Jakarta, Teritorial.Com – Information security atau keamanan informasi menurut peraturan Menteri adalah terjaganya kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability) informasi. Sementara terdapat beberapa tambahan berupa otentikkasi (authenticity), nirsangkal (nonrepudiation), dan otorisasi (authority) terhadap sebuah informasi. Definisi tersebut mengambil dari Triad Security yang merupakan asas keamanan informasi.
Keamanan informasi mencakup dari keamanan informasi secara fisik dan lojik. Kemanan fisik berupa keamanan infrastruktur yang mengoperasikan pertukaran informasi tersebut seperti tempat komunikasi, tempat penyimpanan informasi, alat komunikasi yang mentransmisikan informasi, perangkat pendukung seperti CCTV, kunci lemari, kunci kombinasi, pintu besi, alarm, dll. Semantera untuk keamanan lojik berupa keamanan dalam bentuk dijital yang mencakup password, sertifikat elektronik, akses login, otentikasi, dan tingkat otoritas yang dapat mengakses sebuah informasi.
Pengaturan terkait kemananan informasi diperlukan dengan adanya tata kelola keamanan informasi. Tata kelola ini perlu adanya pendekatan peraturan atau kebijakan dari pemilik informasi di dalam organisasi baik pemerintah maupun organisasi lainnya.
Perlunya peraturan ini adalah sebagai dasar upaya kegiatan keamanan informasi berupa pengamanan informasi yang berdampak pada kejelasan kewenangan sebuah organisasi keamanan informasi. Tata kelola keamanan dapat mencontoh dari beberapa standar seperti ISO/IEC 27001:2013 dan standar pendukungnya yang masuk ke dalam ISO 27000.
Siber atau dalam pengertian dunia maya sudah menjadi gaya hidup di keseharian kita. Dalam dunia maya pun terdapat istilah keamanan siber atau dalam bahasa dunianya adalah cyber security. Pengertian cyber security sendiri merupakan keamanan yang terkait dengan komputer dan terhubung dalam jaringan. Sehingga cyber security hanya terkait dengan keamanan dunia maya saja dan pengamanan siber ini menjadi bagian dari information security.
Cyber security mencakup dalam kemanan terhadap serangan peratasan yang dilakukan oleh cracker, kejahatan siber atau yang dikenal sebagai cybercrime, melindungi data organisasi dan pribadi yang berada dalam sistem, jaringan komputer, dan teknologi yang digunakan. Cyber security melindungi sistem operasi, sistem informasi (aplikasi), dan data yang berada di dalam komputer atau perangkat lainnya.
Sebagaimana kita ketahui bahwa dalamperkembangannya bahwa siber tidak hanya dapat diakses melalui komputer namun sudah merambah dengan smartphone atau peralatan lainnya yang terhubung langsung ke internet. Sehingga dalam cyber security menjadi memiliki tugas yang cukup besar dalam melindungi perangkat elektronik yang terhubung internet.
BSSN (Badan Siber dan Sandi Negara) merupakan sebuah instansi yang bertansformasi dari Lembaga Sandi Negara (Lemsaneg), Direktorat Keamanan Informasi Kementerian Kominikasi dan Informatika, dan ID-SIRTII/CC.
Di Lembaga Sandi Negara sendiri sebelumnya sudah memiliki personil yang tugasnya melakukan keamanan informasi. Keamanan informasi yang dilakukan yaitu untuk memproteksi informasi rahasia (confidential) sehingga dapat ditransimisikan, disimpan, dan dihapuskan melalui perangkat elektronik atau secara manual.
Adapun personil yang melakukannya adalah sandiman. Sandiman ini tersebar di beberapa instansi pemerintah dan swasta sehingga merekalah yang memiliki kewenangan untuk mengamankan informasi milik instansi.
Pada kenyataannya peran sandiman ini tidak hanya melakukan kegiatan rahasia saja, namun sudah merambah kepada informasi publik yang perlu dilindungi berupa ketersediaan, keutuhan dan nirpenyangkalan terhadap sebuah informasi. Sebagaimana diketahui bahwa sertifikat elektronik merupakan produk keamanan informasi yang memanfaatkan algoritma kriptografi yang selama ini memang sudah dibangun oleh BSSN.
Pemanfaatan sertifikat elektronik melingkupi tanda tangan elektronik, pengamanan webserver, dan web client dengan SSL. Bahkan BSSN sudah bekerjasama dengan beberapa kementerian untuk memanfaatkan sertifikat elektronik ke dalam sistem informasi. Sebagai contoh Kementerian Keuangan untuk data pajak dan Kementerian Pertanian untuk pertukuran informasi karantina dengan Pemerintah Belanda.
Sandiman di daerah menjadi lebih terbuka karena sudah dimuat di beberapa peraturan menteri dan peraturan gubernur atau walikota/bupati sehingga ruang lingkup pekerjaannya dapat dilihat oleh publik. Bahkan untuk kemanan informasi di daerah sudah menjadi kewenangan sandiman sehingga ruang lingkupnya lebih luas.
Peraturan Komisi Informasi nomor 1 tahun 2017 tentang Pengklasifikasian Informasi Publik terdapat lingkup keamanan informasi yang memang ditujukan kepada sandiman daerah sehingga dalam hal pelaksanaan pengamanan informasi publik melibatkan mereka. Posisi sandiman daerah adalah di Dinas Komunikasi dan Informatika yang dalam beberapa nomenklatur instansi terdapat beberapa perbedaan.
Sandiman berada di Bidang Persandian atau di bawahnya yang berupa seksi atau subbidang. Ruang lingkup pekerjaannya menangani pengamanan informasi sebagaimana terdapat di Peraturan Kepala Lemsaneg Nomor 7 tahun 2017 tentang Pedoman Penyelenggaraan Persandian untuk Pengamanan Informasi di Pemerintah Daerah.
Terdapat unsur pokok pekerjaan antara lain: Tata Kelola, Pola Hubungan Komunikasi, Operasional Pengamanan Informasi, Pengamanan Fisik, Assessment Sistem Informasi, Security Operation Center (SOC), Koordinasi, dan Evaluasi. Unsur pokok tersebut merupakan turunan ruang lingkup pekerjaan di Lembaga Sandi Negara pada masa sebelum bertansformasi ke BSSN.
Namun ketika menjadi BSSN sebenarnya ruang lingkup tersebut menjadi lebih kuat dengan adanya Peraturan Presiden Nomor 53 tahun 2017 tentang Badan Siber dan Sandi Negara. Bahkan pekerjaan sandiman menjadi lebih kuat dan luas dengan menyasar keamanan informasi dan keamanan siber.
Sandiman menjadi penjaga keamanan informasi terhadap infrastruktur dan sistem informasi yang telah diaplikaiskan di daerah. Baik kemananan informasi yang masih dalam bentuk dokumen kertas maupun file digital diamankan oleh mereka sehingga informasi tersebut diharapkan teramankan dengan baik.
Kemudian muncul GCISO (Government Chief Information Security Officer) yang digadang- gadang dari beberapa dokumen tata kelola dan standar kemanan informasi internasional. Sebetulnya istilah tersebut jika diaplikasikan di instansi pemerintah adalah sandiman. Karena pekerjaan sandiman sudah melakukan kegiatan information security. Hanya saja memang perlu peningkatan kualitas SDM dengan menambahkan beberapa kompetensi dalam hal security assessment.
Sandiman yang saat ini merupakan GCISO perlu menyesuaikan dengan kebijakan yang baru dengan adanya BSSN sehingga dapat mengikuti perkembangan keamanan informasi yang demikian cepat.
Penulis: Irwan Hariyanto Sandiman Muda pada Subdirektorat Layanan Keamanan Informasi BSSN.