Bagaimana Melakukan Pelatihan & Awareness untuk ISO 27001 dan ISO 22301

Sebagian besar praktisi keamanan informasi/kelangsungan bisnis memiliki masalah yang sama: karyawan di perusahaan mereka tidak menganggapnya serius – tidak hanya manajer puncak, tetapi juga rekan-rekan mereka.

Hal ini disebabkan oleh fakta bahwa karyawan biasanya tidak memahami apa itu keamanan informasi atau kelangsungan bisnis – dengan kata lain, Anda mungkin memiliki kebijakan dan prosedur yang sempurna, tetapi hanya mendorongnya ke daftar email internal Anda tidak akan membantu. Anda perlu menjelaskan kepada kolega Anda mengapa keamanan informasi dan kelangsungan bisnis diperlukan, dan bagaimana melakukan tugas-tugas tertentu – itulah tujuan utama kesadaran dan pelatihan ISO 27001.

Siklus Pelatihan dalam ISO 27001 dan ISO 22301:

1. Tentukan pengetahuan dan keterampilan mana yang diperlukan.
2. Lakukan pelatihan untuk mencapai tingkat yang diinginkan.
3. Ukur apakah setiap individu telah mencapai tingkat yang diinginkan.

 

Siklus Pelatihan

Baik ISO 27001 dan ISO 22301 mengharuskan Anda untuk menangani pelatihan secara sistematis, dibawah ini gambaran langkah-langkahnya:

1. Tentukan pengetahuan dan keterampilan mana yang diperlukan untuk personel tertentu yang memiliki peran dalam sistem manajemen keamanan informasi (ISMS) atau sistem manajemen kelangsungan bisnis (BCMS) Anda. Pada dasarnya, Anda perlu memeriksa setiap dokumen ISMS atau BCMS dan melihat pengetahuan dan keterampilan apa yang diperlukan dari setiap orang yang bertanggung jawab yang disebutkan dalam dokumen.
2. Lakukan pelatihan untuk mencapai tingkat pengetahuan dan keterampilan yang diinginkan – lihat di bawah untuk metode.
3. Ukur apakah setiap individu telah mencapai tingkat pengetahuan dan keterampilan yang diinginkan – melalui pengujian, wawancara, dll. – setelah Anda tahu di mana celahnya, Anda dapat memulai lagi dengan langkah pertama.

Dan ini adalah sesuatu yang perlu dilakukan terus menerus – baik oleh CISO / koordinator kelangsungan bisnis, atau oleh departemen SDM.

 

Metode Pelatihan

Sangat sering, pelatihan direncanakan melalui rencana Pelatihan – misalnya, Anda dapat merencanakan hal-hal berikut:

• Kursus – lihat artikel ini untuk informasi selengkapnya: Cara mempelajari tentang ISO 27001.
• Membaca literatur – ada banyak buku keamanan informasi dan kelangsungan bisnis yang tersedia, serta majalah.
• Berpartisipasi dalam forum ahli di Internet – dalam beberapa di antaranya Anda bisa mendapatkan jawaban yang sangat konkret untuk pertanyaan Anda – misalnya, Komunitas Saran Ahli atau keamanan ISO 27001.
• Pelatihan internal – disampaikan baik oleh pakar internal, atau dengan menyewa konsultan, lembaga sertifikasi, atau yang serupa.

Metode Peningkatan Kesadaran

Berbeda dengan pelatihan, yang memberikan jawaban atas pertanyaan “Bagaimana?”, kesadaran harus memberikan jawaban atas pertanyaan “Mengapa?” – yaitu, menjelaskan kepada karyawan Anda mengapa mereka harus menerima keamanan informasi atau kelangsungan bisnis.

Ada banyak metode yang dapat Anda gunakan, misalnya:

• Sertakan karyawan dalam pengembangan dokumentasi – sebelum Anda menerbitkan dokumen, minta karyawan Anda untuk memberikan masukan mereka
• Presentasi – atur rapat yang lebih singkat di mana Anda dapat menjelaskan kebijakan dan prosedur baru apa yang sedang diterbitkan, meminta pendapat karyawan Anda tentang mereka, mengklarifikasi kesalahpahaman apa pun.
• Artikel di intranet atau buletin Anda – cerita sederhana (dengan sebanyak mungkin contoh) yang dapat membantu karyawan memahami mengapa keamanan informasi / kelangsungan bisnis itu penting.
• Diskusi melalui forum internal – Anda dapat memulai dan berpartisipasi dalam pertanyaan konkret (dan mitos) yang timbul dari keamanan informasi / kelangsungan bisnis.
• E-learning – Anda dapat membuat pelatihan online singkat yang menjelaskan pentingnya topik ini, serta melatih karyawan Anda.
• Video – mereka adalah metode presentasi yang sangat kuat – Anda dapat mendistribusikannya melalui email, melalui intranet, dll.
• Pesan sesekali (melalui email atau melalui intranet Anda) – dapat digunakan tidak hanya untuk mendistribusikan video, tetapi juga untuk mengirim berita dan tips yang relevan untuk kelangsungan bisnis.
• Pertemuan – gunakan beberapa pertemuan rutin yang diselenggarakan di perusahaan Anda – misalnya, pesta, peringatan, dll. untuk mempresentasikan secara singkat apa yang Anda lakukan dan bagaimana hal itu memengaruhi kolega Anda.
• Dan, di atas segalanya – komunikasi tatap muka sehari-hari – ke mana pun Anda pergi, siapa pun yang Anda ajak bicara – Anda harus menjual gagasan keamanan informasi / kelangsungan bisnis.

Tidak peduli metode mana yang Anda gunakan, intinya adalah Anda melakukannya secara sistematis – sekali lagi, Anda harus menyiapkan semacam rencana di mana Anda harus menentukan metode mana yang akan Anda lakukan, dan seberapa sering.

 

Mitos Implementasi

Jadi, seperti yang saya tekankan dalam artikel ini: Mitos dokumentasi – Mengapa templat tidak cukup?, hanya menulis kebijakan dan prosedur tidak akan cukup – Anda perlu menggunakan kesadaran dan pelatihan sebagai alat bantu untuk memungkinkan dokumentasi diimplementasikan.

Namun, waktu di sini juga penting: banyak perusahaan membuat kesalahan dengan menerbitkan semua dokumen mereka sekaligus. Misalnya, jika Anda menerbitkan 30 kebijakan dan prosedur pada saat yang sama, maka sayangnya, bahkan program kesadaran terbaik pun tidak dapat membantu Anda – karyawan Anda akan (dengan sangat benar) mulai menganggap keamanan informasi / kelangsungan bisnis Anda berlebihan.

Oleh karena itu, Anda harus mempublikasikan dokumentasi Anda secara bertahap – kecepatan penerbitan dokumen baru Anda tidak boleh secepat kecepatan mengembangkannya, tetapi kecepatan karyawan Anda untuk dapat menerimanya melalui program kesadaran dan pelatihan ISO 27001 Anda.

Manfaat Pelatihan Kesadaran Keamanan bagi Perusahaan

Kesadaran keamanan, dan terutama pelatihan, tidak (selalu) gratis, jadi bagaimana kita membenarkan biayanya? Mari kita periksa lima potensi manfaat bisnis.

1. Mengurangi resistensi terhadap keamanan informasi

Dengan kesadaran dan/atau pelatihan yang memadai, karyawan dapat membuat penggunaan kontrol keamanan yang lebih baik, lebih efektif, dan lebih efisien. Sebagai langkah awal, mereka menghargai bahwa kontrol ada di sana untuk alasan yang baik; oleh karena itu, mereka cenderung mengabaikan, memotong, atau menonaktifkannya. Memahami mengapa kita membutuhkan kata sandi yang panjang, misalnya, dan bagaimana memilih kata sandi atau frasa sandi yang kuat namun mudah diingat, membuatnya lebih mudah untuk aman. Karyawan yang menolak untuk mengungkapkan atau membagikan kata sandi mereka adalah kontrol lain yang didukung melalui kesadaran dan pelatihan.

2. Peningkatan keamanan, privasi, dan kepatuhan informasi

Manfaat paling langsung dari kesadaran dan pelatihan muncul dari peningkatan pengaturan keamanan informasi organisasi. Kebijakan meja yang jelas, misalnya, percuma jika karyawan tidak mengetahuinya, tidak peduli, dan tidak dapat diganggu untuk mematuhinya. Kesadaran untuk menyelamatkan! Keberadaan kebijakan itu sendiri, dengan sendirinya, merupakan tanda bahwa manajemen menghargai kebutuhan, sementara kejelasan, fokus, dan efektivitas motivasinya bergantung pada penulis yang cukup tahu. Sebagai bagian integral dari pendekatan seluruh organisasi untuk manajemen risiko informasi, kesadaran dan pelatihan keamanan memungkinkan semua kontrol keamanan lainnya, dan mendukung pencapaian berbagai tujuan bisnis – termasuk kepatuhan terhadap privasi, akuntansi, tata kelola, dan undang-undang dan peraturan lainnya.

3. Menghindari atau mengurangi biaya dari insiden keamanan informasi, pelanggaran, dll.

Dibandingkan dengan organisasi rata-rata, tenaga kerja yang sadar keamanan, didukung dan dipandu oleh profesional keamanan yang sangat terlatih, cenderung tidak mengalami insiden keamanan informasi, pelanggaran privasi, waktu henti yang tidak direncanakan, dan sebagainya. Karyawan yang tahu apa yang harus diwaspadai cenderung tidak jatuh cinta pada penipuan yang jelas atau mengabaikan tanda-tanda awal masalah. Mereka setara dengan pengemudi yang terampil, ekstra hati-hati bila perlu dan mampu membuat kemajuan yang baik ketika kondisi jalan menguntungkan. Terlebih lagi, setiap insiden yang terjadi cenderung lebih pendek dan lebih terbatas karena karyawan melihat dan bereaksi dengan tepat. Respons insiden tidak dapat dimulai sampai insiden dikenali dan dilaporkan, yang keduanya bergantung pada karyawan yang mengetahui apa yang harus dilakukan, tanpa penundaan.

4. Peningkatan reputasi dan kepercayaan yang lebih besar

Jika sebagian besar tenaga kerja sadar akan keamanan, orang luar dan pengunjung menganggap serius organisasi yang jelas-jelas menganggap serius keamanan dan privasi. Dari saat seseorang tiba di tempat atau mengunjungi situs web perusahaan, ada petunjuk – beberapa jelas, seperti tanda peringatan dan sertifikat keamanan, dan lainnya yang lebih halus, seperti mengikuti proses terstruktur secara efisien. Perbedaan dalam cara orang dan organisasi berinteraksi memengaruhi sejauh mana mereka bersedia bergantung satu sama lain. Kepercayaan adalah faktor utama dalam perdagangan, dan bagian penting dari reputasi dan merek organisasi. Pertimbangkan perbedaan antara berbelanja di pasar jalanan sementara dibandingkan dengan, katakanlah, department store, atau tempat mobil backstreet dibandingkan dengan dealer besar. Dalam bisnis, tayangan itu penting!

5. Kesadaran situasional

“Kesadaran situasional” hampir merupakan indra keenam. Sulit untuk menjelaskan dengan tepat mengapa email atau panggilan telepon “tampaknya tidak benar,” terutama karena setiap situasi berbeda; oleh karena itu, tidak mungkin untuk mendefinisikan aturan yang tepat tentang apa yang harus diwaspadai. Memang benar bahwa banyak email phishing dimulai dengan sapaan yang tidak spesifik seperti “Pelanggan yang terhormat,” tetapi beberapa tidak: serangan spear-phishing biasanya menggunakan nama penerima, seringkali dengan informasi lain yang dimaksudkan untuk memberikan kesan bahwa pengirimnya adalah kolega, kenalan, atau teman. Terlebih lagi, tinta sesuatu yang salah tidak mencapai apa-apa kecuali karyawan bereaksi dengan tepat, tidak membuka lampiran atau mengklik tautan, misalnya, dan mungkin mencari bantuan untuk memeriksa pesan.

Lebih Baik Aman daripada Menyesal

Selain menjadi investasi jangka panjang dalam kesuksesan bisnis secara keseluruhan, kesadaran dan pelatihan adalah bagian integral dan penting dari setiap pendekatan yang masuk akal untuk keamanan informasi. Jika Anda masih belum yakin dengan tujuan dan nilainya, pertimbangkan alternatifnya: tentu, organisasi tidak perlu membayar untuk materi kesadaran keamanan dan kegiatan pelatihan, tetapi karyawan akan naif, tidak mendapat informasi, dan tidak termotivasi. Kontrol keamanan akan diabaikan, dilupakan, dan terkadang dinonaktifkan atau dilewati demi kenyamanan. Organisasi akan tampak tidak dapat dipercaya, reputasi dan intinya ternoda oleh insiden dan pelanggaran yang seharusnya dicegah atau dikurangi.

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut