Menghadapi Tantangan Keamanan Teknologi Informasi dengan Implementasi Sistem Manajemen Keamanan Informasi berbasis ISO 27001 di Sektor Publik

Sektor Publik Indonesia Ditengah Perkembangan Teknologi

Saat ini, teknologi informasi berkembang sangat pesat dan telah menjadi bagian yang tak terpisahkan dari kehidupan manusia. Organisasi sektor publik merupakan penyelelenggara pelayanan publik seperti instansi kepemerintahan, BUMN, atau BUMD. Sektor publik melayani kepentingan publik dalam bidang kesehatan, pendidikan, transportasi, keamanan, kelalulintasan, pasar, dan lain sebagainya.

Sektor publik di Indonesia pun tak luput dari pengaruh tren teknologi dan berlomba-lomba untuk melakukan implementasi teknologi informasi guna menunjang keberlangsungan proses bisnis. Kehadiran teknologi informasi dan semakin banyaknya pengguna internet dan mobile cellular di Indonesia merupakan salah satu pendorong utama berkembangnya bentuk pelayanan yang diberikan sektor publik kepada masyarakat.


Gambar 1 Perkembangan Pengguna Internet dan Telefon Seluler di Indonesia. Sumber: ITU World Telecommunications

Data dari ITU World Telecommunications / ICT Indicators database menggambarkan bahwa perkembangan pengguna internet dan mobile phone semakin meningkat dari tahun ketahun. Hal ini menjadi peluang bagi sektor publik untuk meningkatkan kinerja dan kualitas layanan.

Salah satu tujuan diterapkannya teknologi informasi dalam pelayanan publik adalah untuk meningkatkan hubungan dengan masyarakat. Tren pelayanan publik saat ini bergeser ke arah self service, dimana masyarakat dapat megakses layanan publik sendiri melalui website atau aplikasi yang disediakan dengan mudah dan dapat merasakan layanan publik tanpa harus mengeluarkan effort yang lebih untuk mengantri di kantor pelayanan. Hal ini dapat membantu tercapainya pelayanan publik yang efektif dan efisien. Selain itu, teknologi informasi juga membantu sektor publik dalam hal transparansi dan akuntabilitas (sesuai dengan prinsip good corporate governance yang dicanangkan pemerintah) serta meningkatkan aksesibilitas dan kualitas informasi publik.

Pemerintah Indonesia melalui instruksi presiden nomor 3 tahun 2003 yang menjelaskan tentang kebijakan dan strategi nasional pengembangan e-government, merupakan salah satu wujud dukungan dan instruksi pemerintah Indonesia dalam hal implementasi teknologi pada instansi kepemerintahan. Sektor publik lainnya juga berpacu dalam implementasi teknologi seperti adanya implementasi sistem e-procurement yang digunakan untuk membantu organisasi dalam melakukan kegiatan lelang. Berdasrkan data dari Kominfo RI, pada tahun 2014, sistem e-procurement telah diimplementasikan pada 34 kementerian, 85 institusi bukan kementerian, 507 pemerintah daerah, dan 35 institusi pendidikan negeri. Hal ini menunjukkan komitmen sketor publik dalam meningkatkan pelayanan untuk masyarakat.

Tren teknologi yang kini sedang berkembang di sektor publik antara lain:

  • Cloud Computing: dapat meminimalisir downtime dan meningkatkan agility
  • Big Data: mampu mengelola data dalam jumlah besar sehingga dapat membantu dalam pengambilan keputusan
  • Mobile: memudahkan pegawai dalam bekerja secara remote
  • Social Media: memudahkan organisasi sektor publik dalam menyebarkan informasi dan dapat digunakan sebagai sarana interaksi dengan masyarakat

Tantangan yang Dihadapi Sektor Publik dalam Implementasi Teknologi Informasi Khususnya Kemanan Informasi

Kemudahan yang ditawarkan oleh teknologi informasi tak lepas dari adanya informasi dan data. Dengan adanya hal tersebut, sektor publik maupun organisasi lain pada umunya dapat melakukan analisis terhadap data yang dimiliki sehingga dapat mendukung pengambilan keputusan dan pelaksanaan proses bisnisnya. Oleh karena itu, informasi menjadi salah satu sumber daya yang penting dan dapat memberikan pengaruh signifikan terhadap organisasi sesuai dengan pengelolaan yang dilakukan. Data yang dikelola dan dijaga keamanannya dengan benar dapat membawa organisasi ke arah yang lebih baik, namun tidak menutup kemungkinan berbalik ke arah sebaliknya jika data tidak dikelola dengan baik.

Informasi dari segala bidang dan proses bisnis dalam organisasi dikumpulkan, disimpan, diorganisasikan, diolah, dan disebarluaskan dalam berbagai bentuk, baik cetak maupun elektronik. Dengan berbagai bentuk penyimpanan, cara penyebaran, dan keterbukaan informasi melalui jaringan membuka peluang terjadinya beberapa hal yang tidak diinginkan. Bayangkan saja jika data privasi pelanggan sampai tersebar keluar dari pihak yang boleh mengetahui dan diterima oleh pihak yang tidak bertanggung jawab, data tersebut dapat disalahgunakan untuk melakukan tindak kejahatan.

Indonesia sebagai pengguna teknologi informasi tak luput dari tindak criminal keamanan informasi. DAKA dalam laporan Indonesia Cyber Security 2013 menyebutkan terdapat lima area yang menjadi kelemahan Indonesia dalam keamanan informasi, yaitu:

  • Malware : Pada 2013 Indonesia menjadi negara dengan tingkat serangan malware pada PC terbanyak dibandingkan negara-negara lain di dunia.
  • Phishing : Merupakan salah satu problem terbesar dimana masyarakat dapat dengan mudah memberikan informasi pribadi terkait dengan phising email yang didapatkan ataupun dari fake website.
  • Mobile threats : Sebagian besar masyakarat menggunakan mobile devices dalam melakukan komunikasi atau mengakses internet, namun kebanyakan tidak menyadari akan bahaya keamanan dibalik mobile devices mereka.
  • Social media : Data dari TNS, pada tahun 2011 sebanyak 87% warga Indonesia yang aktif menggunakan internet memiliki social media. Melalui social media banyak hal terkait informasi pribadi dipublikasikan.
  • Hacktivism : Hacktivism menjadi problem keamanan informasi yang mendominasi di Indonesia. Peretasan situs setiap hari terjadi.

Pada tahun 2014 lembaga ID-SIRTII (Indonesia Security Incidents Response Team On Internet Infrastructure) mencatat terdapat 48,4 juta serangan siber melanda Indonesia dengan 12.088 insiden serangan ke situs web dan 3.288 insiden diantaranya merupakan serangan terhadap situs pemerintah dengan domain .go.id.

Hal ini menunjukkan bahwa keamanan informasi di Indonesia (tak luput juga sektor publik) masih lemah. Lemahnya keamanan informasi pada sektor publik didasari karena kurangnya kesadaran sumber daya manusia di dalam organisasi terkait dengan keamanan informasi. Tidak adanya sistem atau peraturan terkait keamanan informasi di organisasi juga menjadi hal yang dapat memicu serangan-serangan tersebut, seperti belum adanya prosedur terkait perawatan dan pengawasan terhadap suatu sistem informasi yang telah dikembangkan.

Penerapan SMKI dalam Menghadapi Tantangan Keamanan Informasi

Keamanan Informasi (Information Security) suatu organisasi, tidak hanya terkait prosedur; kebijakan; proses; dan aktivitas untuk melindungi informasi tersebut, melainkan juga terkait dengan sumber daya manusia yang ada dalam organisasi. Setiap individu baik kepala direksi, manajer, staf, hingga pengguna layanan harus memiliki komitmen yang kuat dalam melaksanakan keamanan informasi organisasi. Kerahasiaaan (Confidentiality), integritas (Integrity), dan ketersediaan (Availability) dari informasi dan data merupakan pilar utama pendukung keamanan informasi.

Guna mendukung keamanan informasi yaitu terjaganya kerahasiaan; keutuhan; dan ketersediaan informasi, pemerintah melalui Peraturan Menteri Kominfo RI Nomor 4 Tahun 2016 mengatur tentang sistem manajemen pengamanan informasi. Peraturan ini merupakan pengaturan kewajiban bagi penyelenggaran sistem elektronik dalam penerapan manajemen pengamanan informasi berdasarkan asas risiko.

Peraturan tersebut menjelaskan bahwa penyelenggara sistem elektronik harus menetapkan standar SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh instansi pengawas dan pengatur sektornya serta menerapkan pedoman indeks keamanan informasi untuk menjaga keamanan informasi organisasinya.

ISO 27001 merupakan standar yang menawarkan spesifikasi untuk membuat SMKI - SIstem Manajemen Keamanan Informasi (Information Security Management System) yang efektif dengan menyediakan model dan kebutuhan yang diperlukan untuk menetapkan, menerapkan, mengoperasikan, memantau, meninjau, memelihara, dan meningkatkan SMKI. Standar internasional ini dapat diterapkan pada seluruh jenis organisasi mulai dari sektor publik, perusahaan komersil hingga organisasi non-profit.

ISO 27001 membawa organisasi untuk menyadari akan pentingnya beberapa hal, antara lain :

  • Memahami akan butuhnya keamanan informasi organisasi serta kebijakan dan tujuan keamanan informasi
  • Mengimplementasi dan melaksanakan kontrol untuk manajemen risiko keamanan informasi organisasi dalam konteks keseluruhan risiko bisnis organisasi
  • Memantau dan meninjau performa dan keefektifan SMKI
  • Melakukan peningkatan berkelanjutan berdasarkan penilaian objektif

Standar internasional ini menerapkan konsep Plan-Do-Check-Action (PDCA) yang diaplikasikan untuk menyusun keseluruhan proses SMKI. Ilustrasi berikut memberikan gambaran bagaimana suatu kebutuhan dan harapan akan keamanan informasi diolah dalam proses PDCA sehingga menghasilkan keamanan informasi yang sesuai dengan kebutuhan dan harapan yang telah didefinisikan.

Gambar 2 Proses PDCA SMKI berdasar ISO 27001

Implementasi SMKI pada organisasi sektor publik memberikan pedoman dan prosedur dalam melakukan pengamanan informasi. Sehingga dapat memberikan pemahaman kepada pihak manajemen, pegawai, dan pihak yang terkait dengan organisasi akan pentingnya keamanan informasi. Dari penerapan SMKI diharapkan tantangan keamanan informasi dapat dihadapi dengan baik dan dapat meningkatkan nilai dan performa organisasi. Selain itu penerapan SMKI dapat meningkatkan kepercayaan masyarakat terhadap informasi dan segala sistem yang digunakan sektor publik dalam memberikan layanan kepada masyarakat, serta meningkatkan jaminan kualitas sistem informasi.

Komitmen untuk melakukan implementasi SMKI dari seluruh pihak merupakan salah satu kunci kesuksesan implementasi SMKI. Selain itu, pengawasan dan peningkatan mutu SMKI juga menjadi hal yang perlu diperhatikan, mengingat teknologi yang terus berkembang, dan SMKI turut diperbarui mengikuti perkembangan organisasi dan perkembangan teknologi. Pemahaman akan keamanan informasi kepada masyarakat selaku pengguna layanan juga penting untuk dilakukan untuk mendukung suksesnya implementasi SMKI pada organisasi sektor publik.


Kesimpulan

Kehadiran teknologi informasi merubah cara pandang sektor publik Indonesia dalam memberikan pelayanan kepada masyarakat. Layanan publik yang dapat diakses secara online melalui internet tak luput dari serangan keamanan informasi yang dapat menggangu proses pelayanan itu sendiri. Oleh karena itu, implementasi sistem keamanan informasi dengan standar ISO 27001 (sesuai dengan peraturan menteri kominfo RI) sangat perlu untuk dilakukan guna meningkatkan keamanan dan kualitas sistem informasi.