Klasifikasi informasi
Saat ini, dimana informasi telah menjadi aset penting
yang menentukan ketangguhan sebuah organisasi, pengamanan informasi menjadi
lebih diperlukan dari sebelumnya.
Tetapi banyak manager perusahaan/organisasi berfikir
bahwa penerapan keamanan pada informasinya menguras sumber daya dan tidak
memberikan jaminan keamanan yang diinginkan. Sehingga memberikan kesimpulan
bahwa biaya keamanan yang diberikan tidak sebanding dengan keuntungan yang
diperoleh organisasi.
Bisa jadi yang dilakukannya adalah memberikan pengamanan
informasi secara sama rata atau tidak tepat terhadap aset informasi yang
dimiliki. Sehingga mengakibatkan biaya yang dikeluarkan menjadi tidak efisien
dan tidak sebanding dengan nilai informasi itu sendiri.
Dalam kenyataannya tidak semua informasi mempunyai
nilai guna yang sama, atau memiliki risiko yang sama, mekanisme perlindungan
dan proses recovery-nya atau lainnya pun, pasti berbeda. Sehingga agar
menjadi efisien, informasi sebagai aset organisasi harus diberikan klasifikasi
berdasarkan risiko, nilai guna data, atau kriteria lainnya yang ditentukan
dalam organisasi.
Mengapa
informasi perlu diklasifikasikan
Seringkali organisasi melakukan usaha
pengklasifikasian dan pengamanan informasi adalah karena mandat regulasi
organisasi dan pelaksanaan kebijakan organisasi. Sebagai contoh adalah
informasi finansial dalam organisasi perbankan yang mau tidak mau harus
diberikan proteksi dengan level tertentu, agar bank-nya tetap dipercaya
nasabah. Organisasi lainnya melakukan usaha pengklasifikasian dan pengamanan
informasi adalah karena adanya perjanjian kontrak untuk melindungi informasi
dengan konsumennya atau mitra bisnisnya.
Padahal banyak sekali keuntungan yang akan diperoleh
bila organisasi dengan kesadaran sendiri melakukan pengklasifikasian dan
pengamanan aset informasinya. Sebab, dalam pengamanan informasi, melakukan
pengklasifikasian informasi sangatlah penting. Memberikan pengamanan yang
sesuai akan menghemat sumberdaya organisasi dan membuat pengelolaan informasi
menjadi efisien dan efektif. Akhirnya akan membantu meningkatkan kualitas
data/informasi yang digunakan sebagai bahan untuk mengambil keputusan.
Keuntungan melakukan
klasifikasi data/informasi bagi organisasi adalah :
1. Meningkatkan kerahasiaan, keutuhan dan ketersediaan
data dikarenakan pengendalian yang tepat terhadap semua data dalam organisasi.
2. Menghemat biaya operasional pemeliharaan
dikarenakan mekanisme perlindungan data dirancang dan dilaksanakan hanya
terhadap data yang memang memerlukannya.
3. Meningkatkan kualitas pengambilan keputusan
dikarenakan data sumbernya sudah tertata kualitasnya.
4. Mendukung pelaksanaan arsitektur keamanan informasi
agar organisasi memperoleh posisi yang lebih baik dimasa yang akan datang.
5. Menyediakan
proses untuk melakukan review semua fungsi
organisasi dan menentukan prioritas serta nilai data.
Sistem
pengklasifikasian informasi yang efektif akan membuat informasi mudah
dimengerti serta mudah digunakan dan dipelihara. Selain itu manajemen akan
dengan cepat dapat mengetahui dan menentukan tingkat pengamanan suatu
informasi, yang tentunya akan membuat efisien sumber daya yang diperlukan.
Memulai
melakukan pengklasifikasian informasi
Sebelum
melakukan pengklasifikasian informasi, seorang profesional keamanan informasi (profesional KI) perlu
memberikan beberapa pertanyaan terhadap proyeknya itu :
- apakah pihak eksekutif mendukung ?
Tanpa dukungan eksekutif, pengklasifikasian informasi
menjadi sulit dicapai atau tidak akan berpengaruh dalam organisasi. Sebab
dukungan eksekutif penting dalam upaya mensosialisasikan regulasi klasifikasi
informasi.
- apa yang akan
dilindungi dan dari apa ?
Profesional KI
perlu membuat matrik analisa serangan dan resiko yang mungkin akan terjadi
terhadap data/informasi organisasi, disertai solusi untuk mengeliminir resiko
dan serangan tersebut. Selain itu perlu diberikan juga analisa impak yang
terjadi terhadap organisasi atas serangan/resiko dan recoverinya.
- apakah
terdapat kebijakan tertentu yang harus dipertimbangkan ?
Kebijakan
tertentu bisa saja berdampak pada pengklasifikasian informasi, untuk itu
seorang profesional KI perlu mengetahui semua kebijakan yang ada dalam
organisasi yang akan berpengaruh dalam implementasi keamanan informasi.
- apakah
organisasi mempunyai rasa memiliki data ?
Organisasilah
yang memiliki data, bukan milik bagian TI. Sehingga organisasi secara
keseluruhan harus mempunyai tanggung jawab terhadap pengelolaan data/informasi
tersebut. Bila hanya diserahkan pada orang-orang TI saja, tentunya akan menjadi
tidak efektif. Sebab pengamanan data merupakan keseluruhan proses yang terjadi
terhadap setiap kegiatan dari data itu.
Bagaimana
informasi diklasifikasikan
Pendekatan yang
dipakai untuk melakukan klasifikasi informasi yang efektif dan efisien berbeda-beda
dari setiap organisasi. Hal ini sangat bergantung dari jenis organisasi serta
kepentingannya. Namun tahapan secara umum yang dapat dipakai seperti berikut :
1.
Mengidentifikasi semua sumber daya informasi yang perlu dilindungi.
2.
Mengidentifikasi ukuran pengamanan informasi yang akan diterapkan pada
masing-masing kelas informasi. Secara garis besar pengamanan yang diterapkan
pada informasi adalah otentikasi, pengendalian akses, penyandian, pengawasan
secara administratif, pengawasan secara teknologi dan/atau asuransi.
3.
Mengidentifikasi tingkat guna dan nilai informasi.
4. Memetakan
ukuran perlindungan informasi untuk masing-masing tingkat informasi.
5. Mengklasifikasi informasi : kebanyakan
pengklasifikasian data/informasi terfokus hanya pada kerahasiaan data saja.
Namun sesungguhnya pengklasifikasian informasi lebih dari itu, misalnya :
a. Klasifikasi
berdasarkan derajat kecepatan, misalnya : prioritas, urgent, segera;
b. Klasifikasi
berdasarkan tingkat kerahasiaan, misalnya : top
secret, secret, confidential;
c. Klasifikasi
berdasarkan frekuensi penggunaan, misalnya : sering, kadang, sekali pakai;
d. Klasifikasi
berdasarkan waktu pemakaian, misalnya : tahun, bulan, minggu, jam;
e. Klasifikasi
berdasarkan kewenangan, misalnya : edit, read
only;
f. Klasifikasi
berdasarkan isi, misalnya : keuangan, politik, ekonomi;
g. Klasifikasi
lain yang didefinisikan organisasi, misalnya : umum, pivate, client, staff
only.
6. Evaluasi secara berkala : nilai guna dan
kepentingan sebuah informasi memiliki tenggang waktu tertentu, sehingga proses
evaluasi secara berkala sangat diperlukan untuk menentu kembali klasifikasi
informasi tersebut. Evaluasi ini pada dasarnya adalah perulangan proses 1
sampai 5 di atas terhadap setiap informasi dalam setiap periode evaluasi.
Contoh
pengklasifikasian informasi
Restricted : informasi
yang dilindungi, yang bila tidak ditangani dengan benar dapat secara serius
mengakibatkan kerugian, impaknya termasuk pelanggaran hukum, atau kontrak atas
perlindungan privasi.
Sensitive : informasi
penting yang dilindungi dimana bila tidak ditangani dengan benar dapat merusak
berfungsinya suatu sistem atau berdampak pada bisnis, finansial dan hukum.
Operasional : informasi
yang bila tidak ditangani dengan benar menimbulkan kerusakan minimal, namun
begitu dapat membuat ketidak-nyamanan, merusak kredibilitas/reputasi atau
rahasia pribadi.
Private : merupakan
informasi data pribadi atau data milik perseorangan yang bukan merupakan
informasi untuk umum.
Unrestricted : yang dapat
diakses secara bebas sebagai informasi umum.
sumber :
Tidak ada komentar:
Posting Komentar