Seringkali organisasi melakukan usaha pengklasifikasian dan pengamanan
informasi adalah karena mandat regulasi organisasi dan pelaksanaan kebijakan
organisasi. Sebagai contoh adalah informasi finansial dalam organisasi
perbankan yang mau tidak mau harus diberikan proteksi dengan level tertentu,
agar bank-nya tetap dipercaya nasabah. Organisasi lainnya melakukan usaha
pengklasifikasian dan pengamanan informasi adalah karena adanya perjanjian
kontrak untuk melindungi informasi dengan konsumennya atau mitra bisnisnya.
Padahal banyak sekali keuntungan yang akan diperoleh bila organisasi dengan
kesadaran sendiri melakukan pengklasifikasian dan pengamanan aset informasinya.
Sebab, dalam pengamanan informasi, melakukan pengklasifikasian informasi
sangatlah penting. Memberikan pengamanan yang sesuai akan menghemat sumberdaya
organisasi dan membuat pengelolaan informasi menjadi efisien dan efektif.
Akhirnya akan membantu meningkatkan kualitas data/informasi yang digunakan
sebagai bahan untuk mengambil keputusan.
Keuntungan melakukan
klasifikasi data/informasi bagi organisasi adalah :
1. Meningkatkan kerahasiaan, keutuhan dan ketersediaan data dikarenakan
pengendalian yang tepat terhadap semua data dalam organisasi.
2. Menghemat biaya operasional pemeliharaan dikarenakan mekanisme
perlindungan data dirancang dan dilaksanakan hanya terhadap data yang memang
memerlukannya.
3. Meningkatkan kualitas pengambilan keputusan dikarenakan data sumbernya
sudah tertata kualitasnya.
4. Mendukung pelaksanaan arsitektur keamanan informasi agar organisasi
memperoleh posisi yang lebih baik dimasa yang akan datang.
5. Menyediakan proses
untuk melakukan review semua fungsi organisasi dan menentukan
prioritas serta nilai data.
Sistem
pengklasifikasian informasi yang efektif akan membuat informasi mudah
dimengerti serta mudah digunakan dan dipelihara. Selain itu manajemen akan
dengan cepat dapat mengetahui dan menentukan tingkat pengamanan suatu
informasi, yang tentunya akan membuat efisien sumber daya yang diperlukan.
Memulai melakukan
pengklasifikasian informasi
Sebelum melakukan
pengklasifikasian informasi, seorang profesional keamanan informasi (profesional KI) perlu
memberikan beberapa pertanyaan terhadap proyeknya itu :
- apakah pihak eksekutif mendukung ?
Tanpa dukungan eksekutif, pengklasifikasian informasi menjadi sulit dicapai
atau tidak akan berpengaruh dalam organisasi. Sebab dukungan eksekutif penting
dalam upaya mensosialisasikan regulasi klasifikasi informasi.
- apa yang akan
dilindungi dan dari apa ?
Profesional KI perlu
membuat matrik analisa serangan dan resiko yang mungkin akan terjadi terhadap
data/informasi organisasi, disertai solusi untuk mengeliminir resiko dan
serangan tersebut. Selain itu perlu diberikan juga analisa impak yang terjadi
terhadap organisasi atas serangan/resiko dan recoverinya.
- apakah terdapat
kebijakan tertentu yang harus dipertimbangkan ?
Kebijakan tertentu
bisa saja berdampak pada pengklasifikasian informasi, untuk itu seorang
profesional KI perlu mengetahui semua kebijakan yang ada dalam organisasi yang
akan berpengaruh dalam implementasi keamanan informasi.
- apakah organisasi
mempunyai rasa memiliki data ?
Organisasilah yang
memiliki data, bukan milik bagian TI. Sehingga organisasi secara keseluruhan
harus mempunyai tanggung jawab terhadap pengelolaan data/informasi tersebut.
Bila hanya diserahkan pada orang-orang TI saja, tentunya akan menjadi tidak
efektif. Sebab pengamanan data merupakan keseluruhan proses yang terjadi
terhadap setiap kegiatan dari data itu.
Bagaimana informasi
diklasifikasikan
Pendekatan yang
dipakai untuk melakukan klasifikasi informasi yang efektif dan efisien
berbeda-beda dari setiap organisasi. Hal ini sangat bergantung dari jenis
organisasi serta kepentingannya. Namun tahapan secara umum yang dapat dipakai
seperti berikut :
1. Mengidentifikasi
semua sumber daya informasi yang perlu dilindungi.
2. Mengidentifikasi
ukuran pengamanan informasi yang akan diterapkan pada masing-masing kelas
informasi. Secara garis besar pengamanan yang diterapkan pada informasi adalah
otentikasi, pengendalian akses, penyandian, pengawasan secara administratif,
pengawasan secara teknologi dan/atau asuransi.
3. Mengidentifikasi
tingkat guna dan nilai informasi.
4. Memetakan ukuran
perlindungan informasi untuk masing-masing tingkat informasi.
5. Mengklasifikasi informasi : kebanyakan pengklasifikasian data/informasi
terfokus hanya pada kerahasiaan data saja. Namun sesungguhnya pengklasifikasian
informasi lebih dari itu, misalnya :
a. Klasifikasi
berdasarkan derajat kecepatan, misalnya : prioritas, urgent,
segera;
b. Klasifikasi
berdasarkan tingkat kerahasiaan, misalnya : top secret, secret, confidential;
c. Klasifikasi
berdasarkan frekuensi penggunaan, misalnya : sering, kadang, sekali pakai;
d. Klasifikasi
berdasarkan waktu pemakaian, misalnya : tahun, bulan, minggu, jam;
e. Klasifikasi
berdasarkan kewenangan, misalnya : edit, read only;
f. Klasifikasi
berdasarkan isi, misalnya : keuangan, politik, ekonomi;
g. Klasifikasi lain
yang didefinisikan organisasi, misalnya : umum, pivate, client, staff
only.
6. Evaluasi secara berkala : nilai guna dan kepentingan sebuah informasi
memiliki tenggang waktu tertentu, sehingga proses evaluasi secara berkala
sangat diperlukan untuk menentu kembali klasifikasi informasi tersebut.
Evaluasi ini pada dasarnya adalah perulangan proses 1 sampai 5 di atas terhadap
setiap informasi dalam setiap periode evaluasi.
Contoh
pengklasifikasian informasi
Restricted :
informasi yang dilindungi, yang bila tidak ditangani dengan benar dapat secara
serius mengakibatkan kerugian, impaknya termasuk pelanggaran hukum, atau
kontrak atas perlindungan privasi.
Sensitive :
informasi penting yang dilindungi dimana bila tidak ditangani dengan benar
dapat merusak berfungsinya suatu sistem atau berdampak pada bisnis, finansial
dan hukum.
Operasional :
informasi yang bila tidak ditangani dengan benar menimbulkan kerusakan minimal,
namun begitu dapat membuat ketidak-nyamanan, merusak kredibilitas/reputasi atau
rahasia pribadi.
Private :
merupakan informasi data pribadi atau data milik perseorangan yang bukan
merupakan informasi untuk umum.
Unrestricted :
yang dapat diakses secara bebas sebagai informasi umum.