KPK dan Keamanan Informasi

Sumber: Manajemen-TI

Oleh: Umar Alhabsyi, MT, CISA, CRISC (Senior IT Management Consultant)

SaveKPKNama Wiwin Suwandi yang sebelumnya tak dikenal mendadak sering disebut-sebut di berbagai media cetak maupun elektronik nasional. Pria yang tak lain adalah sekretaris Ketua KPK Abraham Samad ini dinyatakan oleh Komite Etik KPK sebagai orang yang membocorkan dokumen SPRINDIK yang seharusnya rahasia tersebut keluar KPK. Bocornya informasi rahasia tersebut akhirnya menimbulkan spekulasi-spekulasi terhadap reputasi KPK secara organisasi yang dituduh telah bertindak di bawah tekanan kekuasaan untuk melancarkan agenda-agenda politik penguasa, dalam hal ini menyingkirkan Anas Urbaningrum dari kursi Ketua Umum Partai Demokrat berikut agenda-agenda politik kelompoknya. Betapapun, terlepas dari bagaimana kondisi sebenarnya, yang jelas bocornya informasi rahasia milik sebuah organisasi seperti KPK sebagah salah satu lembaga –kalau tidak mau dibilan satu-satunya— yang masih dapat dipercaya untuk menjalankan misinya dalam pemberantasan penyakit korupsi yang sudah sangat akut membelit ke seluruh penjuru negeri yang terkenal dengan keramahan orang, keragamanan budaya dan kekayaan alamnya ini.

Walikota Bandung, Kang Dada Rosada, belum lama ini datang ke kantor KPK untuk memenuhi panggilan KPK berdasarkan surat resmi yang beliau terima sebelumnya. Namun ternyata pak Walikota yang sudah hampir habis masa jabatannya ini dibuat kecele oleh KPK karena katanya KPK tidak pernah membuat surat sebagaimana ditunjukkan oleh pihak Kang Dada tersebut. Ya, surat itu PALSU, kata KPK. Lalu dari manakah surat tersebut berasal? Pihak mana yang membuatnya? Belum diketahui. Menurut Johan Budi, Jubir KPK, kejadian surat palsu atas nama KPK ini bukan baru kali ini terjadi, tapi sudah beberapa kali terjadi sebelumnya.

Beberapa tindakan telah dan akan dilakukan oleh KPK. Wiwin Suwandi diberhentikan secara tidak hormat. Abraham Samad yang dinyatakan melakukan pelanggaran kode etik sedang, mendapatkan peringatan teguran tertulis. KPK melalui Jubir-nya juga berjanji akan menangani serius kasus pemalsuan surat panggilan palsu Kang Dada. Disamping itu, KPK juga berjanji akan melakukan perbaikan sistem manajemen keamanan informasi (SMKI) internal mereka. Janji KPK yang terakhir ini yang akan menjadi fokus bahasan dari tulisan singkat ini.

SMKI sebenarnya merupakan bagian dari sistem manajemen organisasi yang merencanakan, menerapkan, mengoperasikan, memonitor, memelihara dan terus meningkatkan keamanan informasi organsiasi dengan berbasis pada risiko.

Ketika kita membicarakan keamanan informasi, maka sebenarnya kita sedang membicarakan perlindungan informasi dari 3 (tiga) faktor utamanya, yaitu: kerahasiaannya (confidentiality), integritasnya (integrity), dan ketersediaannya (availability).

Faktor kerahasiaan berkaitan dengan melindungi informasi dari akses oleh pihak-pihak yang seharusnya tidak berhak untuk mendapatkannya. Kasus kebocoran SPRINDIK bung Anas adalah salah satu contoh kegagalan perlindungan keamanan informasi dari faktor yang pertama ini (kerahasiaan).

Kemudian faktor yang kedua (integritas) berkaitan dengan perlindungan informasi dari perubahan yang tidak seharusnya. Gangguan terhadap integritas ini menyebabkan informasi yang diterima oleh penerima tidak sesuai dengan informasi yang seharusnya. Kejadian surat undangan palsu KPK kepada Kang Dada Rosada bisa dianggap salah satu bentuk serangan terhadap integritas informasi. Walaupun katanya KPK tidak mengirimkan informasi apapun, tapi informasi tersebut di-create oleh pihak tertentu (entah siapa) dengan mengatas-namakan KPK untuk disampaikan kepada salah seorang “customer” KPK, dalam hal ini Kang Dada yang merupakan saksi atas salah satu kasus yang ditangani oleh KPK.

Sedangkan faktor yang ketiga, yaitu ketersediaan berkaitan dengan memastikan bahwa informasi yang dibutuhkan organisasi dapat tersedia ketika ia dibutuhkan. Serangan-serangan terhadap keamanan seperti Distributed Denial of Service (DDoS) seperti yang antara lain menimpa perusahaan Amerika Serikat dan Korea selatan belakangan ini adalah bentuk serangan terhadap faktor ketersediaan ini karena akibat serangan tersebut sistem menjadi tidak dapat memberikan layanan sebagaimana seharusnya terhadap para penggunanya ketika dibutuhkan.

Perlu disadari pula bahwa keamanan informasi bukanlah “barang” instan sekali jadi, namun merupakan sebuah proses yang terus berkesinambungan. Sehingga ISO 27001, standard “defacto” dalam SMKI ini, menjelaskan SMKI menggunakan pendekatan siklus Plan-Do-Check-Act (PDCA) untuk continuous improvement. Menurut standard ini, SMKI itu terdiri atas 11 domain, yaitu: (1) domain kebijakan keamanan; (2) domain organisasi untuk fungsi keamanan informasi; (3) domain manajemen aset; (4) domain keamanan dari sisi SDM; (5) domain keamanan fisik dan lingkungan; (6) domain manajemen komunikasi dan operasional; (7) domain pengendalian akses; (8) domain akuisisi, pengembangan dan pemeliharaan sistem informasi; (9) domain manajemen insiden keamanan informasi; (10) domain manajemen kelangsungan bisnis; dan (11) domain kepatuhan (compliance).

Memang pengembangan dan penerapannya dapat bertahap, namun penentuan lingkup dan pentahapannya harus ditentukan berdasarkan analisis risiko yang jelas. Analisis risiko yang didahului dengan inventarisasi aset yang terkait dengan informasi yang dikelola organisasi. Pada setiap aset tersebut lalu diidentifikasi tingkat kerawanan yang terdapat padanya serta ancaman yang mungkin dapat mengeksploitasinya. Untuk setiap ancaman tersebut perlu diukur tingkat paparan risikonya yang kemudian menjadi dasar jenis penanganan terhadap risiko tersebut. Apakah risiko tersebut akan diterima saja, dikontrol (mitigasi), ditolak, ataupun ditransfer ke pihak lain. Harus jelas bagian mana yang akan menjadi lingkup SMKI yang akan diterapkan, bagian mana yang tidak termasuk dan alasan mengapa area tersebut tidak termasuk dalam lingkup SMKI yang akan diterapkan. Semuanya mesti clear.

Kembali ke KPK yang jadi tumpuan harapan rakyat untuk pemberantasan korupsi di negeri ini. Kita semua mengharapkan KPK benar-benar serius dengan janjinya memperbaiki SMKI organisasinya. Perbaikan yang komprehensif sebagai bagian tak terpisahkan dari sistem manajemen organisasi KPK secara keseluruhan. Dan KPK juga mesti menyadari bahwa keamanan itu ibarat sebuah rantai, kekuatannya terletak pada sambungan yang terlemahnya. Tak penting semua sambungan rantai dibuat sangat kuat jika ada satu saja sambungan yang sudah keropos, maka putuslah rantai itu dalam sekali sentakan. Dan para tikus akan ramai-ramai mengeksploitasinya. Ingat KPK-ku sayang, musuhmu banyak di negeri ini! [umaralhabsyi/manajemen-ti]

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s