
atau
sejumlah
permasalahan atau ancaman-ancaman yang mungkin
terjadi [11]. Keamanan bukan hanya sebuah alat,
tetapi merupakan sistem terintegrasi menyeluruh
yang melibatkan manusia, proses dan teknologi.
Untuk itu diperlukan kesadaran dalam melakukan
proses keamanan informasi dengan memanfaatkan
teknologi secara bijaksana.
Tujuan kesadaran keamanan informasi adalah
untuk meningkatkan keamanan dengan melakukan
hal berikut (NIST SP, 80-100):
a. Pemilik, pengguna maupun custodian dari
informasi paham akan tanggung jawab mereka
terhadap sistem keamanan informasi dan
mengajar mereka bagaimana bentuk pengamanan
yang tepat sehingga membantu untuk mengubah
perilaku mereka menjadi lebih sadar akan
keamanan;
b. Mengembangkan kemampuan dan pengetahuan
sehingga pemilik, pengguna maupun custodian
informasi dapat melakukan pekerjaan mereka
dengan lebih aman;
c. Membangun pemahaman akan pengetahuan yang
diperlukan,
untuk
merancang,
mengimplementasikan, atau mengoperasikan
program pembinaan kesadaran keamanan
informasi untuk organisasi.
2.4. ISO-SNI/IEC 27001 : 2009
ISO-SNI/IEC 27001 merupakan standar nasional
Indonesia untuk sistem manajemen keamanan
informasi yang diadopsi dari ISO/IEC 27001 : 2005
yang digunakan untuk mendukung penyelenggaraan
keamanan TIK di instansi pemerintah Indonesia
khususnya dalam penerapan e-government.
ISO IEC 27001 : 2005 secara resmi diterbitkan
pada tanggal 15 Oktober 2005. ISO 27001: 2005
merupakan standar baru yang membatalkan dan
mengganti BS 7799-2 (diterbitkan pada tahun 2002
oleh BSI). BS lama 7799-2 standar keamanan
informasi yang telah usang dan telah resmi ditarik.
ISO IEC 27001 adalah standar manajemen keamanan
informasi. Standar ini mendefinisikan satu set
persyaratan manajemen keamanan informasi. Tujuan
dari ISO/ IEC 27001 adalah untuk membantu
organisasi membangun dan memelihara Sistem
Manajemen Keamanan Informasi (SMKI). ISO IEC
27001 berlaku untuk semua jenis organisasi. Tidak
peduli apa organisasinya dan dapat membantu
organisasi
memenuhi kebutuhan manajemen
keamanan informasi dan persyaratannya. ISO IEC
27001 merupakan daftar satu set tujuan pengendalian
dan kontrol. Semuanya tercantum dalam Lampiran A
dan berasal dari ISO/IEC 17799 : 2005 standar
keamanan informasi.
ISO/IEC 27001 yaitu kontrol keamanan terdiri
dari 11 klausul kontrol keamanan (security control
clauses), 39 objektif kontrol (control objectives) dan
133 kontrol keamanan/kontrol (controls).
Faktor penting dalam keberhasilan implementasi
ISO-SNI/IEC 27001 yaitu :
a. Kebijakan keamanan informasi, tujuan dan
kegiatan yang mencerminkan tujuan bisnis.
b. Suatu pendekatan dan kerangka kerja untuk
menerapkan, memelihara, memonitor dan
meningkatkan
keamanan
informasi
yang
konsisten dengan budaya organisasi.
c. Adanya dukungan dan komitmen dari semua
tingkat manajemen.
d. Sebuah pemahaman yang baik tentang
persyaratan
keamanan
informasi,
risiko
penilaian dan manajemen risiko;
e. Pemasaran keamanan informasi yang efektif
untuk semua manajer, karyawan, dan pihak lain
untuk mencapai kesadaran.
Menurut SNI - ISO/IEC 27001: 2009 dinyatakan
bahwa salah satu komponen penting yang harus
diperhatikan adalah sumber daya manusia dengan
memperhatikan sebagai berikut :
a. Sebelum dipekerjakan, keamanan sumber daya
manusia harus dipenuhi untuk memastikan
seluruh personel memahami akan tanggung jawab
dan perannya sehingga mengurangi risiko
pencurian, kecurangan atau penyalahgunaan
fasilitas.
b. Selama bekerja, personel harus diberikan
tanggung jawab yang ditetapkan dan kompeten
untuk melaksanakan tugas yang dipersyaratkan
dengan peduli akan relevansi dan pentingnya
kegiatan keamanan informasinya dan bagaimana
mereka
memberikan
kontribusi
terhadap
pencapaian sasaran sistem manajemen keamanan
informasi.
c. Selain kepedulian personel tersebut, peran
organisasi untuk meningkatkan keefektifan sistem
manajemen
keamanan
informasi
secara
berkelanjutan melalui kebijakan keamanan
informasi, sasaran keamanan informasi, tindakan
korektif dan pencegahan harus benar-benar
diperhatikan.
d. Kepedulian, pendidikan dan pelatihan keamanan
informasi merupakan salah satu bentuk
pengendalian untuk memastikan bahwa semua
personel telah peduli terhadap ancaman dan
masalah keamanan informasi.
e. Tanggung jawab dan pertanggunggugatan
mereka, dan disediakan perlengkapan yang
4
memadai untuk mendukung kebijakan keamanan
organisasi selama bekerja dan untuk mengurangi
risiko kesalahan manusia.
f. Seluruh personel harus menerima pelatihan
kepedulian dan kebijakan serta prosedur
organisasi yang mutakhir secara regular sesuai
dengan fungsi kerjanya.
ISO-SNI/IEC 27001 : 2009 mengidentifikasi
empat langkah penting dalam siklus kehidupan
pembinaan kesadaran keamanan informasi dengan
organisasi harus memastikan bahwa semua personel
yang diberikan tanggung jawab yang ditetapkan
dalam sistem manajemen keamanan informasi
kompeten untuk melaksanakan tugas yang
dipersyaratkan dengan :
a. Menetapkan kompetensi yang perlu untuk
personel yang melaksanakan pekerjaan yang
mempengaruhi sistem manajemen keamanan
informasi.
b. Menyediakan pelatihan atau mengambil tindakan
lainnya (misalnya mempekerjakan personel yang
kompeten) untuk memenuhi kebutuhan tersebut.
c. Mengevaluasi keefektifan tindakan yang diambil.
d. Memelihara rekaman pendidikan, pelatihan,
keterampilan, pengalaman dan kualifikasi.
Selain hal-hal tersebut diatas, faktor penting yang
menjadi kunci keberhasilan keamanan informasi
sebuah organisasi adalah komitmen manajemen.
Melalui komitmen manajemen diharapkan penetapan,
penerapan, pengoperasian, pemantauan, pengkajian,
pemeliharaan dan peningkatan SMKI dengan :
a. Menetapkan kebijakan SMKI;
b. Memastikan sasaran dan rencana SMKI telah
ditetapkan;
c. Menetapkan peran dan tanggung jawab untuk
keamanan informasi;
d. Mengkomunikasikan kepada organisasi tentang
pentingnya
memenuhi sasaran keamanan
informasi dan kesesuaian terhadap kebijakan
keamanan informasi, tanggung jawabnya
berdasarkan hukum dan kebutuhan untuk
peningkatan berkelanjutan;
e. Menyediakan sumber daya yang cukup untuk
menetapkan,
menerapkan,
mengoperasikan,
memantau,
mengkaji,
meningkatkan
dan
memelihara SMKI;
f. Memutuskan kriteria resiko yang dapat diterima
dan tingkat keberterimaan resiko;
g. Memastikan bahwa audit internal SMKI
dilaksanakan; dan
h. Melaksanakan
kajian
SMKI.(ISO-SNI/IEC
27001)
Melalui komitmen manajemen pembinaan
kesadaran keamanan informasi sumber daya manusia
dalam organisasi dapat berjalan secara efektif karena
didasari dengan kebijakan, pembagian peran dan
tanggung jawab yang jelas serta dukungan sumber
daya yang memadai.
2.5. Model Kesadaran Keamanan Informasi di
Lingkungan Instansi Pemerintah
Keberhasilan penerapan SMKI di instansi
pemerintah ditentukan oleh masing-masing instansi
yang harus sadar dengan kerentanan dan ancaman
potensial
terhadap
informasi
atau
sistem
informasinya. Setiap instansi harus sadar tentang
peran mereka dalam penerapan keamanan informasi
di organisasinya masing-masing maupun dalam
sistem pemerintahan Indonesia. Dalam hal keamanan
informasi, unsur manusia adalah elemen yang paling
penting dan menjadi kontributor besar dalam
penerapan keamanan informasi yang efektif. Dalam
hal ini ada dua kondisi penting yang harus dibangun
dalam lingkungan manusia:
a. Bertindak
secara
profesional
dan
etis.
Tujuannya adalah untuk memastikan bahwa
informasi yang berhubungan dengan keamanan
kegiatan dilakukan dengan cara yang handal,
bertanggung jawab dan efektif. Keamanan
informasi sangat bergantung pada kemampuan
profesional dalam instansi pemerintah untuk
melakukan perannya secara bertanggung jawab
dan dengan pemahaman yang jelas tentang
bagaimana integritas mereka memiliki dampak
langsung terhadap informasi yang diamankan.
Pelaku keamanan informasi harus berkomitmen
dengan standar kualitas yang tinggi dalam
pekerjaannya dan menunjukkan perilaku yang
konsisten serta etika dan penghormatan terhadap
kebutuhan bisnis, individu lain dan informasi
rahasia (pribadi). Para pelaku keamanan
informasi memahami peran dan tanggung jawab
mereka sebagai pemilik, pengguna maupun
custodian sistem keamanan informasi.
b. Mengembangkan
budaya
keamanan-positif.
Tujuannya adalah untuk memberikan pengaruh
keamanan yang positif pada perilaku end user ,
mengurangi kemungkinan insiden keamanan yang
terjadi dan membatasi dampak ancaman terhadap
keberlangsungan kinerja organisasi. Penekanan
harus ditempatkan pada membuat keamanan
informasi menjadi bagian penting dari ‘ritme
organisasi’, meningkatkan kesadaran keamanan
antara pengguna dan memastikan mereka
memiliki keterampilan yang dibutuhkan untuk
melindungi
informasi
penting
atau
rahasia/berklasifikasi
dan
sistem
dalam
organisasi. Pengguna harus disadarkan akan
risiko terhadap informasi rahasia/berklasifikasi
dan
bagaimana
penanganannya,
serta
diberdayakan untuk mengambil langkah yang
diperlukan untuk melindunginya.
Cara paling efektif untuk meningkatkan
kesadaran keamanan informasi di instansi pemerintah
yaitu melalui :
a. Sasaran yang baik untuk memulai langkah adalah
meningkatkan kesadaran di tingkat manajemen
tertinggi. Hal ini perlu dilakukan terkait
komitmen
manajemen
dalam
penetapan,
penerapan,
pengoperasian,
pemantauan,
pengkajian, pemeliharaan dan peningkatan SMKI
5
sebagai framework dalam pembinaan kesadaran
keamanan informasi di lingkungan instansi
pemerintah.
b. Menyusun strategi dan rencana untuk sistem
manajemen keamanan informasi, dihubungkan
secara eksplisit dengan rencana dan strategi
organisasi, sehingga seluruh unsur dan level
organisasi sulit menolak kebutuhan akan
keamanan informasi dalam mendukung kinerja
organisasi.
c. Pemetaan komunikasi dan hubungan kekuasaan
di tingkat manajemen yaitu bagan struktur
informal
untuk
manajemen
dan
aliran
informasinya, baik yang bersifat biasa maupun
rahasia/berklasifikasi. Hal ini dapat membantu
memahami
penanganan
dan
pengelolaan
informasi organisasi serta pengembangan
kemampuan dari pemilik, pengguna dan
custodian informasi.
d. Kerjasama efektif dengan pihak ketiga yang
memiliki kompetensi dalam bidang keamanan
informasi untuk merumuskan rencana dan
pendekatan,
dan
mengeksploitasi
potensi
organisasi dalam SMKI.
e. Menerapkan SMKI secara formal sehingga dapat
merubah mindset seluruh sumber daya manusia
organisasi sehingga dapat terlibat penuh dalam
penerapan SMKI sebagai sebuah tim.
f. Menjadikan insiden keamanan yang terjadi dalam
penerapan SMKI sebagai sebuah pembelajaran
bagi seluruh sumber daya manusia organisasi,
bukan sebagai kerugian atau cost organisasi.
g. Mengintegrasikan kontrol-kontrol keamanan
dalam SMKI ke dalam sistem yang sudah ada dan
berjalan di lingkungan instansi pemerintah,
misalnya : sistem informasi organisasi, sistem
kepegawaian, sistem akuntabilitas kinerja
organisasi, dan lain sebagainya.
h. Menerapkan SMKI secara menyeluruh di seluruh
level dan unsur organisasi (vertikal dan
horisontal) sehingga meminimalisir celah
ancaman dan meningkatkan pengendalian
manajemen dalam SMKI. Pembinaan kesadaran
keamanan informasi
dilaksanakan
secara
berjenjang (sesuai level manajemen), bertahap
dan berkesinambungan sehingga kesadaran
keamanan informasi sesuai dengan tugas dan
fungsi sumber daya manusia dalam organisasi
serta dapat melekat dan bertahan dalam periode
waktu yang lama.
Model kesadaran keamanan informasi di instansi
pemerintah seperti tampak pada Gambar 2 dapat
diuraikan sebagai berikut :
a. Faktor-faktor dari lingkungan luar organisasi
seperti perubahan konstelasi hukum, sosial
budaya, politik, ekonomi hingga ancaman teroris,
spionase serta hacker/cracker pada sistem
informasi organisasi dapat dianggap sebagai suatu
ancaman sehingga menjadi pemicu perlu
dilakukannya kesadaran keamanan informasi
dalam organisasi.
b. Tahap awal dalam kesadaran keamanan informasi
adalah menimbulkan kesadaran pada level
pimpinan puncak (eselon 1 dan 2). Hal ini perlu
dilakukan agar pimpinan puncak sadar akan
potensi ancaman dan resiko yang ditimbulkannya
serta pentingnya keamanan informasi sebagai
pendorong kebijakan keamanan informasi yang
bersifat strategis. Kesadaran pimpinan puncak
terhadap keamanan informasi tampak dari
kebijakan-kebijakan
yang
dihasilkannya.
Kebijakan
keamanan
informasi
tersebut
menunjukkan komitmen, dukungan anggaran,
pembagian tugas dan tanggung jawab dalam
organisasi serta adanya roadmap keamanan
informasi yang meliputi keamanan aspek teknis,
manajemen serta kompetensi sumber daya
manusia yang dibutuhkan.
c. Tahap selanjutnya dalam kesadaran keamanan
informasi adalah menimbulkan kesadaran pada
level pimpinan menengah (eselon 3). Dilanjutkan
dengan pemberian pelatihan yang bersifat teknis.
Hal ini perlu dilakukan agar pimpinan menengah
sadar dan memahami dasar-dasar keamanan dan
literasi yang terkait keamanan TI sehingga dapat
memformulasikan strategi taktis dari sistem
keamanan informasi yang sejalan dengan
kebutuhan proses bisnis organisasi dan dapat
meminimalisir resiko-resiko keamanan yang
terjadi. Dengan kesadaran tersebut diharapkan
pimpinan menengah dapat melaksanakan proses
kerja dan prosedur keamanan informasi dengan
baik, seperti : proses bisnis dan manajemen
resiko, perencanaan keamanan informasi,
perencanaan kesadaran keamanan, respon
terhadap
serangan/pelanggaran
keamanan,
pembuatan data cadangan, perencanaan kondisi
darurat, penggunaan aplikasi kriptografis yang
spesifik.
d. Tahap terakhir dalam kesadaran keamanan
informasi adalah menimbulkan kesadaran pada
level pimpinan terendah (eselon 4), fungsional
dan staf. Dilanjutkan dengan pemberian pelatihan
hingga pendidikan tingkat lanjut mengenai
keamanan informasi.Hal ini perlu dilakukan agar
pimpinan terendah, fungsional dan staf sadar
mengenai ancaman-ancaman yang dapat terjadi
terhadap informasi dan resiko yang terjadi jika
salah dalam penanganannya. Untuk itu
dibutuhkan pemahaman terhadap peran masingmasing sehingga dapat menyelenggarakan sistem
keamanan informasi sesuai dengan tugas dan
kewenangannya. Dengan cara ini diharapkan
pimpinan terendah, fungsional dan staf yang
menangani teknologi keamanan informasi secara
langsung dapat melaksanakan prosedur keamanan
jaringan dan informasi dengan baik, dapat
menerapkan keamanan fisik dan aplikasi
kriptografis, dapat menangani kesalahan6
kesalahan
yang
terjadi
serta
dapat
mengidentifikasi
serangan-serangan
dan
melakukan respon.
Dalam model kesadaran keamanan informasi di
lingkungan di lingkungan instansi pemerintah perlu
difokuskan pada hal-hal sebagai berikut :
a. Kesadaran harus ditekankan dan doktrin
terus mempertahankan budaya keamanan di
setiap tingkat sehingga menjadi komitmen
seluruh organisasi.
b. Untuk keberhasilan mempertahankan budaya
keamanan itu harus sejalan dengan komitmen
kuat dan kepemimpinan yang berorientasi pada
aspek keamanan yang tinggi.
c. Pelatihan harus diberikan karena peran dan
tanggung jawab terkait dengan keamanan TIK.
d. Pendidikan harus dilakukan untuk orang yang
memiliki integritas yang tinggi dan kompetensi
yang berkaitan dengan sistem keamanan TIK.
e. Untuk meningkatkan kesadaran keamanan
informasi di lingkungan instansi pemerintah,
idealnya pemahaman yang terkait kesadaran
keamanan informasi diberikan dalam bentuk
pelatihan dan pendidikan.
Penerapan dari model kesadaran keamanan
informasi perlu diintegrasikan ke dalam sistem yang
ada ataupun sedang berjalan di lingkungan instansi
pemerintah Indonesia. Salah satu sistem yang
dianggap efektif dalam mendukung terciptanya
kesadaran keamanan informasi adalah Pendidikan
dan Pelatihan Jabatan Pegawai Negeri Sipil (PNS)
sebagaimana
diamanahkan
dalam
Peraturan
Pemerintah 101 Tahun 2000.
a. Kesadaran keamanan informasi dapat diberikan
dalam bentuk pemberian materi-materi mengenai
ancaman-ancaman yang dapat terjadi dalam tata
kelola
TIK
serta
resiko-resiko
yang
ditimbulkannya. Materi-materi seperti ini
diberikan dalam pra- jabatan untuk calon PNS
atau workshop/seminar/lokakarya untuk level
pimpinan
puncak,
menengah,
dan
terendah/fungsional/staf.
b. Pelatihan keamanan informasi dapat diberikan
dalam bentuk pemberian materi-materi yang
bersifat teknis dan spesifik yang dibutuhkan
dalam keamanan informasi. Pelatihan tersebut
dapat berbentuk diklat fungsional maupun teknis.
Materi kesadaran keamanan informasi ini juga
dapat dberikan pada diklat-diklat kepemimpinan
dari level terendah hingga puncak. Materi yang
diberikan disesuaikan dengan level manajerial
dan tindakan yang diharapkan dalam keamanan
informasi organisasi. Untuk lebih memantapkan
pengetahuan dan ketrampilan sumber daya
manusia organisasi dalam keamanan informasi,
dapat diberikan sertifikasi sebagai bentuk
pengakuan dari organisasi.
c. Adapun pendidikan tingkat lanjut mengenai
keamanan informasi dapat dilakukan apabila
kebutuhan organisasi terhadap penanganan
ancaman dan resiko dalam keamanan informasi
semakin meningkat, sehingga menuntut sumber
daya manusia organisasi yang lebih kompeten
dalam menangani keamanan informasi. Materi
yang diberikan dalam pendidikan terkait
keamanan informasi menyangkut pengelolaan
keamanan jaringan dan informasi secara
menyeluruh. Diharapkan melalui pendidikan ini
akan diperoleh sumber daya manusia yang
memiliki kualifikasi sebagai pengelola keamanan
jaringan organisasi.
3. Kesimpulan
Gambar 2. Model Kesadaran Keamanan Informasi di
Instansi Pemerintah Indonesia
a. Penyelenggaraan tata kelola TIK dalam kerangka
e-government
di
Indonesia
memberikan
keuntungan/manfaat dan kerugian/ancaman pada
saat yang bersamaan.
b. Keamanan informasi mutlak diperlukan dalam
tata kelola TIK di lingkungan instansi pemerintah
7
c.
d.
e.
f.
untuk melindungi informasi rahasia/berklasifikasi
dari pihak yang tidak berkepentingan.
Kesadaran keamanan menjadi penting dalam
sistem keamanan informasi dimana tujuan dari
kegiatan tersebut adalah untuk menjamin seluruh
sumber daya manusia organisasi menyadari dan
peduli terhadap ancaman dan resiko yang dapat
terjadi. Hal ini menjadi bekal utama dalam
penerapan kebijakan keamanan informasi dalam
kegiatan organisasi sehari-hari.
Melalui sumber daya manusia yang kompeten
dalam keamanan informasi, nilai informasi akan
dikelola dengan baik sehingga informasi yang
tepat akan dikirimkan pada waktu yang tepat dan
dalam bentuk yang tepat.
Keberhasilan penerapan sistem keamanan
informasi tergantung pada dukungan manajemen
melalui kepemimpinan dan komitmen pada
keamanan.
Program kesadaran keamanan harus disinergikan
dan diintegrasikan dengan sistem lain di instansi
pemerintah seperti pengelolaan sumber daya
manusia, keuangan dan TIK sehingga dapat
mengoptimalkan penerapan sistem keamanan
informasi dalam mendukung tercapainya tujuan
organisasi.
[9] National Institute of Standards and Technology
Special Publication (NIST SP) 800-59,
Guideline for Identifying an Informastion
System as a National Security System.
[10] Ronald L. Krutz and Russell Dean Vines, 2007,
The CISSP and CAP Prep Guide: Platinum
Edition, John Wiley & Sons.
[11] National Institute of Standards and Technology
Special Publication (NIST SP) 800-100,
Information Security Handbook: A Guide for
Managers.
[12] ISO-SNI/IEC 27001 : 2009, Sistem Manajemen
Keamanan Informasi, Badan Standarisasi
Nasional.
[13] Data Breach Investigation Report – Verizon,
2010.
[14] http://www.zone-h.org diakses terakhir tanggal
5 April 2012 pukul 13:30 WIB.
[15]http://www.iso27001security.com
diakses
terakhir kali pada 6 April 2012 pukul 23.10
WIB.
DAFTAR PUSTAKA
[1] Instruksi Presiden Nomor 3 Tahun 2003 tentang
Kebijakan dan Strategi Nasional Pengembangan
E-Government.
[2] Direktorat Keamanan Informasi Kominfo,
Panduan Penerapan Tata Kelola Keamanan
Informasi bagi Penyelenggara Pelayanan
Publik,2011.
[3] Gartner Security and Risk Management Summit
tahun 2011.
[4] InfoSecurity Europe, 2010, Information Security
Breaches Survey 2010 (ISBS-2010) : Technical
Report,
www.infosec.co.uk/files/isbs_2010_technical_re
port_single_pages.pdf, diakses terakhir tanggal 5
April 2012 jam 13.00. WIB.
[5] Global State of Information Security Survey
2012, diakses terakhir tanggal 5 April 2012 jam
13.30. WIB.
[6] Kevin D. Mitnick and William L. Simon, 2002,
The Art of Deception, Wiley Publishing, Inc.
[7]http://kadipatentecnology.blogspot.com/2010/11/d
efinisi-model-dan-simulasi.html diakses 6 April
2012 pukul 22.30 WIB.
[8] Hal Tipton and Micki Krause, 2005, Handbook
of Information Security Management, CRC
Press LLC.
8
9