Apa itu Keamanan Informasi?

Keamanan informasi adalah proses melindungi semua informasi korporasi, baik dalam bentuk digital maupun fisik. Organisasi melindungi informasi yang terkait dengan operasi dan pelanggan mereka untuk mempertahankan reputasi merek, kepercayaan pelanggan, dan kepatuhan terhadap peraturan. Keamanan informasi menguraikan proses, alat, dan teknologi yang membantu memastikan semua informasi dilihat, disalin, diubah, atau dihancurkan hanya setelah otorisasi yang sesuai.

Keamanan informasi mendukung organisasi dengan membantu memastikan integritas, ketersediaan, dan kerahasiaan data pribadi serta sistem bisnis mereka. Ada beberapa alasan keamanan informasi menjadi penting.

Memungkinkan keberlangsungan bisnis

Sistem informasi yang efektif memungkinkan bisnis untuk mempertahankan akses tanpa gangguan ke data dan sistem mereka, bahkan selama peristiwa keamanan yang tidak terduga. Perencanaan untuk keberlangsungan bisnis melibatkan penggunaan berbagai perangkat lunak keamanan, pembuatan kebijakan yang akan diikuti selama peristiwa, dan penerapan perlindungan teknis yang membantu melindungi organisasi.

Membangun kepercayaan pelanggan

Keamanan informasi mengurangi kemungkinan peristiwa keamanan yang tidak terduga, sehingga memungkinkan bisnis untuk memberikan layanan tanpa gangguan kepada pelanggan mereka. Ketika organisasi memiliki riwayat secara konsisten mematuhi tata kelola, mengikuti praktik terbaik, dan menerapkan praktik pengembangan yang aman, mereka menunjukkan kepada pelanggan bahwa mereka menangani data pengguna dengan serius dan akan melindunginya.

Mengurangi risiko keamanan

Tergantung pada industri tempat bisnis beroperasi, mungkin ada beberapa risiko potensial yang harus diperhitungkan. Keamanan informasi membantu memungkinkan penerapan kontrol teknis dan prosedural untuk mengelola serta memitigasi risiko.

Organisasi dapat mengintegrasikan teknologi manajemen keamanan baru yang mengurangi kemungkinan peristiwa keamanan yang tidak terduga dan meningkatkan kemampuan perusahaan untuk mengelola risiko.

Melindungi reputasi merek

Keamanan informasi melindungi reputasi merek dengan meningkatkan kemampuannya untuk menyediakan layanan, melindungi privasi pelanggan, dan memenuhi tuntutan operasional dengan andal. Terjadinya peristiwa keamanan yang tidak disengaja dapat merusak reputasi merek; meskipun demikian, praktik keamanan informasi yang efektif mengurangi kemungkinan hal ini terjadi.  

Ada beberapa prinsip utama keamanan informasi yang diikuti oleh setiap bisnis.

Kerahasiaan

Kerahasiaan membantu memastikan bahwa setiap data bisnis pribadi hanya dapat diakses oleh mereka yang memiliki otorisasi. Prinsip ini bersifat teknis dan fisik, karena Anda dapat menerapkan kontrol akses untuk file digital dan juga mencegah personel yang tidak sah mengakses kantor. Kerahasiaan juga meluas ke penggunaan enkripsi, yang mengamankan data bergerak dan diam serta memastikan bahwa semua data perusahaan dilindungi.

Integritas

Integritas mengacu pada akurasi, keandalan, dan konsistensi data sepanjang siklus hidupnya dalam perusahaan. Prinsip ini bertujuan untuk melindungi data dengan memastikannya akurat dan tidak diubah tanpa sepengetahuan pemiliknya. Menegakkan integritas data dalam sistem informasi adalah tentang memasukkan tanda tangan data digital, menggunakan hashing kriptografi, menyimpan data dalam buku besar yang tidak dapat diubah, dan memvalidasi data di seluruh siklus hidupnya.

Ketersediaan

Ketersediaan membantu memastikan bahwa pengguna yang sah memiliki akses ke data apa pun yang mereka butuhkan, tanpa penundaan atau gangguan. Prinsip ini berupaya menerapkan strategi pencadangan dan pemulihan, sehingga data selalu dapat diakses. Selain itu, ketersediaan melibatkan perlindungan terhadap gangguan pihak ketiga, pemantauan kesehatan penyimpanan di pusat data, dan pendesainan toleransi kesalahan ke dalam arsitektur data.

Nonrepudiasi

Nonrepudiasi membantu memastikan bahwa setiap tindakan yang diambil terkait dengan data dilacak, dipantau, dan dibuat log. Dengan menyematkan nonrepudiasi ke dalam sistem keamanan informasi, bisnis mengembangkan jejak yang dapat diaudit di balik setiap bagian data. Setiap kali pengguna berinteraksi dengan informasi, mengubahnya, mengaksesnya, atau menyetujui pergerakan atau perubahannya, semua faktor ini dibuat log ke buku besar yang tidak dapat diubah.

Jaminan informasi

Jaminan informasi adalah praktik melindungi sistem informasi dengan memastikan bahwa operasi yang penting untuk misi didukung. Hal tersebut adalah prinsip yang lebih luas yang melibatkan evaluasi dan pematuhan kerangka kerja keamanan seperti ISO 27001, yang secara aktif mengelola risiko yang muncul, menguji sistem keamanan secara teratur, serta terus memantau potensi ancaman. 

Sistem manajemen keamanan informasi (ISMS) menentukan cara organisasi mengelola keamanan informasinya di seluruh siklus hidup data. Sistem ini biasanya menentukan cara orang-orang, proses, dan teknologi bekerja untuk menyediakan kontrol keamanan yang komprehensif untuk semua sistem informasi dalam bisnis.

Standar dan kerangka kerja internasional memberikan panduan deskriptif serta preskriptif untuk membantu organisasi dengan keamanan informasi dan data, sebagai bagian dari program kepatuhan. Di bawah ini kami memberikan beberapa contoh standar dan kerangka kerja yang dapat diikuti oleh organisasi Anda.

ISO-27001

ISO 27001 berfokus pada empat tema utama: peningkatan keamanan organisasi, sumber daya manusia, fisik, dan teknologi. Masing-masing kategori ini berupaya meningkatkan keamanan dengan cara yang berbeda, seperti:

• Melaksanakan pelatihan keamanan bagi karyawan dalam tema sumber daya manusia.
• Menerapkan kebijakan kontrol akses yang ketat untuk kantor dalam tema fisik.
• Menerapkan enkripsi untuk data diam dan bergerak dalam tema teknologi.

Masing-masing berkontribusi pada standar keamanan informasi yang lebih tinggi.

• AWS memiliki sertifikasi kepatuhan dengan ISO/IEC 27001:2022. Hal ini secara internal berarti kami secara sistematis mengevaluasi risiko keamanan informasi, dengan mempertimbangkan dampak ancaman dan kerentanan.
• Kami mendesain dan menerapkan rangkaian kontrol keamanan informasi komprehensif dan bentuk manajemen risiko lainnya untuk mengatasi risiko keamanan pelanggan serta arsitektur.
• Kami memiliki proses manajemen menyeluruh untuk membantu memastikan bahwa kontrol keamanan informasi memenuhi kebutuhan kami secara berkelanjutan.

PCI-DSS

PCI-DSS adalah standar lain yang banyak digunakan yang membantu memastikan setiap pembayaran kartu, termasuk penyimpanan, transmisi, dan pemrosesan data keuangan, dilakukan dengan cara yang aman. Entitas mana pun yang menyimpan, memproses, atau mentransmisikan data pemilik kartu (CHD) atau data autentikasi sensitif (SAD), termasuk merchant, pemroses, pengakuisisi, penerbit, dan penyedia layanan, harus tersertifikasi sesuai standar PCI-DSS.

Anda dapat melihat daftar layanan AWS yang saat ini termasuk dalam cakupan PCI DSS.

HIPAA/HITECH

HIPAA (Health Insurance Portability and Accountability Act) adalah undang-undang federal AS yang membantu memastikan perlindungan informasi kesehatan pribadi (PHI), untuk kerahasiaan data dan untuk mencegah pengungkapan yang tidak sah. HIPAA berlaku untuk "entitas yang tercakup" (rencana kesehatan, lembaga kliring layanan kesehatan, dan penyedia layanan kesehatan yang mengirimkan informasi kesehatan secara elektronik) serta rekan bisnis mereka.

Anda dapat melihat daftar layanan AWS yang saat ini termasuk dalam cakupan HIPAA.

FedRAMP

FedRAMP (Program Manajemen Risiko dan Otorisasi Federal) adalah program tingkat pemerintah AS yang ditujukan untuk menstandardisasi penilaian keamanan, otorisasi, dan pemantauan berkelanjutan untuk produk serta layanan cloud yang digunakan oleh agensi federal.

Anda dapat melihat daftar layanan AWS yang saat ini termasuk dalam cakupan FedRAMP.

GDPR

GDPR (General Data Protection Regulation) adalah kerangka kerja hukum Uni Eropa yang melindungi data penduduk Uni Eropa. GDPR adalah standar global karena setiap bisnis yang ingin terlibat dengan pelanggan UE dengan cara apa pun harus mematuhi GDPR. GDPR bertujuan untuk mempromosikan minimalisasi data, membantu memastikan dasar yang sah untuk pengumpulan data, dan memberi pengguna hak untuk meminta penghapusan data mereka.

Pelanggan AWS dapat menggunakan semua layanan AWS untuk memproses data pribadi (sebagaimana ditentukan dalam GDPR) yang diunggah ke layanan AWS di bawah akun AWS mereka (data pelanggan) sesuai dengan GDPR.

FIPS 140-3

FIPS 140-3 adalah modul kriptografi yang harus digunakan oleh semua lembaga AS yang beroperasi di ranah federal. Standar ini adalah bagian dari FedRAMP dan mengharuskan perusahaan untuk menerapkan berbagai langkah keamanan untuk perlindungan dan pencegahan.

AWS menyediakan berbagai macam Titik Akhir FIPS berdasarkan layanan.

Ada beberapa kategori utama dari program keamanan informasi yang bekerja sama untuk mengamankan beban kerja dan aplikasi.

Perlindungan data

Perlindungan data mengacu pada layanan apa pun yang membantu melindungi informasi sensitif, akun, dan beban kerja dari akses yang tidak sah. Layanan perlindungan data inti mencakup enkripsi data bergerak dan dalam penyimpanan, manajemen kunci, serta pemulihan data sensitif.

Perlindungan jaringan dan aplikasi

Teknologi perlindungan jaringan dan aplikasi berhubungan dengan strategi serta kebijakan apa pun yang di-deploy oleh bisnis Anda di titik kontrol keamanan jaringan. Teknologi ini membantu mengidentifikasi lalu lintas masuk, memfilternya, dan mencegah koneksi yang tidak sah mengakses jaringan Anda. Teknologi inti melibatkan firewall, VPN, deteksi titik akhir, dan batasan tingkat aplikasi lainnya yang meningkatkan keamanan jaringan Anda.

Manajemen identitas dan akses

Alat keamanan identity and access management (IAM) memungkinkan bisnis Anda mengelola kontrol akses, menetapkan tingkat izin, dan menentukan akun yang dapat mengakses data sensitif. Kontrol identitas membantu menentukan tingkat akses yang dimiliki akun tertentu dan apa saja yang dapat dilihat dan diakses pada tingkat akses tersebut. Hal ini berkaitan dengan kontrol tingkat data dan sistem hak akses akun.

Kepatuhan dan audit

Kepatuhan dan pengauditan mengacu pada kemampuan untuk mengikuti praktik terbaik, memantau lingkungan Anda, dan membantu memastikan bahwa standar kepatuhan terpenuhi di seluruh organisasi. Bergantung pada industri tempat bisnis Anda bekerja, standar pasti yang harus Anda audit dan patuhi akan bervariasi.

Kontrol keamanan fisik

Kontrol keamanan fisik adalah bentuk lain dari kontrol akses yang berkaitan dengan kantor fisik, server, dan ruang bisnis. Hal ini melibatkan desain situs yang aman, perencanaan ketersediaan, dan penerapan kebijakan akses fisik. Keamanan fisik dan lingkungan juga meluas ke pemantauan akses, pembuatan log pergerakan, dan penjaminan jejak data dipertahankan untuk diaudit oleh bisnis. 

Ketika bisnis menggunakan layanan cloud, keamanan dan kepatuhan menjadi tanggung jawab bersama antara penyedia cloud serta perusahaan. Tanggung jawab ganda ini dikenal sebagai model tanggung jawab bersama dan mengacu pada tugas masing-masing yang harus dipenuhi oleh masing-masing pihak untuk membantu memastikan keamanan cloud.

Pelanggan bertanggung jawab untuk mengelola data pelanggan, platform, aplikasi, manajemen identitas dan akses, enkripsi data klien, serta konfigurasi jaringan, di antara tugas-tugas lainnya. Penyedia cloud bertanggung jawab atas infrastruktur apa pun yang menjalankan layanan apa pun di dalam cloud, seperti perangkat keras, perangkat lunak, atau jaringan yang dijalankan oleh penyedia cloud.

Sifat khusus dari tanggung jawab bersama akan tergantung pada penyedia cloud yang dipilih perusahaan untuk diajak bermitra. Pembagian tanggung jawab tersebut umumnya dipahami sebagai keamanan "dari" cloud versus keamanan"di" cloud.

Di AWS, keamanan adalah prioritas utama kami. AWS dirancang untuk menjadi infrastruktur cloud global paling aman guna membangun, memigrasikan, dan mengelola aplikasi serta beban kerja. Hal ini didukung oleh kepercayaan dari jutaan pelanggan kami, termasuk organisasi yang paling sensitif terhadap keamanan, seperti pemerintah, layanan kesehatan, dan layanan keuangan.

Keamanan merupakan tanggung jawab bersama antara AWS dan pelanggan. Model bersama ini dapat membantu meringankan beban operasional pelanggan karena AWS mengoperasikan, mengelola, serta mengontrol komponen dari sistem operasi host dan lapisan virtualisasi hingga ke keamanan fisik fasilitas tempat layanan beroperasi. Kami mendukung berbagai standar keamanan dan sertifikasi kepatuhan, termasuk PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, dan FIPS 140-3, sehingga membantu pelanggan memenuhi persyaratan kepatuhan di seluruh dunia. Kami juga memberikan kontrol penuh atas data Anda sendiri, sehingga memungkinkan Anda menentukan cara data digunakan, siapa yang memiliki akses ke data tersebut, dan cara data tersebut dienkripsi.

Layanan keamanan AWS dapat lebih mendukung upaya keamanan informasi Anda di cloud. Misalnya:

• Layanan audit dan konfigurasi AWS memberi Anda pandangan komprehensif tentang status kepatuhan dan terus memantau lingkungan.
• Layanan perlindungan data AWS, seperti AWS Identity and Access Management (IAM), memungkinkan Anda mengelola akses ke layanan dan sumber daya AWS dengan aman. AWS CloudTrail dan Amazon Macie memungkinkan kepatuhan, deteksi, dan pengauditan, sementara AWS CloudHSM dan AWS Key Management Service (KMS) memungkinkan Anda untuk membuat serta mengelola kunci enkripsi dengan aman. AWS Control Tower menyediakan tata kelola dan kontrol untuk residensi data.
• Layanan deteksi dan respons AWS membantu Anda meningkatkan postur keamanan dan menyederhanakan operasi keamanan di seluruh lingkungan AWS.
• Layanan identitas AWS membantu Anda mengelola identitas, sumber daya, dan izin dengan aman dalam skala besar.
• Layanan perlindungan jaringan dan aplikasi AWS membantu Anda untuk menerapkan kebijakan keamanan terperinci di titik kontrol jaringan di seluruh organisasi.

Mulailah melalui keamanan informasi di AWS dengan membuat akun gratis sekarang juga.