Menyusun IT Security Master Plan

PT. NetSolution menyediakan layanan jasa konsultasi penyusunan IT Security Master Plan atau IT Security Roadmap. Layanan ini bertujuan untuk membantu organisasi/perusahaan dalam merumuskan arah strategis keamanan informasi dalam bentuk cetak biru/master plan dalam periode tertentu (tiga atau lima tahun kedepan) dengan menggunakan pendekatan enterprise security architecture.

Mengapa Keamanan Informasi memerlukan perencanaan strategis? Perencanaan strategis adalah proses yang mendukung organisasi dalam menetapkan tujuan dan sasaran untuk mencapai beberapa tujuan yang diinginkan dalam Bisnis. Perencanaan strategis juga membantu organisasi dalam mengidentifikasi berbagai sumber daya yang diperlukan untuk mencapai tujuan dan sasaran yang telah diidentifikasi.

Menyusun IT Security Master Plan akan membantu organisasi dalam mengidentifikasi dan memitigasi berbagai risiko yang dihadapi oleh berbagai aset informasi yang dimiliki oleh organisasi dan memastikan kerahasiaan, integritas, dan ketersediaan aset informasi.

Strategi Keamanan Informasi juga akan membantu organisasi dalam membawa perbaikan dalam Praktik Keamanan Informasi & Cyber ​​​​Organisasi. Strategi & rencana induk keamanan informasi yang efektif diperlukan saat ini untuk mengelola spektrum luas ancaman keamanan siber yang muncul secara global.

A. Input Strategi dan Perencanaan Keamanan Informasi

Pengembangan strategi keamanan informasi memerlukan pertimbangan dari berbagai macam masukan antara lain adalah:

A.1. Analisis dari Kebutuhan Stakeholder

Melaksanakan identifikasi dan analisis terhadap kebutuhan atau kepentingan stakeholder merupakan langkah awal dalam penyusunan IT Security Master Plan. Mereka biasanya memiliki kepentingan/kebutuhan yang berbeda-beda satu dengan lainnya. Berikut ini adalah para stakeholder yang patut dipertimbangkan kebutuhannya dalam hal keamanan informasi, antara lain:

  • Konsumen
  • Kepala unit bisnis
  • Staff
  • Manajemen puncak
  • Direksi
  • Komite audit
  • Patner bisnis
  • Investors/shareholders
  • Vendors
  • Service provider
  • Pemerintah daerah
  • Regulator

A.2. Asesmen Risiko Keamanan Informasi

Menjalankan asesmen atau penilaian terhadap risiko keamanan informasi merupakan salah satu aktivitas kritikal penting dalam pengembangan strategi keamanan informasi. Asesmen dapat dilaksanakan dengan cara menilai risiko yang selama ini dihadapi:

  • Informasi asset kritikal
  • Informasi proses bisnis kritikal
  • Informasi teknologi infrastruktur kritikal
  • Sistem TI aplikasi dan bisnis kritikal
  • Sumberdaya manusia kritikal
  • Fasilitas pengelolahan informasi kritikal (data center, dissaster recovery site, dsb)

Dimana proses asesmen risiko terdiri dari dua kegiatan utama berikut:

  • Evaluasi dan analisis risiko
  • Perencanaan mitigasi risiko

Secara umum proses untuk mengatasi risiko ada tiga cara, yaitu:

  • Menghindari risiko
  • Mentranfer risiko
  • Mitigasi risiko

Respon terhadap risiko didasarkan terhadap rating risiko residual dan kriteria risk appetite/risk acceptance dari organisasi. Berikut adalah framework yang dapat digunakan untuk melaksanakan kegiatan risk asesmen:

  • ISO 27005:2011
  • RISK IT
  • COBRA
  • OCTAVE
  • CRAMM
  • ISRAM
  • dan sebagainya.

A.3. Benchmarking dengan Industri Terkait

Dalam periode tertentu, praktik pengelolaan keamanan informasi perlu diperbandingkan (benchmarking) dengan pelaku bisnis lain yang berada di dalam industri sejenis. Untuk mengindetifikasi peluang perbaikan apa yang bisa dilakukan untuk peningkatan praktik-praktik pengelolaan keamanan informasi.

Selain itu benchmarking juga bisa dilaksanakan terhadap praktis manajemen seperti: COBIT, ISO27001, ISM3, OWASP, dan best practices lainnya yang bisa membantu identifikasi peningkatan peluang perbaikan praktik manajemen keamanan informasi pada organisasi, yang akan menjadi masukan kritikal pengembangan strategi keamanan informasi organisasi setiap tahunnya.

B. Komponen Strategi IT Security Master Plan

Master Plan Keamanan Informasi harus terdiri dari beberapa komponen yang saling berhubungan yang berasal dari berbagai sumber yang berkontribusi pada Strategi & Rencana Keamanan Informasi secara keseluruhan dari suatu organisasi. Visi, Misi, Tujuan Strategis, Penggerak Bisnis, Pemberdaya, Hasil yang Diharapkan, Inisiatif adalah komponen kunci dari Rencana Induk Keamanan Informasi.

Setelah setiap komponen diimplementasikan, rencana tersebut akan memungkinkan organisasi secara proaktif mengurangi risiko, mematuhi standar peraturan, keamanan, dan privasi, dan memungkinkan Keamanan Informasi untuk mendukung kebutuhan bisnisnya secara efektif.

B.1. Visi

Visi adalah tujuan yang ingin dicapai organisasi di masa depan. Untuk itu kita perlu merumuskan visi keamanan informasi organisasi, sebagai contoh: Menjadi mitra bisnis yang terjamin keamanan operasional bisnisnya sekaligus memberikan kepastian perlindungan keamanan informasi terhadap layanan yang diberikan kepada pelanggan.

B.2. Missi

Misi adalah metode atau cara yang digunakan untuk mewujudukan missi, contoh: Perlindungan asset informasi kritikal organisasi dari risiko yang mengancam confidentiality, integrity, dan availability dari data/informasi.

B.3. Strategic Objectives IT Security Master Plan

Strategic Objectives adalah objectives yang harus dicapai oleh organisasi agar strateginya berhasil, contoh: melaksanakan penerapan sistem manajemen keamanan informasi, melakukan audit/asesmen kondisi pengamanan informasi, dsb.

B.4. Business Drivers

Business drivers adalah faktor kritis yang menentukan kontinuitas keberhasilan dan keberlangsungan pertumbuhan bisnis. Ada beragam business drivers untuk pengelolaan keamanan informasi, antara lain:

  • Kepatuhan terhadap regulasi (ini khususnya di sektor perbankan)
  • Menjaga citra perusahaan
  • Kebutuhan pengamanan terhadap unit bisnis
  • Perlindungan terhadap ancaman dari luar dan dalam
  • Dan sebagainya.

B.5  Enablers

Enabler adalah kapabilitas kritis, kekuatan, dan sumberdaya yang memberikan kontribusi terhadap entitas, program, atau proyek. Ada beragam enabler untuk kesuksesan penerapan fungsi keamanan informasi, antara lain sebagai berikut:

B.5.1  Leadership

  • Komitmen dan dukungan dari pemimpin.
  • Standar kerja yang tinggi yang diterapkan oleh pemimpin.
  • Lingkungan kerja yang positif dan produktif.
  • Mendorong rasa kepemilikan bersama terhadap organisasi.

B.5.2 Sumberdaya Manusia

Misi adalah metode atau cara yang digunakan untuk mewujudukan missi, contoh: Perlindungan asset informasi kritikal organisasi dari risiko yang mengancam confidentiality, integrity, dan availability dari data/informasi.

B.5.3 Peoples

  • Struktur organisasi dengan job desk dan KPI yang jelas.
  • Staff yang kompeten dan berpengalaman.
  • Pemberian informasi dan training untuk meningkatkan kompetensi keamanan informasi.
  • Meningkatkan awareness dari para stakeholder terhadap keamanan informasi.

B.5.3 Partnership & Resources

  • Kerjasama strategis dengan pihak-pihak eksternal khususnya yang terkait dengan keamanan informasi seperti: regulator, asosiasi industri, dsb.
  • Memiliki layanan keamanan informasi yang lengkap dan beragam untuk mengantisipasi serangan.
  • Identifikasi para champion keamanan informasi di dalam organisasi.
  • Identifikasi partner yang bisa membantu organisasi dalam penerapan praktis keamanan informasi.

B.5.4 Proses

  • Penerapan sistem manajemen keamanan informasi seperti: ISO27001, Cybersecurity Framework, dsb.
  • Penerapan pedoman, prosedur, guideline, instruksi, checklist, standar, dan kontrol keamanan informasi.
  • Penerapan otomatisasi untuk berbagai kebijakan dan prosedur dengan menggunakan tools  seperti: firewall, IPS/IDS, SIEM, DLP, dsb.

B.5.5 Result Expected

Hasil yang diharapkan biasanya dapat dengan mudah diidentifikasi dengan menggunakan pendekatan konvensioal balance score card.

  • Financial Benefits, contoh: pengurangan biaya keamanan, pengurangan biaya terhadap dampak insiden keamanan atas IT System, pengurangan biaya untuk proses pemenuhan kepatuhan, dsb.
  • Customer Satisfaction, contoh: peningkatan kepuasan pelanggan terhadap aspek layanan keamanan informasi, meningkatnya awareness konsumen terhadap layanan yang mereka gunakan, dsb.
  • Internal Process Improvements, contoh: peningkatan kebijakan, prosedur, dan proses sistem pengelolaan keamanan informasi, peningkatan otomatisasi dalam proses keamanan, peningkatan compliance terhadap sistem manajemen keamanan, dsb.
  • Learning & Development, contoh: peningkatan kompetensi keamanan informasi, peningkatan awareness para stakeholder terhadap praktik pengamanan, dsb.

B.5.6 Projects/Initiatives

Berikut adalah contoh-contoh dari proyek atau inisiatif yang bisa digunakan untuk peningkatan fungsi pengamanan informasi dalam organisasi:

  • Asesmen atau audit ISO 27001 berikut gap analisis dan rekomendasi perbaikan.
  • Pengembangan dokumentasi policy & procedures  dalam penerapan SMKI (Sistem Manajemen Keamanan Informasi).
  • Penerapan framework information security compentency.
  • Penerapan training keamanan informasi dan perencanaan awareness.
  • Meningkatkan postur keamanan informasi sebagai kunci penting implementasi IT System.
  • Dan sebagainya.

B.5.7 Menyelaraskan Strategi Keamanan Informasi dengan Strategi Bisnis

Memastikan bahwa strategi keamanan informasi selaras dengan strategi bisnis dan mendukung pencapaian tujuan bisnis perusahaan.

B.5.8 Kriteria Penerimaan Risiko Organisasi

  • Identifikasi risiko yang dapat diterima.
  • Melakukan prioritas terhadap kegiatan mitigasi risiko.

B.5.9 Sosialisasi

Sosialisasi tujuan, strategi, dan program keamanan informasi organisasi kepada seluruh stakeholder organisasi agar mereka memiliki awareness dan budaya dalam pengelolaan keamanan informasi.

***

Kata Kunci: Menyusun IT Security Master Plan, Menyusun IT Security Roadmap, Menyusun Cetak Biru Keamanan Informasi, IT Security Blue Print, Master Plan Keamanan Informasi