30 June 2019

KPU dan ISO 27001


Menjaga data masyarakat adalah kewajiban negara, termasuk mengelola data masyarakat untuk kepentingan pemilu. Komisi Pemilihan Umum (KPU) bertanggung jawab mengelola data dan informasi kegiatan Pemilu. Oleh sebab itu, tata kelola informasi oleh KPU harus maksimal dan sebaik mungkin agar informasi yang dikelola terjaga dari aspek kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability). Pengelolaan informasi tanpa mempertimbangkan ketiga aspek tersebut menyebabkan informasi tidak aman, diragukan dan tidak dapat dipercaya.

Ke tiga aspek keamanan informasi di atas dikenal dengan segitiga keamanan informasi atau landasan keamanan informasi. Ketiga aspek itu merupakan inti dari standar keamanan informasi yang bertaraf internasional  ISO 27001. Kerahasiaan, Integritas dan ketersediaan informasi merupakan pilar standar ISO 27001.

Kerahasiaan Data

Kerahasiaan data harus terjamin sebab bila data dapat diakses pihak tidak berkepentingan, data berpotensi disalahgunakan. Surat suara yang tercoblos di Malaysia salah satu contoh tidak adanya sistem pengamanan data yang baik sehingga kerahasiaan data tidak terjamin sebagaimana mestinya.

Integritas Data

Integritas data dan informasi harus dijaga dengan baik. Data tidak akurat dan tidak lengkap mengakibatkan keputusan tidak maksimal, bahkan cenderung tidak dapat diterima sebab dilandasi data yang integritasnya diragukan. Contoh ketidakakurasian data yakni kesalahan input data ke Sistem Informasi Penghitungan Suara (Situng).

Ketersediaan Data

Aspek terakhir yang harus dipenuhi agar data atau informasi dapat dipercaya yakni ketersediaan data harus terjamin dengan baik.

Penerapan ISO/IEC 27001 mendukung pengelolaan data dan informasi yang baik dan benar suatu organisasi, termasuk KPU. Standar internasional ISO 27001 menyediakan sejumlah kontrol informasi yang layak diadopsi, diterapkan organisasi dan segenap jajarannya. Tujuannya untuk melindungi data yang dihimpun, diolah, didistribusikan dan dipresesentasikan.

Adopsi kontrol informasi yang disediakan ISO 27001 tidak terbatas hanya pada pengawasan terhadap aset informasi atau perangkat informasi seperti server, komputer atau laptop, melainkan juga mencakup kontrol terhadap personil yang bekerja (human security), pengadaan barang dan tata kelola operasional lainnya.

Setiap aset informasi yang kritikal harus dinilai tingkat risiko dari segi ancaman dan kerawanan. Jaringan internet rentan di-hacked oleh orang tidak bertanggung jawab. Ancaman ini dapat terjadi bila tidak tersedia kontrol informasi yang tepat. Penilaian risiko termasuk terhadap calon personil atau petugas. ISO 27001 mewajibkan adanya tata kelola rekrutmen calon pekerja atau petugas yang menyertakan verifikasi latar belakang calon. Audit internal wajib dilaksanakan untuk menjamin SOP dilaksanakan dengan sesuai. Diwajibkan adanya manajemen perubahan yang memadai, sebab perubahan mengakibatkan berubahnya peta risiko keamanan informasi dalam suatu organisasi.

Tata kelola sistem manajemen yang mengacu ISO 27001 dapat mencegah data bocor dan tidak lengkap. Sistem ini diperlukan untuk mencegah hasil pengelolaan informasi berpotensidicurigai dan tidak dipercaya.

Saya berharap KPU memiliki dan menggunakan kontrol informasi yang lengkap seperti kontrol informasi yang disediakan standar keamanan informasi bertaraf internasional ISO 27001.

Baca juga:

22 June 2019

ISO beban perusahaan?

ISO seringkali dipandang sebagai beban. Pekerjaan ISO kebanyakan pekerjaan dokumen. Dengan adanya ISO, dokumen semakin banyak entah diperlukan atau tidak oleh karyawan..

Bagaimana mulanya perusahaan membutuhkan sertifikat ISO?

Tulis komentar Anda di #ISObebanperusahaan


ISO 27001 menuntut perusahaan menjaga Data personil


Informasi adalah salah satu aset penting yang sangat berharga bagi kelangsungan hidup suatu perusahaan sehingga informasi harus dijaga kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).

Data personil merupakan informasi penting. Menurut ISO 27001, data personil harus dijaga kerahasiaannya dan tidak boleh disebarkan kepada orang lain tanpa persetujuan pemilik data.

Perlindungan data ada undang-undangnya. ISO 27001 mewajibkan perngguna standar ISO 27001 mematuhi peraturan perudangan khusunya yang berkaitan dengan perlindungan data atau informasi seseorang.

17 June 2019

ISO 27001: Hati-hati menggunakan WI-FI Publik


Standar keamanan informasi ISO 27001 merupakan standar internasional yang lagi tren saat ini. Standar ISO 27001 memuat aturan keamanan informasi yang perlu diterapkan dalam rangka menjaga kerahasiaan, integritas dan ketersediaan informasi.

Dalam standar ini terdapat sejumlah kontrol informasi yang dapat dibaca di blog ini: 114 Security Control

Salah satu kontrol informasi yang disediakan ISO 27001 antara lain perlunya kehati-hatian dalam mengakses WI-FI publik.

Kita wajib berhati-hati menggunakan WI-FI publik sebab penggunaan WI-FI publik tidak sepenuhnya aman.

Jaringan WI-FI yang tidak aman dapat disusupi oleh hacker atau peretas. Jika kita menggunakan jaringan yang tidak aman, ancamannya adalah data kita yang terdapat dalam ponsel dapat dicuri, misalnya username, password atau data sensitif lainnya.

Berikut ini saya kutip newsletter Bukalapak tentang keamanan WI-FI publik:
  • Satu dari empat hotspot WI-FI berisiko terkena serangan siber (Sumber: Kaspersky)
  • Orang Indonesia lebih suka menggunakan jaringan WI-FI publik gratis tanpa registrasi atau password (sumber: Avast)

Tips Agar tetap aman saat menggunakan WI-FI publik:

a) Pastikan kamu mengakses jaringan yang resmi

b) Pastikan URL dari situs yang kamu kunjungi menggunakan "https://" .
Https menunjukkan bahwa semua aktivitas yang kamu lakukan pada situs tersebut akan dienkripsi sehingga tidak bisa dibaca orang lain

c) pastikan sistem operasi, web browser dan software antivirus yang kamu gunakan selalu versi yang terbaru

d) Matikan WI-FI saat tidak digunakan


Selamat mencoba!

Baca juga;