Klasifikasi informasi

Saat ini, dimana informasi telah menjadi aset penting yang menentukan ketangguhan sebuah organisasi, pengamanan informasi menjadi lebih diperlukan dari sebelumnya.

Tetapi banyak manager perusahaan/organisasi berfikir bahwa penerapan keamanan pada informasinya menguras sumber daya dan tidak memberikan jaminan keamanan yang diinginkan. Sehingga memberikan kesimpulan bahwa biaya keamanan yang diberikan tidak sebanding dengan keuntungan yang diperoleh organisasi.

Bisa jadi yang dilakukannya adalah memberikan pengamanan informasi secara sama rata atau tidak tepat terhadap aset informasi yang dimiliki. Sehingga mengakibatkan biaya yang dikeluarkan menjadi tidak efisien dan tidak sebanding dengan nilai informasi itu sendiri.

Dalam kenyataannya tidak semua informasi mempunyai nilai guna yang sama, atau memiliki risiko yang sama, mekanisme perlindungan dan proses recovery-nya atau lainnya pun, pasti berbeda. Sehingga agar menjadi efisien, informasi sebagai aset organisasi harus diberikan klasifikasi berdasarkan risiko, nilai guna data, atau kriteria lainnya yang ditentukan dalam organisasi.

Mengapa informasi perlu diklasifikasikan

Seringkali organisasi melakukan usaha pengklasifikasian dan pengamanan informasi adalah karena mandat regulasi organisasi dan pelaksanaan kebijakan organisasi. Sebagai contoh adalah informasi finansial dalam organisasi perbankan yang mau tidak mau harus diberikan proteksi dengan level tertentu, agar bank-nya tetap dipercaya nasabah. Organisasi lainnya melakukan usaha pengklasifikasian dan pengamanan informasi adalah karena adanya perjanjian kontrak untuk melindungi informasi dengan konsumennya atau mitra bisnisnya.

Padahal banyak sekali keuntungan yang akan diperoleh bila organisasi dengan kesadaran sendiri melakukan pengklasifikasian dan pengamanan aset informasinya. Sebab, dalam pengamanan informasi, melakukan pengklasifikasian informasi sangatlah penting. Memberikan pengamanan yang sesuai akan menghemat sumberdaya organisasi dan membuat pengelolaan informasi menjadi efisien dan efektif. Akhirnya akan membantu meningkatkan kualitas data/informasi yang digunakan sebagai bahan untuk mengambil keputusan.

Keuntungan melakukan klasifikasi data/informasi bagi organisasi adalah :

1. Meningkatkan kerahasiaan, keutuhan dan ketersediaan data dikarenakan pengendalian yang tepat terhadap semua data dalam organisasi.

2. Menghemat biaya operasional pemeliharaan dikarenakan mekanisme perlindungan data dirancang dan dilaksanakan hanya terhadap data yang memang memerlukannya.

3. Meningkatkan kualitas pengambilan keputusan dikarenakan data sumbernya sudah tertata kualitasnya.

4. Mendukung pelaksanaan arsitektur keamanan informasi agar organisasi memperoleh posisi yang lebih baik dimasa yang akan datang.

5. Menyediakan proses untuk melakukan review semua fungsi organisasi dan menentukan prioritas serta nilai data.

Sistem pengklasifikasian informasi yang efektif akan membuat informasi mudah dimengerti serta mudah digunakan dan dipelihara. Selain itu manajemen akan dengan cepat dapat mengetahui dan menentukan tingkat pengamanan suatu informasi, yang tentunya akan membuat efisien sumber daya yang diperlukan.

Memulai melakukan pengklasifikasian informasi

Sebelum melakukan pengklasifikasian informasi, seorang profesional keamanan informasi (profesional KI) perlu memberikan beberapa pertanyaan terhadap proyeknya itu :

- apakah pihak eksekutif mendukung ?

Tanpa dukungan eksekutif, pengklasifikasian informasi menjadi sulit dicapai atau tidak akan berpengaruh dalam organisasi. Sebab dukungan eksekutif penting dalam upaya mensosialisasikan regulasi klasifikasi informasi.

- apa yang akan dilindungi dan dari apa ?

Profesional KI perlu membuat matrik analisa serangan dan resiko yang mungkin akan terjadi terhadap data/informasi organisasi, disertai solusi untuk mengeliminir resiko dan serangan tersebut. Selain itu perlu diberikan juga analisa impak yang terjadi terhadap organisasi atas serangan/resiko dan recoverinya.

- apakah terdapat kebijakan tertentu yang harus dipertimbangkan ?

Kebijakan tertentu bisa saja berdampak pada pengklasifikasian informasi, untuk itu seorang profesional KI perlu mengetahui semua kebijakan yang ada dalam organisasi yang akan berpengaruh dalam implementasi keamanan informasi.

- apakah organisasi mempunyai rasa memiliki data ?

Organisasilah yang memiliki data, bukan milik bagian TI. Sehingga organisasi secara keseluruhan harus mempunyai tanggung jawab terhadap pengelolaan data/informasi tersebut. Bila hanya diserahkan pada orang-orang TI saja, tentunya akan menjadi tidak efektif. Sebab pengamanan data merupakan keseluruhan proses yang terjadi terhadap setiap kegiatan dari data itu.

Bagaimana informasi diklasifikasikan

Pendekatan yang dipakai untuk melakukan klasifikasi informasi yang efektif dan efisien berbeda-beda dari setiap organisasi. Hal ini sangat bergantung dari jenis organisasi serta kepentingannya. Namun tahapan secara umum yang dapat dipakai seperti berikut :

1. Mengidentifikasi semua sumber daya informasi yang perlu dilindungi.

2. Mengidentifikasi ukuran pengamanan informasi yang akan diterapkan pada masing-masing kelas informasi. Secara garis besar pengamanan yang diterapkan pada informasi adalah otentikasi, pengendalian akses, penyandian, pengawasan secara administratif, pengawasan secara teknologi dan/atau asuransi.

3. Mengidentifikasi tingkat guna dan nilai informasi.

4. Memetakan ukuran perlindungan informasi untuk masing-masing tingkat informasi.

5. Mengklasifikasi informasi : kebanyakan pengklasifikasian data/informasi terfokus hanya pada kerahasiaan data saja. Namun sesungguhnya pengklasifikasian informasi lebih dari itu, misalnya :

a. Klasifikasi berdasarkan derajat kecepatan, misalnya : prioritas, urgent, segera;

b. Klasifikasi berdasarkan tingkat kerahasiaan, misalnya : top secret, secret, confidential;

c. Klasifikasi berdasarkan frekuensi penggunaan, misalnya : sering, kadang, sekali pakai;

d. Klasifikasi berdasarkan waktu pemakaian, misalnya : tahun, bulan, minggu, jam;

e. Klasifikasi berdasarkan kewenangan, misalnya : edit, read only;

f. Klasifikasi berdasarkan isi, misalnya : keuangan, politik, ekonomi;

g. Klasifikasi lain yang didefinisikan organisasi, misalnya : umum, pivate, client, staff only.

6. Evaluasi secara berkala : nilai guna dan kepentingan sebuah informasi memiliki tenggang waktu tertentu, sehingga proses evaluasi secara berkala sangat diperlukan untuk menentu kembali klasifikasi informasi tersebut. Evaluasi ini pada dasarnya adalah perulangan proses 1 sampai 5 di atas terhadap setiap informasi dalam setiap periode evaluasi.

Contoh pengklasifikasian informasi

Restricted : informasi yang dilindungi, yang bila tidak ditangani dengan benar dapat secara serius mengakibatkan kerugian, impaknya termasuk pelanggaran hukum, atau kontrak atas perlindungan privasi.

Sensitive : informasi penting yang dilindungi dimana bila tidak ditangani dengan benar dapat merusak berfungsinya suatu sistem atau berdampak pada bisnis, finansial dan hukum.

Operasional : informasi yang bila tidak ditangani dengan benar menimbulkan kerusakan minimal, namun begitu dapat membuat ketidak-nyamanan, merusak kredibilitas/reputasi atau rahasia pribadi.

Private : merupakan informasi data pribadi atau data milik perseorangan yang bukan merupakan informasi untuk umum.

Unrestricted : yang dapat diakses secara bebas sebagai informasi umum. 

Sumber : http://hadiwibowo.wordpress.com/2008/08/05/klasifikasi-informasi/