Konsultan & Auditor Sistem Manajemen Keamanan Informasi

Audit Keamanan Sistem Informasi

Sistem Manajemen Keamanan Informasi adalah suatu strategi yang mendasarkan diri pada pembagian tanggung jawab dalam upaya untuk menurunkan risiko keamanan terhadap sistem informasi yang menjadi ancaman bagi organisasi. Kerangka kerja manajemen keamanan informasi memiliki tahapan proses, antara lain : membuat tahapan persiapan, identifikasi aset, kebijakan, dokumen pengelolaan keamanan informasi, operasional TI, jaringan komunikasi, dan yang terakhir adalah rincian teknis dalam pengamanan informasi.

Sistem Manajemen Keamanan Informasi atau biasa juga disebut sebagai information security management system menjadi sangat penting karena saat ini banyak organisasi bisnis yang secara operasional sudah sangat bergantung kepada implementasi teknologi informasi. Beberapa malah telah menjadikan teknologi informasi sebagai ujung tombak bisnis. Dimana business driver-nya adalah justru teknologi informasi itu sendiri. Oleh karena itu, risiko yang timbul akibat gangguan terhadap sistem informasi harus bisa diantisipasi dan ditanggulangi. Khususnya bila risiko tersebut adalah jenis risiko yang timbul karena adanya motif yang bersifat kejahatan.

Layanan Konsultasi & Audit Sistem Manajemen Keamanan Informasi

PT. NetSolution memberikan layanan terkait dengan konsultasi penerapan Sistem Manajemen Keamanan Informasi berikut dengan layanan auditnya. Untuk informasi lebih jauh terkait dengan layanan kami silahkan menghubungi kami di alamat Email : sales@netsolution.co.id atau Telp : 021-47884169 atau Telp/WA : 08129632130 CP: Abdulloh.

Dalam pelaksanaan layanan konsultasi dan audit Keamanan Sistem Informasi maka memiliki tenaga ahli yang kompeten dan memiliki sertifikasi internasional, antara lain :

  1. Abdulloh, S.Si., M.Si., CEH, COBIT, DWDCS
  2. Yanto, S.Kom, MM.,M.Kom.,COBIT, ITIL
  3. Nur Syarifudin, ST., M.Si., CCNA, CZ
  4. Afdhal Jauhari, S.Kom, CCNA, Comptia Network+

Rencana Keamanan Berbasis Analisis Risiko untuk Keamanan Informasi

Strategi keamanan informasi harus berdasarkan hasil analisis risiko. Jika tidak, akan menyebabkan lemahnya strategi dalam melaksanakan antisipasi keamanan. Khususnya terhadap ancaman, gangguan, dan serangan terhadap aset sistem informasi. Dalam pembuatan rencana keamanan hasil analisis dan mitigasi risiko menjadi pedoman utama dalam penyusunannya. Dengan demikian strategi keamanan yang diusulkan dapat secara efektif menurunkan risiko yang telah terindentifikasi.

Perusahaan perbankan atau sejenisnya seperti financial technology (fintech) diwajibkan untuk melaksanakan kegiatan audit Sistem Manajemen Keamanan Informasi untuk memastikan keamanan proses bisnis dan transaksi yang terjadi di perusahaan tsb. Pelaksanaan kegiatan tersebut dilakukan secara berkala. Di mana laporan audit ini harus diserahkan ke Bank Indonesia bersamaan dengan laporan lain yang juga dipersyaratkan.

Standarisasi atau Framework Pada Sistem Manajemen Keamanan Informasi

Standarisasi atau framework yang digunakan dalam implementasi atau audit sistem manajemen keamanan informasi bisa bermacam-macam. Kami menggunakan framework seperti COBIT 5 dimana ISACA telah menerbitkan panduan Tata Kelola Keamanan Sistem Informasi berupa dokumen kerangka kerja berupa profesional guide yang disebut sebagai : COBIT 5 for Information Security“. Professional guide ini pada dasarnya adalah implementasi konsep COBIT 5 yang khusus digunakan untuk menjadi kerangka kerja penyusunan Sistem Tata Kelola Keamanan Informasi dimana elemen COBIT 5 seperti : domain, proses, hingga aktivitas serta metriknya melibatkan aspek keamanan sistem informasi.

Framework atau standarisasi lain yang banyak digunakan adalah ISO27001:2013 yang merupakan program framework yang bila dilihat secara umum memiliki kesamaan perspektif dengan COBIT 5 for Information Security yaitu memandang keamanan teknologi informasi dari perspektif bisnis. Dibandingkan dengan COBIT 5 for Information Security, ISO 27001:2013 jauh lebih populer karena adanya sertifikasi ISO dari penerapan standar ini. Di mana sertifikasi ISO telah menjadi standar sertifikasi di beragam industri dan diterima secara global. Dari sisi implementasi, lebih banyak organisasi yang menerapkan sistem manajemen keamanan informasinya berbasiskan ISO 27001:2013.

Framework Keamanan TI yang Populer

Framework keamanan TI yang cukup populer khususnya di Amerika adalah yang dikenalkan oleh lembaga NIST (National Institute of Standards and Technology) yaitu NIST Cybersecurity Framework. Di mana framework keamanan ini menjadi framework yang banyak digunakan di instansi pemerintahan Amerika Serikat. Ini dikarenakan NIST adalah lembaga milik pemerintahan Amerika Serikat yang salah satu tugasnya adalah menyusun kerangka kerja atau standart salah satunya adalah untuk cybersecurity. Sama seperti ISO27001:2013, NIST Cybersecurity Framework termasuk dalam kategori program framework. Namun dari sisi perspektif maka NIST Cybersecurity framework masuk sebagai framework security dari perspektif teknologi. Bukan perspektif bisnis seperti halnya : COBIT 5 for Information Security maupun ISO 27001:2013.

Ada beberapa framework lain yang juga digunakan untuk keperluan menyusun sistem manajemen keamanan informasi selain ISO27001, COBIT 5 for Information Security, dan NIST Cybersecurity Framework, antara lain : NIST 800-53 dan CIS Control (CSC). Framework ini adalah framework yang berfokus pada kontrol keamanan informasi. Banyak digunakan sebagai framework cybersecurity yang memetakan kondisi baseline keamanan TI berdasarkan penggunaan kontrol. Framework ini banyak digunakan di awal-awal implementasi keamanan TI karena sederhana dan fokus hanya pada kontrol teknis keamanan informasi. Bahkan CIS Control hanya menyusun 20 kontrol keamanan, yang menurutnya paling banyak digunakan.

Selain itu ada juga framework sistem manajemen keamanan lain yang kategorinya adalah risk framework. Bila NIST 800-53 dan CIS Control adalah framework sederhana yang hanya berbasiskan kontrol keamanan saja, maka NIST 800-39, 800-37, 800-30, ISO 27005, dan FAIR yang merupakan framework dalam kategori risk framework yang memungkinkan profesional cybersecurity untuk memastikan bahwa mereka telah mengelola program keamanan dengan cara yang bermanfaat bagi stakeholder organisasi dan membantu menentukan bagaimana cara memprioritaskan aktivitas keamanan.

Sistem Manajemen Keamanan Informasi Perspektif Bisnis dan Teknologi

Bila dipandang dari sisi Bisnis dan Teknologi, maka framework security bisa dapat dibagi menjadi dua kategori yaitu :

  • Framework security dengan perspektif bisnis, antara lain : ISO27001:2013 dan COBIT 5 for Information Security.
  • Framework security dengan perspektif teknologi, antara lain : NIST Cybersecurity Framework, NIST 800-53, CIS Control (CSC), dll.

Framework security dengan perspektif bisnis biasanya adalah framework yang dalam penyusunannya melibatkan aspek kontekstualisasi bisnis. Memastikan adanya alignment atau penyelarasan antara tujuan dan strategis bisnis perusahaan dengan proses-proses TI yang ada mendukungnya (khususnya yang berkenaan dengan keamanan TI). Keunggulan framework ini adalah sifatnya yang sangat komprehensif dan terpadu, dari mulai aspek bisnis sampai dengan proses TI yang terlibat. Selain itu framework ini bisa menjadi jembatan komunikasi antara pihak-pihak pengelola bisnis organisasi dengan team yang mengelola cybersecurity. Kekuranganya adalah level detailnya dari aspek teknis, biasanya masih harus ditambahkan lagi dokumen prosedur atau working instruction atau kontrol keamanan teknis dari framework security lain yang sifatnya teknis.

Di pihak lain framework keamanan TI dalam perspektif teknologi adalah framework cybersecurity yang bila diperhatikan langsung berkenaan dengan teknologi atau aspek teknis dari keamanan TI. Sifatnya mendetail khususnya dalam hal kontrol keamanan TI. Keunggulan framework ini adalah level detilnya yang bersifat best practices yang sangat berguna secara langsung dalam implementasi teknis keamanan TI. Kekurangannya adalah tidak comprehensif (aspek bisnis sangat kurang dan tidak begitu menekan kontekstualisasi bisnis). Namun framework jenis ini adalah framework yang paling banyak digunakan saat awal implementasi bila baru mulai menerapkan sistem keamanan informasi dan yang penting adalah mudah dipahami karena bahasanya yang teknis.

Audit Keamanan Informasi di Industri Perbankan

Definisi dari Audit Sistem Manajemen Keamanan Informasi adalah sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.

Dalam hal kewajiban pelaksanaan audit keamanan sistem informasi yang dipersyaratkan oleh Bank Indonesia (BI) kepada institusi perbankan atau perusahaan fintech di Indonesia, tak ada ketentuan khusus atau keharusan untuk menggunakan standarisasi atau framework tertentu. Sepanjang ruang lingkup yang diperyaratkan oleh BI tercakup semua. Oleh karena itu, framewok COBIT dapat digunakan sebagai perangkat untuk melakukan Audit Sistem Manajemen Keamanan Informasi dengan melakukan penyesuaian ruang lingkup sesuai syarat BI. Selain COBIT 5 for Information Security, ISO27001 juga menjadi standarisasi dalam penerapan sistem manajemen keamanan informasi dapat pula digunakan sebagai pedoman audit keamanan informasi.

Ruang Lingkup Audit Keamanan Informasi Perbankan

Bagi perusahaan perbankan atau financial technology, ruang lingkup audit keamanan informasi menurut Bank Indonesia paling kurang meliputi pemenuhan aspek keamanan dan keandalan sistem dan/atau jaringan sebagaimana berikut di bawah ini:

  1. Adanya sistem keamanan teknologi yang dilakukan secara efektif dan efisien dengan memperhatikan kepatuhan terhadap ketentuan yang berlaku, yang paling kurang memenuhi prinsip-prinsip:
    • Kerahasiaan data
    • Integritas sistem dan data
    • Dua faktor otentifikasi sistem dan data.
    • Pencegahan terjadinya penyangkalan transaksi yang telah dilakukan
    • Ketersediaan sistem.
  2. Cakupan security audit paling kurang meliputi aspek teknologi informasi dan aspek bisnis;
  3. Adanya sistem dan prosedur untuk melakukan audit trail;
  4. Adanya kebijakan dan prosedur internal untuk sistem dan Sumber Daya Manusia (SDM);
  5. Adanya business continuity plan (BCP) yang dapat menjamin kelangsungan penyelenggaraan Uang Elektronik. BCP tersebut meliputi tindakan preventif maupun contingency plan (termasuk penyediaan sarana back-up) jika terjadi kondisi darurat atau gangguan yang mengakibatkan sistem utama penyelenggaraan Uang Elektronik tidak dapat digunakan.
  6. Audit teknologi informasi tersebut meliputi pula pemenuhan aspek keamanan dan keandalan sistem dan/atau jaringan terhadap keamanan dan keandalan sistem atau jaringan pemohon yang digunakan oleh pihak lain.

Cakupan audit tsb dapat tercover dengan baik oleh ISO27001:2013, NIST Cybersecurity Framework, maupun COBIT 5 for Information Security. Jadi kita bisa menggunakan kerangka atau standarisasi tersebut karenanya kesemuanya bisa digunakan.

Kontak Kami

Informasi lebih jauh terkait dengan Layanan Konsultasi dan Audit Sistem Manajemen Keamanan Informasi silahkan menghubungi kami :

  • Alamat Email : sales@netsolution.co.id
  • Telp. Kantor  : 021-47884169
  • Contact Person : Abdulloh (Telp/WA : 08129632130)

++++++

Artikel terkait

Link terkait : portofolio proyek, training komputer jakarta, kursus komputer jakarta, informasi training dan kursus, solusi mini datacenter, konsultan IT, sistem integrator, konsultan & sistem integrator IT, Keamanan Informasi, ISMS, Sistem Keamanan Informasi, Sistem Manajemen Keamanan Informasi, Audit Keamanan Informasi, Konsultan Audit Keamanan Informasi