Document Details

FaithfulHarpGuitar3647

Uploaded by FaithfulHarpGuitar3647

Universitas Teknokrat Indonesia Bandar Lampung

Tags

data security information security data management IT security

Summary

This document discusses data security in an organization. It explains the importance of data security and the CIA Triad (Confidentiality, Integrity, Availability), and provides an overview of data security policies, standards, and procedures. It also mentions various relevant standards including ISO/IEC 27001 and best practices for data security, and includes information on authentication and access control related to data security.

Full Transcript

Pengelolaan Data BAB IX. KEAMANAN DATA 9.1 Uraian Materi Data sangat diperlukan dalam day-to-day operation di dalam suatu instansi untuk menunjang berbagai kegiatan. Bahkan saat ini data seringkali disebut sebagai the new...

Pengelolaan Data BAB IX. KEAMANAN DATA 9.1 Uraian Materi Data sangat diperlukan dalam day-to-day operation di dalam suatu instansi untuk menunjang berbagai kegiatan. Bahkan saat ini data seringkali disebut sebagai the new oil. Namun sayang masih banyak instansi yang baru memperhatikan keamanan data setelah ada serangan yang terjadi. Solusi keamanan data dibutuhkan untuk melindungi data dari berbagai ancaman atau gangguan baik dari dalam maupun luar instansi, baik yang dilakukan secara sengaja maupun tidak sengaja seperti akses yang tidak sah, modifikasi, manipulasi, perusakan, pencurian, dsb. Solusi kemanan data di instansi harus memperhatikan tiga aspek keamanan atau yang sering disebut sebagai CIA Triad yaitu confidentiality (kerahasiaan data), integrity (keutuhan data), dan availability (ketersediaan data). Gambar 11. CIA TRIAD Kerahasiaan data yaitu memastikan bahwa seluruh data hanya dapat diakses oleh individu/sistem yang memiliki hak untuk mengaksesnya. Keutuhan data yaitu memastikan bahwa data masih utuh dan benar tanpa adanya perubahan secara ilegal. Ketersediaan data yaitu memastikan bahwa data tersedia ketika dibutuhkan. Sejalan dengan kebutuhan untuk menghindari dan mencegah permasalahan manipulasi, pencurian dan serangan serta memastikan ketersediaan data, setiap instansi yang menyelenggarakan pelayanan publik, berdasarkan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik dituntut untuk menyediakan sistem elektronik untuk pelayanan publik yang andal dan aman yang 65 Pengelolaan Data mengacu pada Standar Nasional Indonesia (SNI) ISO/IEC 27001:2009. Andal artinya sistem elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya. Aman artinya sistem elektronik terlindungi secara fisik dan nonfisik. Solusi keamanan data baik secara teknis maupun manajerial sangat diperlukan untuk menjaga dan melindungi data instansi. Solusi teknis dapat dilakukan dengan menerapkan berbagai kontrol keamanan yang berbasis risiko. Sedangkan solusi secara manajerial dapat dilakukan dengan membuat kebijakan, standar, dan prosedur keamanan data yang selanjutnya menjadi pondasi dalam program keamanan data di suatu instansi. Kebijakan keamanan biasanya menguraikan persyaratan high-level terhadap kontrol keamanan atau aturan yang harus dipenuhi pada situasi tertentu. Standar merupakan persyaratan wajib yang mendukung kebijakan. Sedangkan prosedur merupakan langkah demi langkah, tindakan rinci bersifat wajib yang harus dilakukan untuk mencapai tujuan. a. Kebijakan Kemanana Data Kebijakan keamanan data adalah kerangka kerja manajemen pengamanan aset data yang menggunakan pendekatan berbasis risiko dalam menyusun, menerapkan, melaksanakan, mengawasi, mengkaji, memelihara, dan meningkatkan kinerja pengelolaan keamanan data. Kebijakan pengelolaan data disusun dengan tujuan: 1. Mendukung instansi dalam melaksanakan modernisasi di bidang teknologi informasi dan komunikasi. 2. Menyediakan perangkat pengaturan dalam pengelolaan keamanan data. 3. Melindungi kerahasiaan, keutuhan, dan ketersediaan aset data instansi dari segala bentuk gangguan dan ancaman baik dari dalam maupun luar instansi, yang dilakukan secara sengaja atau tidak. Kebijakan keamanan data dapat dibentuk dengan mengacu kepada perangkat hukum yang berlaku, standar industri, dan keperluan internal instansi. Standar industri yang dapat digunakan sebagai acuan diantaranya: 66 Pengelolaan Data a. ISO/IEC 27001 (Information technology – Security techniques – Information security management system – Requirements) dari Badan Standar Internasional ISO; b. ISO/IEC 27002 (Information technology – Security techniques – Code of Practice for information security management) dari Badan Standar Internasional ISO; dan c. ISO/IEC 27005 (BS7799-3:2006) (Risk Management System) dari Badan Standar Internasional ISO. Kebijakan dan perangkat pendukungnya dikembangkan berdasarkan temuan dan rekomendasi untuk mengurangi dampak risiko yang ditimbulkan oleh ancaman. Hal pertama yang harus diperhatikan dalam merancang dan mengembangkan kebijakan adalah menulis kebijakan tersebut dalam bahasa yang mudah dimengerti, sederhana dan tidak rumit. Beberapa kriteria yang sebaiknya dipenuhi dalam membuat kebijakan keamanan data antara lain sebagai berikut: 1. Mudah Dimengerti Kebijakan keamanan data harus jelas dan tidak ambigu agar tidak terjadi kesalahpahaman dalam melaksanakan kebijakan yang dibuat. Kebijakan keamanan data sebaiknya menggunakan bahasa yang dapat dipahami oleh seluruh pegawai dan pengguna, tidak hanya dimengerti oleh para ahli saja. 2. Dapat Diterapkan Kebijakan keamanan data sebaiknya dapat dan mudah diterapkan pada instansi dan dengan adanya kebijakan keamanan data tersebut tidak menghalangi instansi dalam mencapai tujuan. Hindari menulis kebijakan yang pada akhirnya dapat merugikan instansi. 3. Bersifat Tegas 67 Pengelolaan Data Kebijakan keamanan data mencerminkan usaha untuk menjaga, mencegah dan melindungi data sehingga kebijakan tersebut harus tegas dan tidak lunak. Kebijakan keamanan data tidak memberikan celah bagi pegawai atau pengguna untuk melanggar kebijakan yang telah ditetapkan. 4. Proaktif Kebijakan keamanan data sebaiknya proaktif, tidak hanya memberikan dan menyampaikan sesuatu yang dilarang namun memberikan arahan dan pernyataan yang harus dilakukan oleh pegawai atau pengguna. Selain itu kebijakan keamanan data sebaiknya juga menampung hal-hal yang menjadi harapan pegawai atau pengguna. 5. Bertahap Dalam membuat dan menerapkan kebijakan keamanan data, sebaiknya instansi melakukannya secara bertahap. Instansi perlu membaca dan menelaah kembali kebijakan keamanan data sebelum diberlakukan. Setelah menerbitkan dan memberlakukan kebijakan keamanan data, seringkali masih diperlukan beberapa perbaikan terhadap kebijakan tersebut. Instansi hendaknya menjadwalkan untuk selalu meninjau kembali kebijakan keamanan data dan menentukan di bagian mana kebijakan keamanan data yang belum sesuai. 6. Diplomatis dan Bijaksana Ketika pelanggaran terjadi, hindari untuk menyatakan hukuman yang cenderung kaku. Sebagai contoh ketika pegawai melanggar kebijakan keamanan data, akan dikenakan sanksi disiplin hingga hukuman pemecatan tanpa peringatan. Beberapa contoh kebijakan keamanan data disajikan pada bagian contoh kasus. b. Standar Keamanan Data Standar merupakan persyaratan wajib yang mendukung kebijakan. Standar keamanan data dapat disusun dengan mengadopsi standar industri seperti ISO ataupun mengadaptasinya sesuai dengan kebutuhan instansi. Beberapa contoh standar keamanan data disajikan pada bagian contoh kasus. c. Prosedur Keamanan Data 68 Pengelolaan Data Prosedur kemanaan data berisi langkah-langkah yang harus dilakukan oleh role/aktor/penanggung jawab di dalam instansi untuk mencapai hasil yang diinginkan. Prosedur bersifat operasional, disusun oleh internal instansi, dan memuat cara menerapkan kebijakan yang telah ditetapkan. Beberapa contoh prosedur keamanan data disajikan pada bagian contoh kasus. d. Pengelolaan Akses Data Penggunaan akses data di instansi harus dipastikan terkelola dengan baik agar data yang ada dapat benar-benar dimanfaatkan untuk kebutuhan instansi. Akses terhadap data perlu diatur untuk melindungi data instansi dari akses pihak-pihak yang tidak berwenang. Pencurian dan kebocoran data di instansi seringkali terjadi karena kurangnya pengelolaan akses yang diberikan kepada individu maupun sistem. Hal-hal yang perlu diatur terkait pengelolaan akses data meliputi klasifikasi user account, ketentuan pembuatan user account dan password, wewenang dalam pengelolaan user account, pengendalian akses terdapat aset data, pengamanan log on ke fasilitas/ repositori data, analisis perilaku akses pengguna, dsb. Pengelolaan terhadap user account meliputi pendaftaran, review, pemberian autentikasi, perubahan, dan penghapusan. Pengelolaan hak akses meliputi: a. Membuat pembagian atau segmentasi pengguna, misalnya end-user, programmer, tester, dan system admin. b. Membuat Role Based Access Control (RBAC) yaitu mekanisme kontrol terhadap akses pengguna terkait pemberian izin atau larangan ketika akan mengakses data atau sistem. c. Mengatur akses ke jaringan dan sistem, termasuk perangkat dan layanan teknologi. d. Melakukan audit terhadap penggunaan hak akses dari pengguna. Analisis perilaku akses pengguna dilakukan untuk mendeteksi adanya anomali atau penyimpangan pola dari perilaku normal. Misalnya jika pengguna secara teratur mengunduh file 10 MB setiap hari tetapi tiba-tiba mengunduh file 69 Pengelolaan Data berukuran GB, maka sistem harus dapat mendeteksi anomali ini dan segera melakukan tindakan eskalasi seperti memperingatkan pengguna tersebut dan juga menginfokan adanya anomali kepada penanggungjawab data. Analisis perilaku akses pengguna dapat dilakukan dengan menggabungkan log data, analisis aliran paket informasi, pemanfaatan machine learning, algoritma tertentu, dan juga analisis statistik untuk mengetahui kapan terjadinya penyimpangan dari pola normal yang ditetapkan. 9.2 Rangkuman § Tujuan keamanan data adalah untuk menjamin terciptanya kerahasiaan data (confidentiality), keutuhan data (integrity), dan ketersediaan data (availability). § Solusi keamanan data dapat dilakukan secara teknis dan manajerial. Solusi secara teknis dilakukan dengan penerapan kontrol keamanan data yang berbasis risiko. Solusi manajerial dilakukan dengan penyusunan kebijakan, standar, dan prosedur keamanan data. § Kebijakan keamanan data menguraikan persyaratan keamanan secara high- level. Standar keamanan data bersifat lebih teknis yang berisi persyaratan wajib yang mendukung kebijakan. Prosedur keamanan data bersifat operasional dan berisi langkah rinci yang harus dilakukan untuk menerapkan kebijakan yang telah ditentukan. § Pengelolaan hak akses pengguna (baik sistem maupun individu) diperlukan untuk melindungi data instansi dari pihak-pihak yang tidak berwenang. § Analisis perilaku akses pengguna dapat dilakukan dengan memanfaatkan machine learning, algoritma tertentu, dan analisis statistik untuk mendeteksi adanya anomali atau penyimpangan pola dari perilaku normal. 9.3 Soal Latihan 70 Pengelolaan Data 1. Apa saja yang perlu dilakukan apabila terdapat perilaku akses pengguna yang menyimpang? 2. Buatlah contoh prosedur keamanan data untuk penghapusan user account. 3. Jelaskan apa yang dimaksud dengan segmentasi pengguna, dan berikan contoh implementasinya dalam konteks repositori data. 9.4 Contoh Kasus Suatu instansi akan menyusun solusi untuk pengelolaan keamanan data yang spesifik untuk cakupan repositori data. Solusi yang dirancang dikelompokkan ke dalam empat domain yaitu otentikasi dan otorisasi, isolasi jaringan, perlindungan data, dan audit. Penentuan empat domain tersebut didasarkan pada kebutuhan dan kajian risiko kemanan data yang telah dilakukan di instansi. Berikut disajikan beberapa contoh kebijakan, standar, dan prosedur yang disusun oleh instansi tersebut. 71 Pengelolaan Data 72 Pengelolaan Data 73 Pengelolaan Data 74 Pengelolaan Data 75 Pengelolaan Data 76 Pengelolaan Data 77

Use Quizgecko on...
Browser
Browser