Rawan Peretasan, PSE Diminta Terapkan Sertifikasi ISO 27001
Aidil Chendramata dari CBQA Global Certification
Cyberthreat.id - Seiring meningkatnya ancaman keamanan di dunia siber, Penyelenggara Sistem Elektronik (PSE) diminta menerapkan standar sertifikasi tata kelola keamanan informasi yakni SNI ISO/IEC 27014 tahun 2013.
Hal itu disampaikan oleh Aidil Chendramata selaku Lead Auditor ISO/IEC 27001:2013 dari CBQA Global Certification dalam berbicara pada webinar PANDI Meeting 11, Rabu (26 Agustus 2020).
“ISO 27014:2013 bisa dijadikan referensi implementasi tata kelola keamanan informasi,” ujarnya.
Hanya saja, ia tidak mengetahui lebih rinci apakah di Indonesia sudah banyak yang mengimplementasikan ISO 27014:2013 ini, karena dalam regulasi pun tidak ada yang mewajibkan menerapkannya.
“Implementasi ISO 27014 belum dilakukan survei. Tapi beberapa negara sudah menerapkan,” kata dia.
Menurut Aidil, di dalam standar ISO 27014:2013 dibedakan antara tata kelola dan bagian manajemen. Tata kelola, kata dia, adalah orang per orang atau kelompok yang diberikan tanggung jawab untuk memastikan kinerja dan kesesuaian kriteria organisasi.
“Kriteria yang dimaksud adalah standar atau bisa dalam bentuk regulasi atau pun persyaratan organisasi yang sudah ditetapkan. Dan juga kita sering dengar disebut CISO (Chief Information Security Officer),” ujarnya.
Sedangkan, manajemen atau eksekutif manajemen itu kelompok orang atau grup yang menerima tanggung jawab untuk implementasi strategi dan kebijakan organisasi.
Untuk itu, kata Aidil, tata kelola ini memastikan bahwa pengamanan sudah dilakukan sebagaimana mestinya bagi manajemen agar menerapkan semua kebijakan atau prosedur yang sudah ditetapkan oleh organisasi.
Aidil menambahkan, tata kelola keamanan informasi ini parameternya sangat tergantung pada manajemen keamanan informasi yang diterapkan oleh organisasi, mau itu sistem manajemen keamanan informasi berupa ISO 27001 atau berdasarkan COBIT 5, dan sebagainya.
“Tergantung organisasinya sendiri, sistem manajemen keamanan informasi mana akan diterapkan,” ujarnya.
Intinya, kata dia, tata kelola itu bagaimana mengevaluasi, memberikan arahan dan memonitor aktivitas yang dilakukan manajemen. Parameternya itu adalah bentuk manajemen yang diterapkan oleh organisasi.
“Dalam hal ini tata kelola berfungsi memastikan apakah tugas-tugas sudah dalam implementasi keamanan sudah dilaksanakan dengan baik.” ungkapnya.
Untuk menjalankan prinsip tata kelola keamanan informasi, Aidil menjelaskan setidaknya ada 6 prinsip yang harus menjadi dasar pelaksanaan tata kelola yaitu:
1. Pentingnya membangun keamanan informasi di seluruh unit aktivitas organisasi. Pengamanan informasi itu tidak hanya di sisi IT saja tetapi juga menjadi perhatian dibagian misalnya legal, pengembangan SDM, dsb.
2. Setiap penggunaan komponen atau sistem atau proses yang baru harus dilakukan analisis risiko. Dari itu, bisa ditentukan tindakan pengamanan apa yang bisa dilakukan dalam menekan, menurunkan keamanan informasi sampai ke level yang bisa kita terima.
3. Tata kelola harus berani mengambil keputusan dalam rangka melakukan investasi baik berupa SDM, ataupun infrastruktur atau anggaran lainnya yang diperlukan dalam mengamankan informasi.
4. Memastikan kesesuaian dengan persyaratan-persyaratan internal dan eksternal. Sebab, menurut dia, permasalahan isu internal atau eksternal di setiap organisasi bisa mempengaruhi dari keamanan informasi. untuk itu juga harus jadi pertimbangan dalam memutuskan penguatan keamanan informasi.
5. Bagaimana mengembangkan budaya positif terhadap pentingnya keamanan informasi di semua karyawan organisasi.
6. Harus selalu memperhatikan kinerja terkait dengan produk bisnis. []
Editor: Yuswardi A. Suud
