Klasifikasi
Keamanan Informasi, Melindungi Informasi Rahasia Perusahaankah?
Informasi digital saat ini mendominasi
perputaran/sirkulasi informasi di berbagai institusi, baik dipemerintahan,
swasta, universitas, organisasi sosial, hankam, lembaga perekonomian,
organisasi politik, dan banyak lagi.
Naskah: IGN Mantra
Dosen Keamanan informasi, Peneliti Cyber War dan Cyber
Scurity Inspection @lab, ABFII Perbanas Jakarta, Certified EC-Council
Instructor dan Ketua Indonesia Academic Computer Security Incident Response
Team, Korespondensi
e-mail:mantra@acad-csirt.or.id
|
H
|
ampir bisa dipastikan informasi merupakan ujung tombak bergeraknya
perekonomian. “siapa yang memegang informasi, dialah yang akan memenangkan
peperangan”, begitu pepatah mengatakan.
Begitu
juga di era internet saat ini. Hal yang sangat dicari para hackers/creckers dan intruder
adalah informasi. Jantung informasi ada dalam database. Karena itu, komputer/laptop sudah tidak bernilai lagi di
mata para hackers/ckreckers. Baik hackers perorangan maupun tim akan
berusaha menjebol pertahanan keamanan informasi di server. Mereka akan berlomba-lomba memperoleh informasi penting,
sensitif, dan bahkan rahasia sekalipun.
Penulis
kali ini akan mengulas tentang klasifikasi informasi di dalam perusahaan. Akan
dipaparkan informasi secara umum, informasi penting dan rahasia, serta
bagaimana melakukan klsifikasi informasi tersebut. Dipaparkan pula bagaimana
melindungi informasi, termasuk peran pemerintah dalam melindungi informasi
penting negara.
Tujuan
klasifikasi informasi adalah membuat pemeringkatan terhadap kadar sensitivitas
informasi tersebut. Klasifikasi informasi akan memungkinkan adanya pengontrolan
terhadap proteksi keamanan data dan informasi, sehingga informasi dapat
diselamatkan dari tangan-tangan pemulung informasi.
Klasifikasi Keamanan
Informasi
Dalam
konteks keamanan informasi, klasifikasi keamanan informasi dibuat berdasarkan
level sensitivitas informasi tersebut. Selain itu, juga dilihat dampak bila
informasi tersebut diungkap/dibuka oleh orang yang tidak memiliki otorisasi
yang sah (unauthorized). Jika
terungkap ke publik, informasi tersebut dapat dikategorikan telah mengalami
kebocoran informasi.
Ada
beberapa pendekatan untuk melakukan klasifikasi keamanan informasi, tergantung
dari negara dan institusi yang melakukannya. Klasifikasi informasi di militer
dan industri keamanan sangat berbeda dengan industri keuangan dan perbankan
termasuk institusi lainnya, seperti pendidikan dan kesehatan.
Berikut
adalah panduan (guideline) klasifikasi keamanan informasi menurut
Wikipedia dan beberapa negara. Panduan ini didefinisikan menjadi beberapa
bagian seperti:
Top secret. Informasi diproduksi
oleh orang/tim khusus dan diklasifikasikan sebagai top scret. Sangat sedikit yang mengetahui informasi jenis ini.
Hanya Presiden, Menteri Pertahanan dan Panglima TNI saja yang dapat
mengaksesnya. Bahkan ada informasi yang hanya dapat dibuka bersama antara
Presiden dan Menhannya. Salah satu personil saja tidak dapat membukanya.
Penyimpanan informasi ini dalam bentuk “encrypted”,
“hidden”, dan sangat rahasia.
Klasifikasi ”top scret” hanya
dimiliki oleh negara dan militer. Ini karena informasi jenis ini sangat berbeda
isi dan cara penyimpanannya. Contoh PIN sumber daya nuklir, PIN rudal jelajah
peta ranjau, gudang senjata, peta infantri, peta tank, peta kavaleri, dan
banyak lagi.
Secret. Informasi diproduksi oleh
orang/tim tertentu dan di klasifikasikan sebagai secret. Penyimpanan
informasinya dalam bentuk “encrypted”
dan tidak beredar. Klasifikasi “secret”
bisa dilaksanakan dan dimiliki oleh semua institusi. Informasi ini beredar
dikalangan pejabat pemerintah dan petinggi swasta saja. Karena sifatnya
rahasia, akses ke informasi “secret” ini
dilakukan dengan sangat hati-hati dan terawasi. Sebagai contoh laporan keuangan
perusahaan (cash-flow), aset
perusahaan, rahasia dagang, rahasia produk, rahasia ekspansi, penemuan baru,
dan banyak lagi.
Confidential. Informasi diproduksi
oleh departemen tertentu yang membuat informasi tersebut. Penyimpanan
informasinya dilakukan secara “encrypted”
dan hanya beredar di area terbatas. Klasifikasi “confidential” terjadi di institusi pemerintah dan swasta. Sebagai
contoh informasi departemen marketing tidak
boleh dikonsumsi oleh departemen lain seperti SDM, begitu juga sebaliknya. Ini
karena tidak ada informasi di marketing yang
dapat di olah oleh orang-orang SDM.
Restricted. Informasi diproduksi
oleh setiap departemen. Penyimpanan informasi dilakukan dalam bentuk “unencrypted”. Klasifikasi “restricted” ini dilakukan oleh institusi
agar informasi tidak beredar secara luas. Informasi ini hanya boleh diakses
oleh pihak internal perusahaan saja, atau satu departemen saja antara atasan
dan bawahan atau antara manajer dan staf. Dengan demikian, pihak lain tidak
perlu mengetahui informasi lain tersebut.
Unclassified. Informasi diproduksi
oleh departemen publikasi dan untuk konsumsi umum. Penyimpana informasi
dilakukan oleh departemen yang telah ditunjuk. Karena informasi ini “unclassified” atau tidak terklasifikasi,
siapa saja boleh mengonsumsi informasi seperti ini. Contoh: laporan keuangan
untuk publik, informasi di website, tabloid,
majalah, spesifikasi teknis, panduan, petunjuk praktis, password default product merk-merk yang telah dibeli oleh
masyarakat retail/corporate, brosur
dan banyak lagi.
Mengapa informasi di
klasifikasikan? Ada beberapa alasan penting dibalik klasifikasi tersebut
seperti:
·
Melindungi
informasi pribadi (personal). Siapapun dan dimanapun WNI mendapatkan
perindungan dalam undang-undang ITE. Informasi perorangan ini misalnya
informasi pribadi seperti catatan medis (medical
record), data perbankan, data detail pegawai atau pelajar. Semua data ini
dijaga dengan baik oleh pemilik sistem informasi tersebut. Database pribadi pejabat negara tidak boleh dipublikasikan tanpa
izin.
·
Melindungi
informasi dari akses yang tidak diperbolehkan (unaunthorized). Klasifikasi
informasi membatasi akses oleh orang dan bagian sehingga tidak bisa diakses
secara sebarang. Akses-akses kepada database
diatur sedemikian rupa agar hanya boleh diakses oleh operator yang
berkepentingan saja. Contoh customer
service telephone, perbankan, dan rumah sakit hanya dapat mengakses
informasi tersebut dengan persetujuan customer
didepan layar mereka. Ini juga hanya sebatas informasi yang diperlukan
saja, seperti entry saving tabungan, load database customer yang sedang
komplain load data customer rumah
sakit dan banyak lagi.
·
Melindungi
hak karya cipta (intellectual property).
Pada saat informasi sudah dihasilkan oleh institusi, informasi yang
berkaitan dengan hasil karya cipta perorangan maupun institusi yang dijaga
dengan baik. Ini karena karya cipta merupakan aset perusahaan. Sebelum
mendapatka pengakuan sebagai hak karya cipta dari pemerintah, karya tersebut
sebaiknya diselamatkan dan di awasi dengan baik agar tidak jatuh kepada
kompetitor dan ujung-ujungnya adalah saling klaim terhadap karya cipta
tersebut.
·
Melindungi
informasi dari kebocoran dan penyebaran. Informasi dapat mengalami
kebocoran atau perpindahan dari satu tempat ketempat yang lain tanpa disadari
dan dikehendaki. Institusi manapun harus dapat melakukan klasifikasi informasi
dengan baik karena informasi “secret”
tidak boleh sebarang diletakkan sehingga dapat dicuri oleh orang lain maupun
karyawan. Informasi memiliki nilai yang sangat tinggi sehingga dapat dibocorkan
secara sengaja maupun tidak sengaja. Karena itu, haram meng-copy secara
serampangan informasi-informasi penting kedalam flash disk pribadi yang dibawa
kesana kemari. Probabilitas flash disk hilang dan lupa tertancap di komputer
umum akan sangat membahayakan informasi yang ada di flash disk tersebut.
·
Memfasilitasi
pertukaran informasi internal dan pelayanan yang terintegrasi pada saat
informasi dikirim/diterima. Informasi yang telah diproduksi oleh setiap
departemen seyogyanya dapat saling dipertukarkan antar departemen. Dengan
kaidah-kaidah klasifikasi informasi, informasi tidak dapat dikirim/diterima
begitu saja, dan harus melalui prosedur yang ketat. Klasifikasi informasi
sangat membantu pengguna agar informasi tidak pindah kepada yang tidak berhak
sehingga menghasilkan kebocoran informasi kepada pihak lain.
·
Melindungi
informasi dalam bentuk dukungan pengamanan umum dan penegakan hukum.
Klasifikasi informasi akan menempatkan informasi pada tempat yang sebenarnya
sehingga diperlukan pengamanan akses kepada informasi tersebut. Bila terjadi
pelanggaran terhadap penyalahgunaan klasifikasi informasi, seyogyanya dilakukan
penegakan hukum untuk pelanggaran yang telah dilakukan. Pada klasifikasi informasi
”top secret”, tidak boleh sebarang
orang mengetahui informasi tersebut. Contohnya seperti sudah disebut
sebelumnya, antara lain PIN sumber daya nuklir, PIN rudal jelajah, PIN bom
kimia, rencana pengembangan senjata dan pasukan, rencana perpindahan peralatan
tempur,peralatan rusak dan maintenance, jumlah
senjata organik dan non organik, dokumen penemuan-penemuan baru, investasi, SDM
yang terlibat, dan banyak lagi harus sangat dirahasiakan keberadaannya.
Implementasi
klasifikasi keamanan informasi
Implementasi klasifikasi
keamanan informasi tergantung dari setiap institusi. Berikut penulis
deskripsikan ulang sesuai dengan reverensi yang digunakan di beberapa negara,
sehingga dapat digunakan sebagai bahan reverensi klasifikasi keamanan informasi
di NKRI.
Implementasi
dibagi kedalam beberapa bagian seperti:
·
Melabel aset-aset informasi.
·
Menyimpan informasi
·
Melakukan transmisi (mengirm/menerima)
informasi.
·
Menghancurkan informasi sudah tidak digunakan.
·
Melindungi integritas informasi.
·
Menyiapkan perizinan akses terbatas dan
pengungkapan informasi
·
Membangun akuntabilitas
EmoticonEmoticon