Apa itu keamanan informasi (InfoSec)?

Kami perlu melindungi aset informasi, yang mungkin termasuk data keuangan, rahasia, pribadi atau sensitif. Aset ini dapat berupa file dan data digital, dokumen kertas, media fisik dan bahkan ucapan manusia. Di sepanjang siklus hidup data, InfoSec mengawasi fungsi-fungsi seperti infrastruktur, perangkat lunak, pengujian, audit, dan pengarsipan.

Didasarkan pada prinsip-prinsip yang telah berumur puluhan tahun, keamanan informasi terus berkembang untuk melindungi lingkungan yang semakin hybrid dan multicloud dalam lanskap ancaman yang terus berubah. Mengingat sifat ancaman yang terus berkembang, beberapa tim perlu bekerja sama untuk memperbarui teknologi dan proses yang digunakan dalam pertahanan ini.

Keamanan informasi digital, disebut juga keamanan data, mendapatkan perhatian paling besar dari profesional keamanan saat ini, dan menjadi fokus dari artikel ini.

Istilah keamanan informasi, keamanan TI, keamanan siber, dan keamanan data sering kali (dan secara keliru) digunakan secara bergantian. Sementara bidang-bidang ini tumpang tindih dan menginformasikan satu sama lain, mereka berbeda terutama dalam ruang lingkup.

• Keamanan informasi adalah istilah umum yang mencakup upaya organisasi untuk melindungi informasi. Ini mencakup keamanan aset TI fisik, keamanan titik akhir, enkripsi data, keamanan jaringan, dan banyak lagi.

• Keamanan TI juga berkaitan dengan perlindungan aset TI fisik dan digital serta pusat data, tetapi tidak termasuk perlindungan untuk penyimpanan file kertas dan media lainnya. Ini berfokus pada aset teknologi daripada informasi itu sendiri.

• Keamanan siber berfokus pada pengamanan sistem informasi digital. Tujuannya adalah untuk membantu melindungi data dan aset digital dari ancaman siber. Meskipun merupakan upaya yang sangat besar, keamanan siber memiliki ruang lingkup yang sempit, karena tidak berkaitan dengan perlindungan data kertas atau analog.

• Keamanan data adalah praktik melindungi informasi digital dari akses yang tidak sah, korupsi, atau pencurian di seluruh siklus hidupnya. Ini termasuk keamanan fisik perangkat keras dan perangkat penyimpanan, serta kontrol administrasi dan akses. Ini juga mencakup keamanan logis aplikasi perangkat lunak serta kebijakan dan prosedur organisasi.

Data menguasai sebagian besar ekonomi dunia, dan penjahat siber mengakui nilainya. Serangan siber yang bertujuan untuk mencuri informasi sensitif—atau dalam kasus ransomware, menyandera data—telah menjadi lebih umum, merusak, dan mahal. Praktik dan prinsip InfoSec dapat membantu mengamankan data dalam menghadapi ancaman ini.

Menurut Laporan Biaya Pelanggaran Data IBM, total biaya rata-rata pelanggaran data adalah USD 4,44 juta.

Pelanggaran data merugikan korban dalam banyak cara. Waktu henti yang tidak diduga menyebabkan hilangnya bisnis. Perusahaan sering kali kehilangan pelanggan dan menderita kerusakan reputasi yang signifikan dan terkadang tidak bisa diperbaiki ketika informasi pelanggan terekspos. Pencurian kekayaan intelektual dapat mengganggu profitabilitas perusahaan dan mengikis keunggulan kompetitif.

Korban pelanggaran data mungkin juga menghadapi denda peraturan atau hukuman legal. Peraturan pemerintah, seperti Peraturan Perlindungan Data Umum (GDPR), dan peraturan industri seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), mewajibkan perusahaan untuk melindungi informasi sensitif pelanggan mereka. Kegagalan untuk melakukannya dapat mengakibatkan denda yang besar.

Perusahaan berinvestasi dalam teknologi keamanan informasi dan talenta. Menurut Laporan Biaya Pelanggaran Data, 49% organisasi berencana untuk meningkatkan investasi keamanan setelah terjadi pelanggaran.

Area teratas yang diidentifikasi untuk investasi tambahan termasuk perencanaan dan pengujian respons insiden, alat keamanan data, dan teknologi deteksi dan respons ancaman. Organisasi yang melakukan investasi AI keamanan dan otomatisasi ekstensif melaporkan biaya pelanggaran data sebesar USD 820.000 lebih rendah dibandingkan rata-rata.

Chief information security officer (CISO), yang mengawasi upaya keamanan informasi, telah menjadi bagian dari c-suite perusahaan.

Permintaan akan analis keamanan informasi yang memiliki sertifikasi keamanan informasi tingkat lanjut terus meningkat, seperti sertifikasi Certified Information Systems Security Professional (CISSP) dari ISC2. Biro Statistik Tenaga Kerja memproyeksikan lapangan kerja untuk analis keamanan informasi akan tumbuh 32% pada tahun 2032.¹

Praktik keamanan informasi didasarkan pada serangkaian prinsip yang telah berlangsung selama puluhan tahun dan terus berkembang:

• Tritunggal CIA
• Jaminan informasi
• Nonrepudiasi

Pertama kali diusulkan oleh Institut Standar dan Teknologi Nasional (NIST) pada tahun 1977, triad CIA dimaksudkan untuk memandu organisasi dalam memilih teknologi, kebijakan, dan praktik untuk melindungi sistem informasi mereka. Unsur-unsur triad CIA meliputi:

• Kerahasiaan
• Integritas
• Ketersediaan

Kerahasiaan berarti memastikan bahwa pihak-pihak tidak dapat mengakses data yang tidak diizinkan untuk mereka akses.

Kerahasiaan mendefinisikan kontinum pengguna, mulai dari orang dalam yang memiliki hak istimewa dengan akses ke sebagian besar data perusahaan hingga orang luar yang diizinkan untuk melihat hanya informasi yang diizinkan untuk dilihat oleh publik.

Informasi pribadi harus tetap pribadi. Data sensitif adalah sensitif. Jika orang yang tidak berwenang memperoleh kata sandi untuk data yang dilindungi, itu akan menjadi pelanggaran kerahasiaan.

Integritas berarti memastikan bahwa semua informasi yang terkandung dalam database perusahaan lengkap dan akurat.

Upaya integritas bertujuan untuk mencegah orang mengutak-atik data, misalnya dengan penambahan, perubahan, atau penghapusan yang tidak sah. Integritas data berlaku untuk mencegah pihak lawan yang dengan sengaja mengubah data dan pengguna yang berniat baik yang mengubah data dengan cara yang tidak sah.

Ketersediaan berarti memastikan bahwa pengguna dapat mengakses informasi yang diizinkan untuk mereka akses ketika mereka membutuhkannya.

Ketersediaan menegaskan bahwa tindakan keamanan informasi dan kebijakan tidak akan mengganggu akses data yang sah. Sebagian besar ketersediaan bersifat langsung, seperti bekerja untuk memastikan ketahanan perangkat keras dan perangkat lunak untuk mencegah situs organisasi mengalami gangguan.

Proses berkelanjutan untuk mencapai kerahasiaan, integritas, dan ketersediaan data dalam sistem informasi dikenal sebagai 'jaminan informasi'.

Nonrepudiasi berarti bahwa pengguna tidak dapat menyangkal (yaitu, menolak) telah melakukan transaksi, seperti mengubah data atau mengirim pesan, karena pengguna harus lolos autentikasi sebelum mulai melakukan transaksi.

Meskipun secara teknis bukan bagian dari triad CIA, nonrepudiasi menggabungkan aspek kerahasiaan dan integritas informasi. Nonrepudiasi mencakup memastikan bahwa hanya pengguna yang berwenang yang bekerja dengan data dan bahwa mereka hanya dapat menggunakan atau memodifikasi data dengan cara yang sah.

Profesional keamanan informasi menerapkan prinsip-prinsip InfoSec pada sistem informasi dengan membuat program keamanan informasi. Program-program ini merupakan kumpulan kebijakan, perlindungan, dan rencana keamanan informasi yang dimaksudkan untuk memberlakukan jaminan informasi.

Komponen inti dari program keamanan informasi mungkin termasuk:

• Penilaian risiko
• Mengidentifikasi kerentanan
• Identifikasi ancaman
• Perencanaan respons insiden

Penilaian risiko keamanan informasi mengaudit setiap aspek sistem informasi perusahaan. Penilaian ini membantu para profesional keamanan informasi memahami risiko yang tepatnya mereka hadapi dan memilih langkah dan teknologi keamanan yang paling tepat untuk mengurangi risiko.

Kerentanan adalah segala kelemahan dalam infrastruktur teknologi informasi (TI) yang dapat dieksploitasi oleh musuh demi mendapatkan akses tidak sah pada data. Misalnya, peretas dapat memanfaatkan bug dalam program komputer untuk memasukkan malware atau kode berbahaya ke dalam aplikasi atau layanan yang sah.

Pengguna manusia juga dapat menimbulkan kerentanan pada sistem informasi. Sebagai contoh, penjahat siber dapat memanipulasi pengguna untuk membagikan informasi sensitif melalui serangan rekayasa sosial seperti phishing.

Ancaman adalah segala hal yang dapat membahayakan kerahasiaan, integritas, atau ketersediaan sistem informasi. 

Ancaman siber adalah ancaman yang mengeksploitasi kerentanan digital. Misalnya, serangan denial-of-service (DoS) adalah ancaman siber di mana penjahat siber membanjiri sebagian sistem informasi perusahaan dengan lalu lintas, hingga menyebabkan kerusakan. 

Ancaman juga dapat berupa ancaman fisik. Bencana alam, serangan fisik atau bersenjata, dan bahkan kegagalan perangkat keras sistemik dapat dianggap sebagai ancaman terhadap sistem informasi perusahaan.

Rencana respons insiden (IRP) biasanya memandu upaya organisasi dalam menanggapi insiden.

Tim respons insiden keamanan komputer (CSIRT) sering kali membuat dan melaksanakan IRP dengan partisipasi pemangku kepentingan dari seluruh organisasi. Anggota CSIRT mungkin termasuk chief information security officer (CISO), chief AI officer (CAIO), pusat operasi keamanan (SOC), staf TI dan perwakilan dari bagian hukum, manajemen risiko, dan disiplin nonteknis lainnya.

IRP merinci langkah-langkah mitigasi yang diambil organisasi ketika ancaman signifikan terdeteksi. Sementara IRP bervariasi berdasarkan organisasi yang membuatnya dan ancaman yang mereka targetkan, langkah-langkah umum meliputi:

• Mengumpulkan tim keamanan, secara virtual atau secara langsung.
  
  
• Memverifikasi sumber ancaman.
  
  
• Bertindak untuk mengatasi ancaman dan menghentikannya sesegera mungkin.
  
  
• Menentukan kerusakan apa, jika ada, yang telah terjadi.
  
  
• Memberi tahu pihak yang berkepentingan dalam organisasi, pemangku kepentingan, dan mitra strategis.

Program keamanan informasi menggunakan beberapa alat dan teknik yang berbeda untuk mengatasi ancaman tertentu. Alat dan teknik InfoSec umum meliputi:

• Kriptografi
• Pencegahan kehilangan data (DLP).
• Deteksi dan respons endpoint (EDR)
• Firewall
• Sistem deteksi intrusi (IDS) dan pencegahan intrusi (IPS)
• Sistem manajemen keamanan informasi (ISMS)
• Informasi keamanan dan manajemen acara (SIEM)
• Pusat operasi keamanan (SOC)
• Tindakan autentikasi yang kuat
• Intelijen ancaman
  
• Analitik perilaku pengguna dan entitas (UEBA)

Kriptografi menggunakan algoritma untuk mengaburkan informasi sehingga hanya orang yang memiliki izin dan kemampuan untuk mendekripsi yang dapat membacanya.

Strategi dan alat DLP melacak penggunaan dan pergerakan data di seluruh jaringan dan menerapkan kebijakan keamanan terperinci untuk membantu mencegah kebocoran data dan kerugian.

Solusi EDR terus memantau file dan aplikasi di setiap perangkat, mencari aktivitas mencurigakan atau berbahaya yang mengindikasikan malware, ransomware, atau ancaman tingkat lanjut.

Firewall adalah perangkat lunak atau perangkat keras yang menghentikan lalu lintas mencurigakan memasuki atau meninggalkan jaringan sambil mengizinkan lalu lintas yang sah masuk. Firewall dapat digunakan di tepi jaringan atau digunakan secara internal untuk membagi jaringan yang lebih besar menjadi subjaringan yang lebih kecil. Jika satu bagian jaringan disusupi, peretas diblokir untuk mengakses sisanya.

IDS adalah alat keamanan jaringan yang memantau lalu lintas jaringan masuk dan perangkat untuk aktivitas mencurigakan atau pelanggaran kebijakan keamanan. IPS memantau lalu lintas jaringan atas potensi ancaman dan secara otomatis memblokirnya. Banyak organisasi menggunakan sistem gabungan yang disebut sistem deteksi dan pencegahan intrusi (IDPS).

ISMS mencakup pedoman dan proses yang membantu organisasi melindungi data sensitif mereka dan merespons pelanggaran data. Memiliki pedoman juga membantu kontinuitas jika ada pergantian staf yang besar. ISO/IEC 27001 adalah ISMS yang banyak digunakan.

Sistem SIEM membantu mendeteksi anomali perilaku pengguna dan menggunakan kecerdasan buatan (AI) untuk mengotomatiskan banyak proses manual yang terkait dengan deteksi ancaman dan respons insiden .

SOC menyatukan dan mengoordinasikan semua teknologi dan operasi keamanan siber di bawah tim profesional keamanan TI yang didedikasikan untuk memantau keamanan infrastruktur TI sepanjang waktu.

Autentikasi dua faktor (2FA) dan autentikasi multifaktor (MFA) adalah metode verifikasi identitas di mana pengguna harus menyediakan banyak bukti untuk membuktikan identitas mereka dan mendapatkan akses ke sumber daya yang sensitif.

Intelijen ancaman membantu tim keamanan menjadi lebih proaktif, memungkinkan mereka mengambil tindakan efektif berbasis data untuk mencegah serangan siber sebelum terjadi.

UEBA adalah perangkat lunak keamanan yang menggunakan analitik perilaku dan algoritma machine learning untuk mengidentifikasi perilaku pengguna dan perangkat yang tidak normal dan berpotensi berbahaya.

Organisasi menghadapi daftar panjang ancaman potensial terhadap keamanan informasi.

• Serangan siber
• Kesalahan karyawan
• Keamanan titik akhir yang tidak efektif
• Ancaman orang dalam
• Kesalahan konfigurasi
• Rekayasa sosial

Semua serangan ini dapat mencoba untuk menyusupi data organisasi dari berbagai arah, termasuk serangan ancaman persisten tingkat lanjut (APT), botnet (jaringan robot), denial-of-service terdistribusi (DDoS), serangan unduhan "drive-by" (mengunduh kode berbahaya secara otomatis), malware, phishing, ransomware, virus, dan worm.

Orang bisa saja kehilangan peralatan mobile yang sarat dengan informasi sensitif, mengunjungi situs web berbahaya di peralatan perusahaan, atau menggunakan kata sandi yang mudah dibobol.

Laptop, perangkat mobile, atau PC apa pun dapat menjadi titik masuk ke sistem TI suatu organisasi jika tidak ada solusi antivirus atau keamanan titik akhir yang memadai.

Ada dua jenis ancaman orang dalam.

• Orang dalam yang jahat adalah karyawan, mitra, atau pengguna resmi lainnya yang dengan sengaja membocorkan informasi organisasi untuk keuntungan pribadi atau untuk membalas dendam.
  
  
• Orang dalam yang lalai adalah pengguna yang berwenang yang secara tidak sengaja membahayakan keamanan dengan tidak mengikuti praktik terbaik keamanan.
  

Menurut laporan X-Force Threat Intelligence Index , sejumlah besar insiden keamanan melibatkan penggunaan alat yang sah secara berbahaya. Insiden tersebut termasuk pencurian kredensial, pengintaian, akses jarak jauh, dan eksfiltrasi data.

Organisasi mengandalkan berbagai platform dan alat bantu TI, termasuk opsi penyimpanan data berbasis cloud, infrastruktur sebagai layanan (IaaS), integrasi perangkat lunak sebagai layanan (SaaS), dan aplikasi web dari berbagai penyedia. Konfigurasi yang tidak tepat dari salah satu aset ini dapat menimbulkan risiko keamanan.

Selain itu, perubahan penyedia atau internal dapat menyebabkan "penyimpangan konfigurasi", di mana pengaturan yang valid menjadi usang.

X-Force Threat Intelligence Index melaporkan bahwa selama keterlibatan dalam pengujian penetrasi, risiko aplikasi web yang paling banyak diamati di seluruh lingkungan klien adalah kesalahan konfigurasi keamanan, yang mencapai 30% dari total keseluruhan.

Serangan rekayasa sosial mengelabui karyawan untuk membocorkan informasi sensitif atau kata sandi yang membuka pintu bagi tindakan jahat.

Bisa juga terjadi bahwa saat mencoba mempromosikan organisasi melalui media sosial, karyawan mungkin secara keliru membocorkan terlalu banyak informasi pribadi atau bisnis yang dapat digunakan oleh penyerang.

Manfaat program InfoSec yang kuat dapat membantu tim di seluruh organisasi:

• Keberlangsungan bisnis
• Kepatuhan
• Penghematan biaya
• Efisiensi yang lebih besar
• Perlindungan reputasi
• Pengurangan risiko

Selain ancaman keamanan informasi secara langsung, organisasi menghadapi berbagai tantangan saat membangun dan mengelola strategi dan sistem InfoSec yang kuat.

• Kepuasan
• Kompleksitas
• Koneksi global
• Ketidakfleksibelan
• Integrasi pihak ketiga

Dengan adanya sistem baru, mungkin ada kecenderungan untuk berhenti memperhatikan, puas bahwa tugas telah selesai. Tetapi teknik peretasan terus dipertajam untuk mengimbangi langkah-langkah keamanan baru. Pemeliharaan dan tugas mengamankan data jarang sekali selesai, dan perbaikan terus-menerus pada kontrol keamanan diperlukan.

Lingkungan teknologi yang terus berubah membutuhkan sistem yang canggih dan tim TI yang benar-benar mengikuti perkembangan terkini untuk mengelola sistem yang semakin kompleks. Ini termasuk bertukar informasi dengan aman dengan Internet of Things (IoT) dan semua perangkat mobile.

Kompleksitas dapat menguras waktu: beberapa tim TI merasa upaya utama mereka adalah terus mengkonfigurasi ulang dan memelihara sistem keamanan mereka.

Bisnis di seluruh dunia mungkin menggunakan sistem komputer yang berbeda, memiliki tingkat keamanan informasi yang berbeda, dan bekerja di bawah peraturan yang berbeda. Semua ini membuat pertukaran data global yang aman semakin sulit.

Mengunci semua informasi dapat menghentikan semua kemajuan bisnis. Keseimbangan yang sulit adalah memiliki aliran data yang konstruktif dalam sebuah organisasi sambil menjaga data tetap aman di dalam organisasi dan menggunakannya dengan tepat.

Tergantung pada tingkat keamanannya, mengintegrasikan sistem informasi dengan vendor pihak ketiga atau mitra bisnis lainnya mungkin sulit atau menimbulkan risiko keamanan baru.