Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan hackers sudah mengancam informasi bisnis manajemen oleh karena meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.
Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi dari gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan
Berbeda dengan “keamanan informasi” yang fokusnya justru pada data dan informasi milik perusahaan Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.
Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai “quality or state of being secure-to be free from danger”. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah:
* Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
* Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi.
* Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
* Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
* Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Tugas Kontrol CBIS
Kontrol CBIS mencakup semua fase siklus hidup. Selama siklus hidup, kontrol dapat dibagi menjadi kontrol-kontrol yang berhubungan dengan pengembangan, disain dan operasi. Manajer dapat memperoleh kontrol dalam ketiga area secara langsung melalui ahli lain, seperti auditor.
AREA PENGONTROLAN CBIS
* Kontrol Proses Pengembangan
Tujuan dari kontrol pengembangan adalah untuk memastikan bahwa CBIS yang diimplementasikan dapat memenuhi kebutuhan pemakai.
Yang termasuk dalam kontrol pengembangan :
- Manajemen puncak menetapkan kontrol proyek secara keseluruhan selama fase perencanaan dengan cara membentuk komite MIS
- Manajemen memberitahu pemakai mengenai orientasi CBIS
- Manajemen menentukan kriteria penampilan yang digunakan dalam mengevaluasi operasi CBIS.
- Manajemen dan bagian pelayanan informasi menyusun disain dan standar CBIS
- Manajemen dan pelayanan informasi secara bersama-sama mendefinisikan program pengujian yang dapat diterima,
- Manajemen melakukan peninjauan sebelum instalasi yang dilakukan tepat setelah penggantian dan secara berkala meninjau CBIS untuk memastikan apakah ia memenuhi kriteria penampilan.
- Bagian pelayanan informasi menetapkan prosedur untuk memelihara dan memodifikasi CBIS dan prosedur yang disetujui oleh manajemen.
Kontrol Disain Sistem
Selama fase disain dan analisis dari siklus hidup system, Analis System, DBA dan Manajer Jaringan membangun fasilitas kontrol tertentu dalam disain system. Selama fase implementasi, programmer menggabungkan kontrol tersebut ke dalam system. Disain system dikontrol dengan cara menggabungkan kontrol software menjadi lima bagian pokok, yaitu :
– Permulaan Transaksi (Transaction Origination)
Tahap-tahap yang harus dilakukan pada permulaan transaksi terdiri atas ;
1. Permulaan dokumen sumber
2. Kewenangan
3. Pembuatan input computer
4. Penanganan kesalahan
5. Penyimpanan dokumen sumber
- Entri Transaksi (Transaction Entry)
1. Entri data
2. Verifikasi data
3. Penanganan kesalahan
4. Penyeimbangan batch
- Komunikasi Data (Data Communication)
1. Kontrol pengiriman pesan
2. Kontrol saluran (channel) komunikasi
3. Kontrol penerimaan pesan
4. Rencana pengamanan datacom secara menyeluruh
- Pemrosesan Komputer (Computer Processing)
1. Penanganan data
2. Penanganan kesalahan
3. Database dan perpustakaan software
Tingkat keamanan dalam DBMS terdiri dari
1. Kata kunci (Password)
2. Direktori pemakai (User Directory)
3. Direktori elemen data (Field Directory)
4. Enkripsi (Encryption)
- Output Komputer (Computer Output)
1. Penyeimbangan operasi komputer
2. Distribusi
3. Penyeimbangan departemen pemakai
4. Penanganan kesalahan
5. Penyimpanan record
Tujuan-tujuan Keamanan yaitu :
- Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari orang-orang yang tidak berhak.
- Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya.
- Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari
- sistem fisik yang diwakilinya.
Pengendalian Akses
- Indentifikasi User.
- Pembuktian Keaslian User.
- Otorisasi User.
Strategi Pengulangan Biaya Manajemen Informasi
1. Strategi Konsolidasi, dapat diikuti dengan mengurangi jumlah lokasi sumber daya informasi yang terpisah. Alasannya adalah sejumlah kecil pemusatan sumber daya yang besar dapat beroperasi lebih efisien dari pada banyak pemusatan sumber daya yang kecil.
2. Downsizing, adalah transfer berbagai aplikasi berbasis komputer perusahaan dari konfigurasi peralatan besar, seperti mainframe ke platform yang lebih kecil seperti komputer mini. Dalam beberapa kasus, platform yang lebih kecil tetap berada dalam IS, dan dalam kasus lain ditempatkan di area pemakai. Pemindahan ke sistem yang kurang mahal tetapi penuh daya ini disebut Smartsizing. Keuntungan downsizing :
sistem yang user friendly.
3. Outsourcing, ukuran pemotongan biaya yang dapat berdampak lebih besar bagi IS dari pada downsizing adalah outsourcing. Outsourcing adalah mengkontrakkan keluar semua atau sebagian operasi komputer perusahaan kepada organisasi jasa di luar perusahaan.
sumber:
http://bocahbogor.blogspot.com/2011/01/pentingnya-manajemen-kontrol-keamanan.html
http://sukamikir.wordpress.com/2010/11/14/pentingnya-manajemen-kontrol-keamanan-pada-sistem/