Artikel

Jawaban Bagi Keamanan Informasi di Indonesia Tahun Ini
Jawaban Bagi Keamanan Informasi di Indonesia Tahun Ini

Oleh D.R. Tirtasujana

Anda masih ingat kasus kebocoran data di Indonesia tahun 2022 ini?  Kalau Anda telusuri lagi berita-berita terkait, Anda bisa menemukan bahwa Indonesia menduduki peringkat yang tidak main-main dalam urutan kasus kebocoran data di asia maupun di seluruh dunia.  Bahkan Anda mungkin memiliki pertanyaan yang tak pernah terjawab tentang apakah data Anda sendiri secara pribadi termasuk di dalam data yang terbocorkan atau tidak.

Kebocoran data secara umum menunjukkan bahwa ada yang perlu ditingkatkan pada keamanan informasi.  Sangat disayangkan ya?  Karena, tanpa disebutkan pun Anda sudah bisa bayangkan efek mengerikan dari sebuah sistem keamanan informasi yang lemah.  Kebocoran data, pemalsuan data, dan lain-lain bisa berujung pada kerugian secara finansial, menghancurkan citra, tuntuan hukum, bahkan sampai hal-hal lain yang mungkin pada saat Anda baca ini belum terpikir.

Tetapi, menyayangkan kejadian tersebut bukan hal yang begitu penting untuk dilakukan.  Yang sudah berlalu toh tidak bisa diubah lagi.

Pertanyaan berikutnya (dan yang memang lebih penting untuk ditanyakan) adalah “Apa yang harus dilakukan untuk meningkatkan keamanan informasi demi mencegah kejadian semacam ini terulang lagi di kemudian hari?  Apa saja langkah-langkahnya?  Bagaimana cara melakukannya?” Dan seterusnya..

Di Mana Informasi Digital Berada?

Sebelum bicara tentang apa yang perlu dilakukan, ada baiknya kita ingat bahwa di jaman digital seperti sekarang ini, informasi tidak hanya tersimpan di satu tempat saja.  Dari yang sederhana misalnya, tahukah Anda nomor telepon Anda diketahui siapa saja?  Pernahkah Anda mendapat pesan teks (WA/SMS/dll) meminta Anda mengingatkan bahwa kenalan Anda memiliki “tunggakan tertentu”?  Itu contoh sederhana saja.

Lalu bagaimana dengan alamat email Anda, nomor rekening Bank Anda, data medis Anda, data kependudukan, dll? Tersimpan di lokasi mana saja?  Siapa saja yang bisa mengaksesnya?  Kemungkinan ada di banyak tempat, baik Anda sadari maupun tidak.  Ini baru data pribadi.  Bagaimana dengan data perusahaan?  Masih panjang urusannya.

Informasi digital sangat mudah diduplikasi, dibagikan, dan dikirimkan sehingga bisa didapatkan tanpa perlu mendatangi sumber informasi secara fisik.  Ibarat air yang dialirkan dari satu tempat ke tempat lain melalui pipa, kebocoran ataupun pembocoran bisa terjadi di banyak titik.  Konsekuensinya, untuk mencegah penyalahgunaan, pengamanan informasi perlu dilakukan di semua tempat penyimpanan maupun di sepanjang jalur komunikasi/informasi.

Berarti, logis lah bahwa kita tidak bisa mengandalkan hanya satu orang, atau satu lembaga, atau satu perusahaan tertentu saja untuk memastikan keamanan informasi.  Seandainya keamanan informasi diilustrasikan sebagai sebuah rantai, jika ingin kokoh, maka setiap mata rantai juga harus kokoh.  Satu saja mata rantai lemah, maka mudah patah.

Nah, perusahaan Anda adalah salah satu mata rantainya.  Anda pun adalah salah satu mata rantainya.  Jadi. setiap perusahaan perlu melakukan tindakan masing-masing demi keamanan informasinya.

Apa yang Harus Dilakukan?

Cara yang dilakukan bisa macam-macam.  Namun, supaya tidak terlalu berpikir dari nol, Anda bisa ambil cara yang sudah digunakan secara internasional, yang sudah terbukti dilakukan oleh banyak perusahaan juga.  Tinggal Anda ikuti saja standar Sistem Manajemen Keamanan Informasi tersebut.

Di dalam isinya, Standar Sistem Manajeman Keamanan Informasi (atau dikenal juga dengan sebutan ISO 27001) ini mencakup “best practices” secara internasional untuk menyusun dan menerapkan sistem manajemen keamanan informasi.  Standar ini membantu perusahaan memproteksi ketersediaan dan integritas informasi, berdasarkan konsep CIA (Confidentiality, Integrity, Availability) – Kerahasiaan, Integritas, dan Ketersediaan.

Di Indonesia, sudah semakin banyak perusahaan yang menerapkan standar ini.  Sebagian dari Anda mungkin menjadi bagian dari perusahaan yang sudah menerapkan ISO 27001 ini, atau berencana menerapkannya.  Namun, tahukah Anda perkembangan terbaru terkait standar ini?

Perkembangan Terbaru Sistem Manajemen Keamanan Informasi – Information Security Management System (ISMS)

Standar ISO 27001 pertama kali diterbitkan pada tahun 2005 (ISO 27001:2005) oleh International Organization for Standardization (ISO).  Standar ini telah mengalami revisi pada tahun 2013 menjadi ISO 27001:2013.  Kemudian, di Bulan Oktober 2022, ISO menerbitkan kembali revisi terbaru dari Standar ISO 27001 menjadi ISO 27001:2022.Bagi perusahaan yang belum menerapkan.

Apa yang Berubah?

Secara umum, perubahan ISO 27001 dari versi 2013 ke 2022 adalah perubahan kecil sampai sedang (moderat).  Bagian utama dari standar ini yang pada versi 2013 terdiri dari 11 klausul, tetap menjadi 11 klausul di versi yang baru ini, meskipun dalam isinya ada sedikit perubahan untuk menyesuaikan dengan standar ISO terbaru lainnya, seperti ISO 9001, ISO 14001, dll, serta Annex L.

Bagi Anda yang sudah berkenalan dengan ISO 27001 sebelumnya, tentu Anda cukup familiar dengan Annex A.  Di dalamnya terdapat perubahan yang lebih jelas terlihat pada versi baru.  Jumlah Security Control dalam Annex A yang sebelumnya ada 114 (dalam 14 bagian), di versi baru ini ada perubahan, baik tambahan, perubahan nama, maupun penggabungan, sehingga totalnya menjadi hanya 93 (dalam 4 bagian).

Bagaimana Proses Transisinya?

Seperti umumnya standar ISO lain, dengan terbitnya sebuah standar revisi terbaru, maka standar yang lama masih akan berlaku sampai dengan 3 tahun berikutnya.  Begitu juga dengan ISO 27001:2013, masih akan berlaku sampai tahun 2025.

Jika perusahaan Anda sudah menerapkan dan disertifikasi ISO 27001:2013, meskipun sertifikat Anda masih tetap berlaku, Anda tetap sudah boleh bersiap-siap untuk mengadopsi standar baru ini.  Misalnya, Anda sudah mulai mempertimbangkan penggunaan Annex A dari versi yang baru sebagai alternatif.

Nantinya, pada saat renewal (pembaruan sertifikasi setelah 3 tahun), Anda sudah harus menerapkan standar versi yang baru ini.  Sebagai bagian dari persiapan, Anda sudah mulai bisa mengikuti training-training yang membahas lebih detil tentang perubahan dari isi standarnya.

Bagaimana Jika Belum Pernah Menerapkan ISO 27001 Sama Sekali?

Masih banyak juga perusahaan yang belum menerapkan Sistem Manajemen Keamanan Informasi samasekali.  Jika kondisinya demikian, pertama-tama Anda sudah harus merencanakan kapan penerapan ISO 27001 ini di perusahaan Anda, dan kapan perusahaan Anda akan disertifikasi untuk standar ini.

Untuk menyiapkan perusahaan sampai benar-benar siap disertifikasi, tentunya membutuhkan waktu.  Tergantung kesiapan dari perusahaan (dari sisi sumber daya manusia, infrastruktur, sistem yang sudah ada, komitmen, dll) persiapan bisa memakan waktu 3 – 6 bulan, karena melalui beberapa tahap.

Untuk itu, Anda sebaiknya sudah mulai merujuk ke standar versi yang terbaru.  Umumnya sekitar 6 bulan setelah sebuah standar diterbitkan, lembaga audit sertifikasi akan sudah bisa mulai mengaudit berdasarkan standar yang baru.

Tahapan yang secara umum dilalui perusahaan dalam menerapkan sebuah Sistem Manajemen adalah sebagai berikut:

  • Initial Assessment (menilai kondisi saat ini dibandingkan dengan kondisi ideal berdasar standar)
  • Training (membekali sumber daya manusia yang akan menyusun sistem di internal perusahaan)
  • Management System Documentation (menyusun segala hal terkait sistem yang akan dijalankan, dan didokumentasikan secara terstruktur)
  • Management System Implementation (menerapkan sistem yang sudah disusun dan didokumentasikan)
  • Management System Assessment (menguji apakah sistem sudah disusun dan diterapkan dengan baik.  Assessment dilakukan oleh pihak eksternal perusahaan seperti lembaga sertifikasi)

Sebagai kesimpulan, keamanan informasi sangatlah penting untuk mencegah kejadian-kejadian yang tidak diinginkan.  Karena informasi bisa berada di banyak tempat, dan sering meilbatkan jalur yang panjang ataupun kompleks, maka untuk memastikan keamanan informasi, semua mata rantai jalur informasi memiliki tanggung jawab untuk memastikan keamanan di area masing-masing, termasuk di perusahaan Anda.

Nah, sudah siapkan Anda mengadopsi standar terbaru ini sebagai bagian dari pencegahan bencana terkait informasi di negara kita?

Semoga bermanfaat.