Banyak organisasi yang memanfaatkan perangkat teknologi informasi berbasis jaringan baik local maupun global untuk mendukung tujuan pengembangan organisasinya. Namun banyak yang tanpa disadari mengimplementasikan sistem jaringan computer tersebut tanpa dibarengi dan diimbangi dengan sistem keamanan yang memadai sesuai dengan standar keamanan yang berlaku. Hal itu dikarenakan karena banyak yang tidak menggunakan prinsipprinsip pengamanan sesuai standar, dan dalam mengimplementasikan tidak melalui tahap siklus hidup keamanan informasi.
Untuk mengatasi kendala itu, maka dari itu sebuah organisasi harus memiliki patokan atau standar baku untuk menerapkan sistem keamanan sesuai dengan prinsip standar seperti yang dikeluarkan oleh NIST. Selain itu sangat penting sekali diperlukan komitmen implementasi keamanan, dengan cara menerapkan sesuai siklus hidup keamanan informasi oleh para user, system engineer, spesialis IT, manajer program dan petugas keamanan informasi.
Tujuan sistem keamanan informasi akan dapat tercapai jika dalam tahapan pengamanan memenuhi prinsip rekayasa keamanan teknologi informasi. Tujuan dari prinsipprinsip rekayasa keamanan teknologi informasi (TI) adalah untuk memberikan gambaran tentang prinsip systemlevel keamanan yang akan menjadi pertimbangan dalam merancang, mengembangkan, dan mengoperasikan pada sistem informasi. Prinsipprinsip tersebut akan digunakan oleh :
- User ketika megembangkan dan mengevaluasi kebutuhan fungsional, atau sistem informasi operasi dalam organisasi.
- System Engineers dan Arsitek yang merancang, mengimplementasikan, atau memodifikasi sistem informasi.
- Spesialis IT pada semua fase siklus hidup sistem (system lifecycle).
- Manajer program dan petugas keamanan sistem informasi. (Program Managers and Information System Security Officers ISSO) untuk meyakinkan implementasi keamanan yang memadai pada semua fase system lifecycle.
Sesuai dengan National Institute of Standards and Technology (NIST) Special Publication 80014, “Generally Accepted Principles and Practices for Securing Information Technology Systems,”. Siklus hidup pengembangan sistem (system development life cycle /SDLC) pada keamanan komputer adalah tahap-tahap atau fase yang harus dilalui pada pengembangan keamanan computer melalui proses siklus hidup. Fase atau tahap tahap yang digunakan dalam prinsip dan praktek untuk sistem keamanan teknologi informasi adalah sebagai berikut :
- Inisiasi (initiation). Merupakan fase awal yang dibutuhkan untuk menetapkan tujuan sistem seperti dokumentasi.
- Pengambangan dan akuisisi (development/acquisition). Pada fase ini sistem dirancang, dibeli, diprogram, dikembangkan, atau dikonstruksikan.
- Implementasi (Implementation). Merupakan fase dimana sistem ditest dan diinstall. Aktifitasnya termasuk menginstalasi dan mengendalikan, test keamanan, sertifikasi, dan akreditasi.
- Operasi dan Pemeliharaan (Operation/Maintenance). Pada fase ini dimana sistem bekerja atau dijalankan. Sistem juga dilakukan modifikasi jika terjadi penambahan software atau hardware, dan memberikan identifikasi. Aktifitas lain yang dilakukan pada tahap ini adalah jaminan operasional dan adminsitrasi, auditing dan minitoring.
- Penyelesaian dan Pembuangan (disposal). Fase ini merupakan bagian dari fase lifecycle yang melakukan disposisi pada informasi, hardware dan software. Aktifitas lain termasuk diantaranya adalah memindah (moving), mengarsipkan (archiving), menyingkirkan (discarding), atau memusnahkan (destroying) informasi dan sanitasi media.
Prinsip keamanan informasi akan digunakan sebagai acuan dalam mengembangkan sistem keamanan dalam sebuah organisasi oleh para user, rekayasa sistem, spesialis IT, manajer program dan petugas keamanan sistem informasi. Prinsip tersebut memiliki 6 kelompok yaitu sebagai landasan keamanan, pokok keamanan, mudah digunakan, nyaman dan menyenangkan, dapat mengurangi ancaman serangan, serta digunakan untuk merancang dan menjaga keamanan. Selanjutnya dari prinsip yang telah ditentukan akan digunakan untuk landasan dalam pengembangan siklus hidup informasi yang meliputi tahapan inisiasi, pengembangan dan akuisisi, implementasi, operasi dan pemliharaan, penyelesaian dan pembuangan.
Sumber: Jurnal Teknologi Informasi DINAMIK Volume XII, No.2, Juli 2007 : 101108