Para profesional di bidang cyber security kerap menghadapi kutukan pengetahuan – memahami begitu banyak mengenai cyber security, tetapi sulit untuk mengkomunikasikannya secara sederhana kepada mereka yang berada di luar bidang ini. Pada akhirnya mereka sering kesulitan dalam menyusun sistem manajemen keamanan informasi.
Artikel kali ini akan membahas tentang contoh keamanan sistem informasi pada perusahaan menggunakan kerangka kerja (framework cybersecurity) dalam menyusun sistem manajemen keamanan informasi (information security management system), sehingga ini dapat memudahkan seluruh pihak di perusahaan untuk bisa saling memberi pemahaman tentang keamanan TI.
Contoh Keamanan Sistem Informasi pada Perusahaan dengan Framework Security
Permasalahan framework security dalam contoh keamanan sistem informasi pada perusahaan adalah informasinya yang dikemas dalam bentuk dokumen PDF yang panjang dan membosankan. Bahkan, ini justru menyebabkan kebingungan. Oleh sebab itu, untuk membuat kerangka kerja keamanan siber yang lebih mudah dipahami, bizzie dapat memisahkan menjadi 3 kategori: kerangka kerja kendali (control framework, kerangka kerja program (program framework), serta kerangka kerja risiko (risk framework)
Bizzie bisa menganalogikan ketiganya untuk contoh keamanan sistem informasi pada perusahaan dalam konteks membuat makanan. Seorang koki sebelum akan mulai memasak, mereka tentunya perlu membuat daftar bahan untuk makanan mereka —kerangka kerja kontrol. Lalu, mereka pun harus menentukan resep untuk mengumpulkan bahan-bahan itu menjadi makanan — kerangka kerja program). Akhirnya, mereka harus mencari tahu di mana makanan itu akan disajikan, dalam hal pengalaman apa yang diinginkan pelanggan ketika memakannya di restoran — kerangka kerja risiko.
Kategori Framework dalam Contoh Keamanan Sistem Informasi pada Perusahaan
Agar contoh keamanan sistem informasi pada perusahaan lebih mudah dimengerti, berikut adalah tiga kategori framework cybersecurity yang bisa bizzie gunakan sebagai acuan atau contoh keamanan sistem informasi pada perusahaan bizzie:
1. Control Framework Sistem Manajemen Keamanan Informasi
Contoh keamanan sistem informasi pada perusahaan dalam framework kategori ini adalah NIST 800-53 dan CIS Control (CSC). Ketika seorang profesional cyber security memasuki lingkungan baru tempat ia bertugas membangun dan mengelola Tim IT Security, mereka pasti berhadapan dengan kondisi organisasi yang umumnya relatif belum matang dari perspektif TI dan keamanan TI.
Biasanya langkah pertama yang mereka ambil adalah melakukan penentuan basic set of controls untuk kemudian diimplementasikan. Profesional cyber security memakai control framework untuk melakukan hal-hal atau contoh keamanan sistem informasi pada perusahaan sebagai berikut:
- Identifikasi kumpulan kontrol yang dijadikan sebagai baseline.
- Asesmen kondisi yang berhubungan dengan kapabilitas teknis.
- Memprioritaskan implementasi dari kontrol.
- Mengembangkan roadmap awal bagi Tim Keamanan TI.
NIST SP 800-53 merupakan katalog kontrol komprehensif yang berkaitan dengan kontrol keamanan dan privasi, yang mana kontrol bisa diimplementasikan berdasarkan prioritas atau kontrol keamanan baseline (low impact, moderate impact, ataupun high impact). Sementara itu, CIS Control telah menerbitkan 20 kontrol keamanan yang paling banyak dipakai perusahaan, yang mana kontrol tersebut diterapkan di banyak instansi pemerintahan di Amerika Serikat.
2. Program Framework Sistem Manajemen Keamanan Informasi
Contoh keamanan sistem informasi pada perusahaan dalam framework kategori ini contohnya adalah ISO 27001 serta NIST Cybersecurity Framework. Profesional cyber security menggunakan program framework untuk melakukan hal-hal atau contoh keamanan sistem informasi pada perusahaan sebagai berikut :
- Asesmen kondisi keseluruhan untuk program keamanan.
- Membangun program keamanan sveai komprehensif.
- Mengukur maturity (level kematangan), serta membandingkannya dengan standar industri yang sejenis.
- Menyederhanakan komunikasi bersama para pemimpin bisnis
Seri standarisasi ISO 27001 merupakan seri ISO untuk standar Sistem Manajemen Keamanan Informasi yang berfokus pada pembangunan program keamanan, termasuk di dalamnya konteks kepemimpinan, organisasi, perencanaan, dukungan, dokumentasi, operasi, penilaian kinerja, serta peningkatan berkelanjutan.
Sementara itu, NIST Cybersecurity Framework membantu identifikasi, perlindungan, deteksi, respons, serta pemulihan, yang terdiri dari 3 bagian diantaranya: core, implementation tiers, serta profil — dan mendefinisikan bahasa yang sama dalam hal menangani risiko. Ini membantu perusahaan menjawab pertanyaan terkait apa yang kita lakukan sekarang? Mau ke mana? Bagaimana caranya? Dan, kapan?
3. Risk Framework
Contoh keamanan sistem informasi pada perusahaan dari ramework ini adalah NIST 800-39, 800-37, 800-30, ISO 27005, serta FAIR. Risk framework memungkinkan para profesional cyber security, dalam memastikan bahwa mereka telah mengelola program keamanan dengan cara yang bermanfaat bagi stakeholder organisasi. Di samping itu, risk framework juga membantu mereka dalam menentukan bagaimana cara memprioritaskan aktivitas keamanan. Profesional cyber security memakai risk framework untuk melakukan hal-hal atau contoh keamanan sistem informasi pada perusahaan sebagai berikut:
- Menentukan proses kunci dalam hal melakukan asesmen dan mengelola risiko.
- Melakukan strukturisasi pada program manajemen risiko.
- Identifikasi, pengukuran, serta kuantifikasi risiko.
- Memprioritaskan aktivitas keamanan.
NIST Security mempunyai risk framework yang cukup dikenal meliputi: NIST SP 800-39 (defines the overall risk management process), NIST SP 800-37 (the risk management framework for federal information systems), dan NIST SP 800-30 (risk assessment progress). Lalu, ISO 27005 mendefinisikan pendekatan sistematis guna mengelola risiko bagi organisasi, sedangkan FAIR merupakan standar internasional yang didukung oleh dua organisasi.
Memulai Sistem Manajemen Keamanan Informasi
Perusahaan bisa mengambil langkah-langkah berikut untuk mulai mencari tahu kerangka kerja keamanan yang tepat, seperti contoh keamanan sistem informasi pada perusahaan, antara lain:
- Segera: Mengidentifikasi framework cybersecurity yang tepat untuk digunakan pada organisasi.
- Dalam tiga bulan: Mengimplementasikan ISMS dan evaluasi dalam 3 bulan, bagaimana kerangka kerja tersebut dapat memberikan kekuatan dari sisi pengamanan, maupun kinerja TI. Kemudian menempatkan satu sama lain untuk memenuhi tujuan kepatuhan dan regulasi.
- Dalam enam bulan: Memperbaharui rencana program keamanan bizzie untuk memanfaatkan masing-masing dari tiga kategori framework di atas, serta melakukan sosialisasi rencana tersebut dengan para pemimpin teknis, operasional, serta eksekutif.
Demikian bizzie dapat mematangkan program keamanan TI dengan memilih satu atau lebih contoh keamanan sistem informasi pada perusahaan kerangka kerja dari setiap kategori, untuk bekerja sama dalam meningkatkan keadaan keseluruhan aktivitas keamanan TI dalam perusahaan. Semoga bermanfaat.
