MENYUSUN KEBIJAKAN KEAMANAN INFORMASI
Pentingnya Dokumen Kebijakan Keamanan
Keberadaan dokumen “Kebijakaan Keamanan” atau “Security Policies” merupakan
sebuah infrastruktur keamanan yang
harus dimiliki oleh sebuah organisasi atau perusahaan yang
ingin melindungi aset informasi terpentingnya.
Dokumen ini secara prinsip berisi berbagai cara (
baca:
kendali) yang
perlu dilakukan untuk mengontrol manajemen,
mekanisme,
prosedur,
dan tata cara dalam mengamankan informasi,
baik secara langsung maupun tidak langsung. Karena
berada pada tataran kebijakan,
maka dokumen ini biasanya berisi hal-
hal yang
bersifat prinsip dan strategis.
Dengan adanya kebijakan ini,
selain akan membantu organisasi dalam mengamankan aset pentingya,
juga menghindari adanya insiden atau tuntutan hukum akibat organisasi terkait lalai dalam melakukan pengelolaan internal
terhadap aset informasi atau hal-
hal terkait dengan tata kelola informasi yang
berada dalam lingkungannya.
Kebijakan yang
dimaksud juga bersifat teknologi netral,
artinya tidak tergantung atau spesifik terhadap penggunaan merek teknologi tertentu.
Elemen Kunci Kebijakan Keamanan EC-Council
melihat ada 7 (
tujuh)
elemen kunci yang
harus diperhatikan dalam menyusun kebijakan keamanan,
masing-
masing adalah:
1.
Komunikasi yang
jelas mengenai arti dan pentingnya sebuah kebijakan keamanan untuk disusun dan ditaati oleh seluruh pemangku kepentingan perusahaan;
2.
Definisi yang
jelas dan ringkas mengenai aset informasi apa saja yang
harus diprioritaskan untuk dilindungi dan dikelola dengan sebaik-
baiknya;
3.
Penentuan ruang lingkup pemberlakukan kebijakan yang
dimaksud dalam teritori kewenangan yang
ada;
4.
Jaminan adanya sanksi,
perlindungan,
dan penegakan hukum terhadap para
pelaku yang
terkait dengan manajemen informasi sesuai dengan peraturan dan undang-
undang yang
berlaku;
5.
Adanya pembagian tugas dan tanggung jawab yang
jelas terhadap personel atau SDM yang
diberikan tugas untuk melakukan kegiatan pengamanan informasi;
6.
Penyusunan dokumen atau referensi panduan bagi seluruh pemangku kepentingan dan pelaku manajemen keamanan informasi untuk menjamin penerapan yang
efektif;
dan7.
Partisipasi aktif dan intensif dari manajemen atau pimpinan puncak organisasi untuk mensosialisasikan dan mengawasi implementasi kebijakan dimaksud.
Peranan dan Tujuan Keberadaan Kebijakan Keamanan Secara prinsip paling
tidak ada 2 (
dua)
peranan penting dari sebuah dokumen kebijakan keamanan,
yaitu:
Untuk mendefinisikan dan memetakan secara detail
aset-
aset informasi apa saja yang
harus dilindungi dan dikelola dengan baik keamanannya;
dan
Untuk mereduksi atau mengurangi resiko yang
dapat ditimbulkan karena:
•
Adanya penyalahgunaan sumber daya atau fasilitas perusahaan yang
terkait dengan manajemen pengelolaan data
dan informasi;
•
Adanya insiden yang
menyebabkan hilangnya data
penting,
tersebarnya informasi rahasia,
dan pelanggaran terhadap hak cipta (
HAKI);
dan
•
Adanya pelanggaran terhadap hak akses pengguna informasi tertentu sesuai dengan hak dan wewenangnya.
Oleh karena itulah maka perlu didefinisikan dan ditentukan serangkaian mekanisme atau protokol yang
berfungsi sebagai panduan strategis dan operasional dalam hal semacam: (i)
bagaiaman setiap karyawan harus dan dapat berinteraksi dengan sistem informasi; (ii)
bagaimana setiap sistem informasi harus dikonfigurasi; (iii)
apa yang
harus dilakukan jika terjadi insiden keamanan; (iv)
bagaimana cara mendeteksi adanya kerawanan keamanan sistem yang
terjadi;
dan lain
sebagainya.
Sementara tujuan dari adanya Kebijakan Keamanan adalah:
Memproteksi dan melindungi sumber daya sistem dan teknologi informasi organisasi dari penyalahgunaan wewenang akses;
Menangkis serangan atau dakwaan hukum dari pihak lain
terkait dengan insiden keamanan;
Memastikan integritas dan keutuhan data yang
bebas dari perubahan dan modifikasi pihak-
pihak tak berwenang.
Klasifikasi Jenis Kebijakan Keamanan
Dilihat dari segi peruntukkan dan kontennya,
dokumen kebijakan keamanan dapat dikategorisasikan menjadi beberapa jenis,
yaitu:
1. User Policy
berisi berbagai kebijakan yang
harus dipatuhi oleh seluruh pengguna komputer dan sistem informasi organisasi,
terutama menyangkut masalah hak akses,
proteksi keamanan,
tanggung jawab pengelolaan aset teknologi,
dan lain
sebagainya;
2. IT Policy
diperuntukkan secara khusus bagi mereka yang
bekerja di departemen atau divisi teknologi informasi untuk memastikan adanya dukungan penuh terhadap pelaksanaan tata kelola keamanan informasi,
seperti:
mekanisme back-up,
tata cara konfigurasi teknologi,
dukungan terhadap pengguna,
manajemen help desk,
penanganan insiden,
dan lain
sebagainya;
3. General Policy
membahas masalah-
masalah umum yang
menjadi tanggung jawab bersama seluruh pemangku kepentingan organisasi,
misalnya dalam hal mengelola keamanan informasi pada saat terjadi:
manajemen krisis,
serangan penjahat cyber,
bencana alam,
kerusakan sistem,
dan lain
sebagainya;
dan
4. Partner Policy
kebijakan yang
secara khusus hanya diperuntukkan bagi level
manajemen atau pimpinan puncak organisasi semata.
Panduan Rancangan dan Konten Dokumen Kebijakan Keamanan Untuk setiap dokumen kebijakan keamanan yang
disusun dan dikembangkan,
terdapat sejumlah hal yang
harus diperhatikan sebagai panduan,
yaitu:
–
Terdapat penjelasan detail
mengenai deskripsi kebijakan yang
dimaksud,
terutama berkaitan dengan isu-
isu keamanan informasi dalam organisasi;
–
Adanya deskripsi mengenai status
dokumen kebijakan yang
disusun dan posisinya dalam tata peraturan organisasi dimaksud;
–
Ruang lingkup pemberlakuan dokumen terkait dalam konteks struktur serta lingkungan organisasi yang
dimaksud –
terutama dalam hubungannya dengan unit
serta fungsi struktur organisasi yang
bersangkutan;
dan
–
Konsekuensi atau hukuman bagi mereka yang
tidak taat atau melanggar kebijakan yang
dimaksud.
Dipandang dari sisi konten,
perlu disampaikan dalam dokumen kebijakan keamanan sejumlah aspek sebagai berikut:
–
Pendahuluan mengenai alasan dibutuhkannya suatu kebijakan keamanan dalam konteks berorganisasi,
terutama dalam kaitannya dengan definisi,
ruang lingkup,
batasan,
obyektif,
serta seluk beluk keamanan informasi yang
dimaksud;
–
Pengantar mengenai posisi keberadaan dokumen kebijakan yang
disusun,
serta struktur pembahasannya, yang
telah fokus pada proses
pengamanan aset-
aset penting organisasi yang
terkait dengan pengelolaan data
serta informasi penting dan berharga;
–
Definisi mengenai peranan,
tugas dan tanggung jawab,
fungsi,
serta cara penggunaan kebijakan keamanan yang
dideskripsikan dalam dokumen formal
terkait;
dan,
–
Mekanisme kendali dan alokasi sumber daya organisasi yang
diarahkan pada proses
institutionalisasi kebijakan keamanan yang
dipaparkan dalam setiap pasal atau ayat dalam dokumen kebijakan ini.
Strategi Implementasi Kebijakan Keamanan
Belajar dari pengalaman organisasi yang
telah berhasil menerapkan dokumen kebijakan keamanan secara efektif,
ada sejumlah prinsip yang
harus dimengerti dan diterapkan secara sungguh-
sungguh,
yaitu:
1.
Mekanisme pengenalan dan “enforcement”
harus dilaksanakan dengan menggunakan pendekatan “top down”, yang
dimulai dari komitmen penuh pimpinan puncak yang
turun langsung mensosialisasikannya kepada segenap komponen organisasi;
2.
Bahasa yang
dipergunakan dalam dokumen kebijakan keamanan tersebut haruslah yang
mudah dimengerti,
dipahami,
dan dilaksanakan oleh setiap pemangku kepentingan;
3.
Sosialisasi mengenai pemahaman cara melaksanakan setiap pasal dalam kebijakan kemanan haruslah dilaksanakan ke segenap jajaran manajemen organisasi;
4.
Tersedianya “help desk” yang
selalu bersedia membantu seandainya ada individu atau unit yang
mengalami permasalahan dalam menjalankan kebijakan yang
ada;
dan
5.
Secara konsisten diberikannya sanksi dan hukuman terhadap setiap pelanggaran kebijakan yang
terjadi,
baik yang
sifatnya sengaja maupun tidak sengaja.
Contoh Model
Kebijakan Keamanan
Dipandang dari segi prinsip,
paradigma,
dan pendekatan dalam menyusun strategi keamanan,
dokumen kebijakan yang
disusun dapat dikategorikan menjadi sejumlah model,
antara lain:
Primiscuous Policy
Merupakan kebijakan untuk tidak memberikan restriksi apa pun
kepada para
pengguna dalam memanfaatkan internet atau sistem informasi yang
ada.
Kebebasan yang
mutlak ini biasanya sering
diterapkan oleh organisasi semacam media
atau pers,
konsultan,
firma hukum,
dan lain
sebagainya – yang
menerapkan prinsip-
prinsip kebebasan dalam berkarya dan berinovasi.
Permissive Policy
Pada intinya kebijakan ini juga memberikan keleluasaan kepada pengguna untuk memanfaatkan sistem informasi sebebas-
bebasnya tanpa kendali,
namun setelah dilakukan sejumlah aktivitas kontrol,
seperti: (i)
menutup lubang-
lubang kerawanan dalam sistem dimaksud; (ii)
menonaktifkan port
atau antar muka input-output yang
tidak dipergunakan; (iii)
mengkonfigurasian server
dan firewalls
sedemikian rupa sehingga tidak dimungkinkan adanya akses dari eksternal organisasi ke dalam;
dan lain
sebagainya.Prudent Policy
Kebalikan dengan dua model
kebijakan sebelumnya,
jenis ini organisasi benar-
benar menggunakan prinsip kehati-
haian dalam mengelola keamanan informasinya.
Dalam lingkungan ini,
hampir seluruh sumber daya informasi “
dikunci”
dan “
diamankan”.
Untuk menggunakannya,
setiap user
harus melalui sejumlah aktivitas pengamanan terlebih dahulu.
Prinsip ekstra hati-
hati ini biasanya cocok untuk diterapkan pada organisasi semacam instalasi militer, bursa
efek,
perusahaan antariksa,
dan lain
sebagainya.
Paranoid Policy
Pada model
ini,
kebanyakan individu dalam organisasi yang
tidak memiliki relevansi sama sekali dengan kebutuhan informasi benar-
benar ditutup kemungkinannya untuk dapat mengakses internet maupun sistem informasi apa pun yang
ada dalam lingkungan organisasi.
Seperti selayaknya orang yang
sedang “paranoid”,
organisasi benar-
benar “
tidak percaya”
kepada siapapun,
termasuk karyawannya sendiri,
sehingga akses terhadap hampir semua sistem informasi benar-
benar ditutup secara ketat.
Acceptable-Use Policy
Dalam lingkungan kebijakan ini,
organisasi menentukan hal-
hal apa saja yang
boleh dilakukan maupun tidak boleh dilakukan oleh sejumlah pengguna dalam organisasi –
terkait dengan akses dan hak modifikasi informasi tertentu.
Hasil pemetaan inilah yang
kan dipakai untuk memberikan tingkat atau level
hak akses keamanannya.
User-Account Policy
Ini merupakan kebijakan yang paling
banyak diterapkan di organisasi kebanyakan.
Dalam konteks ini,
setiap pengguna,
sesuai dengan tupoksi dan tanggung jawabnya,
ditetapkan hak aksesnya terhadap masing-
masing jenis informasi yang
ada di organisasi.
Dengan kata lain,
wewenang akses yang
dimiliki tersebut melekat pada struktur atau unit
organisasi tempatnya bekerja dan beraktivitas.
Remote-Access Policy
Kebijakan ini erat kaitannya dengan manajemen hak akses terhadap sumber daya sistem informasi organisasi yang
dapat dikendalikan dari jarak jauh (
baca: remote). Hal
ini menjadi tren tersendiri mengingat semakin banyaknya organisasi yang
memperbolehkan karyawannya untuk bekerja dari rumah atau ranah publik lainnya sejauh yang
bersangkutan memiliki akses ke internet.Karena
sifatnya inilah maka perlu dibuat kebijakan khsus mengenai hak akses kendali jarak jauh.
Information-Protection Policy
Jika dalam kebijakan sebelumnya fokus lebih ditekankan pada hak akses pengguna terhadap sumber daya teknologi yang
ada,
dalam kebijakan ini fokus kendali atau perlindungan ada pada aset informasi itu sendiri.
Dimulai dari definisi informasi apa saja yang
dianggap bernilai tinggi dan perlu diprioritaskan untuk dijaga,
hingga model
pencegahan penguasaan orang lain yang
tidak berhak dengan cara melakukan enkripsi,
perlindungan penyimpanan, model
akses,
dan lain
sebagainya.
Firewall-Management Policy
Sesuai dengan namanya,
kebijakan ini erat kaitannya dengan prinsip dan mekanisme konfigurasi firewalls yang
harus diterapkan dalam organisasi. Karena
sifatnya yang
holistik,
biasanya kebijakan ini menyangkut mulai dari perencanaan,
pengadaan,
pengkonfigurasian,
penginstalan,
pemasangan,
penerapan,
hingga pada tahap pengawasan dan pemantauan kinerja.
Special-Access Policy
Disamping kebijakan yang
bersifat umum,
dapat pula diperkenalkan kebijakan yang
secara khusus mengatur hal-
hal yang
diluar kebiasaan atau bersifat ad-
hoc (
maupun non-
rutin).
Misalnya adalah hak akses terhadap sumber daya teknologi yang
diberikan kepada penegak hukum ketika terjadi proses
atau insiden kejahatan kriminal;
atau wewenang akses terhadap pihak eksternal yang
sedang melakukan aktivitas audit
teknologi informasi;
atau hak khusus bagi pemilik perusahaan atau pemegang saham mayoritas yang
ingin melihat kinerja organisasi atau perusahaan yang
dimilikinya.
Network-Connection Policy
Seperti diketahui bersama,
terdapat banyak sekali cara untuk dapat menghubungkan sebuah komputer atau notebook
ke jejaring komputer maupun dunia maya (
baca:
internet),
antara lain
melalui: (i) hot spot
secara langsung; (ii) wireless
dengan perantara komputer lain
sebagai host; (iii) modem; (iv)
telepon genggam; (v)
sambungan fisik teritorial;
dan lain
sebagainya. Agar
aman,
perlu dikembangkan sebuah kebijakan keamanan terkait dengan aturan dan mekanisme kebijakan menghubungkan diri ke dunia maya.
Business-Partner Policy
Sebagai pihak yang
berada di luar lingkungan internal
perusahaan,
mitra bisnis perlu pula diberikan akses terhadap sejumlah informasi yang
relevan untuknya.
Dalam kaitan ini maka perlu dikembangkan kebijakan keamanan khusus yang
mengatur hak dan tanggung jawab akses informasi dari mitra bisnis.
Other Policies
Setiap organisasi memiliki karakteristik,
budaya,
dan kebutuhannya masing-
masing.
Oleh karena itu,
maka akan berkembang sejumlah kebijakan sesuai dengan kebutuhan yang
ada.
Beberapa di antaranya yang
kerap dikembangkan oleh organisasi di negara berkembang seperti Indonesia
adalah:
- Kebijakan mengenai manajemen pengelolaan kata kunci atau password;
- Kebijakan dalam membeli dan menginstalasi software baru;
- Kebijakan untuk menghubungkan diri ke dunia maya (baca: internet);
- Kebijakan terkait dengan penggunaan flash disk dalam lingkungan organisasi;
- Kebijakan yang mengatur tata cara mengirimkan dan menerima email atau berpartisipasi dalam mailing list; dan lain sebagainya.