Pernahkah Anda mendengar laptop karyawan sebuah perusahaan dicuri sehingga beberapa kegiatan perusahaan menjadi terhenti? Atau terbakarnya sebuah bank menyebabkan kehilangan data nasabah? Atau data nasabah sebuah perusahaan pembiayaan diperjualbelikan?
Semua hal tersebut haruslah diantisipasi oleh perusahaan yang ingin terus berkembang dengan menjaga kepercayaan masyarakat atau nasabah atas perusahaan tersebut. Reputasi perusahaan yang telah hancur akan sangat sulit untuk dibangun. Sehingga perlu diterapkan sebuah sistem manajemen yang handal yang dapat meminimalisir terjadi nya fraud/ kejahatan atau insiden hilangnya informasi nasabah.
Informasi suatu perusahaan merupakan salah satu aset yang harus dijamin keamanannya. Perusahaan tentunya akan menyimpan informasi yang sensitif terkait klien, nasabah, seperti informasi terkait gaji, laporan finansial maupun rencana bisnis untuk tahun mendatang. Selain itu, perusahaan juga umumnya menyimpan data rahasia, hasil penelitian dan informasi lainnya yang menjadikan mereka sebagai perusahaan yang kompetitif. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu.
Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Semakin banyak informasi yang disimpan, diproses atau dikirimkan secara elektronik melalui jaringan intranet perusahaan atau melalui internet, maka resiko diaksesnya informasi tersebut oleh mereka yang tidak berhak juga akan semakin besar.
Oleh karena itu, menjadi suatu tantangan tersendiri untuk dapat memberikan perlindungan yang terbaik terhadap seluruh informasi tersebut. Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini :
- Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
- Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
- Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI. Sebagian besar organisasi memiliki sejumlah kontrol keamanan informasi. Meskipun begitu, tanpa sebuah sistem manajemen keamanan informasi (ISMS, information security management system), pengendalian tersebut cenderung tidak teratur. ISMS adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi.
ISO 27001 : 2013 diperkenalkan pada 25 September 2013 oleh International Organization for Standardization (ISO) yang merupakan revisi peningkatan atas ISO 27001:2005. Standar ISO 27001:2013 ini dikembangkan lebih singkron dengan ISO versi lainnya (misalnya ISO 9001:2015 ). Sehingga akan tampak standar sistem manajemen yang berbasis High Level Stucture yang populer.
Penerapan pada sebuah perusahaan disesuaikan dengan proses bisnis perusahaan tersebut, sehingga tidak akan sama satu dengan lainnya. Perusahaan yang mengelola server data klien tentu berbeda dengan sebuah perusahaan yang bergerak dibidang asuransi, pengolahan data asuransi, perusahaan jasa survey, perusahaan keuangan/ kartu kredit dll. Tingkat kerentanan data antara satu perusahaan dan lainnya juga berbeda.
Untuk memulai penerapan, dimulai dengan adanya pelatihan untuk mengenalkan SNI ISO/IEC 27001:2013 kepada seluruh stakeholder sebuah perusahaan, setelah itu baru dimulai penilaian kesenjangan antara keadaan aktual dan persyaratan, lalu dilanjutkan dengan penilaian risiko dan pembuatan standar operating prosedur. Agar penerapan menjadi afdhal, perlu proses audit internal dan tinjauan manajemen terhadap penerapan sistem manajemen keamanan informasi tersebut.
Semua proses tersebut dapat dilakukan dengan lebih efektif melalui bantuan Dinamika Consulting.
About the author