Tag Archives: Tata Kelola IT

Share This :

Di dalam ISO/IEC 27001:2005 disebutkan bahwa ISMS (Information Security Management System) / SMKI (Sistem Manajemen Keamanan Informasi) merupakan suatu proses yang disusun berdasarkan pendekatan risiko bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang (Check) serta memlihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan informasi perusahaan. Jadi jika mengacu pada pengertian SMKI tersebut, bahwa ISMS adalah suatu pendekatan proses “Plan - Do - Check - Act (PDCA)” maka untuk mengimplementasikannya diperlukan dukungan manajemen. Berikut tahapan dalam model PDCA :

isms_pdcaPLAN (Establish the ISMS)
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan antara lain :

  1. Ruang lingkup ISMS,
    Pemetaan ruang lingkup ISMS agar sesuai dengan kebutuhan keamanan informasi perusahaan seperti pemetaan terhadap proses-proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem informasi dan aspek-aspek teknologi yang diterapakan. Pemetaan ini bertujuan untuk mendapatkan gambaran terkini, gap, dan planning kedepan terhadap ISMS.
  2. Pendekatan Metodologi berbasis Risiko
    Pendekatan metodologi berbasis risiko ini disesuaiakan dengan kriteria perusahaan atau dapat menggunakan standard atau framework yang paling sesuai diterapkan. Metologi secara umum dibagi dalam beberapa tahap sesuai dengan antara lain :

        Analisa Risiko : Dalam tahap ini terdapat beberapa aktivitas seperti asesmen risiko seperti indentifikasi threat, vulnerablity, karakterisktik sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain. Tujuan dari tahap ini untuk memperoleh gambaran detail dari risiko yang ada.
        Risk Mitigation : Pemilihan terhadap mitigaasi risiko yang akan digunakan, strategi mitigasi risiko, cost benefit analysis dan lain-lain . Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi ISMS dan target pencapaian dari penerapan.
        Risk Evaluation dan Monitoring : Monitoring dan evaluasi terhadap risiko yang ada.
  3. Penentuan Kebijakan ISMS
    Merupakan pernyataan resmi perusahaan terkait ISMS yang dapat berupa Policy, procedure, standard, guideline dan work instruction.
  4. SOA (Statement of Applicability)
    Dokumentasi analisis terkait apa dan mengapa kontrol atau kebijakan isms tersebut dipilih dan akan diterapkan. SOA dapat dilakukan setelah melakukan metodologi berbasis risiko.

DO (Implement And Operate the ISMS)
Tahap “DO” merupakan tahap pelaksanaan dari apa-apa yang telah ditentukan dan direncanakan dalam tahap sebelumnya yakni “PLAN”. Aktivitas-aktivitas ditahap ini antara lain:

  1. Mengelola semua resources yang mungkin terlibat dalam ISMS mencakup: acquire, configuration, maintain dan disposal.
  2. Pengawasan implementasi dari ISMS.
  3. Pengembangan kebijakan yang disesuaian dengan kerangka yang dihasilkan dalam tahap plan.
  4. Knowledge transfer dan user awarness terhadap ISMS.

CHECK (Monitor and Review the ISMS)
ISMS memerlukan adanya pengukuran dalam tahap perencanaan dan implementasi untuk memberikan gambaran gap antara perencanaan dengan implementasi dan dalam rangka menuju langkah improvement ISMS. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:

  1. Pengukuran hasil kinerja dari keseluruhan ISMS mecakup pencatatan dan pengumpulan bukti-bukti baik fisik maupun logik sebagai sarana audit.
  2. Pengukuran efektifitas dari suatu control yang diterapakan.
  3. Review keseluruhan ISMS dan memberikan analisa ISMS.

ACT (Maintain and Improve the ISMS)
Seluruh kontrol yang ditetapkan dan telah diterapkan dalam ISMS tidak akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup point penting antara lain :

  1. Melakukan peningkatan dari hasil asesmen tahap-tahap ISMS sebelumnya.
  2. Memastikan kegagalan tidak terulang kembali.
  3. Knowledge transfer dari hasil peningkatan.

Share This :

Akses jaringan internet di lingkungan kerja, serta kebebasan dalam menggunakan perangkat seperti MP3, USB, flashdisk, CD dan lainnya di kantor menjadikan kejadian pencurian data rentan terjadi. Oleh karena itu, perusahaan perlu mengambil sejumlah langkah untuk mengamankan data di lingkungan kerja.

Data merupakan sesuatu yang sangat vital bagi bisnis. Jika data sensitif sampai jatuh ke tangan yang salah dan kemudian disalahgunakan, dampaknya bisa sangat buruk, seperti pelanggan atau nasabah diambil alih, rahasia perusahaan diketahui, sehingga dapat mempengaruhi daya saing bisnis dalam industri.

risk-analysisBerikut ini adalah tahap-tahap yang dapat Anda lakukan dalam mengelola risiko keamanan data di lingkungan kerja.

Pengukuran Risiko
Pertama, lakukan risk assessment, yakni pengukuran risiko. Lakukan analisa mengenai risiko-risiko data apa saja yang mungkin dicuri, peran karyawan mana saja yang terekspos terhadap risiko, juga analisa bagaimana kebijakan teknologi di lingkungan kerja.

Pada umumnya, data-data yang rentan untuk dicuri antara lain adalah:
• informasi rahasia
• rahasia dagang
• informasi hubungan dengan pelanggan, supplier, dan partner bisnis lainnya
• informasi hubungan dengan prospek pelanggan
• informasi mengenai tenaga kerja, dan skill-nya

Analisa dan Langkah Mengelola Risiko
Selanjutnya, analisa karyawan mana saja yang berpotensi untuk menghadirkan risiko tersebut. Biasanya adalah karyawan yang bisa langsung mengakses data dan informasi tersebut di atas, yang pada umumnya tidak tersedia secara bebas di perusahaan. Untuk mencegah risiko yang datangnya dari karyawan, maka dalam klausul kontrak dapat dimasukkan mengenai batasan-batasan bagi karyawan dalam mengakses dan memperlakukan data dan informasi tersebut.

Misalnya, karyawan tidak diperkenankan untuk membawa data dan informasi keluar dari kantor, kemudian seluruh hasil pekerjaan yang dilakukan oleh karyawan adalah milik kantor dan tidak boleh dibawa ketika karyawan sudah tidak bekerja disana lagi, tidak boleh dibagi dengan orang lain, dan sebagainya. Anda juga harus membuat konsekuensi yang jelas mengenai pelanggaran peraturan ini.

Lalu bagaimana dengan kebijakan mengenai penggunaan hardware dan software yang selama ini dikeluarkan oleh kantor? Apakah kontrolnya sudah efektif? Hardware dan software merupakan perangkat yang menyimpan data-data Anda, sehingga perlu diterapkan kebijakan dan kontrol yang ketat. Berikut ini adalah langkah-langkah yang dapat Anda ambil dalam mengelola risiko keamanan data.

Selalu gunakan password untuk mengakses database, dokumen dan file yang mengandung data dan informasi yang sensitif. Ini perlu untuk membatasi supaya hanya orang-orang tertentu saja yang dapat mengakses data dan informasi tersebut.

Amankan jaringan Anda dengan firewall dan antivirus, untuk mencegah pihak luar atau hacker menyusup ke dalam jaringan kantor Anda; mengirimkan trojan, virus atau spyware; dan mencuri data dan informasi yang sensitif.

Terapkan kebijakan penggunaan hardware yang ketat, seperti melarang perangkat eksternal seperti flash disk, MP3 player, hard disk external, CD, dan sejenisnya yang dapat digunakan untuk menyimpan data. Jangan ada CD/DVD writer, kecuali beberapa PC yang digunakan khusus untuk itu dan dikelola administrator. .

Anda juga dapat mengurangi risiko dalam menyimpan data sensitif dengan cara membuang data-data yang sudah tidak digunakan lagi. Namun Anda harus menyortir dengan ketat, jangan sampai data yang masih diperlukan oleh divisi lain terbuang. Sesuaikan juga dengan regulasi, yang mungkin mensyaratkan Anda untuk menyimpan data-data tertentu.

Kadang, perusahaan juga punya partner outsourcing yang menyimpan data-data, termasuk data sensitif. Jika demikian, maka tugas perusahaan harus menjamin bahwa partner outsourcing dapat menjaga data-data tersebut dengan serius. Mereka juga harus memahami konsekuensi jika data tersebut bocor ke tempat lain.

Data sensitif biasanya dijaga oleh karyawan-karyawan tertentu saja yang berkepentingan. Karena data itu begitu penting, oleh karena itu Anda harus memberikan reward yang pantas juga bagi karyawan tersebut, supaya memastikan bahwa karyawan tersebut menjaga datanya dengan baik. Jika tidak demikian, maka karyawan tersebut bisa saja lengah atau malah tergoda untuk menjual data ke pihak lain.

Terakhir, masalah mengamankan data ini, karena sifatnya strategis, maka harus dibangun awareness kepada seluruh karyawan di organisasi. Perusahaan harus menekankan pentingnya menjaga data sesuai dengan kebijakan dan prosedur yang sudah berlaku, serta konsekuensinya jika terjadi pelanggaran.

2 Comments

Share This :

Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance/GCG). Pemerintah telah menetapkan peraturan terkait dengan Tata Kelola TIK yaitu melalui Peraturan Menteri Komunikasi Dan Informatika Nomor: 41/PER/MEN.KOMINFO/11/2007 Tentang PANDUAN UMUM TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI NASIONAL.

Namun di dalam Permen tersebut tidak mencakup keamanan infromasi secara mendalam. Sedangkan dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).

Untuk itu Republik Indonesia  melalui  Kementrian Komunikasi dan Informatika RI telah membuat suatu panduan untuk penerapan tata kelola keamanan informasi,  panduan itu dikeluarkan oleh Direktorat Keamanan Informasi Kementrian Komunikasi dan Informatika RI dan diberi nama Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik

Hal ini menunjukkan bahwa negara peduli terhadap keaman informasi sehingga memberikan panduan kepada penyelenggara pelayanan publik. Tujuan dari panduan ini adalah agar instansi/lembaga penyelenggara pelayanan publik:

  • Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan konsisten dengan pendekatan berbasis risiko.
  • Mampu melakukan penilaian mandiri (self-assesment) secara objektif dengan menggunakan Indeks Keamanan Informasi (Indeks KAMI)
  • Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk menerapkan tata kelola keamanan informasi
  • Memahami roadmap penerapan tata kelola keamanan informasi

Panduan ini direkomendasikan untuk diterapkan di lingkungan penyelenggaran pelayanan publik yang meliputi: Instansi pemerintah pusat dan daerah, BUMN, BUMD dan penyelenggara pelayanan publik lainnya. Dalam panduan tersebut terdapat lima area evaluasi yang merupakan kontrol-kontrol keamanan sebagaimana dijelaskan dalam ISO/ISO 27001:2005 dengan mempertimbangkan karakteristik kondisi penerapan sistem manajemen keamanan informasi, khususnya instansi/lembaga penyelenggara pelayanan publik di Indonesia. 5 (lima) area tersebut adalah:

  1. Tata Kelola Keamanan Informasi
  2. Manajemen Risiko Keamanan Informasi
  3. Kerangka Kerja Pengelolaan Keamanan Informasi
  4. Pengelolaan Aset Informasi
  5. Teknologi Keamanan Informasi

Buku panduan tersebut dapat dilihat di Repositori Digital Kominfo

Share This :

ISO 27001 memiliki 11 Domain, 39 Control Objectives 133 Security Controls. Controls tersebut disebutkan didalam dokumen ISO 27001 Annex A Controls. Pada tulisan sebelumnya telah dijelaskan mengenai ISO 27001. Dan juga telah disebutkan domain yang digunakan dalam ISO 27001. Pada tulisan ini akan membahas mengenai kontrol-kontrol ISO 27001 sebagaimana yang di sebutkan dalam Annex A Controls.

Annex A berisi control sebagai berikut (Biasanya disebut dengan ISO 27001 Annex A Domains):

  • A.5 Security policy
  • A.6 Organization of information security
  • A.7 Asset management
  • A.8 Human resources security
  • A.9 Physical and environmental security
  • A.10 Communications and operations management
  • A.11 Access control
  • A.12 Information systems acquisition, development and maintenance
  • A.13 Information security incident management
  • A.14 Business continuity management
  • A.15 Compliance
ISO 27001 Annex A Controls

1. Security Policy
Tujuan utama dari control ini adalah memastikan adanya arahan manajerial serta dukungan eksekutif perusahaan terhadap semua usaha yang terkait dengan pembangunan serta pengimplementasian konsep-konsep keamanan informasi. Di samping itu, kebijakan keamanan ini juga digunakan sebagai jaminan bahwa semua usaha tersebut telah sesuai dengan kebutuhan- kebutuhan bisnis.

2. Organization of Information Security
Control ini bertujuan utama antara lain untuk:
_ Memastikan pengelolaan serta integrasi konsep keamanan informasi dalam organisasi, baik dalam bentuk keberadaan fungsi keamanan dalam organisasi maupun integrasi dengan proses bisnis dan tanggung jawab sumber daya manusia.
_ Memastikan terjaminnya keamanan informasi pada situasi serta kondisi dimana pihak eksternal terlibat dalam satu atau lebih proses bisnis perusahaan.

3. Asset Management
Control ini memastikan bahwa perusahaan sudah mengidentifikasi semua asset informasinya, siapa yang memiliki atau bertanggung jawab terhadap aset tersebut dan bagaimana proses serta prosedur yang sesuai dalam kegiatan pengelolaan dan penggunaan informasi tersebut. Di samping itu, juga perlu dipastikan adanya control yang mampu mengklasifikasikan jenis-jenis data dan informasi serta bagaimana pengelolaannya untuk setiap klasifikasi.

4. Human Resources Security
Control berkaitan erat dengan pengelolaan sumber daya manusia di dalam sebuah perusahaan. Manusia adalah ancaman terbesar dari keamanan informasi dan staf atau karyawan yang bekerja di dalam sebuah perusahaan adalah ancaman yang lebih besar bagi keamanan informasi di dalam perusahaan tersebut. Seperti kejadian di atas terkait dengan penyalahgunaan e-mail. Prosedur serta proses harus dimiliki perusahaan terkait dengan proses penerimaan karyawan, seperti interview dan screening; tanggung jawab karyawan selama dan ketika akan resign dari perusahaan tempatnya bekerja.

5. Physical and Environmental Security
Control ini terdiri dari aspek-aspek berikut:
_ Pengamanan area tempat kerja perusahaan yang diwujudkan, misalnya dengan adanya tool seperti biometrics security berupa sidik jari maupun name tag karyawan. Ini juga termasuk pada bagaimana seharusnya akses ke dalam data center akan dilakukan.
_ Penempatan serta akses terhadap alat kerja perusahaan, seperti telepon, printer, PC, dan lain sebagainya, sedemikian rupa sehingga hanya bisa digunakan oleh karyawan perusahaan saja.

6. Communications and Operations Management
Control ini bertujuan utama untuk mengurangi risiko kegagalan serta konsekuensi finansial maupun teknis dengan memastikan bahwa semua tool pengolahan data dan informasi perusahaan (printer, PC, dan sebagainya) telah digunakan sebagaimana mestinya dan berdasarkan kaidah-kaidah keamanan informasi.

7. Access Control
Control ini mengatur serta mengelola bagaimana seharusnya akses terhadap data dan informasi perusahaan dilakukan oleh staf/karyawan maupun pihak-pihak eksternal perusahaan. Beberapa bentuk dari control ini di antaranya adalah penerapan mekanisme otorisasi sistem seperti kebijakan penggunaan password untuk mengakses sistem jaringan perusahaan untuk penggunaan aplikasi, e-mail, dan sebagainya.

8. Information System Acquisition, Development, and Maintenance
Control ini bertujuan untuk mencegah modifikasi serta penyalahgunaan informasi yang terdapat di dalam operating system (PC yang digunakan oleh user) maupun dalam aplikasi.

9. Information Security Incident Management
Control ini terdiri dari beberapa aspek berikut:
_ Adanya proses pelaporan yang sesuai jika terjadi peristiwa seperti bocornya data dan informasi rahasia perusahaan ke tangan pihak-pihak yang tidak berwenang.
_ Adanya proses maupun prosedur yang dapat memastikan bahwa sebuah kejadian keamanan (security incident) tidak terjadi lagi di kemudian hari dengan mengetahui apa penyebabnya serta proses pencarian solusi permanen yang memadai.

10. Business Continuity Management
Control ini memastikan bahwa perusahaan memiliki kemampuan untuk bereaksi secara cepat terhadap kemungkinan terjadinya gangguan pada berjalannya proses bisnis yang kritikal dari kegagalan sistem aplikasi, bencana alam, dan lain sebagainya.

11. Compliance
Control ini memastikan bahwa semua peraturan pemerintah atau negara yang berlaku di tempat domisili perusahaan telah dipatuhi dan bahwa semua kebijakan keamanan informasi telah mengacu pada peraturan-peraturan tersebut. Contohnya mudah ditemui di industri perbankan, misalnya dengan kebijakan anti-money laundering atau pencucian uang, dimana perbankan harus mewajibkan semua nasabahnya membuat pernyataan terkait dari mana mereka memperoleh dana tersebut

5 Comments

Share This :

ISO 27001 adalah suatu standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI) sebagian besar sebelumnya diangkat berdasarkan BS 7799 yang umum digunakan sejak tahun 1995 mengenai pengelolaan keamanan informasi. ISO 27001 lebih dikenal dengan nama ISMS (Information Security Management Systems) dan merupakan standard yang banyak dipakai untuk melakukan tata kelola keamanan informasi pada sebuah organisasi. ISO 27001 menyediakan kerangka kerja untuk netralitas penggunaan tehnologi, netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukum.

Penerapan ISO 27001 sebagai jawaban atas persyaratan hukum dan kemungkinan besar ancaman keamanan seperti:

  • Perusakan / terorisme
  • Kebakaran
  • Kesalahan penggunaan
  • Pencurian
  • Serangan yang diakibatkan oleh virus

ISO 27001 disusun agar mudah saling melengkapi dengan standar sistem manajemen lainnya seperti ISO 9001 dan ISO 14001. Meskipun beberapa klausula tertentu berbeda, secara umum elemen-elemen yang ada termasuk dokumentasi, persyaratan audit dan tinjauan manajemen, memungkinkan suatu organisasi mengembangkan secara lebih luas integrasi sistem manajemen. Meskipun komunikasi moderen memerlukan suatu perantara berarti bahwa sebagian terbesar sistem ISMS diutamakan pada ICT, ISO 27001 adalah penerapan yang seimbang pada bentuk-bentuk informasi, seperti catatancatatan, gambar-gambar, dan percakapan-percakapan yang tersaji dalam bentuk kertas.

Serial ISO 27000

International Standards Organization (ISO) mengelompokkan semua standar keamanan informasi ke dalam satu struktur penomoran, seperti pada serial ISO 27000. Kerangka ISO/IEC 27000-series dapat dilihat di infosec management standard. Adapun beberapa standar di seri ISO ini adalah sebagai berikut:

  • ISO 27000: dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.
  • ISO 27001: berisi aspek-aspek pendukung realisasi serta implementasi sistem manajemen keamanan informasi perusahaan
  • ISO 27002: terkait dengan dokumen ISO 27001, namun dalam dokumen ini terdapat panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi perusahaan.
  • ISO 27003: panduan implementasi sistem manajemen keamanan informasi perusahaan.
  • ISO 27004: dokumen yang berisi matriks dan metode pengukuran keberhasilan implementasi sistem manajemen keamanan informasi.
  • ISO 27005: dokumen panduan pelaksanaan manajemen risiko.
  • ISO 27006: dokumen panduan untuk sertifikasi system manajemen keamanan informasi perusahaan.
  • ISO 27007: dokumen panduan audit sistem manajemen keamanan informasi perusahaan.
  • ISO 27799: panduan ISO 27001 untuk industri kesehatan.

ISO 27001: 2005 digunakan sebagai icon sertifikasi ISO 27000. ISO 27001: 2005 merupakan dokumen standar system manajemen keamanan informasi atau Information Security Managemen System–ISMS yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka mengimplementasikan konsep-konsep keamanan informasi di perusahaan. Secara umum ada 11 aspek atau yang biasa disebut sebagai control, yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi.

Control dalam hal ini adalah hal-hal, bisa berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi, seperti akses terlarang terhadap data atau informasi rahasia perusahaan.
Adapun ke-11 control tersebut adalah sebagai berikut:

  • Security policy.
  • Organization of information security.
  • Asset management.
  • Human resources security.
  • Physical and environmental security.
  • Communications and operations management.
  • Access control.
  • Information system acquisition, development, and maintenance.
  • Information security incident management.
  • Business continuity management.
  • Compliance.