Menyusun IT Security Master Plan

PT. NetSolution menyediakan layanan jasa konsultasi penyusunan IT Security Master Plan atau IT Security Roadmap. Layanan ini bertujuan untuk membantu organisasi/perusahaan dalam merumuskan arah strategis keamanan informasi dalam bentuk cetak biru/master plan dalam periode tertentu (tiga atau lima tahun kedepan) dengan menggunakan pendekatan enterprise security architecture.

Informasi lebih lanjut mengenai layanan kami, bisa mengontak Tim Sales kami melalui formulir isian di LINK INI. Mohon maaf, kami hanya menindaklanjuti permintaan presentasi, meeting, penawaran dan proposal setelah menerima form yang telah diisi dengan lengkap.

Mengapa Keamanan Informasi memerlukan perencanaan strategis? Perencanaan strategis adalah proses yang mendukung organisasi dalam menetapkan tujuan dan sasaran untuk mencapai beberapa tujuan yang diinginkan dalam Bisnis. Perencanaan strategis juga membantu organisasi dalam mengidentifikasi berbagai sumber daya yang diperlukan untuk mencapai tujuan dan sasaran yang telah diidentifikasi.

Menyusun IT Security Master Plan akan membantu organisasi dalam mengidentifikasi dan memitigasi berbagai risiko yang dihadapi oleh berbagai aset informasi yang dimiliki oleh organisasi dan memastikan kerahasiaan, integritas, dan ketersediaan aset informasi.

Strategi Keamanan Informasi juga akan membantu organisasi dalam membawa perbaikan dalam Praktik Keamanan Informasi & Cyber Organisasi. Strategi & rencana induk keamanan informasi yang efektif diperlukan saat ini untuk mengelola spektrum luas ancaman keamanan siber yang muncul secara global.

A. Input Strategi dan Perencanaan Keamanan Informasi

Pengembangan strategi keamanan informasi memerlukan pertimbangan dari berbagai macam masukan antara lain adalah:

A.1. Analisis dari Kebutuhan Stakeholder

Melaksanakan identifikasi dan analisis terhadap kebutuhan atau kepentingan stakeholder merupakan langkah awal dalam penyusunan IT Security Master Plan. Mereka biasanya memiliki kepentingan/kebutuhan yang berbeda-beda satu dengan lainnya. Berikut ini adalah para stakeholder yang patut dipertimbangkan kebutuhannya dalam hal keamanan informasi, antara lain:

Konsumen
Kepala unit bisnis
Staff
Manajemen puncak
Direksi
Komite audit
Patner bisnis
Investors/shareholders
Vendors
Service provider
Pemerintah daerah
Regulator

A.2. Asesmen Risiko Keamanan Informasi

Menjalankan asesmen atau penilaian terhadap risiko keamanan informasi merupakan salah satu aktivitas kritikal penting dalam pengembangan strategi keamanan informasi. Asesmen dapat dilaksanakan dengan cara menilai risiko yang selama ini dihadapi:

Informasi asset kritikal
Informasi proses bisnis kritikal
Informasi teknologi infrastruktur kritikal
Sistem TI aplikasi dan bisnis kritikal
Sumberdaya manusia kritikal
Fasilitas pengelolahan informasi kritikal (data center, dissaster recovery site, dsb)

Dimana proses asesmen risiko terdiri dari dua kegiatan utama berikut:

Evaluasi dan analisis risiko
Perencanaan mitigasi risiko

Secara umum proses untuk mengatasi risiko ada tiga cara, yaitu:

Menghindari risiko
Mentranfer risiko
Mitigasi risiko

Respon terhadap risiko didasarkan terhadap rating risiko residual dan kriteria risk appetite/risk acceptance dari organisasi. Berikut adalah framework yang dapat digunakan untuk melaksanakan kegiatan risk asesmen:

ISO 27005:2011
RISK IT
COBRA
OCTAVE
CRAMM
ISRAM
dan sebagainya.

A.3. Benchmarking dengan Industri Terkait

Dalam periode tertentu, praktik pengelolaan keamanan informasi perlu diperbandingkan (benchmarking) dengan pelaku bisnis lain yang berada di dalam industri sejenis. Untuk mengindetifikasi peluang perbaikan apa yang bisa dilakukan untuk peningkatan praktik-praktik pengelolaan keamanan informasi.

Selain itu benchmarking juga bisa dilaksanakan terhadap praktis manajemen seperti: COBIT, ISO27001, ISM3, OWASP, dan best practices lainnya yang bisa membantu identifikasi peningkatan peluang perbaikan praktik manajemen keamanan informasi pada organisasi, yang akan menjadi masukan kritikal pengembangan strategi keamanan informasi organisasi setiap tahunnya.

B. Komponen Strategi IT Security Master Plan

Master Plan Keamanan Informasi harus terdiri dari beberapa komponen yang saling berhubungan yang berasal dari berbagai sumber yang berkontribusi pada Strategi & Rencana Keamanan Informasi secara keseluruhan dari suatu organisasi. Visi, Misi, Tujuan Strategis, Penggerak Bisnis, Pemberdaya, Hasil yang Diharapkan, Inisiatif adalah komponen kunci dari Rencana Induk Keamanan Informasi.

Setelah setiap komponen diimplementasikan, rencana tersebut akan memungkinkan organisasi secara proaktif mengurangi risiko, mematuhi standar peraturan, keamanan, dan privasi, dan memungkinkan Keamanan Informasi untuk mendukung kebutuhan bisnisnya secara efektif.

B.1. Visi

Visi adalah tujuan yang ingin dicapai organisasi di masa depan. Untuk itu kita perlu merumuskan visi keamanan informasi organisasi, sebagai contoh: Menjadi mitra bisnis yang terjamin keamanan operasional bisnisnya sekaligus memberikan kepastian perlindungan keamanan informasi terhadap layanan yang diberikan kepada pelanggan.

B.2. Missi

Misi adalah metode atau cara yang digunakan untuk mewujudukan missi, contoh: Perlindungan asset informasi kritikal organisasi dari risiko yang mengancam confidentiality, integrity, dan availability dari data/informasi.

B.3. Strategic Objectives IT Security Master Plan

Strategic Objectives adalah objectives yang harus dicapai oleh organisasi agar strateginya berhasil, contoh: melaksanakan penerapan sistem manajemen keamanan informasi, melakukan audit/asesmen kondisi pengamanan informasi, dsb.

B.4. Business Drivers

Business drivers adalah faktor kritis yang menentukan kontinuitas keberhasilan dan keberlangsungan pertumbuhan bisnis. Ada beragam business drivers untuk pengelolaan keamanan informasi, antara lain:

Kepatuhan terhadap regulasi (ini khususnya di sektor perbankan)
Menjaga citra perusahaan
Kebutuhan pengamanan terhadap unit bisnis
Perlindungan terhadap ancaman dari luar dan dalam
Dan sebagainya.

B.5 Enablers

Enabler adalah kapabilitas kritis, kekuatan, dan sumberdaya yang memberikan kontribusi terhadap entitas, program, atau proyek. Ada beragam enabler untuk kesuksesan penerapan fungsi keamanan informasi, antara lain sebagai berikut:

B.5.1 Leadership

Komitmen dan dukungan dari pemimpin.
Standar kerja yang tinggi yang diterapkan oleh pemimpin.
Lingkungan kerja yang positif dan produktif.
Mendorong rasa kepemilikan bersama terhadap organisasi.

B.5.2 Sumberdaya Manusia

B.5.3 Peoples

Struktur organisasi dengan job desk dan KPI yang jelas.
Staff yang kompeten dan berpengalaman.
Pemberian informasi dan training untuk meningkatkan kompetensi keamanan informasi.
Meningkatkan awareness dari para stakeholder terhadap keamanan informasi.

B.5.3 Partnership & Resources

Kerjasama strategis dengan pihak-pihak eksternal khususnya yang terkait dengan keamanan informasi seperti: regulator, asosiasi industri, dsb.
Memiliki layanan keamanan informasi yang lengkap dan beragam untuk mengantisipasi serangan.
Identifikasi para champion keamanan informasi di dalam organisasi.
Identifikasi partner yang bisa membantu organisasi dalam penerapan praktis keamanan informasi.

B.5.4 Proses

Penerapan sistem manajemen keamanan informasi seperti: ISO27001, Cybersecurity Framework, dsb.
Penerapan pedoman, prosedur, guideline, instruksi, checklist, standar, dan kontrol keamanan informasi.
Penerapan otomatisasi untuk berbagai kebijakan dan prosedur dengan menggunakan tools seperti: firewall, IPS/IDS, SIEM, DLP, dsb.

B.5.5 Result Expected

Hasil yang diharapkan biasanya dapat dengan mudah diidentifikasi dengan menggunakan pendekatan konvensioal balance score card.

Financial Benefits, contoh: pengurangan biaya keamanan, pengurangan biaya terhadap dampak insiden keamanan atas IT System, pengurangan biaya untuk proses pemenuhan kepatuhan, dsb.
Customer Satisfaction, contoh: peningkatan kepuasan pelanggan terhadap aspek layanan keamanan informasi, meningkatnya awareness konsumen terhadap layanan yang mereka gunakan, dsb.
Internal Process Improvements, contoh: peningkatan kebijakan, prosedur, dan proses sistem pengelolaan keamanan informasi, peningkatan otomatisasi dalam proses keamanan, peningkatan compliance terhadap sistem manajemen keamanan, dsb.
Learning & Development, contoh: peningkatan kompetensi keamanan informasi, peningkatan awareness para stakeholder terhadap praktik pengamanan, dsb.

B.5.6 Projects/Initiatives

Berikut adalah contoh-contoh dari proyek atau inisiatif yang bisa digunakan untuk peningkatan fungsi pengamanan informasi dalam organisasi:

Asesmen atau audit ISO 27001 berikut gap analisis dan rekomendasi perbaikan.
Pengembangan dokumentasi policy & procedures dalam penerapan SMKI (Sistem Manajemen Keamanan Informasi).
Penerapan framework information security compentency.
Penerapan training keamanan informasi dan perencanaan awareness.
Meningkatkan postur keamanan informasi sebagai kunci penting implementasi IT System.
Dan sebagainya.

B.5.7 Menyelaraskan Strategi Keamanan Informasi dengan Strategi Bisnis

Memastikan bahwa strategi keamanan informasi selaras dengan strategi bisnis dan mendukung pencapaian tujuan bisnis perusahaan.

B.5.8 Kriteria Penerimaan Risiko Organisasi

Identifikasi risiko yang dapat diterima.
Melakukan prioritas terhadap kegiatan mitigasi risiko.

B.5.9 Sosialisasi

Sosialisasi tujuan, strategi, dan program keamanan informasi organisasi kepada seluruh stakeholder organisasi agar mereka memiliki awareness dan budaya dalam pengelolaan keamanan informasi.

Informasi lebih lanjut mengenai produk dan layanan kami, silahkan menghubungi kami dengan mengklik dan mengisi form kontak kami ini. Kami akan segera menindaklanjuti permintaan Anda sesuai jam operasional kantor.

***

Kata Kunci: Menyusun IT Security Master Plan, Menyusun IT Security Roadmap, Menyusun Cetak Biru Keamanan Informasi, IT Security Blue Print, Master Plan Keamanan Informasi