Saat ini Indonesia memiliki kurang lebih 5 miliar perangkat teknologi informasi dan komunikasi (TIK) yang didukung jaringan internet, dan diperkirakan akan mencapai 50 miliar di masa mendatang, data per-Desember 2011 yang dimiliki Kementerian Komunikasi dan Informatika menyebutkan ada 2 miliar lebih pengguna internet di dunia, 55 juta di antaranya ada di Indonesia dan jumlah ini akan terus meningkat dengan prakiraan akan mencapai 95 juta pada tahun 2015.
Jika dilihat dari besarnya jumlah pengguna jasa internet atau layanan teknologi informasi di Indonesia dan besarnya jumlah perangkat TIK serta Sistem teknologi informasi dan komunikasi (TIK) di Indonesia, maka dibutuhkan audit teknologi untuk keamanan system informasi/TIK untuk menghindari bocornya data strategis, kesalahan pengambilan keputusan dan pemborosan investasi perangkat keras dan lunak
Disamping itu kebutuhan audit teknologi keamanan informasi dibutuhkan juga oleh setiap penyelenggaraan pelayanan publik yang harus menerapkan tata kelola keamanan informasi secara andal dan aman sesuai Pasal 15 Undang-Undang No 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik serta standar sistem manajemen keamanan informasi yaitu SNI ISO/IEC 27001:2009. Serangan virus ke sistem TIK di Indonesia saat ini telah mencapai jutaan perhari dan untuk itu perlu dilakukan tiga pendekatan dalam mempertahankan keamanan di dunia cyber khususnya dalam bertransaksi elektronik yakni pendekatan hukum, keamanan teknologi dan pendekatan sosial budaya agar masyarakat memahami tentang keamanan informasi.
Salah satu cara mudah dalam melakukan system keamanan informasi adalah dengan menggunakan teknologi Could computingatau sistem komputasi awan. Terpencarnya data di 440 kabupaten belum tentu didukung ahli teknologi informasi yang piawai sehingga rentan serangan virus dan hacker.
Ada lima pilar dalam system keamanan informasi yang dapat menjamin bahwa keamanan system informasi bisa berjalan dengan baik yaitu:
1. Teknologi : yang menyangkut peralatan informasi/Hardware, perangkat lunak/Software dan jaringan/Network
2. Manusia: Profesionalisme pengguna peralatan system informasi yang dibekali oleh pendidikan dan pelatihan yang memadai serta adanya budaya pemahaman TIK yang cukup
3. Bisnis: Maksud dan Tujuan dari penggunaan system informasi agar bisa tepat sasaran dan didukung oleh Struktur Organisasi yang memadai serta Artsitektur bisnis dan jaringan informasi yang mumpuni
4. Proses : Pemahaman akan metodologi, standard dan panduan penggunaan peralatan informasi sehingga bisa membantu semaksimal mungkin proses bisnis
5. Legal/Hukum: Kepastian Hukum akan penggunaan system informasi dengan penggunaan software yang legal dan memenuhi regulasi, melakukan kerjasama dan kemitraan dengan berbagai pihak dalam penggunaan peralatan hardware dan software yang legal serta menunjang visi/misi organisasi
Dalam rangka mendukung system keamanan informasi, Indonesia juga telah mempunyai beberapa Standar Nasional Indonesia (SNI) tentang keamanan sistem informasi yang harusnya bisa dijalankan pada setiap perusahaan dan kantor pemerintah baik pusat maupun daerah serta perlu dilakukan peningkatan kapasitas terkait keamanan sistem informasi bukan hanya kepada pengelola data dan informasi, namun juga kepada semua orang dalam perusahaan sesuai tingkat dan pekerjaannya.
} SNI ISO/IEC 27001 tahun 2009 Standard Sistem manajemen keamanan informasi yang dipersyaratkan, Information technology � Security techniques � Information security management systems � Requirements (ISO/IEC 27001:2005, IDT).
} ISO/IEC 27007 Standard panduan bagi organisasi yang memiliki kewenangan melakukan audit dan sertifikasi sistem manajemen keamanan informasi (SMKI). Standar ini dimaksudkan untuk mendukung proses akreditasi.
} SNI 7512:2008 Standard Teknologi informasi - Teknik keamanan untuk Pengelolaan insiden keamanan informasi.
} SNI 19-7125-2005 Standard Teknologi Informasi - Teknik keamanan sebagai Panduan teknik untuk penggunaan dan manajemen jasa Pihak Ketiga Terpercaya.
Secara diagram Sistem Manajemen Keamanan Informasi dapat digambarkan terdiri dari Panduan Umum (ISO 27002, 27003, 27004, 27005, 27007); Persyaratan Umum (ISO 27001, 27006) dan Terminologi (ISO 27000)
} Kerugian akibat kehilangan data,
} Kesalahan dalam pengambilan keputusan,
} Risiko kebocoran data,
} Penyalahgunaan computer oleh pihak yang tidak diinginkan
} Kerugian akibat kesalahan proses perhitungan,
} Pemborosan dalam investasi (perangkat keras dan perangkat lunak dll.).
Beberapa contoh aplikasi system informasi yang memerlukan audit teknologi keamanan system informasi seperti:
? Penyelenggaraan e-KTP: untuk memastikan data kependudukan dalam SIAK dan e-KTP memenuhi prinsip keamanan informasi (data center, smartcard, jaringan, pencetakan kartu, personalisasi dll), dan juga perekaman data penduduk di sekitar 6000 titik dan pengiriman data dapat di audit aspek keamanannya.
? Penyelenggaraan e-Pemilu: untuk melakukan audit teknologi akan perangkat keras, perangkat lunak, data center dan jaringan yang akan digunakan serta audit pengamanan data pemilih, hasil pemungutan suara, rekapitulasi dan tabulasi nasional.
? Penyenggaraan Cyber Security: untuk melindungi Transaksi elektronik yang terjadi dan menghindari kecurangan atau pencurian data
? Sistem Informasi Pertahanan Negara: yang meliputi audit IT Security Architecture, Cyber Defence dalam konteks C4ISR, untuk mengatasi serangan keamanan dengan spektrum luas, mulai cyber crime, cyber terrorism, cyber warfare.
Dilingkungan BUMN peran teknologi Informasi merupakan salah satu penunjang strategis dalam pertumbuhan industri perusahaan karena sebagai Badan Usaha Milik Negara (BUMN) seharusnya lebih dapat memanfaatkan TI untuk meningkatkan nilai, efektivitas, dan efisiensi. Salah satu upaya peningkatan peran TI dilingkungan BUMN dan juga untuk menjaga keamanan sistem teknologi informasi adalah dengan adanya Panduan tata kelola TI BUMN yang telah dibuat oleh Kementerian BUMN sejak tahun 2011 yang lalu dan diharapkan dapat mulai diterapkan pada semua BUMN pada tahun 2012 ini.
Secara garis besar, ada empat tahapan peran teknologi informasi di suatu perusahaan. Pertama adalah sebagai piranti yang bisa memfasilitasi percepatan dan efisiensi dari berbagai proses rutin di perusahaan. Kedua, teknologi informasi harus dapat menjadi fasilitator penyelesaian permasalahan yang sebelumnya mengganjal operasional dan ekspansi perusahaan. Ketiga, TI harus bisa menjadi wahana inovasi kecepatan produk baru yang mendukung perluasan pasar perusahaan dan Keempat, TI harus bisa menjembatani atau mendorong perubahan perusahaan ke arah yang lebih baik.
Tata kelola teknologi informasi (IT governance) adalah suatu struktur dan proses yang saling berhubungan serta mengarahkan dan mengendalikan Perusahaan dalam pencapaian visi dan misi untuk mendapatkan peningkatan nilai tambah dan penyeimbang antara resiko dan manfaat dari teknologi informasi serta prosesnya
Pada umumnya tata kelola TI BUMN yang harus dibangun akan terdiri dari tiga garis besar yaitu
1. Adanya kebijakan umum penggunaan TI BUMN yang menyatakan bahwa:
� Teknologi informasi yang dibangun harus memiliki nilai yang sangat strategis dalam mendukung terciptanya produk atau jasa Perusahaan yang unggul dan kompetitif.
� Investasi teknologi informasi harus mempertimbangkan aspek keuntungan berupa pengurangan biaya dan kemudahan memperoleh informasi.
� Direksi BUMN harus menetapkan fungsi teknologi informasi yang bertanggung jawab untuk mewujudkan rancangan menjadi konstruksi yang detil, mampu bbertindak sebagai konsultan dengan melakukan komunikasi secara rutin dengan pihak pengguna (user), memfasilitasi berlangsungnya pelatihan teknologi informasi serta dibebaskan dari kegiatan pengadaan barang dan jasa yang berhubungan dengan kegiatan teknologi informasi.
� Fungsi teknologi informasi menerapkan mekanisme penjaminan mutu (Quality Assurance) untuk memastikan bahwa perangkat-perangkat dan sistem yang digunakan dalam teknologi informasi telah berada pada kualitas dan tingkat layanan yang diharapkan.
� Fungsi pemakai (user) menerapkan penjaminan mutu (Quality Assurance) untuk memastikan bahwa data/informasi yang dihasilkan oleh sistem informasi telah berada pada kualitas, kuantitas dan waktu yang diharapkan.
� Untuk memperoleh pemanfaatan yang aman dan optimal, fungsi teknologi informasi harus menerapkan kendali-kendali terkait dengan aktivitas TI.
2. Adanya tahapan Pengelolaan TI BUMN, dimana BUMN atau Perusahaan harus memaksimalkan penggunanan teknologi informasi melalui tahapan-tahapan yang sekurang-kurangnya meliputi :
� Tahap Pra-Implementasi, yang mencakup:
1) Pencanangan visi dan misi di bidang teknologi informasi
2) Penyusunan rencana strategis di bidang teknologi informasi yang sejalan (align) dengan strategi bisnis Perusahaan.
3) Penyusunan rancangan dan desain teknis
4) Penjabaran rancangan dan desain teknis teknologi informasi ke dalam konstruksi sistem secara fisik dan fungsional.
� Tahap Implementasi, yang meliputi:
1) Perencanaan yang matang
2) Pelatihan dan pengembangan SDM
3) Pembakuan/standardisasi mutu layanan
4) Evaluasi dan pengendalian sistem
5) Penerapan sistem penanganan darurat (disaster recovery planning atau contingency planing).
� Tahap Pengembangan, dimana pengembangan teknologi informasi harus dilaksanakan dalam koridor penerapan teknologi informasi yang terintegrasi dan handal melalui:
1) Penyusunan master plan pembangunan dan pengembangan teknologi informasi.
2) Penerapan Executive Information System dan/atau Decision Support System.
3) Penggunaan satu Enterprise Resources Planning (ERP) sebagai back office system, dan aplikasi ekstensi lainnya
3. Pengendalianakan fungsi TI BUMN atau perusahaan dengan adanya :
a. Prosedur dan indikator yang tepat untuk mengukur efektivitas pengelolaan TI.
b. Prosedur baku dalam menangani permasalahan teknologi informasi yang terjadi.
c. Pemantauan pelaksanaan TI secara berkala.
d. Laporan secara berkala kepada Direksi mengenai kinerja teknologi informasi
e. Kebersamaan melakukan fungsi pemakai dan menetapkan tingkat layanan yang disepakati (service level agreement) dan dievaluasi secara berkala.
Dengan melihat perkembangan yang ada serta penggunaan system informasi yang semakin berkembang maka perlu kiranya audit keamanan teknologi informasi menjadi perhatian kita semua dan agar bisa dilakukan secara teratur/periodik sehingga bisa untuk menciptakan tatakelola teknologi informasi (IT Governance) yang baik dan berkesinambungan yang utamanya melindungi ketahanan Negara. Disamping itu hal-hal yang disarankan untuk dapat meningkatkan keamanan informasi di masing-masing perusahaan/organisasi seperti pemakai komputer harus menandatangani acceptable use untuk menjamin bahwa apa yang ia lakukan dengan komputer merupakan tanggung jawabnya bukan institusi, kedua melakukan etika berkomunikasi yang harus diajarkan dimana pemakai harus bisa membedakan mana media privatedan publik sehingga dapat dihindari kemungkinan pelanggaran UU ITE No. 11 tahun 2008, ketiga system keamanan informasi seharusnya menjadi budaya ditempat kerja layaknya keamanan fisik lazimnya, dan budaya dapat diubah kalau dilaksanakan dengan policydan prosedureserta tindakan yang tegas dan konsisten.
*Auditor Teknologi BPPT
Dimuat di TABLOID Media Pekerja BUMN, Edisi 23, Juli 2012
0 komentar:
Posting Komentar