A.

Definisi Keamanan Informasi

Keamanan Teknologi Informasi adalah usaha yang dilakukan agar teknologi informasi yang digunakan
baik perangkat lunak (software), perangkat keras (hardware) dan perangkat pikir (brainware) tetap
berjalan sesuai dengan fungsinya. Keamanan informasi sekumpulan metodologi, praktik, ataupun proses
yang dirancang dan diterapkan untuk melindungi informasi atau data pribadi dari akses, penggunaan,
penyalahgunaan, gangguan, atau modifikasi yang tidak sah. Keamanan informasi bertujuan untuk
melindungi data pada berbagai tahap, baik itu ketika proses menyimpan, mentransfer, atau
menggunakannya.

B. Aspek dalam Keamanan Informasi (CIA Triad)

CIA triad adalah model standar dalam keamanan informasi yang dirancang untuk mengatur dan
mengevaluasi bagaimana sebuah organisasi atau perusahaan ketika data disimpan, dikirim, atau
diproses. Setiap aspek yang ada di dalam CIA triad (Confidentiality – Integrity – Availability) akan
menjadi komponen penting dari keamanan informasi.

1.Confidentiality (kerahasiaan). Hal ini menjamin bahwa data atau informasi hanya diakses oleh orang
yang berwenang saja.

2.Integrity (integritas). Hal ini menjamin bahwa data atau informasi dikirim dengan akurat dan secara
lengkap, tanpa ada perubahan apapun didalamnya.

3.Availability (ketersediaan). Data atau informasi tersedia pada saat dibutuhkan.

C. Risiko Keamanan Informasi (Information Security Risk)

Didefinisikan sebagai potensi output yang tidak Diharapkan dari pelanggaran keamanan informasi oleh
Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko
seperti ini dibagi menjadi empat jenis yaitu:

1. Interuption: ancaman terhadap availability, yaitu data dan informasi yang berada dalam system
computer yang dirusak dan dibuang sehingga menjadi tidak ada atau menjadi tidak berguna.

2. Interception: merupakan ancaman terhadap secrey, yaitu orang yang tidak berhak mendapatkan
akses informasi dari dalam system computer.

3. Modification: merupakan ancaman terhadap integritas, yaitu orang yang tidak berhak, tidak
hanya berhasil mendapatkan akses, melainkan juga dapat melakukan pengubahan terhadap informasi.
4. Fabrication: adanya orang yang tidak berwenang, meniru atau memalsukan suatu objek ke
dalam sistem.

D. Macam-macam Pengendalian

1. Pengendalian Teknis

Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyususn system selama
masa siklus penyusunan system. Dilakukan melalui tiga tahap:

a. Identifikasi Pengguna.

Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor telepon.nomor telepon.

b. Otentikasi Pengguna.

Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti chip
identifikasi atau tanda tertentu.

c. Otorisasi Pengguna.

Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan tertentu.

2. Pengendalian Kriptografis

Merupakan penggunaan kode yang menggunakan proses-proses matematika. Meningkatkan keamanan

data dengan cara menyamarkan data dalam bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi
data dan informasi yang tersimpan dan ditransmisikan, dari pengungkapan yang tidak terotorisasi.

3. Pengendalian Fisik

Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer.Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih, yang dibuka dengan
cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.

4. Pengendalian Formal

Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur dan praktik yang
diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku.
Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

5. Pengendalian Informal

Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan
manajemen.Pengendalian ini ditunjukan untuk menjaga agar para karyawan perusahaan memahami
serta mendukung program keamanan tersebut

E.Dasar Manajemen Keamanan Informasi

Strategi dari keamanan informasi meliputi tujuh aspek kategori, yaitu :

1. Physical security yang membahas bagaimana pengamanan terhadap perangkat keras, perangkat
lunak, dan data terhadap ancaman physical untuk mengurangi atau mencegah terganggunnya operasi,
pelayanan, dan/atau hilangnya aset berharga.

2. Communication security (COMSEC) yang bertujuan untuk mengamankan media komunikasi beserta
isinya, sehingga tidak terjadinya penyadapan atau modifikasi terhadap data.

3. Computer security (COMPUSEC), mencegah, mendeteksi, dan meminimalisir ancaman akibat dari
pengguna yang tidak berwenang terhadap sistem komputer.

4. Information security (INFOSEC) adalah perlindungan informasi terhadap pengguna yang tidak
berwenang, serta perlindungan perusakan, baik yang disengaja maupun yang tidak disengaja.

5. System safety didefinisikan sebagai penerapan teknik dan manajemen prinsip, kriteria, dan teknik
untuk mengatasi risiko kecelakaan operasional, waktu, dan biaya, dari seluruh fase siklus sistem yang
ada.

6. System reliability didefinisikan sebagai pengukuran akan perangkat lunak apakah menghasilkan
keluaran yang akurat atau tidak dan konsisten secara berulangulang, baik dalam kondisi baik, sedang,
atau buruk.

F. Peraturan Perlindungan dan Keamanan Data di Indonesia

Seiring perkembangan zaman dan penggunaan teknologi digital di tanah air. Maka, pemerintah pun
perlu memiliki sebuah aturan yang tegas terhadap perlindungan dan keamanan data pribadi. Di
antaranya adalah Undang-Undang No.82 Tahun 2012 Penyelenggaraan Sistem dan Transaksi Elektronik.

Kemudian, pemerintah juga mengeluarkan peraturan lainnya untuk melengkapi undang-undang

tersebut. Yakni Peraturan Menteri (Permen) No 20 Tahun 2016 tentang Perlindungan Data Pribadi (PDP)
dan yang terbaru adalah Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) di tahun
2020.

1. Permen No 20 Tahun 2016 tentang Perlindungan Data Pribadi (PDP)

a. Pemilik data pribadi adalah individu yang dalam dirinya melekat data pribadi tertentu. Kemudian,
setiap penyelenggara sistem elektronik haruslah memiliki aturan internal dalam kegiatan dan
pelaksanaan prosesnya.

b. Data perseorangan yang ada pada sistem elektronik dan digital harus memiliki verifikasi
keakuratannya dan dalam bentuk yang sudah terenkripsi. Selain itu juga memperhatikan aspek
penerapan teknologi, sumber daya, biaya, dan metodenya.

C. Penyelenggara sistem elektronik dan digital (dalam hal ini dapat pula kita artikan sebagai
penyelenggara digital identity) wajib memberikan akses kepada pemilik data pribadi perseorangan.
Khususnya dalam hal pengubahan maupun pembaruan data pribadi pemilik tanpa adanya gangguan
sistem pengelolaan dari pihak penyelenggara.

d. Jika pemilik data digital tersebut adalah anak-anak, maka pemberian persetujuan dilakukan oleh
orang tua maupun wali anak tersebut.

2. Rancangan Undang-Undang Perlindungan Data Pribadi 2020

a. Bab definisi data pribadi: Pada bagian ini berisi mengenai pengertian data pribadi yakni setiap data
mengenai seseorang. Baik itu data yang sudah teridentifikasi maupun diidentifikasi tersendiri atau
dikombinasikan bersama informasi lainnya. Mulai dari data dengan informasi secara langsung ataupun
tidak langsung seperti sistem elektronik maupun non-elektronik.
b. Bab jenis data pribadi: Berisikan jenis data pribadi yang terbagi menjadi dua yakni data yang bersifat
umum dan data yang bersifat spesifik. Untuk kategori data umum berisikan seperti nama lengkap, jenis
kelamin, agama, kewarganegaraan dan data umum untuk mengidentifikasi seseorang. Kemudian, untuk
data spesifik ialah data yang sifatnya sensitif. Misalnya data tentang kesehatan, biometrik, genetika,
hingga keuangan. Pada data spesifik ini perlu mendapatkan persetujuan pemiliknya untuk mengakses
bila diperlukan.

c. Dalam RUU ini juga dijelaskan mengenai penghapusan data pribadi. Yakni pihak pengendali data perlu
dan wajib memusnahkan informasi bila tidak memiliki nilai guna lagi. Atau dengan kata lain, masa
retensinya sudah habis.

d. Di sisi lain, di sini juga diatur mengenai kegagalan perlindungan terhadap keamanan data pribadi.
Seperti contoh, data bocor ke pihak lain, maka pengendali data tersebut wajib menyampaikan
pemberitahuan kebocoran secara tertulis paling lambat 3x24 jam pada pemilik data maupun institusi
pengawasan. Isi pelaporan meliputi apa saja data yang bocor, kapan terjadinya, dan bagaimana
kronologinya. Termasuk upaya pemulihannya.

e. Terakhir, dalam RUU tersebut pun mengatur mengenai sanksi bagi pelanggaran penggunaan data
pribadi. Hal ini ditujukan pada pelaku tindak kejahatan yang menggunakan data pribadi orang lain untuk
keperluan yang melanggar hukum. Sanksinya bisa berupa penjara selama tujuh tahun atau denda
maksimal Rp70 miliar.