Beranda
Topics
Keamanan Informasi
Diperbarui: 26 Juli 2024
Kontributor: Jim Holdsworth, Matthew Kosinski
Keamanan informasi (InfoSec) adalah perlindungan informasi penting terhadap akses, pengungkapan, penggunaan, perubahan, atau gangguan yang tidak sah. Ini membantu memastikan bahwa data organisasi yang sensitif tersedia bagi pengguna yang berwenang, tetap rahasia dan menjaga integritasnya.
Kami perlu melindungi aset informasi, yang mungkin termasuk data keuangan, rahasia, pribadi atau sensitif. Aset ini dapat berupa file dan data digital, dokumen kertas, media fisik dan bahkan ucapan manusia. Di sepanjang siklus hidup data, InfoSec mengawasi fungsi-fungsi seperti infrastruktur, perangkat lunak, pengujian, audit, dan pengarsipan.
Didasarkan pada prinsip-prinsip yang telah berumur puluhan tahun, keamanan informasi terus berkembang untuk melindungi lingkungan yang semakin hybrid dan multicloud dalam lanskap ancaman yang terus berubah. Mengingat sifat ancaman yang terus berkembang, beberapa tim perlu bekerja sama untuk memperbarui teknologi dan proses yang digunakan dalam pertahanan ini.
Keamanan informasi digital, disebut juga keamanan data, mendapatkan perhatian paling besar dari profesional keamanan saat ini, dan menjadi fokus dari artikel ini.
Istilah keamanan informasi, keamanan TI, keamanan siber, dan keamanan data sering kali (dan secara keliru) digunakan secara bergantian. Sementara bidang-bidang ini tumpang tindih dan menginformasikan satu sama lain, mereka berbeda terutama dalam ruang lingkup.
Keamanan informasi adalah istilah umum yang mencakup upaya organisasi untuk melindungi informasi. Ini mencakup keamanan aset TI fisik, keamanan titik akhir, enkripsi data, keamanan jaringan, dan banyak lagi.
Keamanan TI juga berkaitan dengan perlindungan aset TI fisik dan digital serta pusat data, tetapi tidak termasuk perlindungan untuk penyimpanan file kertas dan media lainnya. Ini berfokus pada aset teknologi daripada informasi itu sendiri.
Keamanan siber berfokus pada pengamanan sistem informasi digital. Tujuannya adalah untuk membantu melindungi data dan aset digital dari ancaman siber. Meskipun merupakan usaha yang sangat besar, keamanan siber memiliki ruang lingkup yang sempit, karena tidak berkaitan dengan perlindungan data kertas atau analog.
Keamanan data adalah praktik melindungi informasi digital dari akses yang tidak sah, korupsi, atau pencurian di seluruh siklus hidupnya. Ini termasuk keamanan fisik perangkat keras dan perangkat penyimpanan, bersama dengan kontrol administrasi dan akses. Ini juga mencakup keamanan logis aplikasi perangkat lunak dan kebijakan dan prosedur organisasi.
Mempersiapkan dan merespons serangan siber dengan lebih cepat dan efektif dengan IBM Security X-Force Threat Intelligence Index.
Data menguasai sebagian besar ekonomi dunia, dan penjahat siber mengakui nilainya. Serangan siber yang bertujuan untuk mencuri informasi sensitif—atau dalam kasus ransomware, menyandera data—telah menjadi lebih umum, merusak, dan mahal. Praktik dan prinsip InfoSec dapat membantu mengamankan data dalam menghadapi ancaman ini.
Menurut Laporan Biaya Pelanggaran Data IBM, total biaya rata-rata dari pelanggaran data mencapai rekor tertinggi sebesar USD 4,45 juta pada tahun 2023. Angka itu naik 15,3% dari USD 3,86 juta dalam laporan 2020.
Pelanggaran data merugikan korban dalam beberapa cara. Waktu henti yang tidak diduga menyebabkan hilangnya bisnis. Perusahaan umumnya kehilangan pelanggan dan mengalami kerusakan signifikan dan kadang tidak bisa diperbaiki pada reputasinya jika informasi pelanggan terekspos. Pencurian properti intelektual dapat mengganggu profitabilitas perusahaan dan mengikis keunggulan kompetitif.
Korban pelanggaran data mungkin juga menerima denda peraturan atau hukuman legal. Peraturan pemerintah, seperti Peraturan Perlindungan Data Umum (GDPR), dan peraturan industri, seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), mewajibkan perusahaan untuk melindungi informasi sensitif pelanggan mereka. Kegagalan untuk melakukannya dapat mengakibatkan denda yang besar.
Perusahaan berinvestasi lebih dari sebelumnya dalam teknologi keamanan informasi dan talenta. Menurut Laporan Biaya Pelanggaran Data, 51% organisasi berencana untuk meningkatkan investasi keamanan setelah terjadi pelanggaran.
Bidang-bidang utama yang diidentifikasi untuk investasi tambahan termasuk perencanaan dan pengujian respons insiden (IR), pelatihan karyawan, serta teknologi deteksi dan respons ancaman. Organisasi yang melakukan investasi AI keamanan dan otomatisasi secara ekstensif melaporkan biaya pelanggaran data sebesar USD 1,76 juta lebih rendah dibandingkan dengan organisasi yang belum menggunakan AI keamanan dan kemampuan otomatisasi.
Chief information security officer (CISO), yang mengawasi upaya keamanan informasi, telah menjadi bagian dari c-suite perusahaan.
Dan permintaan akan analis keamanan informasi yang memiliki sertifikasi keamanan informasi tingkat lanjut terus meningkat, seperti sertifikasi Certified Information Systems Security Professional (CISSP) dari ISC2. Biro Statistik Tenaga Kerja memproyeksikan lapangan kerja untuk analis keamanan informasi akan tumbuh 32% pada tahun 2032.1
Praktik keamanan informasi didasarkan pada serangkaian prinsip yang telah berlangsung selama puluhan tahun dan terus berkembang:
Pertama kali diusulkan oleh Institut Standar dan Teknologi Nasional (NIST) pada tahun 1977, triad CIA dimaksudkan untuk memandu organisasi dalam memilih teknologi, kebijakan, dan praktik untuk melindungi sistem informasi mereka. Unsur-unsur triad CIA meliputi:
Kerahasiaan berarti memastikan bahwa pihak-pihak tidak dapat mengakses data yang tidak diizinkan untuk mereka akses.
Kerahasiaan mendefinisikan kontinum pengguna, mulai dari orang dalam yang memiliki hak istimewa dengan akses ke sebagian besar data perusahaan hingga orang luar yang diizinkan untuk melihat hanya informasi yang diizinkan untuk dilihat oleh publik.
Informasi pribadi harus tetap pribadi. Data sensitif adalah sensitif. Jika orang yang tidak berwenang memperoleh kata sandi untuk data yang dilindungi, itu akan menjadi pelanggaran kerahasiaan.
Integritas berarti memastikan bahwa semua informasi yang terkandung dalam database perusahaan lengkap dan akurat.
Upaya integritas bertujuan untuk mencegah orang mengutak-atik data, misalnya dengan penambahan, perubahan, atau penghapusan yang tidak sah. Integritas data berlaku untuk mencegah pihak lawan yang dengan sengaja mengubah data dan pengguna yang berniat baik yang mengubah data dengan cara yang tidak sah.
Ketersediaan berarti memastikan bahwa pengguna dapat mengakses informasi yang diizinkan untuk mereka akses ketika mereka membutuhkannya.
Ketersediaan menegaskan bahwa tindakan keamanan informasi dan kebijakan tidak akan mengganggu akses data yang sah. Sebagian besar ketersediaan bersifat langsung, seperti bekerja untuk memastikan ketahanan perangkat keras dan perangkat lunak untuk mencegah situs organisasi mengalami gangguan.
Proses berkelanjutan untuk mencapai kerahasiaan, integritas, dan ketersediaan data dalam sistem informasi dikenal sebagai 'jaminan informasi'.
Nonrepudiasi berarti bahwa pengguna tidak dapat menyangkal (yaitu, menolak) telah melakukan transaksi, seperti mengubah data atau mengirim pesan, karena pengguna harus lulus autentikasi untuk mulai melakukan transaksi.
Meskipun secara teknis bukan bagian dari triad CIA, nonrepudiasi menggabungkan aspek kerahasiaan dan integritas informasi. Nonrepudiasi mencakup memastikan bahwa hanya pengguna yang berwenang yang bekerja dengan data, dan bahwa mereka hanya dapat menggunakan atau memodifikasi data dengan cara yang sah.
Profesional keamanan informasi menerapkan prinsip-prinsip InfoSec pada sistem informasi dengan membuat program keamanan informasi. Program-program ini merupakan kumpulan kebijakan, perlindungan, dan rencana keamanan informasi yang dimaksudkan untuk memberlakukan jaminan informasi.
Komponen inti dari program keamanan informasi mungkin termasuk:
Penilaian risiko keamanan informasi mengaudit setiap aspek sistem informasi perusahaan. Penilaian ini membantu para profesional keamanan informasi memahami risiko yang tepat yang mereka hadapi dan memilih tindakan dan teknologi keamanan yang paling tepat untuk mengurangi risiko.
Kerentanan adalah segala kelemahan dalam infrastruktur teknologi informasi (TI) yang dapat dieksploitasi oleh musuh demi mendapatkan akses tidak sah pada data. Misalnya, peretas dapat memanfaatkan bug dalam program komputer untuk memasukkan malware atau kode berbahaya ke dalam aplikasi atau layanan yang sah.
Pengguna manusia juga dapat menimbulkan kerentanan pada sistem informasi. Sebagai contoh, penjahat siber dapat memanipulasi pengguna untuk membagikan informasi sensitif melalui serangan rekayasa sosial seperti phishing.
Ancaman adalah segala hal yang dapat membahayakan kerahasiaan, integritas, atau ketersediaan sistem informasi.
Ancaman siber adalah ancaman yang mengeksploitasi kerentanan digital. Misalnya, serangan denial-of-service (DoS) adalah ancaman siber di mana penjahat siber membanjiri sebagian sistem informasi perusahaan dengan lalu lintas, hingga menyebabkan kerusakan.
Ancaman juga dapat berupa serangan fisik. Bencana alam, serangan fisik atau dengan senjata, dan bahkan kegagalan perangkat keras sistemik dapat dianggap sebagai ancaman terhadap sistem informasi perusahaan.
Rencana respons insiden (IRP) biasanya memandu upaya organisasi dalam menanggapi insiden.
Tim respons insiden keamanan komputer (CSIRT) sering kali membuat dan melaksanakan IRP dengan partisipasi pemangku kepentingan dari seluruh organisasi. Anggota CSIRT mungkin termasuk chief information security officer (CISO), chief AI officer (CAIO), pusat operasi keamanan (SOC), staf TI dan perwakilan dari legal, manajemen risiko, dan disiplin nonteknis lainnya.
IRP merinci langkah-langkah mitigasi yang diambil organisasi ketika ancaman signifikan terdeteksi. Sementara IRP bervariasi berdasarkan organisasi yang membuatnya dan ancaman yang mereka targetkan, langkah-langkah umum meliputi:
Program keamanan informasi menggunakan beberapa alat dan teknik yang berbeda untuk mengatasi ancaman tertentu. Alat dan teknik InfoSec umum meliputi:
Kriptografi menggunakan algoritma untuk mengaburkan informasi sehingga hanya orang yang memiliki izin dan kemampuan untuk mendekripsinya yang dapat membacanya.
Strategi dan alat DLP melacak penggunaan dan pergerakan data di seluruh jaringan dan menegakkan kebijakan keamanan terperinci untuk membantu mencegah kebocoran data dan kerugian.
Solusi EDR terus memantau file dan aplikasi di setiap perangkat, mencari aktivitas mencurigakan atau berbahaya yang mengindikasikan malware, ransomware, atau ancaman tingkat lanjut.
Firewall adalah perangkat lunak atau perangkat keras yang menghentikan lalu lintas mencurigakan memasuki atau meninggalkan jaringan sambil mengizinkan lalu lintas yang sah masuk. Firewall dapat digunakan di tepi jaringan atau digunakan secara internal untuk membagi jaringan yang lebih besar menjadi subjaringan yang lebih kecil. Jika satu bagian jaringan disusupi, peretas diblokir untuk mengakses sisanya.
IDS adalah alat keamanan jaringan yang memantau lalu lintas jaringan dan perangkat yang masuk untuk aktivitas mencurigakan atau pelanggaran kebijakan keamanan.IPS memantau lalu lintas jaringan untuk potensi ancaman dan secara otomatis memblokirnya. Banyak organisasi menggunakan sistem gabungan yang disebut sistem deteksi dan pencegahan intrusi (IDPS).
ISMS mencakup pedoman dan proses yang membantu organisasi melindungi data sensitif mereka dan merespons pelanggaran data. Memiliki pedoman juga membantu kontinuitas jika ada pergantian staf yang besar. ISO/IEC 27001 adalah ISMS yang banyak digunakan.
Sistem SIEM membantu mendeteksi anomali perilaku pengguna dan menggunakan kecerdasan buatan (AI) untuk mengotomatiskan banyak proses manual yang terkait dengan deteksi ancaman dan respons insiden .
SOC menyatukan dan mengoordinasikan semua teknologi dan operasi keamanan siber di bawah tim profesional keamanan TI yang didedikasikan untuk memantau keamanan infrastruktur TI sepanjang waktu.
Autentikasi dua faktor (2FA) dan autentikasi multifaktor (MFA) adalah metode verifikasi identitas di mana pengguna harus menyediakan banyak bukti untuk membuktikan identitas mereka dan mendapatkan akses ke sumber daya yang sensitif.
Intelijen ancaman membantu tim keamanan menjadi lebih proaktif, memungkinkan mereka mengambil tindakan efektif berbasis data untuk mencegah serangan siber sebelum terjadi.
UEBA adalah perangkat lunak keamanan yang menggunakan analitik perilaku dan algoritma machine learning untuk mengidentifikasi perilaku pengguna dan perangkat yang tidak normal dan berpotensi berbahaya.
Organisasi menghadapi daftar panjang ancaman potensial terhadap keamanan informasi.
Serangan-serangan ini dapat mencoba untuk menyusupi data organisasi dari berbagai arah, termasuk serangan ancaman persisten tingkat lanjut (APT), botnet (jaringan robot), denial-of-service terdistribusi (DDoS), serangan unduhan 'drive-by' (yang mengunduh kode berbahaya secara otomatis), malware, phishing, ransomware, virus, dan worm.
Orang bisa saja kehilangan peralatan seluler yang sarat dengan informasi sensitif, mengunjungi situs web berbahaya di peralatan perusahaan, atau menggunakan kata sandi yang mudah dibobol.
Laptop, perangkat seluler, atau PC apa pun dapat menjadi titik masuk ke sistem TI suatu organisasi jika tidak ada solusi antivirus atau keamanan titik akhir yang memadai.
Ada dua jenis ancaman orang dalam.
Menurut laporan X-Force Threat Intelligence Index , 32% insiden keamanan melibatkan penggunaan alat yang sah secara jahat. Insiden tersebut meliputi pencurian kredensial, pengintaian, akses jarak jauh, dan eksfiltrasi data.
Organisasi mengandalkan berbagai platform dan alat bantu TI, termasuk opsi penyimpanan data berbasis cloud, infrastruktur sebagai layanan (IaaS), integrasi perangkat lunak sebagai layanan (SaaS), dan aplikasi web dari berbagai penyedia. Konfigurasi yang tidak tepat dari salah satu aset ini dapat menimbulkan risiko keamanan.
Selain itu, perubahan penyedia atau internal dapat menyebabkan 'penyimpangan konfigurasi', di mana pengaturan yang valid menjadi usang.
X-Force Threat Intelligence Index melaporkan bahwa selama pengujian penetrasi, risiko aplikasi web yang paling banyak diamati di seluruh lingkungan klien adalah kesalahan konfigurasi keamanan, yang mencapai 30% dari total keseluruhan.
Serangan rekayasa sosial mengelabui karyawan untuk membocorkan informasi sensitif atau kata sandi yang membuka pintu bagi tindakan jahat.
Bisa juga terjadi bahwa saat mencoba mempromosikan organisasi melalui media sosial, karyawan mungkin secara keliru membocorkan terlalu banyak informasi pribadi atau bisnis yang dapat digunakan oleh penyerang.
Manfaat program InfoSec yang kuat dapat membantu tim di seluruh organisasi:
Informasi bisnis yang penting dapat dilindungi dan disimpan secara lebih efektif agar tersedia untuk memulai kembali setelah insiden keamanan.
Peraturan perlindungan dan privasi data seperti HIPAA dan PCI-DSS sering kali memerlukan perlindungan informasi sensitif. Keamanan informasi membantu memastikan kepatuhan dan mengurangi tanggung jawab hukum atau kemungkinan denda.
Sistem keamanan tingkat perusahaan memungkinkan organisasi untuk memiliki tindakan yang tepat untuk berbagai tingkat data, dengan kesempatan untuk menghindari pengeluaran yang berlebihan pada keamanan untuk data yang tidak terlalu sensitif.
Karyawan dapat menangani informasi dengan lebih baik ketika data diberi label sensitivitas yang lebih jelas dan ketika proses yang lebih aman tersedia.
Pelanggaran keamanan berdampak buruk bagi bisnis. Mungkin ada kerugian langsung dari insiden keamanan, tetapi juga hilangnya kepercayaan publik.
Dengan adanya rencana respons insiden dan sistem, langkah-langkah keamanan informasi dapat membantu mencegah insiden keamanan dan serangan siber seperti pelanggaran data dan ancaman denial-of-service (DoS).
Langkah-langkah autentikasi dapat diterapkan untuk membantu melindungi data sensitif pribadi dan organisasi, termasuk keuangan dan rahasia dagang. Rencana pemulihan bencana dapat siap untuk pemulihan yang lebih cepat dari insiden keamanan.
Selain ancaman keamanan informasi secara langsung, organisasi menghadapi berbagai tantangan saat membangun dan mengelola strategi dan sistem InfoSec yang kuat.
Dengan adanya sistem baru, mungkin ada kecenderungan untuk pergi, puas bahwa tugas telah selesai. Tetapi teknik peretasan terus dipertajam untuk mengimbangi langkah-langkah keamanan baru. Pemeliharaan dan tugas mengamankan data jarang sekali selesai, dan perbaikan terus-menerus pada kontrol keamanan diperlukan.
Lingkungan teknologi yang terus berubah membutuhkan sistem yang canggih dan tim TI yang benar-benar mutakhir untuk mengelola sistem yang semakin kompleks. Ini termasuk bertukar informasi dengan aman dengan Internet of Things (IoT) dan semua perangkat seluler.
Kompleksitas dapat menguras waktu: beberapa tim TI merasa upaya utama mereka adalah terus mengkonfigurasi ulang dan memelihara sistem keamanan mereka.
Bisnis di seluruh dunia mungkin menggunakan sistem komputer yang berbeda, memiliki tingkat keamanan informasi yang berbeda, dan bekerja di bawah peraturan yang berbeda. Semua ini membuat pertukaran data global yang aman semakin sulit.
Mengunci semua informasi dapat menghentikan semua kemajuan bisnis. Keseimbangan yang sulit adalah memiliki aliran data yang konstruktif dalam sebuah organisasi sambil menjaga data tetap aman di dalam organisasi dan menggunakannya dengan tepat.
Tergantung pada tingkat keamanannya, mengintegrasikan sistem informasi dengan vendor pihak ketiga atau mitra bisnis lainnya mungkin sulit atau menimbulkan risiko keamanan baru.
Melindungi data di seluruh hybrid cloud dan menyederhanakan persyaratan kepatuhan.
Perlindungan komprehensif dan penting untuk data perusahaan, aplikasi, dan AI.
Solusi keamanan siber yang didorong oleh AI yang berkembang bersama bisnis Anda.
Pelajari bagaimana lingkungan keamanan saat ini berubah dan bagaimana menavigasi tantangan dengan memanfaatkan ketahanan AI generatif.
Semakin banyak tim keamanan mengetahui tentang berbagai jenis ancaman keamanan siber, semakin efektif mereka dapat mencegah dan menanggapi serangan siber.
Keamanan data adalah praktik melindungi informasi digital dari akses yang tidak sah, korupsi, atau pencurian di seluruh siklus hidupnya.
1 Occupational Outlook Handbook: Information Security Analysts (tautan berada di luar ibm.com), US Bureau of Labor Statistics,17 April 2024.