Pentingkah Tata Kelola Keamanan Informasi?

Tata kelola keamanan Informasi (Information Security Governance) adalah bagian dari tata kelola perusahaan yang memberikan arahan strategi, memastikan bahwa tujuan perusahaan dicapai, mengelola resiko, menggunakan sumber daya organisasi secara bertanggung jawab, dan megawasi berhasil atau gagalnya program keamanan.

Tujuan utama dari Tata Kelola keamanan informasi adalah untuk mengurangi dampak yang merugikan perusahaan sampai pada tingkatan yang bisa diterima oleh perusahaan.  Keamanan informasi mencakup semua jenis informasi, baik pisik dan elektronik; tidak peduli apakah ada karyawan atau teknologi yang terlibat atau hubungan dengan parner perdagangan, pelanggan dan pihak ketiga. Pada implementasi sehari-hari dalam perusahaan, keamanan informasi melindungi semua aset informasi terhadap resiko kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak berhak ataupun kerusakan informasi.

Keamanan informasi merupakan proses top-down, artinya inisiatif dan dukungan dimulai dari top management sampaipada tingkat pegawai yang paling rendah, juga memerlukan strategi keamanan yang berhubungan dengan proses dan strategi bisnis perusahaan.

Kerangka (framework) daripada Tata kelola keamanan informasi adalah sebagai berikut:

• Metodologi manajemen resiko keamanan informasi
• Strategi keamanan informasi yang mendukung tujuan bisnis dan IT
• Struktur organisasi keamanan yang efektif
• Kebijakan keamanan mencakupi semua aspek dari strategi, pengawasan dan peraturan

Untuk memastikan elemen-elemen dari keamanan sudah terpenuhi dalam strategi keamanan perusahaan, beberapa standard keamanan telah memberikan panduan, seperti, Control Objectives for Information and Related Technology (COBIT), ISO 17799, FIPS Publication 200 dan NIST 800-53 di US.

Dalam hal ini, harapan dari keamanan informasi adalah mencakup :

• Informasi bisa digunakan dan tersedia ketika diperlukan oleh perusahaan, serta sistem yang menyediakan terlindungi dari serangan atau ancaman (Availability)
• Informasi digunakan hanya untuk yang berhak dan perlu (Confidentiality)
• Informasi sudah dilindungi dari kemungkinan perubahan yang tidak berhak (Integrity)
• Transaksi bisnis dan juga pertukaran informasi antara lokasi atau dengan parner binis diluar dapat dipercaya (authenticity dan non-repudiation)