Keamanan informasi, atau 'InfoSec', adalah perlindungan untuk informasi penting organisasi, file dan data digital, dokumen cetak, media fisik, bahkan ucapan manusia, terhadap akses, pengungkapan, penggunaan, atau perubahan yang tidak sah. Keamanan informasi digital, disebut juga keamanan data, mendapatkan perhatian paling besar dari profesional keamanan saat ini, dan menjadi fokus dari artikel ini.
Data menggerakkan sebagian besar ekonomi dunia. Penjahat siber mengetahui nilai dari data ini, dan serangan siber yang ingin mencuri informasi sensitif, atau dalam kasus ransomware, menyandera data, telah menjadi hal yang umum, merusak, dan memakan banyak biaya. Menurut “Laporan Biaya Pelanggaran Data tahun 2021” IBM, total biaya rata-rata dari pelanggaran data mencapai rekor tertinggi sebesar USD 4,24 juta pada tahun 2020-2021.
Pelanggaran data merugikan korban dalam beberapa cara. Waktu henti yang tidak diduga menyebabkan hilangnya bisnis. Perusahaan umumnya kehilangan pelanggan dan mengalami kerusakan signifikan dan kadang tidak bisa diperbaiki pada reputasinya jika informasi pelanggan terekspos. Pencurian properti intelektual dapat mengganggu profitabilitas perusahaan dan mengikis keunggulan kompetitif.
Korban pelanggaran data mungkin juga menerima denda peraturan atau hukuman legal. Regulasi pemerintah seperti Peraturan Perlindungan Data Umum (GDPR), dan regulasi industri seperti Undang-undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), mewajibkan perusahaan untuk melindungi informasi sensitif pelanggan mereka. Jika tidak, mereka akan diberikan denda yang sangat besar. Equifax setuju untuk membayar setidaknya USD 575 juta denda kepada Komisi Perdagangan Federal (FTC), Biro Perlindungan Keuangan Konsumen (CFPB), dan semua 50 negara bagian akibat pelanggaran data yang terjadi pada tahun 2017. Pada Oktober 2021, British Airways dikenai denda sebesar USD 26 juta atas pelanggaran GPDR terkait pelanggaran data pada tahun 2018.
Tidak mengherankan, perusahaan berinvestasi lebih banyak pada teknologi dan talenta keamanan informasi. Gartner memperkirakan pengeluaran untuk teknologi dan layanan manajemen keamanan dan risiko berjumlah total USD 150,4 miliar di tahun 2021, meningkat sebanyak 12,4 persen dari tahun 2020. Chief information security officer (CISO), yang mengawasi upaya keamanan informasi, telah menjadi bagian dari C-suites perusahaan. Dan permintaan akan analis keamanan informasi yang memiliki sertifikasi keamanan informasi tingkat lanjut terus meningkat, seperti sertifikasi Certified Information Systems Security Professional (CISSP) dari (ISC)². Bureau of Labor Statistics memperkirakan permintaan atas analis dengan sertifikasi tersebut akan meningkat sebanyak 33 persen pada tahun 2030.
Praktik keamanan informasi didasari oleh prinsip berusia puluhan tahun yang terus berevolusi yang menetapkan standar untuk keamanan sistem informasi dan mitigasi risiko.
Diperkenalkan pada tahun 1977, tritunggal CIA dimaksudkan sebagai pilihan teknologi, kebijakan, dan praktik organisasi untuk melindungi sistem informasi mereka, yaitu perangkat keras, perangkat lunak, dan orang-orang yang terlibat dalam memproduksi, menyimpan, menggunakan, dan bertukar data dalam infrastruktur teknologi informasi (TI) perusahaan. Elemen tritunggal:
Kerahasiaan: Memastikan pihak-pihak tidak dapat mengakses data yang tidak diizinkan untuk diakses. Kerahasiaan mendefinisikan sebuah kontinum, dari orang dalam dengan hak istimewa yang memiliki akses ke data perusahaan, hingga orang luar yang diizinkan untuk melihat hanya informasi publik yang diizinkan untuk dilihat.
Integritas: Memastikan semua informasi yang tersimpan dalam database perusahaan sudah lengkap dan akurat, dan belum pernah diubah. Integritas dapat diterapkan pada semua hal, mulai dari mencegah pihak lawan mengubah data dengan sengaja, hingga mencegah pengguna yang berniat baik untuk mengubah data tanpa izin, secara sengaja maupun tidak.
Ketersediaan: Memastikan pengguna dapat mengakses informasi yang diizinkan untuk diakses, saat diperlukan. Ketersediaan menegaskan bahwa tindakan keamanan informasi dan kebijakan tidak akan mengganggu akses data yang sah.
Proses berjalan dalam mencapai dan menjaga kerahasiaan, integritas, dan ketersediaan data di dalam sistem informasi disebut dengan "jaminan informasi."
Profesional keamanan informasi menerapkan prinsip keamanan informasi pada sistem informasi dengan cara membuat program keamanan informasi. Berikut adalah kumpulan kebijakan keamanan, perlindungan, dan rencana informasi yang bertujuan untuk menetapkan jaminan informasi.
Pembuatan program keamanan informasi biasanya dimulai dengan penilaian risiko siber. Dengan mengaudit tiap aspek sistem informasi perusahaan, para profesional keamanan informasi dapat memahami risiko pasti yang dihadapi, kemudian memilih tindakan keamanan dan teknologi yang sesuai untuk memitigasi risiko. Penilaian risiko siber biasanya melibatkan:
Identifikasi kerentanan. Kerentanan adalah segala kelemahan dalam infrastruktur teknologi informasi (TI) yang dapat dieksploitasi oleh musuh demi mendapatkan akses tidak sah pada data. Misalnya, peretas dapat memanfaatkan bug dalam program komputer untuk memasukkan malware atau kode berbahaya ke dalam aplikasi atau layanan yang sah.
Pengguna manusia juga dapat menimbulkan kerentanan pada sistem informasi. Misalnya, penjahat siber dapat memanipulasi pengguna untuk membagikan informasi sensitif melalui serangan rekayasa sosial seperti phishing.
Para profesional keamanan informasi seringkali menerapkan pengujian penetrasi, yaitu simulasi serangan pada sistem informasi mereka sendiri, untuk mengungkap kerentanan.
Identifikasi ancaman. Ancaman adalah segala hal yang dapat membahayakan kerahasiaan, integritas, atau ketersediaan sistem informasi.
Ancaman siber adalah ancaman yang mengeksploitasi kerentanan digital. Misalnya, serangan denial-of-service (DoS) adalah ancaman siber di mana penjahat siber membanjiri sebagian sistem informasi perusahaan dengan lalu lintas, hingga menyebabkan kerusakan.
Ancaman juga dapat berupa serangan fisik. Bencana alam, serangan fisik atau dengan senjata, dan bahkan kegagalan perangkat keras sistemik dapat dianggap sebagai ancaman terhadap sistem informasi perusahaan.
Layanan Keamanan Data IBM membantu organisasi dengan strategi keamanan data, penemuan data, pencegahan kehilangan data, tata kelola keamanan data, dan pemantauan keamanan database.
Layanan Keamanan Aplikasi IBM mentransformasi DevOps menjadi DevSecOps dengan memberikan pelatihan keamanan aplikasi, layanan model ancaman aplikasi, dan lainnya.
Memulai dengan solusi keamanan data IBM