Ketika berbicara dengan seseorang yang baru mengenal ISO 27001, sangat sering saya menghadapi masalah yang sama: orang ini berpikir standar akan menjelaskan secara rinci semua yang perlu mereka lakukan – misalnya, seberapa sering mereka perlu melakukan pencadangan, seberapa jauh situs pemulihan bencana mereka seharusnya, atau bahkan lebih buruk lagi, jenis teknologi apa yang harus mereka gunakan untuk perlindungan jaringan atau bagaimana mereka harus mengkonfigurasi router.
Inilah kabar buruknya: ISO 27001 tidak menentukan hal-hal ini; ia bekerja dengan cara yang sama sekali berbeda. Inilah alasannya…
Mengapa ISO 27001 tidak preskriptif?
Mari kita bayangkan bahwa standar menentukan bahwa Anda perlu melakukan pencadangan setiap 24 jam – apakah ini ukuran yang tepat untuk Anda? Mungkin, tapi percayalah, banyak perusahaan saat ini akan menganggap ini tidak cukup – tingkat perubahan data mereka sangat cepat sehingga mereka perlu melakukan pencadangan jika tidak secara real time, maka setidaknya setiap jam. Di sisi lain, masih ada beberapa perusahaan yang akan menemukan cadangan sekali sehari terlalu sering – tingkat perubahan mereka masih sangat lambat, sehingga melakukan pencadangan begitu sering akan berlebihan.
Intinya adalah – jika standar ini sesuai dengan semua jenis perusahaan, maka pendekatan preskriptif ini tidak mungkin. Jadi, tidak mungkin tidak hanya untuk menentukan frekuensi cadangan, tetapi juga teknologi mana yang akan digunakan, cara mengkonfigurasi setiap perangkat, dll.
Manajemen risiko adalah ide sentral dari ISO 27001
Jadi, Anda mungkin bertanya-tanya, “Mengapa saya membutuhkan standar yang tidak memberi tahu saya apa pun secara konkret?”
Karena ISO 27001 memberi Anda kerangka kerja bagi Anda untuk memutuskan perlindungan yang sesuai. Dengan cara yang sama, misalnya, Anda tidak dapat menyalin kampanye pemasaran perusahaan lain ke perusahaan Anda sendiri, prinsip yang sama ini berlaku untuk keamanan informasi – Anda perlu menyesuaikannya dengan kebutuhan spesifik Anda.
Dan cara ISO 27001 memberi tahu Anda untuk mencapai setelan yang dibuat khusus ini adalah dengan melakukan penilaian risiko dan perawatan risiko. Ini tidak lain adalah gambaran sistematis tentang hal-hal buruk yang dapat terjadi pada Anda (menilai risiko), dan kemudian memutuskan perlindungan mana yang akan diterapkan untuk mencegah hal-hal buruk itu terjadi (mengobati risiko).
Seluruh gagasan di sini adalah bahwa Anda harus menerapkan hanya perlindungan (kontrol) yang diperlukan karena risikonya, bukan yang menurut seseorang mewah; tetapi, logika ini juga berarti bahwa Anda harus menerapkan semua kontrol yang diperlukan karena risikonya, dan bahwa Anda tidak dapat mengecualikan beberapa hanya karena Anda tidak menyukainya.
Lihat juga: Bagaimana mendefinisikan ruang lingkup SMKI
IT saja tidak cukup
Jika Anda bekerja di departemen TI, Anda mungkin menyadari bahwa sebagian besar insiden terjadi bukan karena komputer rusak, tetapi karena pengguna dari sisi bisnis organisasi menggunakan sistem informasi dengan cara yang salah.
Dan kesalahan semacam itu tidak dapat dicegah hanya dengan perlindungan teknis – yang juga diperlukan adalah kebijakan dan prosedur yang jelas, pelatihan dan kesadaran, perlindungan hukum, tindakan disiplin, dll. Pengalaman kehidupan nyata telah membuktikan bahwa semakin beragam perlindungan diterapkan, semakin tinggi tingkat keamanan yang dicapai.
Dan ketika Anda memperhitungkan bahwa tidak semua informasi sensitif dalam bentuk digital (Anda mungkin masih memiliki makalah dengan informasi rahasia di dalamnya), kesimpulannya adalah bahwa perlindungan TI tidak cukup, dan bahwa departemen TI, meskipun sangat penting dalam proyek keamanan informasi, tidak dapat menjalankan proyek semacam ini sendirian.
Sekali lagi, fakta bahwa keamanan TI hanya 50% dari keamanan informasi diakui dalam ISO 27001 – standar ini memberi tahu Anda bagaimana menjalankan implementasi keamanan informasi sebagai proyek di seluruh perusahaan di mana tidak hanya TI, tetapi juga sisi bisnis organisasi, harus mengambil bagian.
Mendapatkan manajemen puncak di atas kapal
Namun, ISO 27001 tidak berhenti dengan penerapan berbagai perlindungan – penulisnya memahami dengan sangat baik bahwa orang-orang dari departemen TI, atau dari posisi tingkat bawah atau menengah lainnya dalam organisasi, tidak dapat mencapai banyak hal jika para eksekutif di puncak tidak melakukan sesuatu tentang hal itu.
Misalnya, Anda dapat mengusulkan kebijakan baru untuk perlindungan dokumen rahasia, tetapi jika manajemen puncak Anda tidak menegakkan kebijakan tersebut dengan semua karyawan (dan jika mereka sendiri tidak mematuhinya), kebijakan semacam itu tidak akan pernah mendapatkan pijakan di perusahaan Anda.
Jadi, ISO 27001 memberi Anda daftar periksa sistematis tentang apa yang harus dilakukan manajemen puncak:
- menetapkan harapan (tujuan) bisnis mereka untuk keamanan informasi
- menerbitkan kebijakan tentang cara mengontrol apakah harapan tersebut terpenuhi
- Menetapkan tanggung jawab utama untuk keamanan informasi
- menyediakan uang dan sumber daya manusia yang cukup
- secara teratur meninjau apakah semua harapan benar-benar terpenuhi
Tidak membiarkan sistem Anda memburuk
Jika Anda bekerja di sebuah perusahaan selama beberapa tahun atau lebih, maka Anda mungkin tahu bagaimana inisiatif / proyek baru bekerja – pada awalnya mereka terlihat bagus dan berkilau dan semua orang (atau setidaknya sebagian besar orang) berusaha melakukan yang terbaik untuk membuat semuanya bekerja. Namun, pada waktunya, minat dan semangat memburuk, dan dengan mereka, segala sesuatu yang berkaitan dengan proyek semacam itu juga memburuk.
Misalnya, Anda mungkin memiliki kebijakan klasifikasi yang bekerja dengan baik pada awalnya, tetapi pada saat teknologi berubah, organisasi berubah dan orang-orang berubah, dan jika tidak ada yang peduli untuk memperbarui kebijakan, itu akan menjadi usang. Dan, seperti yang Anda ketahui, tidak ada yang mau mematuhi dokumen usang, yang berarti bahwa keamanan Anda akan semakin buruk.
Untuk mencegah hal ini, ISO 27001 telah menjelaskan beberapa metode yang mencegah kerusakan tersebut terjadi; Terlebih lagi, metode tersebut digunakan untuk meningkatkan keamanan dari waktu ke waktu, membuatnya lebih baik daripada pada saat proyek berada pada titik tertinggi. Metode ini termasuk pemantauan dan pengukuran, audit internal, tindakan korektif, dll.
Oleh karena itu, Anda tidak boleh negatif tentang ISO 27001 – ini mungkin tampak kabur pada pembacaan pertama, tetapi ini dapat terbukti menjadi kerangka kerja yang sangat berguna untuk menyelesaikan banyak masalah keamanan di perusahaan Anda. Terlebih lagi, ini dapat membantu Anda melakukan pekerjaan Anda dengan lebih mudah, dan mendapatkan lebih banyak pengakuan dari atas.
lihat juga : Cara menggunakan ISO 27001 untuk mengamankan data saat bekerja jarak jauh
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
