 Standar system Manajemen keamanan Informasi

Informasi adalah asset perusahaan sama pentingnya dengan asset-aset lainnya, seperti: gedung , mesin produksi, SDM, dan lainnya. Sebagai konsekuensi keamanan informasi di perlukan karena informasi dan proses, system, dan jaringan computer pendukungnya merupakan asset perusahaan yang sangat penting, dan harus dilindungi dari berbagai ancaman.
ISO 17799 adalah standar system manajemen keamanan informasi yang diakui di seluruh dunia. Standar ini diterbitkan untuk pertama kalinya oleh internasional organization for standardization (ISO) pada Desember 2000.
 ISO/IEC 17799:2008 Framework baru system manajemen keamanan informasi
Revisi dari framework system Manajemen keamanan informasi (SMK) juga di kenal dengan istilah informasi security management system (ISMS) framework ISO/IEC 17799 merupakan satu-satunya framework SMKI yang secar luas diakui oleh banyak Negara. Beberapa Negara mempunyai framework SMKI local mereka masing-masing, dan sejumlah ordanisasi telah berusaha memperbaiki versi sebelumnya,ISO/IEC 17799:2000. Akan tetapi, kepercayaan pada ISO/IEC 17799 tetap tidak tegoyahkan sebagai framework SMKI de facto dunia.
ISO/IEC 17799:2000 terdiri dari 10 control clause, yaitu:
1. Security policy
2. Security organization
3. Asset classification
4. Personal security
5. Physical and environmental security
6. Communicastion and operation management
7. Access control
HOME USER
Contoh berikut ini menunjukan sejumlah alasan mengapa home user rawan akan resiko keamanan informasi:
• Kurangnya pemahaman terhadap bahaya internet
• Pengguna software yang tidak sempurna atau tidak dapat di andalkan, dimana memiliki kelemahan di sisi keamanan
• Pengguna operating system yang tua dan lawas, sehingga meninggalkan kemungkinan terjadinya crash atau kehilangan data
• Kerawanan terhadap pornogerafi atau media yang tidak senonoh lainnya
• Tidak terkontrolnya pengguna computer oleh anak, teman, dan lainnya
• Penggunaan computer rumah untuk aktivitas bisnis, sehingga membuka peluang kerawanan baru terhadap data perusahaan.
Professional User
Berikut ini adalah contoh-contoh yang menunjukan bagaimana seorang professional user masih memiliki kerawanan terhadap resiko keamanan informasi:
• Kurangnya pemahaman terhadap peraturan dan prosedur keamanan informasi perusahaan, dan kurangnya rasa tanggung jawab
• Rendahnya apresiasi terhadap nilai dari data perusahaan
• Saling berbagai akses dengan rekan kerja atau teman
• Penggunaan computer kantor untuk urusan rumah
• Penggunaan laptop, mobile devise, dan media penyimpanan data lainnya ketika berada di luar kantor.
Hal-hal yang dilakukan oleh seorang professional user adalah:
• Sadarilah tanggung jawab pribadi anda atas segala hal yang terkait dengan keamanan informasi
• Pelajarilah aturan-aturan keamanan informasi yang sudah ada
• Berhati-hatilah terhadap segala kemungkinan terburuk yang bias terjadi, dan waspadalah apabila benar-benar terjadi
• Laporkan setiap insiden dan hal-hal yang mengkhawatirkan terkait dengan keamanan informasi, seperti :

1. Pelanggaran hak akses
2. Backup yang kurang memeadai
3. Kegagalan system
4. Transaksi elektronik yang tidak terkontrol dengan baik atau mengalami kegagalan.
• Buatlah backup terhadap data penting secara teratur dan lakukan tes terhadap hasil backup tersebut.
• Setelah menerima password, gantilah sesegera mungkin.
• Kembalikan seluruh hak hak milik perusahan.
• Kuncilah ruangan saat menunggalkan data atau perangkat yang harga
• Hancurkanlah informasi yang bersifat sensitif secara efiktif guna shredder, sapu bersih disket, hancurkan medianya, dan lainnya.
• Hanya guna accunt yang memiliki hak sebagai administrator dalam saat-saat tertentu saja, seperti saat menginstall software atau mengconfigure system anda, apabila memungkinkan.
• Ingatalah selalu bahwa anda bias dihadapkan pada suatu situasi dimana anda harus mempertanggung jawabkan bobolnya keamanan informasi secara hokum.

Yang tidak boleh dilakukan oleh seorang professional user adalah:
• Penyalagunaan sumber daya komputesi milik perusahaan untuk penggunaan yang tidak mendapat persetujuan .
• Meninggalkan system tanpa penjagaan yang memadai dan mudah untuk diakses oleh otang lain dalam jangka waktu yang lama.
• Memberitahukan password Anda pada orang lain atau berbagi pakai password dangan orang lain.
• Mengungkapkan data sensitive pada orang lain yang tidak mendapat otorisai untuk menerimanya atau yang tidak perlu mengetahui informasi tersebut.
• Menggunakan software bajakan atau shareware yang tidak jelas dikomputer milik perusahaan.
• Membypass atau menguninstall software antivirus.
• Mengabaikan insiden security yang terjadi
• Menambahkan atau mengambil perangkat komputert tampa otorisasi.


Manager
Berikut ini adalah contoh kerawanan terhadap resiko keamanan informasi :
• Gagal memahami beasrnya dampak dari setiap insiden sekuriti.
• Kurangnya pemahaman terhadap resiko keamanan informasi.
• Gagalnya memberikan arahan menganai keamanan informasi.
• Gagal memantau aktivitas para staff.
• Gagal mengidentifikasi insiden sekuriti .
• Gagal menjadikan isu keamanan informasi sebagai hal yang penting dan memastikan bahwa setiap langkah pencegahan telah dilakukan.
Kondisi-kondisi yang perlu diperhatikan oleh para manager untuk menghindari resiko keamanan informasi adalah sebagai berikut :
• Pastikan bahwa para staff mengtahui apa yang boleh dan yang tidak boleh dilakukan terkait keamanan informasi.
• Pastikan bahwa para staff memiliki sumber daya dan keahlian yang memadai.
• Pastika bahwa sekuriti menjadi salah satu bagian yang dipertimbangkan dalam penilaian kinerja para stff.
• Pastikan bahwa keamanan informasi menjadi bagian tak terpisah dari proses SDLC (system development cycle).
• Pastikan ketresediaan panduan sekuriti dan kesepakatan kontrak untuk e-commerce dan elektronok payment.
• Pastikan bahwa daftar hardware dan software yang sifatnya kritial terhadap layanan TI selalu tersedia dan up-to-date termasuk lokasi penanggulangan bencana.
• Pastikan bahwa prosedur pengarsipan dan backup terhadap data-data penting telah didefinisikan dan diterapkan
• Pastikan bahwa mobile device telah menjadi bagian dari strategi keamanan informasi dan telah dilindungi.
• Pastikan bahwa seluruh staff telah sadar bahwa mereka dapat dituntut secara hokum saat terjadi kebobolan serius terhadap keamanan informasi perusahaan.



Executive
Kerawanan yang dimiliki oleh executive antara lain :
• Kurang apresiasi terhadap resiko mana saja yang apaling signikfikan.
• Gagal untuk mengkomunikasikan budaya dan kerangka kerja pengendalian keamanan informasi yang tepat.
• Gagal dalam mendelegasikan pertanggunmg jawaban terhadap penglolaan resiko di setiap tingkat.
• Gagal dalam medetekasi di mana kelemahan sekutiti berada di dalam organisasi.
• Gagal memantau aktivitas pengolaan untuk memastikan kepatuhan terhadap kebijakan yang sudah ada.
Pertanyaan-pertanyaan yang perlu ditanyakan kepada para executive, apakah sudah berada di jalur yang tepat dalam merapkan information security governance di organisasimereka, adalah sebagai berikut :
• Kapan terakhir kalinya dilakukan pengukuran resiko trehadap tingkat criticality dari asset-aset informasi?
• memperhitungkan dampak dari kemampuan entitas bisnis untuk beroperasi saat informasi yang bersifat kritikal tidak tersedia,corrupted atau hilang?.
• Apakah pengukuran resiko keamanan informasi telah menjadi agenda rutin dalam setiap pertemuan pihak manajeman TI perusahaan, dan apakah pihak manajemen mengikuti terus setipa usaha melakuakn peningkatan?
• Apa yang dilakuakan perusahaan lain, dan bagaimana posisi perusahaan dengan para pesaing tersebur?
• Kapan terakhir kalinya kebijakan keamanan informasi dikeluarkan oleh perusahaan? Apakah kebijakan tersebut mencakup :
1. Asset informasi yang bersifat kritikal.
2. Penegasan betapa pentingnya isu mengenai keamanan informasi oleh dewan deksi dan manajemen
3. Resiko-resiko yang teridentifikasi.
4. Prosuder pemantauan dan pengumpulan feeback.
5. Mekanisme pengendalian yang dibengun untuk mengatasi resiko-resiko tersebut.
• Kapan terakhir kalinya penilaian kinerja dari orang yang bertanggung jawab terhadap keamanan informasi?
• Perlindunagan seperti apa saja yang telah diterapkan dalam system yang terhubung ke internet untuk melindungi entitas bisnis dari virus dan serangan lain?
• Apakah manajemen menyadari bahwa bobolnya system keamanan informasi dapat menyebabkan konsekkuensi hukum, dimanaperusahaan terpaksa harus menanggungnya?
Aksi nyata yang harus dilakuakan para executive adalah :
• Siapkan dan laksanakan program pengolahaan resiko yang mengidentifikasi ancaman, menanalisa vulnerability, mengukur tingkat criticality, dan menerapkan best practice di industry terkait.
• Definisikan dan terapkan kerangka kerja keamanan informasi yang terdiri dari standat, panduan praktis, dan prosuder.
• Pastikan bahwa strategi keamanan informasi yang terukur dan transparan bagi kalangan manajemen.
• Pelejari kembali strategi keamanan informasi dan perbaharui setidaknya setiap tahuan tatau lebih.
• Kembangkan skenario “what-if” terhadap resiko keamanan informasi, dengaan memenfaatkan pengetahuan dari para spesialis.
• Tetapka patokan dasar keamanan informasi dan pantau terus kesesuaiannya.
• Pastika bahwa setiap insiden sekuriti diinvestikasi dan dipecahkan secara tepat.
• Pastikan bahwa system keamanan informasi yang ditetapkan sesui dengan kerangka kerja information security govermence :
1. Keamanan informasi yang efektif bukan saja masalah teknologi, tetapi juga merupakan permasalahan bisnis.
2. Pengolahan resiko yang terkait harus disesuaikan dengan budayan perusahaan, kesadaran dan aksi manajemen sehubungan dengan keamanan informasi.
• Catatlah selalu seluruh informasi, layanan, dan transaksi yang sifatnya kritikal bagi perusahaan.
• Tetapkan pendekatan tingkat tinggi terhadap :
1. Siapa yang dapat mengakses dan mengubah data.
2. Tpe retensi data dan backup yang diperlukan.
3. Bagaimana cara melakukan otorisasi dan verifikasi terhadap transaksi elektronok.
• Dasarkan otorisasi system pada business rule dan sesuikan metode authentication pada resiko bisnis.
• Pastikan bahwa keamanan informasi menjadi bagian dari siklus hidup TI secara keseluruhan.




Senior Executive
senior executive masih memiliki kerawanan terhadap resiko keamanan informasi :
• Kurang apresiasi terhadap resiko mana saja yang apaling signikfikan
• Gagal dalam memberikan mandate untuk menerpakn budaya dan kerangka kerja pengendalian keamanan informasi yang tepat.
• Gagal dalam menyertakan pertanggungjawaban terhadap pengelolaan resiko dalam tim manajemen.
• Gagal dalam mendeteksi dimana kelemahan sekuriti berada di dalam organisai.
• Gagal dalam mengarahkan pengelolaan resiko dan memposisikan diri untuk mengetahui sisa resiko apa saja yang masih ada.
Pertanyaan-pertanyaan yang perlu ditanyakan kepada para senior executive adalah sebagai berikut :
• Bagaimana dewan direksi dapat selalu mengetahui seluruh isu-isu terkait keamanan informasi?
• Apakah sudah jelas bagi perusahaan mengenai posisinya terhadap resiko TI dan keamanan informasi?
• Apakah pihak manajemen mengetahui masalah-masalah sekuriti dan practice Ti terkini?
• Apa yang menjadi best practice di industry dan bagaimana keadaan perusahaan apabila dibandingkan terhadap best practice tersebut?
• Apakah masalah-masalah sekuriti TI menjadi bahan pertimbangan saat mengembangkan strategi bisnis dan strategi TI?
• Asset informasi mana saja yang terkait dengan hokum dan regulasi?
• Apakah ada program terkait keamanan informasi yang sudah ada, dimana mencakup seluruh pertanyaan diatas?
• Apakah manajemen sadar bahwa bobolnya system keamanan inbformasi bias menyebabkan tuntutan hokum yang akan menyeret pihak manajemen.
Aksi nyata yang harus dilakuakn oleh senior executive adalah :
• Membangun sebuah organisasi dan fungsi keamanan informasi yang akan membantu pihak manajemen dalam mengembangkan kebijakan dan membantu perusahaan dalam mengembangkan kebijakan tersebut.
• Menetapkan pertanggungjawaban, akuntibilitas, dan otoritas untuk seluruh fungsi yang terkait dengan keamanan informasi, kepada individu yang tepat di dalam organisai.
• Menetapkan program yang jelas dan pragmatis untuk kontinuitasperusahaan dan teknologinya, dimana akan secara ritin diuji dan dijaga selalu up-to-date.
• Lakukan audit keamanan informasi berdasarkan proses dan akuntibilitasyang jelas, dan tanggapi setiap rekomendasi yang dihasilakan sampai tuntas.
• Sertakan isu keamanan informasi dalam penilaian kinerja karyawan dan berikan penghargaan dan tindakan disipliner yang sesuai.
• Kembangkan dan perkenalkan pelaporan yang jelas dan rutin mengenai status keamanan ionformasi perusahaan kepada dewan dideksi, berdasarkan kebijakan yang sudah ditetapkan dan panduan, serta standar yang sesuai.