Survey terhadap 400 perusahaan global dan eksekutif keamanan informasi di seluruh dunia menunjukkan bahwa adanya diskonektivitas antara bisnis dengan keamanan siber. Maksudnya adalah bahwa penerapan keamanan siber perusahaan tidak memiliki konteks dan konsep bisnis yang mendukung. Seolah-olah seperti dua buah entitas aktivitas yang berjalan sendiri-sendiri tanpa ada keterkaitan satu sama lainnya.
Separuh dari responden juga mengakui bahwa di perusahaannya tidak ada yang namanya Information Security Steering Committee yang secara khusus membicarakan dan mendiskusikan persoalan keamanan informasi dan risiko bisnisnya.
Steering Committee & Budaya Keamanan
Persoalan besar dalam menerapkan keamanan informasi perusahaan adalah budaya. Walaupun kita telah menyusun dan menerapkan serangkaian kontrol keamanan informasi namun semuanya itu sulit ditegakkan bila persoalan budaya berorientasi keamanan belum terwujud. Beda halnya kalau budaya keamanan sudah mendarah daging dalam suatu organisasi maka mewujudkannya keamanan informasi perusahaan akan menjadi lebih gampang.
Adanya budaya keamanan akan memudahkan organisasi dalam mewujudkan keamanan informasi dibanding membangun seperangkat aturan yang rinci dan kompleks namun membuat birokrasi bertambah ruwet. Dipihak lain aturan yang demikian berpotensi memperlambat respon perusahaan dalam menghadapi insiden keamanan.
Steering committee ini menjadi jalan mewujudkan budaya keamanan perusahaan karena ini adalah suatu bentuk forum lintas departemen dan lintas hirarki jabatan di mana semua perwakilan dari elemen perusahaan ada di dalamnya. Ada perwakilan dari eksekutif, perwakilan dari Departemen IT, perwakilan dari Departemen Finance, dan sebagainya.
Steering Committee sebagai Forum Diskusi
Seluruh elemen SDM yang terlibat dalam keamanan informasi memiliki suara dalam forum ini. Melalui steering committee ini didiskusikan secara terbuka bagaimana mewujudkan budaya keamanan sekaligus menjadi kendaraan untuk sosialisasi dan komunikasi budaya keamanan bagi seluruh staff dan karyawan. Tentu akan lebih efektif lagi bila anggota steering committee adalah individu yang memiliki pengaruh kunci di setiap level struktur organisasi.
Selain itu dalam forum steering committe ini anggotanya juga membahas mengenai penyusunan kebijakan keamanan baru, merevisi kebijakan keamanan eksisting, membuat serangkaian prinsip terkait keamanan, membicarakan program-program keamanan, mendiskusi prioritas proyek keamanan berikut dengan alokasi budgetnya, mengawasi progres pelaksanaan proyek, dan sebagainya. Karena steering committee ini fokus pada aspek keamanan informasi maka disebut sebagai Information Security Steering Committee.
Tugas dan Tanggungjawab Komite
- Menyusun target pencapaian dari program keamanan informasi.
- Koordinasi pengembangan dan peninjauan seluruh aspek manajemen keamanan informasi meliputi kebijakan, prosedur, dan guidelines.
- Merekomendasikan, meninjau, dan memprioritaskan proyek keamanan informasi.
- Mengkomunikasikan dan mensosialisasikan seluruh informasi terkait dengan keamanan. Termasuk kebutuhannya ke seluruh departemen dan unit kerja terkait.
- Memfasilitas program awareness dan melakukan kerjasama antara program keamanan dengan unit bisnis.
- Meninjau kinerja dan efektivitas program keamanan informasi berdasarkan pengukuran terhadap risiko.
Critical Insight
- Perlu dipisahkan antara Information Security Steering Committee (ISSC) dari IT Steering Committe (ISTSC). Karena keamanan bukan semata-mata domain IT saja tapi lebih luas lagi termasuk aspek keamanan di luar cakupan teknologi informasi.
- Komunikasikan permasalahan keamanan dalam konteks dan terminologi bisnis untuk memfasilitasi solusi keamanan yang masuk akal bagi seluruh organisasi. Jangan terjebak jargon teknis keamanan informasi yang tak dapat dipahami oleh anggota yang lain.
- Menyusun agenda keamanan dan stick pada agenda tsb. Saat terjadi pertemuan anggota komite pastikan agenda yang fokus sesuai tujuan keamanan. Jangan menambahkan dengan tujuan-tujuan lain yang mengaburkan tujuan keamanan yang ingin dicapai.
** Link Disarankan : sistem manajemen keamanan informasi, penerapan cybersecurity framework, konsultan dan auditor tata kelola TI, konsultan dan auditor sistem manajemen keamanan informasi, konsultan IT Master Plan, Sistem integrator, solusi data center, managed it service, rental IT, sistem manajemen keamanan informasi ISO27001, sistem manajemen keamanan informasi cybersecurity framework, training dan sertifikasi IT, dsb.
****