CIA TRIAD
Tidak dapat dipungkiri serangan cyber telah dan akan terus menjadi ancaman keamanan informasi milik organisasi, perusahaan, maupun individu. Apalagi, fenomena kali ini yang dapat kita rasakan adalah sebagian besar lapisan masyarakat sudah beralih menggunakan digital platform untuk melakukan aktivitas pribadi maupun bisnis.
Ditambah lagi di masa pandemi seperti ini, masyarakat dihimbau untuk tetap mengurangi aktivitas di luar rumah sehingga memungkinkan mereka untuk menggunakan digital platform untuk melakukan berbagai hal seperti transaksi online, bekerja, belajar, dan lain-lain. Di sisi lain, para cyber cracker tidak habis akal dalam terus memanfaatkan momen untuk melakukan serangkaian strategi untuk melakukan tindakan kejahatan cyber.
Apa itu CIA Triad?
CIA Triad bisa kita definisikan sebagai sebuah rancangan model yang digunakan untuk menjadi panduan atau membantu seseorang baik secara individu maupun organisasi tertentu dalam membentuk atau membuat sebuah aplikasi, sistem, prosedur, atau kebijakan yang berhubungan dengan keamanan informasi. CIA Triad sendiri terdiri dari confidentiality, integrity, availability. Ketiga aspek tersebut disebut sebagai aspek yang paling penting dalam menciptakan sebuah keamanan informasi yang kuat dan efektif.
- Confidentiality
Confidentiality atau kerahasiaan merupakan aspek/unsur pertama dalam menciptakan suatu keamanan sistem yang baik. Confidentiality melibatkan baik dari individu maupun organisasi untuk memastikan data tetap rahasia dan pribadi. Agar dapat menjaga kerahasiaan data maka akses ke informasi (seperti login credential) harus dikontrol untuk mencegah pembagian data yang tidak sah baik disengaja atau tidak disengaja. Komponen kunci dari menjaga kerahasiaan adalah memastikan bahwa orang tanpa otorisasi yang tepat dicegah atau tidak dapat mengakses data yang disimpan. Akses di sini memang harus dibatasi agar hanya ditujukan bagi mereka yang berwenang dalam melihat data yang dipermasalahkan. Data biasanya juga dapat dikategorikan menurut jumlah dan jenis kerusakan yang bisa kejadian jika jatuh ke tangan yang tidak diinginkan. Nah, dampaknya akan terlihat dari lebih banyak atau lebih sedikit langkah yang perlu dilakukan sebagai implementasi dari kategori tersebut.
- Integrity
Integrity adalah aspek yang memastikan bahwa sebuah aplikasi atau sistem yang dibuat dapat memenuhi value seperti menjaga konsistensi, akurasi, dan kepercayaan. Sebuah aplikasi akan terlihat integritasnya ketika data yang disimpan asli, aman, akurat, dan dapat diandalkan atau dengan kata lain bebas dari gangguan. Dan perlu diingat, perusahaan juga wajib mengetahui kualitas dari setiap datanya untuk menjaga integritas sebuah data. Data bisa saja mengalami kerusakan (Corrupted), inconsistency (Berbagai salinan data yang tidak sesuai dengan aslinya), redundancy (Data yang sama disimpan di lokasi yang sama atau beberapa lokasi), dan isolation (tidak dapat mengakses data yang terkait dengan aplikasi lain). Perusahaan perlu mencegah semua ini karena dapat menimbulkan kerugian yang tidak sedikit.
Kemudian juga langkah yang perlu diambil dan dipertimbangkan oleh perusahaan adalah melakukan restrictions (Pembatasan) sehingga data tidak bisa diubah-ubah oleh orang yang tidak punya kepentingan sejalan. Pembatasan ini bisa dipakai untuk mencegah perubahan yang keliru atau penghapusan tidak disengaja dari otoritas resmi yang bisa juga menjadi masalah. Jadi, intinya backup harus tersedia untuk memulihkan data yang terkena masalah agar bisa kembali ke keadaan yang semula.
- Availability
Tidak hanya 2 aspek diatas saja yang penting. Apabila confidentiality dan integrity sudah terjamin tetapi data tersebut tidak dapat diakses maka menjadi tidak berguna, maka dari itu terdapat aspek ketiga yaitu availability. Availability atau ketersediaan berarti bahwa aplikasi, sistem, jaringan, dan sebagainya harus dipastikan dapat diakses ketika dibutuhkan dan juga harus dapat berjalan dengan semestinya. Selain itu, data atau informasi juga harus dapat diakses dan digunakan walaupun sedang terjadi gangguan, seperti pemadaman listrik dan juga data yang diakses tidak boleh memakan waktu yang lama.
Kenapa harus menerapkan CIA Triad?
Confidentiality, Integrity, dan Availability, ketiga terminologi tersebut dianggap sebagai tiga konsep terpenting dalam keamanan informasi. Dengan setiap hurufnya yang mewakili prinsip dasar dalam keamanan cyber seperti yang sudah dijelaskan di atas. Mempertimbangkan ketiga prinsip ini juga dapat membantu memandu pengembangan kebijakan keamanan (Security policies) untuk perusahaan. Saat melakukan evaluasi terhadap kebutuhan dan use cases pada produk dan teknologi baru, CIA Triad juga membantu perusahaan untuk fokus melihat sisi kerentanan (vulnerabilities) berdasarkan dari setiap fungsi Confidentiality, Integrity, dan Availability.
Kapan harus menerapkan CIA Triad?
CIA Triad akan sangat membantu pada situasi dan kondisi keamanan, terutama jika setiap komponen yang ada sangat krusial dan sensitif. Namun, ini juga berguna saat mengembangkan sistem yang berkutat seputar klasifikasi data dan mengelola izin dan hak akses. Perusahaan juga harus benar-benar menggunakan CIA Triad ketika berhadapan dengan kerentanan jaringan organisasi. Ini bisa menjadi alat yang ampuh untuk menghambat Cyber Kill Chain, yang merupakan proses penargetan dan pelaksanaan serangan cyber. CIA Triad dapat membantu anda mengetahui apa yang mungkin ditargetkan para Cracker, yang kemudian dapat menerapkan kebijakan dan tools untuk melindungi aset tersebut secara memadai. Selain itu, CIA Triad dapat digunakan saat melatih karyawan tentang keamanan siber. Anda dapat menggunakan skenario What-If atau studi kasus dunia nyata untuk membantu karyawan mempertimbangkan dalam pengambilan kebijakan mengenai kerahasiaan, integritas, dan ketersediaan informasi dan sistem.
Kesimpulan
Ancaman keamanan informasi dapat datang dalam bentuk apapun. Dengan memahami beberapa fungsi dasar dari CIA Triad, diharapkan perusahaan dapat melakukan evaluasi dan identifikasi kebijakan sesuai dengan aspek-aspek pada CIA Triad. Seperti yang sudah dijelaskan di atas, pada CIA triad terdapat 3 aspek dasar yang harus selalu diperhatikan dalam menjaga keamanan informasi. Aspek tersebut adalah Confidentiality, Integrity dan Availability. Dengan melakukan penetration testing, perusahaan dapat mengeksploitasi dan mengidentifikasi apakah ada kerentanan yang bisa segera diperbaiki dari ketiga aspek tersebut. Selain itu, melalui penetration testing, perusahaan juga akan memperoleh berbagai saran dan solusi untuk meminimalisir risiko dan dampak yang ditimbulkan apabila ketiga aspek keamanan informasi tersebut berhasil dieksploitasi.
Referensi:
- https://www.fortinet.com/resources/cyberglossary/cia-triad#:~:text=The%20three%20letters%20in%20%22CIA,and%20methods%20for%20creating%20solutions
- https://www.techtarget.com/whatis/definition/Confidentiality-integrity-and-availability-CIA
- https://securityscorecard.com/blog/what-is-the-cia-triad