Artikel ini akan menjelaskan apa itu ISMS (Sistem Manajemen Keamanan Informasi), masalah umum apa yang dimiliki bisnis dengan ISMS, dan bagaimana menerapkan dan mengoperasikan hal tersebut untuk saat ini.
Apa itu Security Management System (ISMS)?
ISMS adalah kerangka kerja yang menyediakan metode sistematis untuk mengelola dan terus meningkatkan keamanan informasi dalam suatu perusahaan. SMKI sering digambarkan sebagai siklus rencana-lakukan-periksa-tindakan atau piramida hirarki dokumen.
Namun, dengan melakukannya, mudah untuk mengabaikan komponen ISMS mendasar. Untuk mendemonstrasikan apa yang harus dimasukkan oleh ISMS, mungkin berguna untuk membayangkannya sebagai sebuah rumah, dengan komitmen manajemen berfungsi sebagai atap untuk menahan “hujan”, dan peran serta tugas berfungsi sebagai balok pendukung.
Manajemen risiko (pendekatan berbasis risiko), kontrol keamanan (apa yang harus dilakukan, oleh siapa, dan kapan), dan kepatuhan adalah tiga pilar utama rumah (untuk memastikan Anda melakukan hal yang benar dan melakukan hal yang benar). Tata kelola SMKI berfungsi sebagai fondasi rumah, memungkinkan Anda memastikan kemajuan berkelanjutan dan integritas semua komponen bangunan.
Mari kita mulai dengan memeriksa beberapa tantangan ISMS yang lazim saat ini:
- ISMS hanya ada di atas kertas dan tidak berdampak pada perusahaan.
- ISMS tidak mencerminkan operasi organisasi saat ini.
- Konsultan telah mengimplementasikan SMKI tanpa melibatkan organisasi, menghasilkan SMKI yang tidak mencerminkan organisasi secara akurat, yang kemudian gagal karena kurangnya kepemilikan internal.
- ISMS lebih menekankan pada Sistem Manajemen (MS) daripada Keamanan Informasi (IS).
- ISMS sudah usang dan tidak sesuai dengan praktik kerja kontemporer.
- ISMS dijual dan “dipasang” oleh individu yang tidak kompeten, dan templatnya tidak disesuaikan untuk organisasi.
- Manajemen percaya mereka “aman” karena mereka memiliki ISMS bersertifikat, tetapi mereka tidak memahami cakupan dan penerapannya, juga tidak menyadari bahwa sertifikasi ISMS tidak selalu sama dengan pertahanan keamanan cyber yang efektif.
- Karena ISMS dioptimalkan untuk lingkungan lokal, Insinyur dan Arsitek Keamanan Cloud tidak dapat menerapkan praktik terbaik di cloud.
Apa yang harus Anda lakukan jika Anda memiliki satu atau beberapa tantangan ini?
Jika Anda akan menerapkan ISMS di masa mendatang, apa yang harus Anda pikirkan?
#1 – Pemahaman Bisnis
Anda mungkin mulai dengan memperoleh pemahaman menyeluruh tentang misi dan operasi bisnis. Mengapa organisasi itu masih ada? Apakah mereka menjual sampo? Apa mereka menyediakan layanan kesehatan? Apakah mereka menjual suku cadang mobil? Apakah mereka toko online?
Kita harus ingat bahwa alasan kita membangun dan memelihara SMKI bukanlah SMKI itu sendiri. Karena organisasi menghadapi risiko keamanan dunia maya dan ingin mengurangi risiko tersebut ke tingkat yang dapat diterima. Ini berarti bahwa dua perusahaan mungkin memiliki persyaratan ISMS yang sangat berbeda; yang satu mungkin tidak memerlukan ISMS sama sekali, sedangkan yang lain mungkin memerlukan ISMS yang sangat canggih.
Juga bijaksana untuk menentukan strategi bisnis. Apakah mereka cenderung tumbuh dengan cepat? Masuk ke pasar atau negara baru? Menawarkan layanan baru? Bekerja di rumah? Akuisisi perusahaan pesaing? Dan seterusnya.
#2 – Analisis Kesenjangan Relatif Terhadap Kerangka Kerja Yang Diakui
Memiliki pemahaman menyeluruh tentang pertahanan keamanan dunia maya saat ini, termasuk di mana bisnis berkinerja baik dan di mana kinerjanya buruk, memungkinkan Anda untuk menentukan di mana ISMS harus menggali lebih dalam dan di mana Anda mungkin dapat menghabiskan lebih sedikit waktu. Ini juga menguntungkan untuk memiliki pemahaman tingkat tinggi tentang risiko paling kritis saat ini, dibandingkan mengembangkan ISMS tanpa mengetahui di mana harus memusatkan upaya Anda.
Bisakah Anda menemukan kerangka kerja yang akan membantu Anda dalam membangun dan menerapkan ISMS? Biasanya, ISMS didasarkan pada ISO/IEC 27001 dan 27002, tetapi ini tidak diperlukan bagi perusahaan untuk menerapkan ISMS. Standar atau kerangka kerja mana yang paling cocok untuk organisasi Anda? Bahkan ISO/IEC 27001 memperjelas bahwa kontrol dapat dirancang atau diidentifikasi dari sumber selain ISO 27001. CIS V8, NSM (prinsip dasar untuk keamanan TIK, kerangka kerja Norwegia), NIST CSF, CSA CCM, atau kerangka kerja yang sepenuhnya baru dapat menjadi lebih cocok untuk perusahaan Anda.
Baca juga tentang Dasar Cybersecurity yang Perlu Diketahui Profesional IT
#3 – Kesadaran dan Pelatihan
Biasanya, mengapa dan bagaimana dapat diselesaikan dengan pelatihan dan kesadaran. Bantu orang lain melakukan hal yang benar dengan menyampaikan keahlian Anda.
Beberapa tindakan mungkin diperlukan di sini, namun berikut adalah beberapa contohnya:
- Satu kursus Keamanan Cyber generik wajib untuk semua staf (sekali lagi, buatlah relevan dan disesuaikan untuk organisasi Anda). Setiap orang harus mengikuti kursus ini setiap tahun sebagai bagian dari proses bergabung.
- Kursus khusus yang dirancang untuk departemen tertentu. Pengembang memiliki kebutuhan yang berbeda dari keuangan, dan keuangan memiliki kebutuhan yang berbeda dari sumber daya manusia.
- Berhati-hatilah dengan e-learning dan kursus generik; mereka menghasilkan pemeriksaan kepatuhan yang diklik semua orang, berlawanan dengan strategi yang disesuaikan di mana individu didorong untuk belajar.
Untuk mendorong perubahan perilaku yang benar di antara karyawan, karyawan harus termotivasi dan yakin akan kemampuannya untuk berubah. Keduanya menuntut pelatihan dan kesadaran yang tepat.
Umumnya, mengajukan pertanyaan lebih unggul daripada mencoba membujuk. Tanyakan kepada staf mengapa Cyber Security diperlukan untuk perusahaan. Tanyakan siapa yang bertanggung jawab dan mengapa. Buat dialog di mana sebanyak mungkin opsi diaktifkan. Ingatlah bahwa tujuan Anda di sini adalah membuat orang lain membicarakan dan memikirkan tentang Keamanan Cyber, bukan untuk menarik perhatian Anda sendiri.
Saat mengadopsi ISMS, penting untuk mempertimbangkan dan mengingat sejumlah faktor. Mulai dengan ruang lingkup terbatas, gunakan sumber daya internal, hindari penggunaan ISMS organisasi lain, dan sering perbarui. Teknologi, risiko, dan ancaman tidaklah statis; oleh karena itu, ISMS Anda juga tidak boleh demikian.