Peter Drucker (salah satu pemikir paling berpengaruh pada subjek teori manajemen) mengatakan “Apa yang diukur akan dikelola”. Hal tersebut sama berlaku untuk keamanan informasi, jika Anda tidak tahu seberapa baik kinerja yang Anda lakukan, Anda akan mengalami kesulitan mengarahkan keamanan informasi Anda ke arah yang diinginkan.
Dan ‘arah yang diinginkan’ inilah yang merupakan bagian penting dari pengukuran untuk menetapkan tujuan. Hanya jika Anda tahu persis apa yang ingin Anda capai, Anda akan dapat mengetahui seberapa jauh atau seberapa dekat Anda untuk benar-benar mencapainya. Sama pentingnya ketika Anda akan menjawab pertanyaan manajemen Anda: “Apakah investasi kami dalam keamanan membuahkan hasil?”
Pengukuran Dalam ISO 27001
Anda yang mengetahui filosofi ISO 27001 tahu bahwa apa yang disebut siklus manajemen PDCA (Plan-Do-Check-Act) masih tetap sebagai dasar dari standar ini, meskipun tidak lagi ditampilkan dalam standar.
Konsep pengukuran juga paling baik dijelaskan melalui siklus PDCA ini:
- Dalam fase Rencana Anda perlu menetapkan tujuan (ISO 27001 5.2) dan 6.1.3)),
- Pada fase Do Anda harus mencari cara untuk mengukur hingga titik mana tujuan Anda tercapai (ISO 27001 9.1),
- Pada fase Periksa Anda perlu memulai pengukuran aktual (ISO 27001 9.1), dan akhirnya
- Dalam fase Act, setelah Anda menyadari bahwa Anda belum mencapai tujuan Anda (yang sangat sering terjadi), Anda perlu melakukan perbaikan tertentu (ISO 27001 10.1 dan 10.2)
Dan ISO 27001 membutuhkan setidaknya dua tingkat tujuan yang berbeda untuk ditetapkan:
- Tujuan untuk seluruh Sistem Manajemen Keamanan Informasi (ISMS) – ISO 27001 5.2), dan
- Tujuan untuk setiap kontrol keamanan (pengamanan) – ISO 27001 6.1.3)
Tentu saja, tergantung pada ukuran dan kompleksitas organisasi Anda, Anda dapat memilih untuk menambahkan lapisan tujuan lain – misalnya di tingkat unit organisasi individu (departemen, dll.).
Baca juga : Memahami Bahasa ISO 27001
Cara Menetapkan Tujuan Keamanan (terukur)
Banyak yang bertanya “OK, tetapi bagaimana saya bisa mengukur cadangan saya, atau firewall saya?”. Rahasianya terletak pada menetapkan tujuan yang mudah diukur. Anda mungkin pernah mendengar tentang konsep S.M.A.R.T.: tujuan harus Specific, Measurable, Achievable, Relevant, dan Time based.
Jadi, seperti apa tampilannya untuk firewall? Sesuatu seperti ‘Kami ingin firewall kami menghentikan 100% lalu lintas jaringan yang tidak diinginkan’. Apakah itu terukur? Ya, Anda akan mengetahui, cepat atau lambat, apakah beberapa lalu lintas yang tidak diinginkan telah melewati firewall.
Contoh lain cadangan. Tujuannya bisa jadi ‘Kami ingin mencapai kehilangan data kami maksimal 6 jam.’ Terukur? dan Anda tidak perlu menunggu kehilangan data terjadi, Anda dapat mengecek cadangan Anda dan melihat berapa banyak data yang dapat Anda pulihkan.
Contoh tujuan untuk seluruh ISMS adalah ‘Kami ingin mengurangi jumlah insiden atau kebocoran keamanan informasi sebesar 50% di tahun depan’. Sekali lagi, cukup spesifik dan karena terukur.
Tujuan Harus Membantu Anda Mengelola Keamanan Anda
Menetapkan tujuan dan mengukurnya adalah aspek keamanan informasi yang agak baru dan belum dijelajahi. Ini sangat sering dianggap sebagai overhead karena kurangnya pengetahuan di tempat awal, bukan karena alasan praktis.
Tetapi saat ini semakin banyak literatur tentang topik ini (standar ISO 27004 menjadi salah satu sumber terbaik) dan semakin banyak praktisi keamanan informasi dengan pengalaman di bidang ini, sehingga pengukuran perlahan-lahan masuk ke arus utama keamanan informasi.
Baca juga : Bagaimana Mengelola Dokumen Menurut ISO 27001
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
