Salah satu kerangka mengenai keamanan informasi adalah ISO/IEC 27001:2013. Standar tersebut menyediakan 114 kontrol (Annex) keamanan informasi. Kontrol yang tidak hanya meliputi area Teknologi Informasi, namun area lainnya seperti Kebijakan Keamanan Informasi, Keamanan Sumber Daya Manusia, Keamanan Fisik dan Lingkungan, Manajemen Penyedia (supplier) hingga Kepatuhan (compliance)
Melihat maraknya kasus kebocoran data, Pungki Arianto selaku Senior IT GRC Consultant Proxsis IT, berpendapat setidaknya ada 3 kontrol yang utama dalam menjaga keamanan informasi.
- Kepemimpinan (Leadership)
- Kesadaran Keamanan Informasi (Security Awareness)
- Proses pendisiplinan (Diciplinary process)
Kepemimpinan (Leadership)
Pada kontrol ini, bukti implementasinya adalah adanya Komitmen Pimpinan. Apa bukti komitmen pimpinan?
Teorinya, pimpinan organisasi, punya kekuatan untuk mewujudkan apa pun yang ada di organisasi tersebut.
Tandatangan anggaran belanja, tanda tangan untuk rekrut personil serta tanda tangan menentukan peran dan tanggungjawab adalah bukti dari komitmen pimpinan terhadap jalannya organisasi.
Termasuk diantaranya adalah tanda tangan pimpinan dalam mengesahkan Kebijakan dan Prosedur keamanan informasi di organisasi tersebut.
Pernah terdapat organisasi yang tingkat manajemen menengahnya semangat untuk implementasi keamanan informasi. Mereka membuat rancangan kebijakan, prosedur, petunjuk pelaksanaan hingga formulir untuk implementasi keamanan informasi.
Namun saat dibawa ke pimpinan untuk dimintai tandatangan, sang pimpinan berkata (yang kurang lebih):
Tidak perlu pakai beginian. Ribet. Prosedur membuat organisasi tidak Agile.
Dan akhirnya, keamanan informasi relatif tidak berjalan karena tidak didukung oleh pimpinan.
Kesadaran Keamanan Informasi (Security Awareness)
Seperti yang telah disebutkan di atas, kontrol menjaga keamanan informasi tidak hanya pada teknologi namun juga di area lainnya.
Aspek paling lemah dalam rantai keamanan informasi adalah manusia. Apa buktinya?
Nissan NA source code leaked due to default admin:admin credentials (bleepingcomputer.com)
Berapa banyak para administrator yang mungkin masih menggunakan akun dan kata sandi admin:admin?
2020’s Most Common Passwords Are Laughably Insecure (pcmag.com)
Atau contoh lain.
Kita tidak mau jika kata kunci akun media sosial kita diketahui orang lain. Namun kadang di kantor, masih ada orang yang:
Pinjam user access donk. User gua ga bisa login nih.
Dan diberikan!
Dalam contoh tersebut, IT “percuma” mengamankan sistem sedemikan rupa jika penggunanya tidak menjaga akun yang dimilikinya.
Dan masih banyak contoh lainnya.
Proses pendisiplinan (Diciplinary process)
Kalau kita lihat di GDPR punya Eropa, pelanggaran data pribadi ada dampaknya.
18 Biggest GDPR Fines of 2020 & 2021 (So Far) | Updated 2021 | Tessian
Mengapa?
Karena tampaknya salah satu cara membuat efek jera adalah sanksi.
Dalam konteks keamanan informasi, maka pelanggaran terhadapnya sudah jelas akan membuat kerugian yang nyata. Bagi organisasi, kerugian terburuk adalah reputasi.
Sehingga, selama belum ada tindak lanjut yang tegas (apapun itu) terhadap kebocoran data pribadi maka selama itu peristiwa kebocoran data pribadi sulit untuk dicegah.
Penutup
Tidak ada yang mengatakan mudah dalam memperbaiki situasi ini karena memerlukan dukungan dari kedua belah pihak.
Dari regulator menyiapkan regulasi, dari organisasi menyiapkan tata kelola yang efektif, dan dari pengguna…. perlu punya kesadaran terhadap perlindungan data pribadi dan data sensitif miliknya.
Jangan sampai salah langkah, menjaga keamanan tatanan informasi juga bisa Anda lakukan dengan mengikuti berbagai kelas pelatihan yang sesuai dengan kebutuhan bisnis Anda. Simak jadwal IT Governance Indonesia terbaru berikut ini dan pesan kursi Anda sekarang juga sebelum kebocoran data membahayakan Anda!
