Pembinaan Kesadaran Keamanan Informasi orang
Pembinaan Kesadaran Keamanan Informasi
di Lingkungan Sekolah Tinggi Sandi Negara
Berdasarkan National Institute of Standard and Technology (NIST)
1
Jumiati, 2Santi Indarjani, 3Dwi Destrya Sofiana
1
Unit Penelitian dan Pengabdian Masyarakat
Sekolah Tinggi Sandi Negara
2
Jurusan Teknik Persandian
Sekolah Tinggi Sandi Negara
3
1
Direktorat Pembinaan Persandian
Lembaga Sandi Negara
[email protected],[email protected], [email protected]
Abstraksi
Informasi merupakan salah satu aset organisasi yang sangat mendukung dalam proses pengambilan keputusan pimpinan.
Pengamanan informasi sangat dibutuhkan agar kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan
(availability) informasi dapat terjaga dari segala ancaman yang akan mengganggu keberlangsungan kinerja organisasi.
Perkembangan teknologi dan lingkungan bisnis yang semakin terbuka dalam interkoneksi jaringan global, telah menghasilkan
kerawanan yang tinggi serta ancaman yang semakin kreatif, sehingga keamanan informasi menjadi satu hal penting yang
tidak bisa diabaikan. Dalam hal keamanan informasi, unsur manusia merupakan unsur paling utama dan harus diperhatikan
agar pengamanan informasi dapat berlangsung efektif.
Sekolah Tinggi Sandi Negara (STSN) yang menyelenggarakan pendidikan tinggi bidang persandian dalam kerangka
pengamanan informasi perlu melakukan pembinaan kesadaran keamanan informasi di lingkungan kampus. Hal ini dilakukan
agar keamanan informasi menjadi framework pendidikan di STSN. Kesadaran keamanan informasi perlu ditanamkan di
lingkungan STSN secara lebih efektif dan berkesinambungan.
Makalah ini membahas mekanisme pembinaan kesadaran keamanan informasi di lingkungan STSN dikaitkan dengan standarstandar SP800-100 National Institute of Standard and Technology (NIST) sebagai alternatif standar penerapan keamanan
informasi yang banyak diterapkan secara internasional.
Kata Kunci : Informasi, Ancaman, Keamanan Informasi, Kesadaran Keamananan Informasi, NIST
1. PENDAHULUAN
Salah satu aset penting organisasi adalah informasi yang
perlu dikelola dengan sebaik-baiknya karena berperan dalam
pengambilan keputusan pimpinan organisasi. Mengingat
peran informasi dalam organisasi, ancaman dan kerawanan
terhadap informasi semakin meningkat seiring munculnya
persaingan antar organisasi. Pengamanan informasi sangat
dibutuhkan agar kerahasiaan (confidentiality), keutuhan
(integrity) dan ketersediaan (availability) informasi [1]
dapat terjaga sehingga tidak mengganggu kinerja dan
operasional organisasi.
Seberapa pentingkah diterapkannya sistem keamanan
informasi di suatu organisasi atau perusahaan? Dan faktor
apa saja yang menjadi tujuan dari sistem keamanan
informasi? InfoSecurity Europe telah mengklasifikasikan
10 faktor pemicu pentingnya diterapkan sistem keamanan
informasi. Dan berdasarkan laporan teknis survey
pelanggaran keamanan informasi tahun 2010 terhadap 539
perusahaan (besar dan kecil) yang dilakukan oleh
InfoSecurity Europe, diperoleh diagram komposisi tingkat
urgensi dari ke-10 faktor tersebut seperti yang tertera di
Gambar 1. [2]
Dari gambar terlihat bahwa tiga besar faktor utama perlu
diterapkanya
keamanan
informasi
adalah
untuk
mengamankan informasi pelanggan, faktor kepatuhan
hukum (regulasi) serta menjaga integritas data. Sementara
faktor lainnya tidak terlalu signifikan.
1
Gambar 1. Diagram Komposisi Faktor Pemicu
Pentingnya Keamanan Informasi
Kegagalan proses pengamanan informasi akan berefek
langsung terhadap kepercayaan pelanggan atau masyarakat
yang dampaknya dapat mengganggu hingga membawa
bencana bagi institusi bahkan keamanan nasional. Disisi lain
perkembangan teknologi telah merubah lingkungan bisnis
menjadi lebih terbuka dalam jaringan interkoneksi global ( eWorld), yang sangat rawan terhadap ancaman. Pertukaran
informasi dalam jaringan global telah menjadi target
potensial bagi para penyerang baik secara pasif maupun
aktif. Hasil survey dari InfoSecurity Europe pada
Information Security Breaches Survey 2010 terhadap tipetipe pelanggaran keamanan infromasi dapat dilihat pada
Gambar 2. [2]
Gambar 2. Diagram Prosentase Tipe Pelanggaran terhadap
Keamanan Informasi
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
Serangan terhadap keamanan informasi dapat berasal dari
dalam (insider attacks) dan dari luar (outsider attacks). Dan
dari data pelanggaran diatas, terlihat bahwa penyebab
mayoritas pelanggaran adalah manusia baik secara individu
maupun
berkelompok.
Bahkan
terdeteksi
bahwa
pelanggaran paling besar justru dilakukan oleh staf, baik
karena faktor kelalaian hingga faktor kriminal (white collar
criminal).
Berdasarkan hal tersebut diatas, manusia memegang
peranan kunci dalam penerapan sistem keamanan informasi.
Mitnick dan Simon menyatakan manusia merupakan faktor
utama dan penting dalam pengamanan informasi selain
teknologi, karena manusia merupakan rantai terlemah dalam
rantai keamanan. Oleh sebab itu, dimensi manusia perlu
selalu dibina dengan baik agar segala bentuk ancaman dapat
dihindari. Salah satu cara yang dapat dilakukan adalah
dengan menumbuhkan kesadaran akan pentingnya
keamanan informasi [3].
Sekolah Tinggi Sandi Negara (STSN) merupakan
pendidikan tinggi kedinasan di bidang persandian yang
menjadikan pengamanan informasi sebagai framework
pendidikan melalui pembinaan kesadaran keamanan
informasi di lingkungan kampus. Agar pembinaan
kesadaran keamanan informasi dapat berjalan efektif dan
berkesinambungan, STSN perlu menerapkan kesadaran
keamanan informasi sesuai dengan standar yang ada. Salah
satu standar yang dapat digunakan dalam pembinaan
keamanan informasi adalah National Institute of Standard
and Technology (NIST) SP800-100, Information Security
Handbook: A Guide for Managers.
2. KAJIAN
2.1.Informasi
Informasi adalah data yang telah diolah menjadi bentuk
yang berguna bagi penerimanya dan nyata, berupa nilai
yang dapat dipahami di dalam keputusan sekarang
maupun masa depan [4]. Atau informasi dapat dikatakan
sebagai keterangan, pernyataan, gagasan, dan tandatanda yang mengandung nilai, makna, dan pesan, baik
data, fakta maupun penjelasannya yang dapat dilihat,
didengar, dibaca yang disajikan dalam berbagai kemasan
dan format sesuai dengan perkembangan teknologi
informasi dan komunikasi secara elektronik maupun non
elektronik[5].
2.2.Keamanan Informasi
Informasi yang merupakan aset harus dilindungi
keamanannya. Keamanan informasi adalah melindungi
informasi dari berbagai ancaman untuk menjamin
kelangsungan usaha, meminimalisasi kerusakan akibat
terjadinya ancaman, serta mempercepat kembalinya
investasi dan peluang usaha [4]. Atau dengan kata lain
keamanan informasi merupakan upaya melindungi
informasi dan sistem informasi dari akses yang
dilakukan oleh pihak yang tidak bertanggung jawab,
penggunaan, penyingkapan, gangguan, modifikasi, atau
perusakan untuk menjaga integritas, kerahasiaan, dan
ketersediaan informasi [6].
2
Setiap individu dalam organisasi memiliki peran yang
berbeda-beda terhadap informasi. Merupakan hal yang
penting bagi seluruh anggota organisasi untuk
memahami bagaimana peran dan tanggung jawab
mereka terhadap informasi. Unsur utama yang menjadi
subyek dari informasi adalah peran pengguna, pemilik,
atau custodian terhadap informasi [1].
1) Owner /Pemilik
Pemilik bertanggung jawab atas informasi yang harus
dilindungi. Pemilik informasi memiliki tanggung
jawab terakhir untuk perlindungan data, dan sesuai
dengan konsep kehati-hatian, pemilik dapat
bertanggung jawab atas kelalaian atau kegagalannya
untuk melindungi informasi yang sensitif. Namun
fungsi perlindungan data sehari-harinya ditugaskan
kepada custodian. Salah satu tugas penting dari
pemilik adalah menentukan tingkat klasifikasi
informasi yang diperlukan yang didasarkan pada
kebutuhan organisasi untuk melindungi data serta
memastikan bahwa setiap tingkat klasifikasi
informasi memperoleh kontrol pengamanan yang
tepat.
2) Custodian
Custodian adalah pihak yang bertanggung jawab
untuk melindungi informasi yang diberikan oleh
pemiliknya. Custodian bertanggung jawab untuk
menjaga tiga aspek dasar informasi, yaitu
kerahasiaan (confidentiality), integritas (integrity),
dan ketersediaan (availability) informasi. Dalam
aplikasinya, custodian harus mampu menentukan
teknologi pengamanan yang tepat sesuai dengan
klasifikasi informasi yang diamankan, baik secara
fisik (firewall, access control) dan lojik (enkripsi,
otentikasi). Dan untuk meningkatkan efisiensi dan
efektifitas keamanan, custodian harus mampu
merumuskan prosedur operasi standar sesuai dengan
kebijakan dan aturan yang ditentukan oleh pemilik.
3) User /Pengguna
Pengguna adalah pihak yang dianggap secara rutin
menggunakan informasi sebagai bagian dari
pekerjaannya. Pengguna juga dapat dianggap
konsumen data, yang sehari-harinya membutuhkan
akses ke informasi untuk melaksanakan tugas-tugas
mereka. Pengguna harus mengikuti prosedur operasi
yang ditetapkan dalam kebijakan keamanan
organisasi, dan mereka harus mematuhi prosedur
yang telah dipublikasikan. Selain itu, pengguna harus
benar-benar peduli untuk mengamankan informasi
yang sensitif sesuai dengan kebijakan keamanan
informasi dan penggunaannya.
2.3.Kesadaran Keamanan Informasi
Kesadaran merupakan poin atau titik awal untuk seluruh
pegawai suatu organisasi dalam mengejar atau
memahami pengetahuan mengenai keamanan teknologi
informasi. Dengan adanya kesadaran pengamanan,
seorang pegawai dapat memfokuskan perhatiannya pada
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
sebuah atau sejumlah permasalahan atau ancamanancaman yang mungkin terjadi [7].
Tujuan kesadaran keamanan informasi adalah untuk
meningkatkan keamanan dengan melakukan hal
berikut:[1]
1) Pemilik, pengguna maupun custodian dari informasi
paham akan tanggung jawab mereka terhadap sistem
keamanan informasi dan mengajar mereka
bagaimana bentuk pengamanan yang tepat, sehingga
membantu untuk mengubah perilaku mereka menjadi
lebih sadar akan keamanan;
2) Mengembangkan kemampuan dan pengetahuan
sehingga pemilik, pengguna maupun custodian
informasi dapat melakukan pekerjaan mereka dengan
lebih aman;
3) Membangun pemahaman akan pengetahuan yang
diperlukan, untuk merancang, mengimplementasikan,
atau mengoperasikan program pembinaan kesadaran
keamanan informasi untuk organisasi.
2.4.NIST SP800-50 dan SP800-16
NIST SP 800-50 dan SP 800-16 merupakan penjelasan
terhadap implementasi NIST SP 800-100. NIST SP 80050 bekerja pada level atau tingkat strategis yang lebih
tinggi, membahas bagaimana cara membangun suatu
pembinaan kesadaran keamanan informasi. Sedangkan
NIST SP 800-16 bekerja pada level atau tingkat taktis
yang lebih rendah, menggambarkan suatu pendekatan
bagi pelatihan keamanan yang berbasis peran atau
tanggung jawab pegawai organisasi.
NIST SP 800-50 mengidentifikasikan empat langkah
penting dalam siklus kehidupan pembinaan kesadaran
keamanan informasi:
1) Perancangan pembinaan kesadaran keamanan
informasi
Pada langkah ini, ditekankan bahwa setiap organisasi
perlu melakukan penilaian kebutuhan dan strategi
pelatihan yang sesuai dan dapat diaplikasikan di
organisasinya.
2) Pembangunan pembinaan kesadaran keamanan
informasi
Langkah ini berfokus pada sumber-sumber pelatihan
yang tersedia, ruang lingkup, isi, dan pengembangan
materi pelatihan, termasuk permohonan bantuan
kerja sama kepada pihak ketiga jika diperlukan.
3) Pelaksanaan pembinaan kesadaran keamanan
informasi
Langkah ini menjelaskan bagaimana komunikasi
yang efektif dan metode yang tepat untuk digunakan
pada pembinaan kesadaran keamanan informasi.
4) Pasca – Pelaksanaan pembinaan kesadaran keamanan
informasi
Langkah ini memberikan petunjuk agar jalannya
program dan proses monitoring atau evaluasi dapat
berjalan dengan efektif.
Sedangkan NIST SP 800-16 merupakan model proses
pembelajaran keamanan informasi yang terdiri dari tiga
3
komponen utama, yaitu kesadaran (awareness),
pelatihan (awareness and role based training ) dan
pendidikan (education). Proses pembelajaran dimulai
dengan adanya suatu kesadaran, yang dilanjutkan dengan
suatu pelatihan, dan berkembang menjadi pendidikan.
Ketiga model ini satu sama lainnya memiliki keterkaitan.
sehingga proses pembelajaran keamanan informasi
setiap individu menjadi semakin lebih komprehensif dan
detail. Proses pembelajaran keamanan informasi ini
dapat dikatakan sebagai sebuah model pembinaan
kesadaraan keamanan informasi seperti terlihat pada
Gambar 3.[7]
HS: Hard Skill
SS: Soft Skill
Gambar 4. Model Pembinaan Kesadaran Keamanan
Informasi di STSN
Gambar 3. Proses Pembelajaran Keamanan Informasi
2.5.Model Pembinaan Kesadaran Keamanan Informasi di
STSN
STSN membentuk kerangka pendidikan keamanan
informasi dalam suatu penyelenggaraan proses belajar
mengajar yang lulusannya diharapkan mempunyai
kompetensi di bidang keamanan informasi, khususnya
persandian serta memiliki karakter dengan tingkat
sensifitas dan kepedulian tinggi terhadap ancaman yang
muncul dalam pelaksanaan tugas. Model pembinaan
kesadaran keamanan informasi dilakukan untuk
menumbuhkan, memantapkan dan mengembangkan
pengetahuan, ketrampilan dan perilaku yang sesuai
dengan tuntutan tugas bidang keamanan informasi.
Proses pembelajaran kesadaran keamanan informasi
dilakukan secara bertahap dan melalui metode yang
bervariasi, baik yang dilakukan secara akademik dalam
kurikulum maupun non akademik dalam kegiatan kokurikuler, kuliah umum dan pengasuhan. Konsep ini
diterapkan mengingat STSN adalah pendidikan
berasrama.
Untuk mendukung pencapaian tujuan pendidikan STSN,
proses pembinaan kesadaran di STSN tidak hanya fokus
kepada mahasiswa, tetapi juga pada tenaga pendidik
(dosen) dan tenaga kependidikan yang sangat berperan
penting dalam penanaman kesadaran keamanan
informasi di lingkungan STSN. Secara global framework
pembinaan kesadaran keamanan dapat dilihat pada
Gambar 4.
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
Dari model diatas, domain pembinaan kesadaran
keamanan informasi mencakup tiga subyek yaitu :
tenaga pendidik, tenaga kependidikan dan mahasiswa.
Dua subyek pertama yaitu tenaga pendidik dan
kependidikan merupakan driven keberhasilan penerapan
pembinaan kesadaran keamanan informasi pada
mahasiswa, baik melalui jalur akademik (proses belajarmengajar berdasarkan kurikulum) maupun jalur non
akademik (kuliah umum, pembekalan dan pengasuhan).
Pada proses belajar-mengajar (PBM) tenaga pendidik
dalam hal ini dosen juga dituntut untuk memberikan
motivasi dan doktrin tentang keamanan (softskill).
Sementara kegiatan ko-kurikuler ditujukan untuk
pengkayaan materi yang mendukung implementasi
pembinaan kesadaran keamanan informasi diluar materi
kuliah yang diberikan.
2.5.1.Pembinaan Kesadaran Keamanan Informasi
terhadap Tenaga Pendidik
Pembinaan kesadaran keamanan informasi kepada
tenaga pendidik dilakukan secara bertahap dan
ditujukan kepada dua kelompok tenaga pendidik,
yaitu dosen tetap dan dosen tidak tetap (dosen dari
luar STSN).
1) Implementasi kesadaran (awareness)
Tahap awal pembinaan yang dilakukan terhadap
dosen tetap yaitu dengan memberikan
kesadaran (awareness) melalui latihan dasar
intelijen pengamanan dan kursus kesadaran
pengamanan yang memberikan gambaran
mengenai ancaman dan resiko dalam
pelaksanaan tugas serta bagaimana antisipasi
menghadapi hal tersebut. Serta diberikan juga
sosialisasi keamanan dalam bentuk ceramah,
4
kuliah umum, diskusi kelompok keilmuan dan
sosialisasi dalam rapat-rapat dosen. Sedangkan
untuk dosen tidak tetap, pemberian kesadaran
hanya dilakukan melalui sosialisasi keamanan
dalam bentuk ceramah, diskusi kelompok
keilmuan dan sosialisasi dalam rapat- rapat
dosen. Hal ini dilakukan untuk memberikan
pemahaman yang sama terhadap seluruh dosen
mengenai konsep keamanan informasi sebagai
kerangka pendidikan STSN.
2) Implementasi pelatihan (training)
Pelatihan terkait keamanan informasi untuk
dosen tetap diberikan dalam bentuk diklat
Sandiman atau diklat-diklat teknis yang terkait
pengamanan persandian sehingga dapat
membentuk profil insan sandi yang memiliki
jiwa pengamanan serta juga diberikan dalam
bentuk kursus-kursus sertifikasi seperti CISSP,
CISA, PMP, CCNA, ISO implementer, dan
CEH sehingga dapat lebih meningkatkan
pengetahuan dan ketrampilan dalam bidang
keamanan informasi. Sedangkan untuk dosen
tidak tetap, pelatihan diberikan dalam bentuk
diklat-diklat teknis yang terkait pengamanan
persandian.
3) Implementasi pendidikan (education)
Pembinaan kesadaran keamanan informasi
melalui pendidikan diberikan dalam bentuk
kesempatan
untuk
melanjutkan jenjang
pendidikan formal yang lebih tinggi (S2 atau
S3) dengan bidang studi yang terkait keamanan
informasi dan atau persandian. Pembinaan
melalui pendidikan ini diberikan kepada seluruh
dosen STSN (tetap dan tidak tetap) dalam
bentuk beasiswa/biaya dinas.
2.5.2.Pembinaan Kesadaran Keamanan Informasi
terhadap Tenaga Kependidikan
1) Implementasi kesadaran (awareness)
Pembinaan kesadaran keamanan kepada tenaga
kependidikan dilakukan dalam bentuk kursus
kesadaran pengamanan yang memberikan
gambaran terkait ancaman dan resiko dalam
bidang tugas persandian serta bagaimana
langkah-langkah pengamanannya. Selain itu
diberikan dalam bentuk pengarahan pimpinan
STSN pada acara coffee morning atau gathering
yang
membahas
mengenai
pentingnya
kepedulian atau kesadarang di lingkungan
STSN. Serta diberikan juga sosialisasi
keamanan dalam bentuk ceramah dan kuliah
umum.
2) Implementasi pelatihan (training)
Pelatihan terkait keamanan informasi untuk
tenaga kependidikan diberikan dalam bentuk
diklat Sandiman atau diklat-diklat teknis yang
terkait pengamanan persandian. Selain itu juga
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
diberikan
dalam
bentuk
kursus-kursus
sertifikasi seperti CISSP, CISA, PMP, CCNA,
ISO implementer, dan CEH untuk lebih
meningkatkan
kompetensinya
dalam
pelaksanaan tugas.
3) Implementasi pendidikan (education)
Implementasi pembinaan kesadaran keamanan
informasi dalam bentuk pendidikan, berupa
beasiswa melalui biaya dinas untuk melanjutkan
jenjang pendidikan formal yang lebih tinggi (S2
atau S3) dengan bidang studi yang terkait
keamanan informasi dan atau persandian.
Pembinaan melalui pendidikan ini diberikan
sesuai dengan tuntutan bidang tugas dan jabatan
serta adanya skala prioritas kebutuhan.
2.5.3.Pembinaan Kesadaran Keamanan Informasi
terhadap Mahasiswa STSN
Implementasi pembinaan kesadaran keamanan
informasi terhadap mahasiswa STSN adalah
sebagai berikut :
1) Implementasi kesadaran (awareness)
Kesadaran merupakan pembinaan tahap awal
berupa pengenalan dan pemotivasian seseorang
tentang lingkungan dan ancaman atau resiko
yang dapat timbul dalam pelaksanaan tugas.
Upaya kesadaran keamanan dirancang untuk
mengubah perilaku atau menguatkan praktekpraktek keamanan yang akan dilakukan di masa
mendatang. Kegiatan yang dilakukan untuk
menumbuhkan kesadaran keamanan antara lain
: kegiatan Program Penerimaan Mahasiswa
Baru yang memberikan gambaran mengenai
pentingnya belajar keamanan informasi dan
salah satu tehnik dalam keamanan informasi
yaitu kriptografi , kegiatan Latihan Dasar
Intelijen Pengamanan yang memberikan dasardasar pengetahuan dan ketrampilan di bidang
pengamanan sehingga dapat mengantisipasi
resiko atau ancaman dalam pelaksanaan tugas,
kegiatan bidang pengasuhan yang membentuk
sikap mahasiswa melalui nilai-nilai patriotisme,
dapat dipercaya, dapat menjaga rahasia, dapat
diandalkan,
berdedikasi,
disiplin,
bertanggungjawab, memiliki jiwa kebersamaan,
dan mandiri. Penanaman nilai-nilai ini
dilakukan dengan mekanisme Reward and
Punishment untuk kegiatan yang dilakukan
mahasiswa.
2) Implementasi pelatihan (training)
Melalui pelatihan, mahasiswa diajarkan
keterampilan yang memungkinkan mereka
dapat melakukan pekerjaan dengan lebih aman
serta bagaimana cara mereka dapat melakukan
pekerjaannya. Pelatihan ini diberikan diluar
dalam kurun waktu tertentu dengan memanggil
narasumber yang kompeten di bidang keamanan
5
informasi. Kegiatan yang dilakukan dalam
pelatihan ini meliputi : kegiatan kokurikuler
yaitu pemberian pengetahuan dan ketrampilan
yang mendukung materi kuliah seperti
implementasi ISO, pembuatan dan pengamanan
database, pembuatan standar kriptografi, tehnik
kriptanalisis dan lain sebagainya; kegiatan
workshop yang dilakukan diluar jam kuliah
dengan materi tehnik-tehnik hacking dan
pengamanannya, tehnik pengamanan jaringan;
kegiatan kuliah umum dengan materi keamanan
informasi dan TIK yang dilakukan tiga kali
dalam setahun.
3) Implementasi pendidikan (education)
Pendidikan keamanan informasi sifatnya lebih
mendalam dibandingkan pelatihan keamanan
informasi, dan ditujukan kepada para
profesional keamanan yang dalam pekerjaannya
memerlukan
keahlian
dalam
proses
pengamanan. Pendidikan merupakan proses
mengintegrasikan
semua
keterampilan
keamanan dan kompetensi dari berbagai
spesialisasi menjadi pengetahuan umum dan
berusaha
untuk
menghasilkan
spesialis
keamanan informasi dan profesional yang
mampu berpikir visioner dan pro-aktif terhadap
respon. Pendidikan terkait keamanan informasi
diberikan selama delapan semester dalam
bentuk mata kuliah-mata kuliah tertentu.
Adapun mata kuliah-mata kuliah tersebut
diberikan sejak semester pertama hingga
semester terakhir, baik dalam suatu kurikulum
nyata ataupun hidden curriculum. Adapun mata
kuliah-mata kuliah yang terkait keamanan
informasi antara lain :
Semester I :
Kriptoanalisis
Transposisi
Alphabetik,
Pengantar Persandian.
Semester II :
Kriptoanalisis Substitusi Alphabetik
Semester III :
Intelijen, Pengantar Mesin Sandi
Semester IV :
Block Cipher/Tehnik Block Cipher, Stream
Cipher/Tehnik Stream Cipher, Pengamanan
Persandian, Manajemen Persandian
Semester V :
Otentikasi
Sandi/Fungsi
Hash/Tehnik
Otentikasi, Pengantar Manajemen Kunci/Tehnik
Manajemen Kunci/Manajemen Kunci, Public
Key/Tehnik
Public
Key,
Kriptoanalisis
Lanjutan I, Manajemen Kegiatan Sandi,
Jaringan Komputer dan Keamanan Jaringan.
Semester VI :
Aplikasi Manajemen Kunci/Digital Signature,
Key Establishment, Kriptoanalisis Lanjutan II,
Kriptografi Jaringan, Keamanan Jaringan,
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
Protokol Kriptografi, Praktikum Keamanan dan
Kriptografi Jaringan.
Semester VII :
Praktek Kerja Lapangan, Analisa Kebijakan
Kripto/Rancang Bangun Modul Sandi.
Semester VIII :
Filsafat Sandi
2.6.Hasil
Dari model pembinaan kesadaran keamanan informasi
yang diterapkan di lingkungan STSN secara umum dapat
diketahui hal-hal sebagai berikut :
1) STSN telah melakukan pembinaan kesadaran
keamanan informasi terhadap tenaga pendidik,
tenaga kependidikan dan mahasiswa yang sesuai
dengan standar NIST;
2) Terbentuknya kesadaran terhadap ancaman dalam
konteks keamanan informasi harus diberikan sejak
awal melalui implementasi kesadaran (awareness)
dan diperkuat melalui implementasi pelatihan
(training) dan pendidikan (education);
3) Pembinaan kesadaran keamanan informasi dalam
implementasinya
(kesadaran,
pelatihan
dan
pendidikan) dapat dilakukan dengan berbagai
cara/metode yang disesuaikan dengan kebutuhan
STSN dengan tetap mengacu pada tujuan
terbentuknya kesadaran keamanan informasi;
4) Kesadaran keamanan informasi harus dilakukan
secara bertahap agar perilaku dan sikap yang sadar
akan ancaman dan resiko dan bagaimana
mengantisipasinya dalam pelaksanaan tugas tetap
terjaga.
5) Adapun pembinaan kesadaran keamanan informasi
dalam kerangka pendidikan di STSN
a) Pemberian kesadaran keamanan informasi
terhadap mahasiswa harus dilakukan sejak awal
pendidikan;
b) Terbentuknya kompetensi dalam pengamanan
informasi yang dapat mendukung pelaksanaan
tugas melalui pemberian materi didalam dan
diluar kelas;
c) Peningkatan kemampuan di bidang keamanan
informasi yang dilakukan oleh pengguna lulusan
melalui program sertifikasi bidang keamanan
informasi (professional development) sebagai
bentuk pengakuan terhadap kemampuan awal
lulusan STSN;
d) Implementasi ini belum dilaksanakan menyeluruh
dan berkesinambungan dengan pengembangan
profesionalitasnya, contoh : program sertifikasi.
3. KESIMPULAN
Dari uraian-uraian sebelumnya, dapat disimpulkan
bahwa :
3.1.STSN telah mengimplementasikan pembinaan
kesadaran keamanan informasi meskipun belum
optimal
6
3.2.Perlunya dilakukan professional development
terkait sertifikasi di bidang keamanan informasi
secara menyeluruh, baik kepada tenaga pendidik
maupun mahasiswa.
3.3.Perlu penajaman kompetensi output dengan
memfokuskan pada peran lulusan STSN sebagai
owner , custodian dan user informasi sehingga
keamanan informasi menjadi framework dalam
pelaksanaan tugas di masa mendatang.
3.4.Perlu pemberian kesadaran keamanan informasi
bagi tenaga kependidikan secara periodik.
DAFTAR PUSTAKA
[1] Ronald L. Krutz and Russell Dean Vines, 2007, The
CISSP and CAP Prep Guide: Platinum Edition, John
Wiley & Sons;
[2] InfoSecurity Europe, 2010, Information Security
Breaches Survey 2010 (ISBS-2010) : Technical Report,
www.infosec.co.uk/files/isbs_2010_technical_report_si
ngle_pages.pdf, diakses terakhir tanggal 3 Mei 2011
jam 13.00. WIB.
[3] Kevin D. Mitnick and William L. Simon, 2002, The Art
of Deception, Wiley Publishing, Inc.;
[4] Hal Tipton and Micki Krause, 2005, Handbook of
Information Security Management, CRC Press LLC
[5] Undang-Undang No. 14 Tahun
Keterbukaan Informasi Publik (KIP)
2008
tentang
[6] National Institute of Standards and Technology Special
Publication (NIST SP) 800-59, Guideline for
Identifying an Informastion System as a National
Security System;
[7] National Institute of Standards and Technology Special
Publication (NIST SP) 800-100, Information Security
Handbook: A Guide for Managers.
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
7
di Lingkungan Sekolah Tinggi Sandi Negara
Berdasarkan National Institute of Standard and Technology (NIST)
1
Jumiati, 2Santi Indarjani, 3Dwi Destrya Sofiana
1
Unit Penelitian dan Pengabdian Masyarakat
Sekolah Tinggi Sandi Negara
2
Jurusan Teknik Persandian
Sekolah Tinggi Sandi Negara
3
1
Direktorat Pembinaan Persandian
Lembaga Sandi Negara
[email protected],[email protected], [email protected]
Abstraksi
Informasi merupakan salah satu aset organisasi yang sangat mendukung dalam proses pengambilan keputusan pimpinan.
Pengamanan informasi sangat dibutuhkan agar kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan
(availability) informasi dapat terjaga dari segala ancaman yang akan mengganggu keberlangsungan kinerja organisasi.
Perkembangan teknologi dan lingkungan bisnis yang semakin terbuka dalam interkoneksi jaringan global, telah menghasilkan
kerawanan yang tinggi serta ancaman yang semakin kreatif, sehingga keamanan informasi menjadi satu hal penting yang
tidak bisa diabaikan. Dalam hal keamanan informasi, unsur manusia merupakan unsur paling utama dan harus diperhatikan
agar pengamanan informasi dapat berlangsung efektif.
Sekolah Tinggi Sandi Negara (STSN) yang menyelenggarakan pendidikan tinggi bidang persandian dalam kerangka
pengamanan informasi perlu melakukan pembinaan kesadaran keamanan informasi di lingkungan kampus. Hal ini dilakukan
agar keamanan informasi menjadi framework pendidikan di STSN. Kesadaran keamanan informasi perlu ditanamkan di
lingkungan STSN secara lebih efektif dan berkesinambungan.
Makalah ini membahas mekanisme pembinaan kesadaran keamanan informasi di lingkungan STSN dikaitkan dengan standarstandar SP800-100 National Institute of Standard and Technology (NIST) sebagai alternatif standar penerapan keamanan
informasi yang banyak diterapkan secara internasional.
Kata Kunci : Informasi, Ancaman, Keamanan Informasi, Kesadaran Keamananan Informasi, NIST
1. PENDAHULUAN
Salah satu aset penting organisasi adalah informasi yang
perlu dikelola dengan sebaik-baiknya karena berperan dalam
pengambilan keputusan pimpinan organisasi. Mengingat
peran informasi dalam organisasi, ancaman dan kerawanan
terhadap informasi semakin meningkat seiring munculnya
persaingan antar organisasi. Pengamanan informasi sangat
dibutuhkan agar kerahasiaan (confidentiality), keutuhan
(integrity) dan ketersediaan (availability) informasi [1]
dapat terjaga sehingga tidak mengganggu kinerja dan
operasional organisasi.
Seberapa pentingkah diterapkannya sistem keamanan
informasi di suatu organisasi atau perusahaan? Dan faktor
apa saja yang menjadi tujuan dari sistem keamanan
informasi? InfoSecurity Europe telah mengklasifikasikan
10 faktor pemicu pentingnya diterapkan sistem keamanan
informasi. Dan berdasarkan laporan teknis survey
pelanggaran keamanan informasi tahun 2010 terhadap 539
perusahaan (besar dan kecil) yang dilakukan oleh
InfoSecurity Europe, diperoleh diagram komposisi tingkat
urgensi dari ke-10 faktor tersebut seperti yang tertera di
Gambar 1. [2]
Dari gambar terlihat bahwa tiga besar faktor utama perlu
diterapkanya
keamanan
informasi
adalah
untuk
mengamankan informasi pelanggan, faktor kepatuhan
hukum (regulasi) serta menjaga integritas data. Sementara
faktor lainnya tidak terlalu signifikan.
1
Gambar 1. Diagram Komposisi Faktor Pemicu
Pentingnya Keamanan Informasi
Kegagalan proses pengamanan informasi akan berefek
langsung terhadap kepercayaan pelanggan atau masyarakat
yang dampaknya dapat mengganggu hingga membawa
bencana bagi institusi bahkan keamanan nasional. Disisi lain
perkembangan teknologi telah merubah lingkungan bisnis
menjadi lebih terbuka dalam jaringan interkoneksi global ( eWorld), yang sangat rawan terhadap ancaman. Pertukaran
informasi dalam jaringan global telah menjadi target
potensial bagi para penyerang baik secara pasif maupun
aktif. Hasil survey dari InfoSecurity Europe pada
Information Security Breaches Survey 2010 terhadap tipetipe pelanggaran keamanan infromasi dapat dilihat pada
Gambar 2. [2]
Gambar 2. Diagram Prosentase Tipe Pelanggaran terhadap
Keamanan Informasi
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
Serangan terhadap keamanan informasi dapat berasal dari
dalam (insider attacks) dan dari luar (outsider attacks). Dan
dari data pelanggaran diatas, terlihat bahwa penyebab
mayoritas pelanggaran adalah manusia baik secara individu
maupun
berkelompok.
Bahkan
terdeteksi
bahwa
pelanggaran paling besar justru dilakukan oleh staf, baik
karena faktor kelalaian hingga faktor kriminal (white collar
criminal).
Berdasarkan hal tersebut diatas, manusia memegang
peranan kunci dalam penerapan sistem keamanan informasi.
Mitnick dan Simon menyatakan manusia merupakan faktor
utama dan penting dalam pengamanan informasi selain
teknologi, karena manusia merupakan rantai terlemah dalam
rantai keamanan. Oleh sebab itu, dimensi manusia perlu
selalu dibina dengan baik agar segala bentuk ancaman dapat
dihindari. Salah satu cara yang dapat dilakukan adalah
dengan menumbuhkan kesadaran akan pentingnya
keamanan informasi [3].
Sekolah Tinggi Sandi Negara (STSN) merupakan
pendidikan tinggi kedinasan di bidang persandian yang
menjadikan pengamanan informasi sebagai framework
pendidikan melalui pembinaan kesadaran keamanan
informasi di lingkungan kampus. Agar pembinaan
kesadaran keamanan informasi dapat berjalan efektif dan
berkesinambungan, STSN perlu menerapkan kesadaran
keamanan informasi sesuai dengan standar yang ada. Salah
satu standar yang dapat digunakan dalam pembinaan
keamanan informasi adalah National Institute of Standard
and Technology (NIST) SP800-100, Information Security
Handbook: A Guide for Managers.
2. KAJIAN
2.1.Informasi
Informasi adalah data yang telah diolah menjadi bentuk
yang berguna bagi penerimanya dan nyata, berupa nilai
yang dapat dipahami di dalam keputusan sekarang
maupun masa depan [4]. Atau informasi dapat dikatakan
sebagai keterangan, pernyataan, gagasan, dan tandatanda yang mengandung nilai, makna, dan pesan, baik
data, fakta maupun penjelasannya yang dapat dilihat,
didengar, dibaca yang disajikan dalam berbagai kemasan
dan format sesuai dengan perkembangan teknologi
informasi dan komunikasi secara elektronik maupun non
elektronik[5].
2.2.Keamanan Informasi
Informasi yang merupakan aset harus dilindungi
keamanannya. Keamanan informasi adalah melindungi
informasi dari berbagai ancaman untuk menjamin
kelangsungan usaha, meminimalisasi kerusakan akibat
terjadinya ancaman, serta mempercepat kembalinya
investasi dan peluang usaha [4]. Atau dengan kata lain
keamanan informasi merupakan upaya melindungi
informasi dan sistem informasi dari akses yang
dilakukan oleh pihak yang tidak bertanggung jawab,
penggunaan, penyingkapan, gangguan, modifikasi, atau
perusakan untuk menjaga integritas, kerahasiaan, dan
ketersediaan informasi [6].
2
Setiap individu dalam organisasi memiliki peran yang
berbeda-beda terhadap informasi. Merupakan hal yang
penting bagi seluruh anggota organisasi untuk
memahami bagaimana peran dan tanggung jawab
mereka terhadap informasi. Unsur utama yang menjadi
subyek dari informasi adalah peran pengguna, pemilik,
atau custodian terhadap informasi [1].
1) Owner /Pemilik
Pemilik bertanggung jawab atas informasi yang harus
dilindungi. Pemilik informasi memiliki tanggung
jawab terakhir untuk perlindungan data, dan sesuai
dengan konsep kehati-hatian, pemilik dapat
bertanggung jawab atas kelalaian atau kegagalannya
untuk melindungi informasi yang sensitif. Namun
fungsi perlindungan data sehari-harinya ditugaskan
kepada custodian. Salah satu tugas penting dari
pemilik adalah menentukan tingkat klasifikasi
informasi yang diperlukan yang didasarkan pada
kebutuhan organisasi untuk melindungi data serta
memastikan bahwa setiap tingkat klasifikasi
informasi memperoleh kontrol pengamanan yang
tepat.
2) Custodian
Custodian adalah pihak yang bertanggung jawab
untuk melindungi informasi yang diberikan oleh
pemiliknya. Custodian bertanggung jawab untuk
menjaga tiga aspek dasar informasi, yaitu
kerahasiaan (confidentiality), integritas (integrity),
dan ketersediaan (availability) informasi. Dalam
aplikasinya, custodian harus mampu menentukan
teknologi pengamanan yang tepat sesuai dengan
klasifikasi informasi yang diamankan, baik secara
fisik (firewall, access control) dan lojik (enkripsi,
otentikasi). Dan untuk meningkatkan efisiensi dan
efektifitas keamanan, custodian harus mampu
merumuskan prosedur operasi standar sesuai dengan
kebijakan dan aturan yang ditentukan oleh pemilik.
3) User /Pengguna
Pengguna adalah pihak yang dianggap secara rutin
menggunakan informasi sebagai bagian dari
pekerjaannya. Pengguna juga dapat dianggap
konsumen data, yang sehari-harinya membutuhkan
akses ke informasi untuk melaksanakan tugas-tugas
mereka. Pengguna harus mengikuti prosedur operasi
yang ditetapkan dalam kebijakan keamanan
organisasi, dan mereka harus mematuhi prosedur
yang telah dipublikasikan. Selain itu, pengguna harus
benar-benar peduli untuk mengamankan informasi
yang sensitif sesuai dengan kebijakan keamanan
informasi dan penggunaannya.
2.3.Kesadaran Keamanan Informasi
Kesadaran merupakan poin atau titik awal untuk seluruh
pegawai suatu organisasi dalam mengejar atau
memahami pengetahuan mengenai keamanan teknologi
informasi. Dengan adanya kesadaran pengamanan,
seorang pegawai dapat memfokuskan perhatiannya pada
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
sebuah atau sejumlah permasalahan atau ancamanancaman yang mungkin terjadi [7].
Tujuan kesadaran keamanan informasi adalah untuk
meningkatkan keamanan dengan melakukan hal
berikut:[1]
1) Pemilik, pengguna maupun custodian dari informasi
paham akan tanggung jawab mereka terhadap sistem
keamanan informasi dan mengajar mereka
bagaimana bentuk pengamanan yang tepat, sehingga
membantu untuk mengubah perilaku mereka menjadi
lebih sadar akan keamanan;
2) Mengembangkan kemampuan dan pengetahuan
sehingga pemilik, pengguna maupun custodian
informasi dapat melakukan pekerjaan mereka dengan
lebih aman;
3) Membangun pemahaman akan pengetahuan yang
diperlukan, untuk merancang, mengimplementasikan,
atau mengoperasikan program pembinaan kesadaran
keamanan informasi untuk organisasi.
2.4.NIST SP800-50 dan SP800-16
NIST SP 800-50 dan SP 800-16 merupakan penjelasan
terhadap implementasi NIST SP 800-100. NIST SP 80050 bekerja pada level atau tingkat strategis yang lebih
tinggi, membahas bagaimana cara membangun suatu
pembinaan kesadaran keamanan informasi. Sedangkan
NIST SP 800-16 bekerja pada level atau tingkat taktis
yang lebih rendah, menggambarkan suatu pendekatan
bagi pelatihan keamanan yang berbasis peran atau
tanggung jawab pegawai organisasi.
NIST SP 800-50 mengidentifikasikan empat langkah
penting dalam siklus kehidupan pembinaan kesadaran
keamanan informasi:
1) Perancangan pembinaan kesadaran keamanan
informasi
Pada langkah ini, ditekankan bahwa setiap organisasi
perlu melakukan penilaian kebutuhan dan strategi
pelatihan yang sesuai dan dapat diaplikasikan di
organisasinya.
2) Pembangunan pembinaan kesadaran keamanan
informasi
Langkah ini berfokus pada sumber-sumber pelatihan
yang tersedia, ruang lingkup, isi, dan pengembangan
materi pelatihan, termasuk permohonan bantuan
kerja sama kepada pihak ketiga jika diperlukan.
3) Pelaksanaan pembinaan kesadaran keamanan
informasi
Langkah ini menjelaskan bagaimana komunikasi
yang efektif dan metode yang tepat untuk digunakan
pada pembinaan kesadaran keamanan informasi.
4) Pasca – Pelaksanaan pembinaan kesadaran keamanan
informasi
Langkah ini memberikan petunjuk agar jalannya
program dan proses monitoring atau evaluasi dapat
berjalan dengan efektif.
Sedangkan NIST SP 800-16 merupakan model proses
pembelajaran keamanan informasi yang terdiri dari tiga
3
komponen utama, yaitu kesadaran (awareness),
pelatihan (awareness and role based training ) dan
pendidikan (education). Proses pembelajaran dimulai
dengan adanya suatu kesadaran, yang dilanjutkan dengan
suatu pelatihan, dan berkembang menjadi pendidikan.
Ketiga model ini satu sama lainnya memiliki keterkaitan.
sehingga proses pembelajaran keamanan informasi
setiap individu menjadi semakin lebih komprehensif dan
detail. Proses pembelajaran keamanan informasi ini
dapat dikatakan sebagai sebuah model pembinaan
kesadaraan keamanan informasi seperti terlihat pada
Gambar 3.[7]
HS: Hard Skill
SS: Soft Skill
Gambar 4. Model Pembinaan Kesadaran Keamanan
Informasi di STSN
Gambar 3. Proses Pembelajaran Keamanan Informasi
2.5.Model Pembinaan Kesadaran Keamanan Informasi di
STSN
STSN membentuk kerangka pendidikan keamanan
informasi dalam suatu penyelenggaraan proses belajar
mengajar yang lulusannya diharapkan mempunyai
kompetensi di bidang keamanan informasi, khususnya
persandian serta memiliki karakter dengan tingkat
sensifitas dan kepedulian tinggi terhadap ancaman yang
muncul dalam pelaksanaan tugas. Model pembinaan
kesadaran keamanan informasi dilakukan untuk
menumbuhkan, memantapkan dan mengembangkan
pengetahuan, ketrampilan dan perilaku yang sesuai
dengan tuntutan tugas bidang keamanan informasi.
Proses pembelajaran kesadaran keamanan informasi
dilakukan secara bertahap dan melalui metode yang
bervariasi, baik yang dilakukan secara akademik dalam
kurikulum maupun non akademik dalam kegiatan kokurikuler, kuliah umum dan pengasuhan. Konsep ini
diterapkan mengingat STSN adalah pendidikan
berasrama.
Untuk mendukung pencapaian tujuan pendidikan STSN,
proses pembinaan kesadaran di STSN tidak hanya fokus
kepada mahasiswa, tetapi juga pada tenaga pendidik
(dosen) dan tenaga kependidikan yang sangat berperan
penting dalam penanaman kesadaran keamanan
informasi di lingkungan STSN. Secara global framework
pembinaan kesadaran keamanan dapat dilihat pada
Gambar 4.
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
Dari model diatas, domain pembinaan kesadaran
keamanan informasi mencakup tiga subyek yaitu :
tenaga pendidik, tenaga kependidikan dan mahasiswa.
Dua subyek pertama yaitu tenaga pendidik dan
kependidikan merupakan driven keberhasilan penerapan
pembinaan kesadaran keamanan informasi pada
mahasiswa, baik melalui jalur akademik (proses belajarmengajar berdasarkan kurikulum) maupun jalur non
akademik (kuliah umum, pembekalan dan pengasuhan).
Pada proses belajar-mengajar (PBM) tenaga pendidik
dalam hal ini dosen juga dituntut untuk memberikan
motivasi dan doktrin tentang keamanan (softskill).
Sementara kegiatan ko-kurikuler ditujukan untuk
pengkayaan materi yang mendukung implementasi
pembinaan kesadaran keamanan informasi diluar materi
kuliah yang diberikan.
2.5.1.Pembinaan Kesadaran Keamanan Informasi
terhadap Tenaga Pendidik
Pembinaan kesadaran keamanan informasi kepada
tenaga pendidik dilakukan secara bertahap dan
ditujukan kepada dua kelompok tenaga pendidik,
yaitu dosen tetap dan dosen tidak tetap (dosen dari
luar STSN).
1) Implementasi kesadaran (awareness)
Tahap awal pembinaan yang dilakukan terhadap
dosen tetap yaitu dengan memberikan
kesadaran (awareness) melalui latihan dasar
intelijen pengamanan dan kursus kesadaran
pengamanan yang memberikan gambaran
mengenai ancaman dan resiko dalam
pelaksanaan tugas serta bagaimana antisipasi
menghadapi hal tersebut. Serta diberikan juga
sosialisasi keamanan dalam bentuk ceramah,
4
kuliah umum, diskusi kelompok keilmuan dan
sosialisasi dalam rapat-rapat dosen. Sedangkan
untuk dosen tidak tetap, pemberian kesadaran
hanya dilakukan melalui sosialisasi keamanan
dalam bentuk ceramah, diskusi kelompok
keilmuan dan sosialisasi dalam rapat- rapat
dosen. Hal ini dilakukan untuk memberikan
pemahaman yang sama terhadap seluruh dosen
mengenai konsep keamanan informasi sebagai
kerangka pendidikan STSN.
2) Implementasi pelatihan (training)
Pelatihan terkait keamanan informasi untuk
dosen tetap diberikan dalam bentuk diklat
Sandiman atau diklat-diklat teknis yang terkait
pengamanan persandian sehingga dapat
membentuk profil insan sandi yang memiliki
jiwa pengamanan serta juga diberikan dalam
bentuk kursus-kursus sertifikasi seperti CISSP,
CISA, PMP, CCNA, ISO implementer, dan
CEH sehingga dapat lebih meningkatkan
pengetahuan dan ketrampilan dalam bidang
keamanan informasi. Sedangkan untuk dosen
tidak tetap, pelatihan diberikan dalam bentuk
diklat-diklat teknis yang terkait pengamanan
persandian.
3) Implementasi pendidikan (education)
Pembinaan kesadaran keamanan informasi
melalui pendidikan diberikan dalam bentuk
kesempatan
untuk
melanjutkan jenjang
pendidikan formal yang lebih tinggi (S2 atau
S3) dengan bidang studi yang terkait keamanan
informasi dan atau persandian. Pembinaan
melalui pendidikan ini diberikan kepada seluruh
dosen STSN (tetap dan tidak tetap) dalam
bentuk beasiswa/biaya dinas.
2.5.2.Pembinaan Kesadaran Keamanan Informasi
terhadap Tenaga Kependidikan
1) Implementasi kesadaran (awareness)
Pembinaan kesadaran keamanan kepada tenaga
kependidikan dilakukan dalam bentuk kursus
kesadaran pengamanan yang memberikan
gambaran terkait ancaman dan resiko dalam
bidang tugas persandian serta bagaimana
langkah-langkah pengamanannya. Selain itu
diberikan dalam bentuk pengarahan pimpinan
STSN pada acara coffee morning atau gathering
yang
membahas
mengenai
pentingnya
kepedulian atau kesadarang di lingkungan
STSN. Serta diberikan juga sosialisasi
keamanan dalam bentuk ceramah dan kuliah
umum.
2) Implementasi pelatihan (training)
Pelatihan terkait keamanan informasi untuk
tenaga kependidikan diberikan dalam bentuk
diklat Sandiman atau diklat-diklat teknis yang
terkait pengamanan persandian. Selain itu juga
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
diberikan
dalam
bentuk
kursus-kursus
sertifikasi seperti CISSP, CISA, PMP, CCNA,
ISO implementer, dan CEH untuk lebih
meningkatkan
kompetensinya
dalam
pelaksanaan tugas.
3) Implementasi pendidikan (education)
Implementasi pembinaan kesadaran keamanan
informasi dalam bentuk pendidikan, berupa
beasiswa melalui biaya dinas untuk melanjutkan
jenjang pendidikan formal yang lebih tinggi (S2
atau S3) dengan bidang studi yang terkait
keamanan informasi dan atau persandian.
Pembinaan melalui pendidikan ini diberikan
sesuai dengan tuntutan bidang tugas dan jabatan
serta adanya skala prioritas kebutuhan.
2.5.3.Pembinaan Kesadaran Keamanan Informasi
terhadap Mahasiswa STSN
Implementasi pembinaan kesadaran keamanan
informasi terhadap mahasiswa STSN adalah
sebagai berikut :
1) Implementasi kesadaran (awareness)
Kesadaran merupakan pembinaan tahap awal
berupa pengenalan dan pemotivasian seseorang
tentang lingkungan dan ancaman atau resiko
yang dapat timbul dalam pelaksanaan tugas.
Upaya kesadaran keamanan dirancang untuk
mengubah perilaku atau menguatkan praktekpraktek keamanan yang akan dilakukan di masa
mendatang. Kegiatan yang dilakukan untuk
menumbuhkan kesadaran keamanan antara lain
: kegiatan Program Penerimaan Mahasiswa
Baru yang memberikan gambaran mengenai
pentingnya belajar keamanan informasi dan
salah satu tehnik dalam keamanan informasi
yaitu kriptografi , kegiatan Latihan Dasar
Intelijen Pengamanan yang memberikan dasardasar pengetahuan dan ketrampilan di bidang
pengamanan sehingga dapat mengantisipasi
resiko atau ancaman dalam pelaksanaan tugas,
kegiatan bidang pengasuhan yang membentuk
sikap mahasiswa melalui nilai-nilai patriotisme,
dapat dipercaya, dapat menjaga rahasia, dapat
diandalkan,
berdedikasi,
disiplin,
bertanggungjawab, memiliki jiwa kebersamaan,
dan mandiri. Penanaman nilai-nilai ini
dilakukan dengan mekanisme Reward and
Punishment untuk kegiatan yang dilakukan
mahasiswa.
2) Implementasi pelatihan (training)
Melalui pelatihan, mahasiswa diajarkan
keterampilan yang memungkinkan mereka
dapat melakukan pekerjaan dengan lebih aman
serta bagaimana cara mereka dapat melakukan
pekerjaannya. Pelatihan ini diberikan diluar
dalam kurun waktu tertentu dengan memanggil
narasumber yang kompeten di bidang keamanan
5
informasi. Kegiatan yang dilakukan dalam
pelatihan ini meliputi : kegiatan kokurikuler
yaitu pemberian pengetahuan dan ketrampilan
yang mendukung materi kuliah seperti
implementasi ISO, pembuatan dan pengamanan
database, pembuatan standar kriptografi, tehnik
kriptanalisis dan lain sebagainya; kegiatan
workshop yang dilakukan diluar jam kuliah
dengan materi tehnik-tehnik hacking dan
pengamanannya, tehnik pengamanan jaringan;
kegiatan kuliah umum dengan materi keamanan
informasi dan TIK yang dilakukan tiga kali
dalam setahun.
3) Implementasi pendidikan (education)
Pendidikan keamanan informasi sifatnya lebih
mendalam dibandingkan pelatihan keamanan
informasi, dan ditujukan kepada para
profesional keamanan yang dalam pekerjaannya
memerlukan
keahlian
dalam
proses
pengamanan. Pendidikan merupakan proses
mengintegrasikan
semua
keterampilan
keamanan dan kompetensi dari berbagai
spesialisasi menjadi pengetahuan umum dan
berusaha
untuk
menghasilkan
spesialis
keamanan informasi dan profesional yang
mampu berpikir visioner dan pro-aktif terhadap
respon. Pendidikan terkait keamanan informasi
diberikan selama delapan semester dalam
bentuk mata kuliah-mata kuliah tertentu.
Adapun mata kuliah-mata kuliah tersebut
diberikan sejak semester pertama hingga
semester terakhir, baik dalam suatu kurikulum
nyata ataupun hidden curriculum. Adapun mata
kuliah-mata kuliah yang terkait keamanan
informasi antara lain :
Semester I :
Kriptoanalisis
Transposisi
Alphabetik,
Pengantar Persandian.
Semester II :
Kriptoanalisis Substitusi Alphabetik
Semester III :
Intelijen, Pengantar Mesin Sandi
Semester IV :
Block Cipher/Tehnik Block Cipher, Stream
Cipher/Tehnik Stream Cipher, Pengamanan
Persandian, Manajemen Persandian
Semester V :
Otentikasi
Sandi/Fungsi
Hash/Tehnik
Otentikasi, Pengantar Manajemen Kunci/Tehnik
Manajemen Kunci/Manajemen Kunci, Public
Key/Tehnik
Public
Key,
Kriptoanalisis
Lanjutan I, Manajemen Kegiatan Sandi,
Jaringan Komputer dan Keamanan Jaringan.
Semester VI :
Aplikasi Manajemen Kunci/Digital Signature,
Key Establishment, Kriptoanalisis Lanjutan II,
Kriptografi Jaringan, Keamanan Jaringan,
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
Protokol Kriptografi, Praktikum Keamanan dan
Kriptografi Jaringan.
Semester VII :
Praktek Kerja Lapangan, Analisa Kebijakan
Kripto/Rancang Bangun Modul Sandi.
Semester VIII :
Filsafat Sandi
2.6.Hasil
Dari model pembinaan kesadaran keamanan informasi
yang diterapkan di lingkungan STSN secara umum dapat
diketahui hal-hal sebagai berikut :
1) STSN telah melakukan pembinaan kesadaran
keamanan informasi terhadap tenaga pendidik,
tenaga kependidikan dan mahasiswa yang sesuai
dengan standar NIST;
2) Terbentuknya kesadaran terhadap ancaman dalam
konteks keamanan informasi harus diberikan sejak
awal melalui implementasi kesadaran (awareness)
dan diperkuat melalui implementasi pelatihan
(training) dan pendidikan (education);
3) Pembinaan kesadaran keamanan informasi dalam
implementasinya
(kesadaran,
pelatihan
dan
pendidikan) dapat dilakukan dengan berbagai
cara/metode yang disesuaikan dengan kebutuhan
STSN dengan tetap mengacu pada tujuan
terbentuknya kesadaran keamanan informasi;
4) Kesadaran keamanan informasi harus dilakukan
secara bertahap agar perilaku dan sikap yang sadar
akan ancaman dan resiko dan bagaimana
mengantisipasinya dalam pelaksanaan tugas tetap
terjaga.
5) Adapun pembinaan kesadaran keamanan informasi
dalam kerangka pendidikan di STSN
a) Pemberian kesadaran keamanan informasi
terhadap mahasiswa harus dilakukan sejak awal
pendidikan;
b) Terbentuknya kompetensi dalam pengamanan
informasi yang dapat mendukung pelaksanaan
tugas melalui pemberian materi didalam dan
diluar kelas;
c) Peningkatan kemampuan di bidang keamanan
informasi yang dilakukan oleh pengguna lulusan
melalui program sertifikasi bidang keamanan
informasi (professional development) sebagai
bentuk pengakuan terhadap kemampuan awal
lulusan STSN;
d) Implementasi ini belum dilaksanakan menyeluruh
dan berkesinambungan dengan pengembangan
profesionalitasnya, contoh : program sertifikasi.
3. KESIMPULAN
Dari uraian-uraian sebelumnya, dapat disimpulkan
bahwa :
3.1.STSN telah mengimplementasikan pembinaan
kesadaran keamanan informasi meskipun belum
optimal
6
3.2.Perlunya dilakukan professional development
terkait sertifikasi di bidang keamanan informasi
secara menyeluruh, baik kepada tenaga pendidik
maupun mahasiswa.
3.3.Perlu penajaman kompetensi output dengan
memfokuskan pada peran lulusan STSN sebagai
owner , custodian dan user informasi sehingga
keamanan informasi menjadi framework dalam
pelaksanaan tugas di masa mendatang.
3.4.Perlu pemberian kesadaran keamanan informasi
bagi tenaga kependidikan secara periodik.
DAFTAR PUSTAKA
[1] Ronald L. Krutz and Russell Dean Vines, 2007, The
CISSP and CAP Prep Guide: Platinum Edition, John
Wiley & Sons;
[2] InfoSecurity Europe, 2010, Information Security
Breaches Survey 2010 (ISBS-2010) : Technical Report,
www.infosec.co.uk/files/isbs_2010_technical_report_si
ngle_pages.pdf, diakses terakhir tanggal 3 Mei 2011
jam 13.00. WIB.
[3] Kevin D. Mitnick and William L. Simon, 2002, The Art
of Deception, Wiley Publishing, Inc.;
[4] Hal Tipton and Micki Krause, 2005, Handbook of
Information Security Management, CRC Press LLC
[5] Undang-Undang No. 14 Tahun
Keterbukaan Informasi Publik (KIP)
2008
tentang
[6] National Institute of Standards and Technology Special
Publication (NIST SP) 800-59, Guideline for
Identifying an Informastion System as a National
Security System;
[7] National Institute of Standards and Technology Special
Publication (NIST SP) 800-100, Information Security
Handbook: A Guide for Managers.
e-Indonesia Initiative Forum 7th (eII2011)
14-15 Juni 2011, Bandung
7