Sistem Manajemen Keamanan Informasi (SMKI) adalah suatu strategi yang mendasarkan diri pada pembagian tanggung jawab dalam upaya untuk menurunkan risiko keamanan terhadap sistem informasi yang menjadi ancaman bagi organisasi. Kerangka kerja manajemen keamanan informasi memiliki tahapan proses, antara lain : membuat tahapan persiapan, identifikasi aset, kebijakan, dokumen pengelolaan keamanan informasi, operasional TI, jaringan komunikasi, dan yang terakhir adalah rincian teknis dalam pengamanan informasi.
Informasi lebih lanjut mengenai layanan PT. NetSolution, bisa mengontak Tim Sales kami melalui formulir isian di LINK INI. Mohon maaf, kami hanya menindaklanjuti permintaan presentasi, meeting, penawaran dan proposal setelah menerima form yang telah diisi dengan lengkap.
Sistem Manajemen Keamanan Informasi atau biasa juga disebut sebagai information security management system (ISMS) menjadi sangat penting karena saat ini banyak organisasi bisnis yang secara operasional sudah sangat bergantung kepada implementasi teknologi informasi. Beberapa malah telah menjadikan teknologi informasi sebagai ujung tombak bisnis. Dimana business driver-nya adalah justru teknologi informasi itu sendiri.
Oleh karena itu, risiko yang timbul akibat gangguan terhadap sistem informasi harus bisa diantisipasi dan ditanggulangi. Khususnya bila risiko tersebut adalah jenis risiko yang timbul karena adanya motif yang bersifat kejahatan.
Rencana Keamanan Berbasis Analisis Risiko
Strategi keamanan informasi harus berdasarkan hasil analisis risiko. Jika tidak, akan menyebabkan lemahnya strategi dalam melaksanakan antisipasi keamanan. Khususnya terhadap ancaman, gangguan, dan serangan terhadap aset sistem informasi.
Dalam pembuatan rencana keamanan hasil analisis dan mitigasi risiko menjadi pedoman utama dalam penyusunannya. Dengan demikian strategi keamanan yang diusulkan dapat secara efektif menurunkan risiko yang telah terindentifikasi.
Perusahaan perbankan atau sejenisnya seperti financial technology (fintech) diwajibkan untuk melaksanakan kegiatan audit Sistem Manajemen Keamanan Informasi untuk memastikan keamanan proses bisnis dan transaksi yang terjadi di perusahaan tsb. Pelaksanaan kegiatan tersebut dilakukan secara berkala. Di mana laporan audit ini harus diserahkan ke Bank Indonesia bersamaan dengan laporan lain yang juga dipersyaratkan.
Standarisasi atau Framework SMKI
Standarisasi atau framework yang digunakan dalam implementasi atau audit sistem manajemen keamanan informasi bisa bermacam-macam. Kami menggunakan framework seperti COBIT 5 dimana ISACA telah menerbitkan panduan Tata Kelola Keamanan Sistem Informasi berupa dokumen kerangka kerja berupa profesional guide yang disebut sebagai : “COBIT 5 for Information Security“.
Professional guide ini pada dasarnya adalah implementasi konsep COBIT 5 yang khusus digunakan untuk menjadi kerangka kerja penyusunan Sistem Tata Kelola Keamanan Informasi dimana elemen COBIT 5 seperti : domain, proses, hingga aktivitas serta metriknya melibatkan aspek keamanan sistem informasi.
Framework atau standarisasi lain yang banyak digunakan adalah ISO27001:2013 yang merupakan program framework yang bila dilihat secara umum memiliki kesamaan perspektif dengan COBIT 5 for Information Security yaitu memandang keamanan teknologi informasi dari perspektif bisnis.
Dibandingkan dengan COBIT 5 for Information Security, ISO 27001:2013 jauh lebih populer karena adanya sertifikasi ISO dari penerapan standar ini. Di mana sertifikasi ISO telah menjadi standar sertifikasi di beragam industri dan diterima secara global. Dari sisi implementasi, lebih banyak organisasi yang menerapkan sistem manajemen keamanan informasinya berbasiskan ISO 27001:2013.
Framework Keamanan TI yang Populer
Framework keamanan TI yang cukup populer khususnya di Amerika adalah yang dikenalkan oleh lembaga NIST (National Institute of Standards and Technology) yaitu NIST Cybersecurity Framework. Di mana framework keamanan ini menjadi framework yang banyak digunakan di instansi pemerintahan Amerika Serikat. Ini dikarenakan NIST adalah lembaga milik pemerintahan Amerika Serikat yang salah satu tugasnya adalah menyusun kerangka kerja atau standart salah satunya adalah untuk cybersecurity.
Sama seperti ISO27001:2013, NIST Cybersecurity Framework termasuk dalam kategori program framework. Namun dari sisi perspektif maka NIST Cybersecurity framework masuk sebagai framework security dari perspektif teknologi. Bukan perspektif bisnis seperti halnya : COBIT 5 for Information Security maupun ISO 27001:2013.
Ada beberapa framework lain yang juga digunakan untuk keperluan menyusun sistem manajemen keamanan informasi selain ISO27001, COBIT 5 for Information Security, dan NIST Cybersecurity Framework, antara lain : NIST 800-53 dan CIS Control (CSC). Framework ini adalah framework yang berfokus pada kontrol keamanan informasi. Banyak digunakan sebagai framework cybersecurity yang memetakan kondisi baseline keamanan TI berdasarkan penggunaan kontrol.
Framework ini banyak digunakan di awal-awal implementasi keamanan TI karena sederhana dan fokus hanya pada kontrol teknis keamanan informasi. Bahkan CIS Control hanya menyusun 20 kontrol keamanan, yang menurutnya paling banyak digunakan.
Selain itu ada juga framework sistem manajemen keamanan lain yang kategorinya adalah risk framework. Bila NIST 800-53 dan CIS Control adalah framework sederhana yang hanya berbasiskan kontrol keamanan saja, maka NIST 800-39, 800-37, 800-30, ISO 27005, dan FAIR yang merupakan framework dalam kategori risk framework yang memungkinkan profesional cybersecurity untuk memastikan bahwa mereka telah mengelola program keamanan dengan cara yang bermanfaat bagi stakeholder organisasi dan membantu menentukan bagaimana cara memprioritaskan aktivitas keamanan.
SMKI Perspektif Bisnis dan Teknologi
Bila dipandang dari sisi Bisnis dan Teknologi, maka framework security bisa dapat dibagi menjadi dua kategori yaitu sebagai berikut :
- Framework security dengan perspektif bisnis, antara lain : ISO27001:2013 dan COBIT 5 for Information Security.
- Framework security dengan perspektif teknologi, antara lain : NIST Cybersecurity Framework, NIST 800-53, CIS Control (CSC), dll.
Framework security dengan perspektif bisnis biasanya adalah framework yang dalam penyusunannya melibatkan aspek kontekstualisasi bisnis. Memastikan adanya alignment atau penyelarasan antara tujuan dan strategis bisnis perusahaan dengan proses-proses TI yang ada mendukungnya (khususnya yang berkenaan dengan keamanan TI). Keunggulan framework ini adalah sifatnya yang sangat komprehensif dan terpadu, dari mulai aspek bisnis sampai dengan proses TI yang terlibat.
Selain itu framework ini bisa menjadi jembatan komunikasi antara pihak-pihak pengelola bisnis organisasi dengan team yang mengelola cybersecurity. Kekuranganya adalah level detailnya dari aspek teknis, biasanya masih harus ditambahkan lagi dokumen prosedur atau working instruction atau kontrol keamanan teknis dari framework security lain yang sifatnya teknis.
Di pihak lain framework keamanan TI dalam perspektif teknologi adalah framework cybersecurity yang bila diperhatikan langsung berkenaan dengan teknologi atau aspek teknis dari keamanan TI. Sifatnya mendetail khususnya dalam hal kontrol keamanan TI. Keunggulan framework ini adalah level detilnya yang bersifat best practices yang sangat berguna secara langsung dalam implementasi teknis keamanan TI.
Kekurangannya adalah tidak comprehensif (aspek bisnis sangat kurang dan tidak begitu menekan kontekstualisasi bisnis). Namun framework jenis ini adalah framework yang paling banyak digunakan saat awal implementasi bila baru mulai menerapkan sistem keamanan informasi dan yang penting adalah mudah dipahami karena bahasanya yang teknis.
++++++
Link Menarik :
- Konsultan Digital Marketing
- Konsultan IT Master Plan
- Konsultan dan Auditor Sistem Manajemen Keamanan Informasi
- Software Document Management System ISO9001
- Konsultan dan Auditor Tata Kelola TI
- Training dan Sertifikasi Teknologi Informasi
- Solusi Mini Data Center
- Pelatihan dan Pengembangan Profesi
- Sistem Integrator Teknologi Informasi
- Konsultan dan Sistem Integrator