Akhir-akhir ini sedang marak terjadi pembobolan data perusahaan e-commerce seperti Bukalapak dan Tokopedia yang dilakukan oleh hacker dengan cara meretas website dan mencuri data yang disinyalir akan dijual ke situs dark web yang diketahui memiliki nilai jual yang mahal karena data tersebut dapat digunakan untuk masuk kedalam akun sosial media pengguna dan alamat email yang terdaftar pada website. Hal ini merugikan perusahaan dan pengguna aplikasi dan sangat berpengaruh pada kepercayaan konsumen.
Kasus tersebut sangat mungkin terjadi pada perusahaan mana pun terlebih lagi jika tidak memiliki pengamanan yang baik serta mitigasi yang tepat terhadap suatu serangan. Salah satu cara yang efektif adalah dengan melakukan Audit Keamanan Informasi.
Audit keamanan informasi adalah proses penilaian apakah suatu organisasi telah menerapkan sistem keamanan yang memenuhi standard untuk melindungi ketersediaan, kerahasiaan dan integritas data serta bagaimana proses pencegahan dan langkah-langkah mitigasi yang tepat dan efektif apabila terjadi serangan untuk memperkecil kerugian serta kerusakan dari dampak yang ditimbulkan.
Berikut ini adalah kerentanan dan ancaman yang timbul terhadap sistem keamanan informasi
Kerentanan merupakan suatu kelemahan di dalam suatu sistem yang dapat mengurangi kemampuan suatu sistem untuk mempersiapkan diri dalam menghadapi suatu ancaman atau bencana. Kerentanan terdiri dari 2 faktor yaitu:
1. Kerentanan Internal
Kerentanan internal adalah suatu kelemahan organisasi yang memungkinkan serangan yang berasal dari dalam sistem. Contoh kerentanan internal adalah sebagai berikut:
a. Unnoticed Intruder yaitu seorang hacker masuk ke dalam sistem dan merusak website perusahaan.
b. Wire Tapper atau penyadapan dilakukan terhadap jaringan yang rentan seperti internet. Hal ini dapat terjadi pada penggunaan wifi public tanpa penggunaan keamanan jaringan seperti VPN.
c. Piggy-Backer adalah metode menyadap informasi legal dan menggantinya dengan informasi yang salah atau mengubahnya sesuai dengan yang diinginkan oleh pelaku.
d. Mengubah Program dan Informasi yang ada pada perusahaan dengan menggunakan skema pengubahan yang tidak legal seperti melakukan transaksi keuangan, mengubah susunan data, pengubahan fungsi sebuah aplikasi dan sebagainya.
e. Menyebarkan data sensitif perusahaan kepada pihak yang tidak bertanggungjawab maupun pada situs dark web maupun ke perusahaan perusahaan pesaing demi mendapat keuntungan dari data yang didapatkan.
f. Sabotase merupakan kegiatan yang membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak dapat menyebabkan kerugian bahkan kebangkrutan suatu perusahaan apabila terjadi dalam skala besar.
2. Kerentanan Eksternal
Kerentanan eksternal adalah suatu serangan yang muncul dari luar sistem yang menyerang kelemahan suatu organisasi. Hal ini tidak dapat dicegah atau dikontrol namun langkah mitigasi dapat dilakukan secara efektif guna mengurangi risiko yang ditimbulkan. Contoh kerentanan eksternal berupa:
a. Bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai yang menyebabkan data yang ada pada perangkat hilang karena tidak adanya backup data dan penanggulangan terhadap kemungkinan bencana yang akan terjadi.
b. Aksi demo atau perusakan fasilitas perusahaan yang berakibat kerusakan perangkat fisik yang mengancam keamanan serta ketersediaan data dan informasi.
c. Pencurian perangkat karena tidak adanya pembatasan ruang publik dan pengamanan perangkat yang memadai.
Ancaman adalah suatu keadaan yang ditimbulkan dari suatu fenomena yang berpotensi merusak atau mengancam suatu sistem. Ancaman dapat pula diartikan sebagai akibat dari kerentanan yang tidak dapat ditangani dengan baik. Ancaman terjadi adalah sebagai berikut:
a. Gangguan operasional.
b. Reputasi perusahaan memburuk akibat minimnya pengamanan informasi.
c. Regulasi dengan pihak berwajib sesuai undang-undang.
d. Kenyamanan dan kepercayaan konsumen menurun.
e. Keamanan dan kesehatan karyawan terancam.’
f. Kerugian finansial yang tidak sedikit.
Terdapat banyak manfaat yang akan dirasakan oleh organisasi perusahaan apabila melakukan audit keamanan informasi, dapat dijabarkan sebagai berikut :
1. Kesadaran dari setiap karyawan dan fungsional perusahaan dalam upaya pengamanan data dan informasi.
2. Keamanan jaringan dan informasi perusahaan dan pribadi yang terjaga.
3. Mitigasi apabila terjadi serangan internal dan eksternal beserta dan pencegahan yang tepat oleh se;uruh lapisan organisasi yang ada.
4. Berkurangnya risiko data hilang karena sudah melakukan backup yang memadai.
5. Kerugian finansial dan operasional yang diminimalisir karena sudah dilakukan penanganan terhadap serangan internal maupun eksternal.
Melihat teknologi yang terus berkembang dan perangkat lunak terus diperbarui, begitu pula dengan banyaknya dampak dari risiko yang akan timbul dari kurangnya pengamanan informasi maka sangat disarankan untuk melakukan audit keamanan informasi karena melakukan pengamanan setelah terjadi serangan akan sangat merugikan perusahaan disebabkan kerusakan yang telah terjadi dan mengalami dampak yang serius terlebih lagi apabila terjadi dalam skala yang tidak dapat diperbaiki.