Pentingnya Kebijakan Keamanan Keberadaan
dokumen “Kebijakaan Keamanan” atau “Security Policies” merupakan sebuah
infrastruktur keamanan yang harus dimiliki oleh perusahaan yang ingin
melindungi aset informasi pentingnya. Dokumen ini secara prinsip berisi
berbagai cara yang perlu dilakukan untuk mengontrol manajemen, mekanisme,
prosedur, dan tata cara dalam mengamankan informasi, baik secara langsung
maupun tidak langsung. Dengan kebijakan ini,
akan membantu organisasi dalam mengamankan informasi pentingnya, juga
menghindari adanya insiden atau tuntutan hukum akibat perusahaan lalai dalam
melakukan pengelolaan aset informasi yang berada dalam lingkungannya.
6 hal yang harus diperhatikan
dalam menyusun kebijakan keamanan:
Komunikasi
yang jelas mengenai arti dan pentingnya sebuah kebijakan keamanan untuk disusun
dan ditaati oleh seluruh pihak yang berkepentingan.
Definisi yang jelas dan ringkas mengenai aset
informasi apa saja yang harus diprioritaskan untuk dilindungi dan dikelola
dengan sebaik-baiknya
Menentukan
ruang lingkup pemberlakukan kebijakan yang dimaksud dalam batasan kewenangan
yang ada
Adanya
sanksi, perlindungan, dan penegakan hukum terhadap para pelaku yang terkait
dengan kebiajakan manajemen informasi.
Adanya
pembagian tugas dan tanggung jawab yang jelas terhadap personel atau SDM yang
diberikan tugas untuk melakukan kegiatan pengamanan informasi
Partisipasi
aktif dan intensif dari manajemen atau pimpinan puncak organisasi untuk
mensosialisasikan dan mengawasi implementasi kebijakan dimaksud
Secara prinsip paling tidak ada 2
peranan penting dari sebuah dokumen kebijakan keamanan :
Untuk mendefinisikan dan memetakan secara
detail aset-aset informasi apa saja yang harus dilindungi dan dikelola dengan
baik keamanannya
Untuk
mereduksi atau mengurangi resiko yang dapat ditimbulkan karena
Adanya
penyalahgunaan sumber daya atau fasilitas perusahaan yang terkait dengan
manajemen pengelolaan data dan informasi
Adanya
insiden yang menyebabkan hilangnya data penting, tersebarnya informasi rahasia,
dan pelanggaran terhadap hak cipta
Adanya
pelanggaran terhadap hak akses pengguna informasi tertentu sesuai dengan hak
dan wewenangnya
Tujuan Kebijakan Keamanan:
Memproteksi
dan melindungi sumber daya sistem dan teknologi informasi organisasi dari
penyalahgunaan wewenang akses
Mencegah
serangan atau dakwaan hukum dari pihak lain terkait dengan insiden keamanan
Memastikan
integritas dan keutuhan data yang bebas dari perubahan dan modifikasi
pihak-pihak tak berwenang
Mekanisme Kebijakan Keamanan:
setiap
karyawan harus dan dapat berinteraksi dengan sistem informasi
setiap
sistem informasi harus dikonfigurasi
apa
yang harus dilakukan jika terjadi insiden keamanan
bagaimana
cara mendeteksi adanya kerawanan keamanan sistem yang terjadi
Klasifikasi Jenis Kebijakan
Keamanan:
User
Policy berisi berbagai kebijakan yang harus dipatuhi oleh seluruh pengguna
komputer dan sistem informasi perusahaan, terutama menyangkut masalah hak
akses, proteksi keamanan, dan tanggung jawab pengelolaan aset teknologi
IT
Policy diperuntukkan secara khusus bagi mereka yang bekerja di departemen atau
divisi teknologi informasi untuk memastikan adanya dukungan penuh terhadap
pelaksanaan tata kelola keamanan informasi, seperti: mekanisme back-up, tata
cara konfigurasi teknologi, dukungan terhadap pengguna, manajemen help desk,
penanganan insiden
General
Policy membahas masalah-masalah umum
yang menjadi tanggung jawab bersama seluruh pihak yang berkepentingan, misalnya dalam hal mengelola
keamanan informasi pada saat terjadi krisis, serangan cyber, bencana alam,
kerusakan sistem
Partner
Policy kebijakan yang secara khusus diperuntukkan bagi level manajemen atau
pimpinan puncak perusahaan.
Beberapa hal yang harus
diperhatikan dalam menyusun kebijakan keamanan:
Terdapat penjelasan detail mengenai
deskripsi kebijakan yang dimaksud, terutama berkaitan dengan isu-isu keamanan informasi
dalam perusahaan
Adanya
deskripsi mengenai status dokumen kebijakan yang disusun dan posisinya dalam
peraturan perusahaan
Ruang
lingkup pemberlakuan dokumen terkait dalam konteks struktur serta lingkungan
perusahaan, terutama dalam hubungannya dengan unit serta fungsi struktur
organisasi yang bersangkutan
Konsekuensi
atau hukuman bagi mereka yang tidak taat atau melanggar kebijakan yang dimaksud
Strategi Implementasi Kebijakan
Keamanan:
Mekanisme
pengenalan dan “enforcement” harus dilaksanakan dengan menggunakan pendekatan
“top down”, yang dimulai dari komitmen penuh pimpinan puncak yang turun
langsung mensosialisasikannya kepada segenap komponen perusahaan
Bahasa
yang dipergunakan dalam dokumen kebijakan keamanan tersebut haruslah yang mudah
dimengerti, dipahami, dan dilaksanakan oleh setiap pemangku kepentingan
Sosialisasi
mengenai pemahaman cara melaksanakan setiap pasal dalam kebijakan kemanan harus
dilaksanakan seluruh jajaran manajemen perusahaan
Tersedia
“help desk” yang selalu bersedia membantu seandainya ada individu atau unit
yang mengalami permasalahan dalam menjalankan kebijakan yang ada
Secara
konsisten diberikan sanksi dan hukuman terhadap setiap pelanggaran kebijakan
yang terjadi, baik yang sifatnya sengaja maupun tidak sengaja
Contoh Model Kebijakan Keamanan
(1)
Dipandang dari segi prinsip,
paradigma, dan pendekatan dalam menyusun strategi keamanan, dokumen kebijakan
yang disusun dapat dikategorikan menjadi sejumlah model, antara lain:
Primiscuous
Policy Merupakan kebijakan untuk tidak memberikan batasan apa pun kepada para
pengguna dalam memanfaatkan internet atau sistem informasi yang ada. Kebebasan
yang mutlak ini biasanya sering diterapkan oleh organisasi semacam media atau
pers, konsultan, firma hukum, dan lain sebagainya – yang menerapkan
prinsip-prinsip kebebasan dalam berkarya dan berinovasi.
Permissive
Policy kebijakan ini juga memberikan keleluasaan kepada pengguna untuk
memanfaatkan sistem informasi sebebas-bebasnya tanpa kendali, namun setelah
dilakukan sejumlah aktivitas kontrol, seperti: menutup lubang-lubang kerawanan
dalam sistem, menonaktifkan port input-output yang tidak dipergunakan,
mengkonfigurasian server dan firewalls sedemikian rupa sehingga tidak
dimungkinkan adanya akses dari eksternal organisasi ke dalam.
Contoh Model Kebijakan Keamanan
(2)
Dipandang dari segi prinsip,
paradigma, dan pendekatan dalam menyusun strategi keamanan, dokumen kebijakan
yang disusun dapat dikategorikan menjadi sejumlah model, antara lain:
Prudent
Policy merupakan kebalikan dengan dua model kebijakan sebelumnya, jenis ini
benar-benar menggunakan prinsip kehati-hatian dalam mengelola keamanan
informasinya. Dalam kebijakan ini, hampir seluruh sumber daya informasi
“dikunci” dan “diamankan”. Untuk menggunakannya, setiap user harus melalui
sejumlah aktivitas pengamanan terlebih dahulu. Prinsip ekstra hati-hati ini
biasanya cocok untuk diterapkan pada organisasi semacam instalasi militer,
bursa efek, perusahaan antariksa, dan lain sebagainya.
Paranoid
Policy pada model ini, user yang tidak
memiliki relevansi sama sekali dengan kebutuhan informasi benar-benar tidak
dapat mengakses internet maupun sistem informasi apa pun yang ada dalam
lingkungan organisasi. Seperti selayaknya orang yang sedang “paranoid”,
perusahaan benar-benar “tidak percaya” kepada siapapun, termasuk karyawannya
sendiri, sehingga akses terhadap hampir semua sistem informasi benar-benar
ditutup secara ketat.
Contoh Model Kebijakan Keamanan
(3)
Dipandang dari segi prinsip,
paradigma, dan pendekatan dalam menyusun strategi keamanan, dokumen kebijakan
yang disusun dapat dikategorikan menjadi sejumlah model, antara lain:
Acceptable-Use
Policy dalam kebijakan ini, perusahaan menentukan hal-hal apa saja yang boleh
dilakukan maupun tidak boleh dilakukan oleh sejumlah pengguna dalam organisasi
– terkait dengan akses dan hak modifikasi informasi tertentu. Hasil pemetaan
inilah yang kan dipakai untuk memberikan tingkat atau level hak akses
keamanannya.
User-Account
Policy kebijakan ini paling banyak
diterapkan pada perusahaan. Setiap pengguna, sesuai dengan tupoksi dan tanggung
jawabnya, ditetapkan hak aksesnya terhadap masing-masing jenis informasi yang
ada pada organisasi. Dengan kata lain, wewenang akses yang dimiliki tersebut
melekat pada struktur atau unit organisasi tempatnya bekerja dan beraktivitas.
Contoh Model Kebijakan Keamanan
(4)
Dipandang dari segi prinsip,
paradigma, dan pendekatan dalam menyusun strategi keamanan, dokumen kebijakan
yang disusun dapat dikategorikan menjadi sejumlah model, antara lain:
Remote-Access
Policy Kebijakan ini erat kaitannya dengan manajemen hak akses terhadap sumber
daya sistem informasi organisasi yang dapat dikendalikan dari jarak jauh. Hal
ini menjadi tren tersendiri mengingat semakin banyaknya perusahaan yang
memperbolehkan karyawannya untuk bekerja dari rumah atau tempat lainnya sejauh
yang bersangkutan memiliki akses ke internet. Karena sifatnya inilah maka perlu
dibuat kebijakan khusus mengenai hak akses kendali jarak jauh.
Information-Protection
Policy Jika dalam kebijakan sebelumnya fokus lebih ditekankan pada hak akses
pengguna terhadap sumber daya teknologi yang ada, dalam kebijakan ini fokus
kendali atau perlindungan ada pada aset informasi itu sendiri. Dimulai dari
definisi informasi apa saja yang dianggap bernilai tinggi dan perlu
diprioritaskan untuk dijaga.
Contoh Model Kebijakan Keamanan
(5)
Dipandang dari segi prinsip,
paradigma, dan pendekatan dalam menyusun strategi keamanan, dokumen kebijakan
yang disusun dapat dikategorikan menjadi sejumlah model, antara lain:
Firewall-Management
Policy Sesuai dengan namanya, kebijakan ini erat kaitannya dengan prinsip dan
mekanisme konfigurasi firewalls yang harus diterapkan dalam organisasi. Karena
sifatnya yang holistik, biasanya kebijakan ini diterapkan mulai dari
perencanaan, pengadaan, pengkonfigurasian, instalasi, pemasangan, penerapan,
hingga pada tahap pengawasan dan pemantauan kinerja.
Special-Access
Policy kebijakan ini terkait dengan hak akses terhadap sumber daya teknologi
yang diberikan kepada penegak hukum ketika terjadi proses atau insiden
kejahatan kriminal, atau wewenang akses terhadap pihak eksternal yang sedang
melakukan aktivitas audit teknologi informasi, atau hak khusus bagi pemilik
perusahaan atau pemegang saham yang ingin melihat kinerja organisasi atau
perusahaan yang dimilikinya.
Contoh Model Kebijakan Keamanan
(6)
Dipandang dari segi prinsip,
paradigma, dan pendekatan dalam menyusun strategi keamanan, dokumen kebijakan
yang disusun dapat dikategorikan menjadi sejumlah model, antara lain:
Network-Connection
Policy sebuah kebijakan keamanan terkait dengan aturan dan mekanisme kebijakan
menghubungkan diri ke dunia maya.
Business-Partner
Policy Sebagai pihak yang berada di luar lingkungan internal perusahaan, mitra
bisnis perlu pula diberikan akses terhadap sejumlah informasi yang relevan
untuknya. Dalam kaitan ini maka perlu dikembangkan kebijakan keamanan khusus
yang mengatur hak dan tanggung jawab akses informasi dari mitra bisnis.
Other
Policies Setiap organisasi memiliki karakteristik, budaya, dan kebutuhannya
masing-masing. Oleh karena itu, maka akan berkembang sejumlah kebijakan sesuai
dengan kebutuhan yang ada.
Kebijakan Keamanan berdasarkan
budaya perusahaan:
Kebijakan
mengenai manajemen pengelolaan kata kunci atau password
Kebijakan dalam membeli dan menginstalasi
software baru
Kebijakan
untuk menghubungkan diri ke dunia maya
Kebijakan
terkait dengan penggunaan flash disk dalam lingkungan organisasi
Kebijakan
yang mengatur tata cara mengirimkan dan menerima email atau berpartisipasi
dalam mailing list; dan lain lain