CIA triad adalah model standar dalam keamanan informasi yang dirancang untuk mengatur dan mengevaluasi bagaimana sebuah organisasi atau perusahaan ketika data disimpan, dikirim, atau diproses. Setiap aspek yang ada di dalam CIA triad (Confidentiality – Integrity – Availability) akan menjadi komponen penting dari keamanan informasi dan beberapa kerangka kerja keamanan informasi yang terkenal (seperti SOC 2, ISO 27001, dan PCI DSS) dibuat berdasarkan ketiga prinsip ini.
1. Kerahasiaan (confidentiality)
Proses ini menjamin seluruh data dan informasi yang tersimpan hanya bisa diakses oleh orang-orang yang sudah diberi izin. Termasuk menjamin bahwa setiap proses pengiriman, penerimaan, dan penyimpanan data dilakukan dengan aman. Serangan yang mengancam kerahasiaan adalah setiap serangan yang bertujuan mencegat akses ke data. Keylogger dan pemindai port adalah contoh mekanisme serangan yang bertujuan untuk mengancam kerahasiaan.
Bagian utama dari melindungi kerahasiaan data adalah mengendalikan siapa yang memiliki akses ke sana. Salah satu cara untuk menjaga kerahasiaan data adalah dengan penggunaan enkripsi seperti memberikan password pada dokumen, enkripsi pada database sehingga data tidak dapat dibaca secara langsung atau metode enkripsi lainnya seperti E2EE, hashing, dll. Itu akan memastikan bahwa hanya mereka yang berwenang yang mendapatkan akses ke data yang diperlukan, sementara mereka yang tidak berwenang dipenuhi dengan tindakan pencegahan untuk tidak dapat mengakses data.
Kita juga dapat mengelola akses data dengan kebijakan kata sandi (strong password policy) yang memastikan semua data dilindungi kata sandi. Jangan menggunakan kata sandi yang mudah ditebak, gunakan kombinasi angka dan huruf, minimal character, terdapat huruf kecil dan besar atau komponen lainnya yang bisa mewakili level kata sandi kita terukur kuat.
Cara lainnya, kita pun dapat menerapkan Multifactor authentication (2FA) dimana suatu sistem membutuhkan dua jenis autentikasi dari penggunanya, seperti menggunakan OTP dan biometric ketika akan masuk ke dalam suatu akun di smartphone.
Tak lupa, kita pun perlu melakukan data classification & labelling untuk mengkategorikan mana saja data yang termasuk rahasia, internal, eksternal atau umum dan dapat disebarluaskan. Tentu akan ada perlakukan khusus untuk data rahasia/confidential baik dari sisi penyimpanan ataupun penggunaan.
2. Integritas (integrity)
Integritas adalah bentuk jaminan bahwa semua data tidak dapat diubah tanpa izin oleh pihak yang berwenang. Dengan begitu keutuhan serta keakuratan data tetap terjaga sebagaimana mestinya. Langkah-langkah mitigasi harus diambil untuk memastikan bahwa integritas dipertahankan dan data tidak dirusak. Saat mempertimbangkan integritas data, penting untuk mempertimbangkan apakah data persis seperti saat pertama kali diterima atau dibuat? Bisakah kita memastikan validitasnya selama siklus hidup penggunaannya?
Malware dan serangan siber adalah ancaman terbesar terhadap integritas data. Integritas juga berarti memastikan bahwa data tidak rusak dengan cara apa pun, baik oleh serangan atau kesalahan manusia, karena kerusakan itu sendiri merupakan bentuk perubahan pada data.
Salah satu cara untuk memastikan integritas data adalah dengan menghindari duplikasi data. Inventaris data dapat membantu Kita melacak data apa saja yang tersimpan dan alirannya di seluruh organisasi sehingga tidak ada data ganda dan bahwa data yang Kita miliki lengkap dan akurat.
Selanjutnya, dengan menerapkan user access management, dimana hanya pihak yang berwenang saja yang dapat melakukan akses dan perubahan dari sebuah aset data. Lakukan rotasi password dari administrator secara berkala agar dapat terhindar dari kerugian atas serangan cyber yang menggunakan hak akses sebagai metode penyerangan.
Kita pun perlu menerapkan backup & restore policy. Kita perlu melakukan backup secara rutin dimana jika mungkin terjadi error atau serangan hacker maka kita dapat me-restore data seperti semula.
Langkah lainnya, yaitu dengan menggunakan Security Information and Event Management / SIEM sebagai sistem manajemen log dan untuk melihat anomali, mendeteksi potensi serangan serta melacak jalur penyusupan. SIEM dilengkapi mekanisme otomatis untuk memberikan informasi dan notifikasi terkait potensi kejahatan cyber.
3. Ketersediaan (availability).
Aspek ini merupakan bentuk jaminan bahwa semua data akan tersedia ketika dibutuhkan serta memastikan bahwa pihak yang berhak bisa menggunakan informasi maupun perangkat yang berhubungan jika dibutuhkan kapanpun itu.
Umumnya, serangan terkait ketersediaan data adalah serangan Denial-of-Service (DoS) dimana tujuannya untuk mematikan mesin atau jaringan dan membuatnya tidak dapat diakses oleh pengguna yang berwenang. Seringkali ketersediaan juga dapat dipengaruhi oleh lebih dari sekadar insiden keamanan cyber. Sistem data yang andal dapat dipengaruhi oleh kegagalan jaringan, kesalahan manusia, atau masalah perangkat keras yang semuanya memengaruhi kemampuan organisasi untuk memberikan layanan yang diperlukan. Kerusakan jaringan dapat menyebabkan downtime yang kemudian menurunkan ketersediaan sistem informasi yang dibutuhkan oleh pengguna.
Salah satu cara penting untuk melakukannya adalah dengan membuat disaster recovery plan untuk setiap ancaman yang dirasakan terhadap sistem data sebelum hal itu terjadi. Disaster recovery plan dapat memastikan bahwa ada waktu henti minimal jika terjadi gangguan sistem data dan juga dapat bertindak sebagai rencana cadangan sementara hingga sistem dipulihkan saat terjadi masalah.