BSN Minta Marketplace Terapkan ISO 27001:2013 untuk Keamanan

Deputi Bidang Penerapan Standar dan Penilaian Kesesuaian Badan Standardisasi Nasional (BSN), Zakiyah, menilai marketplace selaku yang memfasilitasi pembeli dan penjual untuk berbelanja online perlu untuk menerapkan sistem manajemen keamanan informasi (SMKI).

Zakiyah mengatakan bahwa SMKI erat kaitannya dengan bagaimana keamanan informasi itu terjaga, mengingat informasi yang terdapat di dalam market place seperti data-data pelanggan adalah aset yang sangat bernilai yang harus dijaga.

“Ini sebenarnya tidak lain adalah SMKI ini mengajak compliance juga terhadap undang-undang perlindungan data. Kalau berbicara sistem manajemen, bergaris lurus dengan penyusunan strategi organisasinya. Bagaimana keamanan siber, tata kelola, dan kemudian juga membangun kepercayaan bisnis dari kebocoran informasi [yang] mungkin bisa menimbulkan menurunkan kepercayaan maupun nilai dari tingkat investasi suatu organisasi. Yang penting lagi adalah bagaimana kita bisa membangun sistem perlindungan informasi dari ancaman kejahatan dunia maya,” kata Zakiyah dalam webinar yang diadakan oleh BSN pada Kamis (14 Mei 2020).

Zakiyah mengakui penerapan SMKI ini masih relatif kecil di Indonesia. Padahal menurutnya, Kementerian Komunikasi dan Informatika (Kemkominfo) juga sudah mewajibkan minimal organisasi pemerintah harus menerapkan SMKI dengan ISO 27001.

“Ini data yang kami peroleh dari ISO hasil survei 2018, relatif kecil. Beberapa perusahaan yang terdaftar untuk ISO 27001 dan sektor yang banyak itu sektornya masih beragam, TI relatif banyak ada 20, financial ada 3.”

“Ini adalah gambaran. Saya tidak tahu nanti bagaimana kita bisa mendiskusikan bahwa di market place juga perlu ini, karena sangat berhubungan langsung dengan customer, bagaimana kita menjaga data-data customer, mudah-mudahan [e-commerce] juga bisa menerapkan ISO 27001 ini. “

Menurut Kristianto, Direktur Pengembangan Standar Mekanika Energi, Elektronika, Transportasi, dan Teknologi Informasi BSN, ISO 27001 mengenai SMKI ini merupakan salah satu standar yang paling populer disamping ISO 9000 dan ISO 14000, yang mana standar-standar ini disusun oleh salah satu teknikal komite di International Organization for Standardization (ISO) atau badan yang menetapkan standardisasi internasional.

ISO bersama IEC sebuah badan standar terkait kelistrikan, kata Kristianto, mengembangkan standar yang lebih umum dengan membentuk Join Technical  Committe (JTC) untuk mengembangkan standar lebih umum yaitu 27001 tahun 2013. ISO 27001:2013 ini mengenai keamanan informasi, cybersecurity dan perlindungan privasi. Hingga saat ini, standar ini belum direvisi karena masih dianggap legal formal.

“Artinya dianggap belum perlu untuk direvisi saat itu, tahun 2019-2020 masih belum direvisi, walaupun ada standar-standar keluarganya yang lain itu pada saaat ini dalam proses revisi,” kata Kristianto.

Sedangkan untuk adopsi di Indonesianya sendiri, ISO 27001:2013 diadopsi menjadi SNI ISO/IEC 27001:2013. Struktur SNI ISO 27001:2013 ini mengikuti high-level struktur dalam sistem manajemen. Untuk menerapkan SMKI ini, kata Kristanto, melalui empat hal yang perlu dilakukan.

“Pertama mengidentifikasi aset informasi, kemudian menilai risiko keamanan informasi, lalu memilih kendali yang diperlukan, dan kemudian memeliharanya, dan tentu saja dalam memeliharanya selalu mengevaluasi sehingga continue improvment itu bisa terjaga. “ kata Kristanto.

Dengan menerapkan SMKI dengan ISO 27001:2013, kata Kristianto, maka risiko terhadap data konsumen itu bisa diminimalkan. Jadi, menurutnya data itu bisa lebih terproteksi, bisa lebih terlindungi dari ancaman-ancaman penyalahgunaan atau yang sengaja atau tidak sengaja bisa memberikan dampak negatif.

“Semua masalah terkait keamanan informasi. Jadi informasi adalah aset yang beharga dan itu perlu kita lindungi. Salah satu cara melindunginya adalah dengan menerapkan standar, standar mengenai sistem keamanan informasi. “

“Menerapkan SMKI tidak hanya bisa mengontrol keamanan informasi, tapi juga bisa menyusun strategi keamanan siber, untuk tata kelola IT dan perlindungan aset.” tambahnya.

BSN berjanji akan siap mendampingi apabila ingin mendapatkan sertifikat SNI ISO 27001:2013 yang dapat diakses di https://pembimbingansni.bsn.go.id/pengajuan/organisasi.

Di Indonesia sendiri, market place pertama yang mendapatkan sertifikasi ISO 27001:2013 adalah BliBli.com. Menurut Ricky Setiadi, Associate VP Information Security Blibli.com, e-commerce perlu menerapkan SMKI dengan ISO 27001:2013, karena bisnis e-commerce sendiri adalah bisnis kepercayaan.

“Kami berpikir ternyata untuk bisa menciptakan trust ini, ada dua hal yang kita harus lakukan. Yang pertama adalah aspek sekuriti, yang kedua adalah complaince, bagaimana sebuah sekuriti practice itu dijalankan, teknologi apa yang harus diadopsi, proses-proses apa yang harus kita kembangkan sehingga selain hanya mengumpulkan keuntungan, finansial semata dari sisi bisnis kita juga bisa menjaga kepuasan pelanggan tadi seperti yang tadi kami sebutkan.” ungkap Ricky.

Terlebih lagi, e-commerce ini tidak hanya diakses oleh orang Indonesia, dari mana saja bisa diakses. Untuk itu, kata Ricky, perlunya standardisasi internasional terhadap SMKI yang dimiliki agar orang diluar Indonesia ketika mengakses bisnis jualan online percaya.

“Kenapa kita melihat ISO 27001? Karena pada dasarnya ketika jualan online, kita berada di Indonesia tapi bisa diakses di mana pun. Dalam kondisi itu kita harus pastikan bahwa apa yang kita deliver, sistem kita yang kita punya, proses yang kita punya, itu juga bisa memenuhi kaidah-kaidah secara global,“ ujar Ricky.

Blibli sendiri menyiapkan pengimplementasian ISO 27001:2013 ini melalui proses yang panjang dan tidak cepat. Ricky mengaku menyiapkannya dari tahun 2016 dengan berbagai tujuan.

“27001 ini sebenarnya kita sudah coba bentuk di tahun 2016 preparationnya, kita juga sudah lihat dari berbagai macam kondisi di kantor, di perusahaan, setidaknya 3 alasan utama kenapa kita memilih 27001. Yang pertama, 27001 ini adalah sebuah sertifikasi internasional yang sudah diakui oleh global. Jadi tidak hanya industri e-commerce saja tapi juga oleh berbagai macam industri juga diadopsi, dan ini sifatnya global.” kata dia.

“Yang kedua adalah ISO 27001, itu adalah risk based approach. Kita melihat bahwa implementasi ISO ini akan sangat mudah pendekatannya ketika kita melihat mengindentifkasi risiko-risiko yang ada di bisnisnya kita, kemudian ketika sudah melakukan identifikasi yang namanya risiko itu terus dievaluasi secara berkala termasuk di dalamnya nanti ketika ada evaluasi akan ada rekomendasi terkait dengan bagaimana melakukan implementasi strategis yang harus kita terapkan, dari segi perspektif prosesnya, peoplenya, sama teknologinya,“ tambahnya. Menurut Ricky, implementasi ISO 27001 mendatangkan banyak manfaat terhadap bisnis e-commerce. Ada empat hal yang berdampak besar terhadap Blibli ketika mengimplementasikan ISO 27001 antara lainnya kepercayaan, proteksi terhadap pelanggan, keamanan sistem, pembentukan improvisasi terhadap proses yang ada di bisnisnya.

Qyusi Consulting | Konsultan ISO, Pelatihan ISO, Sertifikasi ISO | Konsultan SMK3, Sertifikasi SMK3 | Dokumen ISO, CSMS dan SOP. Siap Membantu perusahaan Anda dengan Proses Fleksible menyesuaikan kondisi dan kebutuhan perusahaan Anda