Blog Details

Pandangan ISO 27001 Terhadap Cyber Security

Dunia digital semakin hari semakin berkembang seiring kemajuan di berbagai bidang. Dampaknya membuat teknologi informasi dan komunikasi membentuk ruang maya. Dengan teknologi, ancaman siber pun juga menjadi meningkat. Era revolusi industri 4.0 segala aspek kehidupan tidak terlepas dari sentuhan teknologi, mendorong transformasi digital pada aktivitas dan proses bisnis di berbagai sektor.

Beragam inovasi teknologi dilahirkan seperti Artificial Intelligence dan Internet of Things (IoT). Peranan teknologi IoT juga menghasilkan adanya Cloud Computing dan Big Data. Melalui perkembangan teknologi informasi, saat ini setiap perangkat dengan mudah terkoneksi dalam jaringan komputer seperti internet.

Pada zaman yang serba digital ini, keamanan siber adalah perlindungan yang sangat dibutuhkan baik untuk perorangan maupun perusahaan. Pengguna membutuhkan keamanan yang dapat mengakses data miliknya. Solusi untuk meminimalisir hal tersebut yaitu dengan memberi perhatian terhadap pengelolaan sistem keamanan siber (cyber security).

Apa Itu Cyber Security?

Berdasarkan International Organization for Standardization (ISO)/IEC 27032:2012 Information technologySecurity techniquesGuidelines for cybersecurity. Cybersecurity atau cyberspace security merupakan upaya yang dilakukan dalam menjaga kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) dari informasi di cyberspace.

Adapun cyberspace merujuk pada lingkungan yang kompleks yang merupakan hasil dari interaksi antara orang, perangkat lunak, dan layanan di internet, yang didukung oleh perangkat teknologi informasi dan komunikasi (TIK) dan koneksi jaringan yang tersebar di seluruh dunia.

Sementara menurut CISCO, cybersecurity adalah praktik melindungi sistem, jaringan, dan program dari serangan digital. Cybersecurity biasanya ditujukan untuk mengakses, mengubah, atau menghancurkan informasi sensitif, memeras uang dari pengguna, atau mengganggu operasional proses bisnis.

Berdasarkan penjelasan tersebut, cybersecurity atau keamanan siber sebagai tindakan untuk melindungi sistem komputer dari serangan digital atau akses ilegal. Ada beberapa elemen dari cybersecurity antara lain, application security, information security, cloud security, network security, disaster recovery/business continuity planning, operational security, dan enduser education.

Elemen-elemen ini sangat penting  guna memastikan keamanan cybersecurity secara keseluruhan, karena risiko terkena ancaman digital terus meningkat dan ancamannya pun semakin beragam.  Maka dari itu, penting untuk melindungi sistem bahkan dari risiko terkecil sekalipun.

Ancaman Cybersecurity

Berikut ini beberapa metode umum yang menjadi ancaman cybersecurity, yaitu:

  1. Malware (Malicious Software)

Malware merupakan ancaman cyber paling umum, berbentuk software berbahaya yang dibuat untuk menganggu atau merusak komputer pengguna. Malware seringkali menyebar melalui lampiran email atau unduhan yang nampak sah, beberapa jenis malware yang umum dikenal yaitu:

  • Virus: Program yang mereplikasi diri, menempel pada file bersih dan menyebar ke seluruh sistem komputer. Virus menginfeksi file dengan kode berbahaya.
  • Trojans: Sejenis malware yang menyamar sebagai perangkat lunak yang sah. Penjahat cyber menipu pengguna agar mengunggah Trojan ke komputer mereka untuk mengumpulkan data atau menyebabkan kerusakan.
  • Spyware: Program ini secara diam-diam merekam apa yang dilakukan pengguna, sehingga penjahat dunia maya dapat menggunakan informasi ini. Misalnya spyware digunakan untuk menangkap detail kartu kredit.
  • Ransomware: Malware yang mengunci file dan data pengguna, dengan ancaman akan mempublikasikan, menghapus, atau menahan akses pengguna ke data pribadi yang penting kecuali pemilik data membayar tebusan.
  • Adware: Perangkat lunak periklanan yang dapat digunakan untuk menyebarkan malware.
  • Botnet: Menurut John Tay dan Jeffrey Tosco pada presentasinya di APNIC Training menyatakan bahwa bot merupakan software yang bekerja secara otomatis (seperti robot) dalam menyebarkan dirinya ke sebuah host secara diam-diam dan menunggu perintah dari botmasterBotnet sudah menjadi suatu bagian penting dari keamanan jaringan internet, karena sifatnya yang tersembunyi pada jaringan server internet.
  1. Social Engineering

Social Engineering menggambarkan serangan yang didasarkan oleh interaksi manusia, dilakukan dengan memanipulasi pengguna untuk memberikan informasi sensitif seperti password, jawaban untuk pertanyaan keamanan, dan lainnya.

Jenis ancaman ini memanfaatkan rasa ingin tahu manusia dan memancingnya untuk melakukan hal-hal yang mungkin terasa biasa saja, tetapi sebenarnya membahayakan. Sebagai contoh, aksi social engineering yang marak menimpa pengguna ojek online. Modus yang dijalankan adalah dengan menelpon korban dan menanyakan kode OTP (One Time Password), kode ini cukup penting untuk dapat mengambil alih akun korban.

  1. Injeksi SQL

Injeksi SQL (Structured Query Language) adalah jenis ancaman cybersecurity yang dilakukan untuk mengambil kendali dan mencuri data dari pusat data. Penjahat siber memanfaatkan kerentanan dalam aplikasi berbasis data untuk memasukkan kode berbahaya ke dalam basis data melalui pernyataan SQL. Ini memberi mereka akses ke informasi sensitif yang terdapat dalam pusat data.

  1. E-mail Spam dan Phishing

Phishing merupakan bentuk penipuan yang biasanya hadir melalui email, penipu akan mengirimkan email menggunakan alamat yang mirip dengan sumber terpercaya dan mengelabui target menggunakan fake form login pada situs palsu yang menyerupai situs aslinya. Penipuan ini bertujuan untuk mencuri data sensitif seperti nomor keamanan kartu kredit (CVC), password, dan informasi penting lainnya

  1. Ancaman Domain Name

Domain name adalah aset yang berharga karena dapat diperjualbelikan, disewa, dapat menjadi situs pemasang iklan sehingga menjadi sumber keuangan, bahkan dapat dijaminkan. Ada beberapa jenis ancaman cybersecurity yang berhubungan dengan nama domain, yaitu:

  • Cybersquatting: Penyerobotan nama domain atau cybersquatting yaitu tindakan pendaftaran nama domain yang dilakukan oleh orang yang tidak berhak. Kejahatan cyber ini mengacu pada praktik membeli nama domain dari brandbrand besar dengan maksud untuk mengeruk keuntungan.
  • Typosquatting: Kejahatan dengan membuat domain plesetan yang dibuat dari asumsi salah ketik (typo). Contoh google.com menjadi goggle.com atau gogle.com. Pelaku kejahatan typosquatting akan mendaftarkan satu atau lebih nama domain salah ketik dari merek tertentu, kemudian ketika pengguna secara tidak sengaja mengetikkan alamat situs yang salah, maka akan diarahkan ke situs alternatif palsu (biasanya mengandung malware dan/atau konten-konten asusila).
  1. DoS (Denial of Service)

Metode cyber crime ini mencegah sistem komputer memenuhi permintaan akses, sehingga pengguna yang berhak atau yang berkepentingan tidak dapat menggunakan layanan tersebut. Serangan DoS menargetkan bandwidth dan koneksi sebuah jaringan untuk dapat mencapai misinya, dengan membanjiri jaringan dan server dengan traffic menggunakan perangkat yang sudah tersedia pada jaringan itu sendiri, sehingga membuat pengguna yang sudah terkoneksi di dalamnya mengalami hilang koneksi.

Manfaat Penerapan Cyber Security Bagi Perusahaan

Menerapkan keamanan cyber security bertujuan untuk melindungi sistem dan segala sesuatu yang bersifat digital dari serangan cyber. Berikut ini sejumlah manfaat dari penerapan cyber security:

  1. Menjaga Informasi Pribadi

Manfaat paling utama tentu dapat menjaga informasi pribadi. Pada era yang serba digital ini, informasi pribadi menjadi sesuatu yang sangat berharga dan rentan untuk digunakan.

Jika virus berhasil mengambil informasi misalnya pegawai atau bahkan pelanggan, bisa jadi informasi-informasi tersebut diperjualbelikan dan dimanfaatkan untuk kepentingan yang melanggar. Informasi yang didapatkan secara ilegal juga bisa digunakan untuk melakukan pemerasan ke orang yang terkait.

  1. Meningkatkan Produktifitas Kerja

Virus dan serangan cyber dapat sangat memengaruhi produktifitas kerja.

Jika terkena virus komputer, pekerjaan jadi terhambat dan jika virus benar-benar membahayakan, kemungkinan besar Anda harus mengganti dengan komputer baru.

Namun, jika menggunakan solusi cyber security, semua pegawai di kantor dapat melakukan browsing di internet dengan bebas tanpa takut terkena ancaman.

  1. Menjaga Keamanan Website Perusahaan

Bisnis apapun yang dijalani, biasanya perusahaan memiliki website -mu sendiri. Jika sistem terkena virus atau ancaman lainnya, besar kemungkinan situs web terpaksa mengalami shutdown.

Ketika hal tersebut terjadi, tim IT membutuhkan waktu untuk mencatat situs web, dan bisnis Anda kehilangan pelanggan yang ingin membuka situs web saat bersamaan. 

Dalam jangka panjang, pelanggan akan berpikir dua kali jika ingin melakukan transaksi di bisnis Anda karena kejadian tersebut.

  1. Menjaga Kepercayaan Pelanggan

Dampak ancaman dunia maya dapat membahayakan keberlangsungan bisnismu. Jika Anda memastikan keamanan cyber security dan semua sistem yang digunakan, manfaatnya bisa membuat pengguna akan lebih percaya untuk membeli produk atau menggunakan jasa dari Anda.

Pasalnya, jika pelanggan tahu pernah terjadi penerobosan sistem, mereka akan takut memasukkan data pribadi yang dibutuhkan untuk melakukan transaksi. Sehingga bisa saja dia tidak jadi menggunakan jasa dari perusahaan Anda.

Standar ISO 27001 untuk Cybersecurity

ISO/IEC 27001 atau lengkapnya “ISO/IEC 27001:2005 – Information technology — Security techniques — Information security management systems — Requirements,” adalah suatu standar sistem manajemen keamanan informasi (ISMS, information security management system) yang diterbitkan oleh ISO dan IEC pada Oktober 2005.

Standar ini telah mengalami pembaruan beberapa kali, dirancang untuk meningkatkan keamanan informasi, praktek keamanan informasi yang baik, dan kebijakan terkait untuk membantu mencegah penyalahgunaan dan pengubahan informasi dan komputasi sistem yang sensitif. Sertifikasi ISO/IEC 27001 pun bisa membantu organisasi mendapatkan kepercayaan yang lebih baik dari konsumennya.

ISO 27001 merupakan standar Internasional yang menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Penerapan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS).

ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) informasi.

Perusahaan yang menerapkan standar ISO 27001, adalah perusahaan yang pemangku kepentingannya sadar akan risiko yang melekat pada kerahasiaan, integritas, atau ketersediaan sistem dan data, dan bagaimana melindungi data sistem tersebut. Standar ISO 27001 dirancang untuk meningkatkan keamanan informasi, praktik keamanan informasi yang baik, dan kebijakan terkait untuk membantu mencegah dan pengubahan informasi dan komputasi sistem yang sensitif.

Menerapkan sistem ISO 27001 dengan benar  akan menjamin kerahasiaan informasi di perusahaan tersebut. Penerapan sistem manajemen keamanan informasi berbasis ISO 27001 dapat di sertifikasi atau tidak. Jika sertifikasi, keuntungannya adalah ada semacam pengujian informasi ( assessment ) dari lembaga internasional terhadap sistem manajemen keamanan yang diterapkan.

Share

Leave a Reply

Subscribe our newsletter

Open chat
Hallo,
Silahkan tinggalkan pesan Anda disini.