Meningkatkan Kinerja melalui Penerapan Tata Kelola Perusahaan

Ditulis Oleh, Hilman Badhi Adikara, Team Leader GRC – Robere & Associates (Indonesia)

Tata kelola perusahaan adalah fondasi utama keberhasilan suatu perusahaan. Dalam era globalisasi dan persaingan yang semakin ketat saat ini, perusahaan yang mampu menerapkan praktik tata kelola yang baik memiliki peluang yang lebih besar untuk mencapai pertumbuhan yang berkelanjutan. Tata kelola perusahaan dapat merujuk pada kerangka kerja dan praktik manajemen yang digunakan oleh suatu perusahaan untuk mengelola dan mengarahkan operasinya. Hal ini mencakup hubungan antara pemegang saham, dewan komisaris, dewan direksi, dan pihak-pihak terkait lainnya.

Untuk dapat melakukan penerapan yang baik, Perusahaan dapat berpedoman kepada peraturan perundangan yang relevan dengan proses bisnis dijalankan atau referensi lain yang berisikan kerangka kerja tata kelola.

Mengapa penting bagi Perusahaan?

Pada dasarnya tata kelola merupakan aturan dasar yang harus dimiliki oleh Perusahaan, untuk mendukung berjalannya proses bisnis perusahaan yang efektif dan efisien, serta mendukung pencapaian target Perusahaan. Namun, sayangnya beberapa perusahaan saat ini belum sepenuhnya mengetahui betapa penting tata kelola perusahaan yang baik.

Beberapa manfaat penting dalam menerapkan tata kelola perusahaan yang baik, diantaranya:

  1. Meningkatkan nilai bagi pemangku kepentingan dalam jangka panjang;
  2. Stewardship sumber daya yang efektif;
  3. Ketahanan dan kinerja perusahaan dapat meningkat;
  4. Meningkatkan efektivitas pengambilan keputusan;
  5. Komposisi dan retensi personel di perusahaan meningkat;
  6. Meningkatkan kepercayaan dari pihak – pihak yang berkepentingan dengan perusahaan;
  7. Meningkatkan nilai aset yang tidak berwujud, seperti reputasi, citra publik, dan kepercayaan publik.

Referensi Regulasi di Indonesia

Dalam hal penerapan tata kelola, regulator di Indonesia telah menetapkan beberapa peraturan yang mengatur bagaimana perusahaan dalam menerapkan tata kelola berdasarkan proses bisnis yang dijalankan. Berikut beberapa referensi regulasi berdasarkan jenis Perusahaan yang ada di Indonesia sebagai berikut:

Jenis PerusahaanRegulasi Tata Kelola
Perusahaan Badan Usaha Milik Negara (BUMN)Peraturan Menteri BUMN Nomor 2 tahun 2023 tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan BUMN (Badan Usaha Milik Negara).
Perusahaan perasuransianOtoritas Jasa Keuangan Nomor 73/POJK.05/2016 tentang Tata Kelola Perusahaan yang Baik bagi Perusahaan Perasuransian dan Peraturan Otoritas Jasa Keuangan Republik Indonesia Nomor 7 tahun 2023 tentang Tata Kelola dan Kelembagaan Perusahaan Asuransi Berbentuk Usaha Bersama.
Bank UmumPeraturan Otoritas Jasa Keuangan Republik Indonesia Nomor 17 tahun 2023 tentang Penerapan Tata Kelola bagi Bank Umum.
Bank Perkreditan RakyatPenerapan Tata Kelola bagi Bank Perkreditan Rakyat.
Perusahaan PembiayaanPeraturan Otoritas Jasa Keuangan Nomor 30/POJK.05/2014 tentang Tata Kelola Perusahaan yang Baik bagi Perusahaan Pembiayaan.
Perusahaan Modal VenturaPeraturan Otoritas Jasa Keuangan Nomor 36/POJK.05/2015 tentang Tata Kelola Perusahaan yang Baik bagi Perusahaan Modal Ventura.

Standar Internasional terkait Tata Kelola Perusahaan

International Organization for Standardization (IOS) menerbitkan standar internasional terkait Tata Kelola Perusahaan yang baik yaitu ISO 37000 pada tahun 2021. Standar ISO 37000 memberikan gambaran umum mengenai tata kelola perusahaan disertai dengan prinsip dan hasil keluaran dari penerapan tata kelola. Berikut gambaran umum dari ISO 37000:2021:

Standar Internasional terkait Tata Kelola Perusahaan
Gambaran Umum ISO 37000:2021

 

Integrasi Tujuan dan Prinsip untuk Tata Kelola Perusahaan Menurut ISO 37000:2021

ISO 37000:2021 menekankan pentingnya Perusahaan memiliki Tujuan (Purpose) yang jelas sebagai prinsip utama (Primary) bagi Perusahaan. Untuk mendukung tercapainya tujuan, Perusahaan harus menetapkan nilai Perusahaan (Value generation), strategi, pengawasan, dan juga akuntanbilitas dalam proses bisnisnya. Hal tersebut menjadi prinsip dasar (foundational) dalam penerapan tata kelola perusahaan yang baik Penerapan prinsip utama dan prinsip dasar perlu didukung oleh prinsip pendukung (enabling) yang terdiri atas kepemimpinan, pengambilan keputusan berdasarkan data, tata kelola risiko, tanggung jawab sosial, keterlibatan dengan pemangku kepentingan, kinerja dan keberlangsungan Perusahaan.

Melalui penerapan prinsip utama, prinsip dasar, dan prinsip pendukung ini Perusahaan dapat memperoleh hasil yang terdiri atas:

  1. Kinerja yang efektif: Perusahaan dapat berjalan sesuai dengan tujuan dan persyaratan yang berlaku, meningkatkan nilai bagi pemangku kepentingan, serta selaras dengan kebijakan dan ekspektasi dari pemangku kepentingan yang relevan.
  2. Stewardship yang bertanggung jawab: Perusahaan dapat memanfaatkan sumber daya dengan cara yang bertanggung jawab, dapat menyeimbangkan dampak positif dan negatif yang timbul dari proses kerja perusahaan, mempertimbangkan konteks secara global yang dapat mempengaruhi bisnis perusahaan, memastikan kontribusi perusahaan terhadap pembangunan berkelanjutan, serta menimbulkan kepercayaan dan keyakinan dari masyarakat di tempat perusahaan beroperasi.
  3. Perilaku etis: Perusahaan memiliki perilaku sesuai dengan prinsip – prinsip yang dapat diterima dan norma yang berlaku, seperti budaya etis, akuntabilitas, keadilan dalam perlakukan dan keterlibatan dengan pemangku kepentingan, integritas dan transparansi dalam memenuhi kewajibannya, serta berkompetensi dan menjunjung tinggi kejujuran ketika perusahaan membuat keputusan.

Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Tata Kelola Perusahaan berdasarkan ISO 37000:2021,

Robere & Associates siap membantu. Gabung sekarang!

Contact Us

Penilaian Risiko Penyuapan Berbasis ISO 37001:2016

Ditulis Oleh, Rian Munanjar, Lead Consultant GRC – Robere & Associates (Indonesia)

Implementasi ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan (SMAP) dapat memberikan manfaat signifikan bagi organisasi, termasuk peningkatan reputasi, pengurangan risiko hukum dan keuangan, serta peningkatan hubungan dengan stakeholder. Standar ini juga membantu menciptakan budaya organisasi yang menolak penyuapan, mendorong integritas dan transparansi dalam semua aspek bisnis.

Mengenal ISO 37001:2016  

ISO 37001:2016 tentang Sistem Manajemen Anti Penyuapan memperkenalkan kerangka kerja yang komprehensif untuk mengelola risiko penyuapan dalam operasi sehari-hari dan transaksi bisnis. Elemen kunci dari standar ini mencakup kebijakan anti penyuapan, prosedur uji kelayakan proses, pelatihan karyawan terkait dengan anti penyuapan, evaluasi risiko penyuapan, uji kelayakan rekan bisnis dan tindak lanjut serta pemantauan efektivitas sistem manajemen anti penyuapan. Pengelolaan risiko penyuapan merupakan salah satu langkah awal yang kritikal bagi organisasi yang akan mengimplementasikan SMAP.

Mengapa Organisasi Perlu Menyusun Risiko Penyuapan Berdasarkan ISO 37001:2016

Tujuan penilaian risiko penyuapan adalah agar suatu organisasi mampu membentuk fondasi yang kokoh dalam mengimplementasikan Sistem Manajemen Anti Penyuapan, dimana melalui identifikasi risiko penyuapan Organisasi dapat menetapkan fokus pada risiko prioritas. Dengan memahami risiko prioritas yang harus dihadapi, Organisasi dapat dengan tepat melaksanakan mitigasi risiko, penerapan pengendaliannya termasuk alokasi sumber daya yang diperlukan.

Bagaimana Cara Menilai Risiko Penyuapan Berdasarkan ISO 37001:2016?

Dalam melaksanakan penilaian risiko penyuapan, organisasi perlu memperhatikan beberapa ketentuan sebagai berikut:

1. Organisasi harus menetapkan level kriteria untuk risiko penyuapan dengan tetap mempertimbangkan kebijakan dan sasaran organisasi.

Penetapan level kriteria risiko penyuapan pada umumnya menggunakan Risk Heat Map. Risk Heat Map merupakan pengukuran tingkat risiko dengan mempertimbangkan Likelihood (kemungkinan terjadinya suatu risiko) serta impact (dampak atas terjadinya suatu risiko).

ISO 37001:2016

Likelihood merupakan kemungkinan terjadinya suatu risiko relatif sangat jarang dalam kurun waktu atau jumlah tertentu. Berikut contoh kriteria dalam penentuan nilai likelihood:

Nilai LikelihoodPengertianContoh Penilaian
1
(Low)
Sangat Jarang / Tidak Mungkin Terjadi0 sampai 1 kejadian
2
(Low to Moderate)
Jarang / Kemungkinan Kecil Terjadi2 sampai 3 kali kejadian
3
(Moderate)
Agak Jarang / Mungkin Terjadi3 sampai 5 kali kejadian
4
(Moderate to High)
Sering / Kemungkinan Besar Terjadi6 sampai 8 kali kejadian
5
(High)
Sangat Sering / Pasti TerjadiLebih dari 8 kali kejadian

Sementara Impact merupakan dampak terjadinya suatu risiko. Berikut contoh kriteria dalam penentuan nilai impact:

Nilai ImpactPengertian Penilaian
1
(Low)
Sangat RendahApabila risiko terjadi, tidak mengganggu operasional, maupun keuangan.

(Biaya Kerugian < 0,01% dari total ekuitas)
2
(Low to Moderate/LTM)
RendahApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi, namun tidak signifikan.

(Biaya Kerugian > 0,01% - < 0,25% dari total ekuitas)
3
(Moderate)
Agak TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi cukup signifikan.

(Biaya Kerugian > 0,25% - < 0,50% dari total ekuitas)
4
(Moderate to High)
TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi relatif signifikan.

(Biaya Kerugian > 0,50% - < 0,80% dari total ekuitas)
5
(High)
Sangat TinggiApabila risiko terjadi, menimbulkan kendala operasional, munculnya kewajiban keuangan, penurunan reputasi secara signifikan.

(Biaya Kerugian > 0,80% dari total ekuitas)

Dari penilaian likelihood dan impact pada Risk Heat Map inilah yang akan menghasilkan prioritas risiko penyuapan di dalam suatu organisasi. Contoh Tingkat prioritas risiko penyuapan adalah sebagai berikut:

ISO 37001:2106

Dalam pelaksanaan penilaian risiko penyuapan, organisasi harus menilai risiko inheren dan risiko residual. Risiko inheren merupakan risiko yang ada dimana belum terdapat upaya mitigasi yang dilakukan maupun kontrol atau tindakan lain yang ditetapkan untuk mengurangi risiko dari tingkat awal ke tingkat yang lebih dapat diterima oleh suatu organisasi. Sementara risiko residual merupakan risiko yang tersisa setelah upaya mitigasi maupun kontrol dilakukan untuk mengurangi risiko inheren. Risiko residual inilah yang harus dihadapi oleh organisasi berdasarkan mitigasi risiko yang sebelumnya telah ditentukan.

ISO 37001:2016

Berikut salah satu contoh penilaian risiko penyuapan terkait dengan proses pengadaan termasuk bagaimana suatu organisasi menangani risiko tersebut:

ISO 37001:2016

2. Organisasi harus melaksanakan penilaian risiko penyuapan secara berkala

Ketentuan dalam melaksanakan penilaian risiko penyuapan adalah sebagai berikut:

  • Mengidentifiksi risiko penyuapan organisasi yang wajar untuk antisipasi dari isu internal maupun isu eksternal yang relevan degan tujuan suatu organisasi. Dalam melaksanakan identifikasi risiko penyuapan, organisasi perlu memahami proses bisnis yang dimiliki secara end-to-end serta melihat banyaknya jumlah interaksi yang dilaksanakan dari internal ke eksternal maupun interaksi yang dilaksanakan oleh internal ke internal di dalam suatu organisasi.
  • Menganalisis, menilai dan memprioritaskan risiko penyuapan yang telah teridentifikasi; dan
  • Mengevaluasi kesesuaian dan keefektifan dari kendali yang ada di organisasi untuk mengurangi risiko penyuapan yang dinilai.

3. Penilaian risiko penyuapan harus ditinjau secara berkala

Peninjauan penilaian risiko penyuapan dilaksanakan dengan ketentuan sebagai berikut:

  • Peninjauan dilaksanakan secara berlaka sehingga setiap adanya perubahan informasi baru dapat dinilai secara tepat waktu oleh organisasi; dan
  • Pada saat terjadinya perubahan penting terhadap struktur organisasi maupun aktivitas organisasi.

4. Terdokumentasi

Organisasi harus menyimpan informasi terdokumentasi untuk menunjukkan bahwa penilaian risiko penyuapan telah dilaksanakan dan digunakan untuk merancang maupun meningkatkan sistem manajemen anti penyuapan.


Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Sistem Manajemen Anti Penyuapan berdasarkan ISO 37001:2016, Robere & Associates siap membantu. Gabung sekarang!

Contact Us

Sistem Penanganan Pelaporan Pelanggaran Berbasis ISO 37002

ISO 37002:2021

Ditulis Oleh, Satrio Adhi Pradana, Lead Consultant GRC – Robere & Associates (Indonesia)

Dunia bisnis saat ini mengalami perkembangan secara pesat, namun tidak dapat dipungkiri di tengah pesatnya perkembangan tersebut, pelanggaran seperti kecurangan dalam faktor keuangan, penyalahgunaan kebijakan perusahaan, serta tindakan ilegal lainnya juga mengalami perkembangan. Oleh karena itu, organisasi sangat direkomendasikan untuk memiliki sistem pengelolaan pelaporan dan penanganan yang sistematis sebagai paduan yang dapat membantu organisasi dalam mengelola pelanggaran yang disampaikan oleh pihak yang relevan di organisasi. Dalam hal ini, Standar internasional ISO 37002:2021 tentang Sistem Manajemen Pelaporan Pelanggaran dapat dimanfaatkan sebagai panduan dalam implementasi pengelolaan sistem penanganan pelaporan pelanggaran bagi organisasi.

Manfaat Implementasi ISO 37002:2021

ISO 37002:2021 merupakan panduan yang diterbitkan oleh International Organization for Standardization (ISO) yang bertujuan untuk memberikan panduan dalam mendesain, menerapkan, mengelola, dan meningkatkan secara berkesinambungan sistem manajemen pelaporan pelanggaran.

ISO 37002:2021 dapat dimanfaatkan sebagai panduan bagi organisasi dalam mencegah atau meminimalisir kerugian yang diakibatkan oleh perilaku yang menyimpang dengan mengidentifikasi, menangani, mengelola penyimpangan yang dilaporkan sedini mungkin.

Selain itu, implementasi ISO 37002:2021 dapat menunjukkan bahwa organisasi telah mendemonstrasikan praktik tata kelola yang baik dan berintegritas kepada pihak berkepentingan yang relevan.

Aspek Penting dari ISO 37002:2021

Salah satu aspek penting dari ISO 37002:2021 adalah memberikan panduan tentang bagaimana organisasi dapat menciptakan lingkungan yang mendukung pelaporan pelanggaran, termasuk memastikan bahwa para pelapor merasa aman dan dilindungi, serta mendorong budaya terbuka dan transparan di seluruh organisasi. Adapun langkah-langkah penting yang dicakup dalam ISO 37002:2021 meliputi beberapa hal sebagai berikut:

1. Proses Pelaporan

Organisasi disarankan untuk menciptakan mekanisme pengelolaan pelaporan pelanggaran dengan memperhatikan 2 aspek sebagai berikut:

  • Ketelusuran (Traceability)

Setiap laporan harus dilacak secara rinci mulai dari penerimaan hingga penyelesaian untuk menciptakan transparansi dan memastikan akuntabilitas dalam penanganan laporan.

Sebagai contoh, pemberian nomor pelaporan yang diberikan kepada pelapor agar pelapor dapat memantau seluruh proses penanganan laporan yang telah disampaikan.

  • Kerahasiaan

Organisasi perlu menerapkan langkah-langkah untuk melindungi identitas pelapor dan menjaga kerahasiaan informasi yang terkait dengan laporan. Aspek kerahasiaan ini akan membantu organisasi dalam menciptakan lingkungan dimana pekerja akan merasa aman untuk melaporkan pelanggaran.

Sebagai contoh, Organisasi dapat menyediakan opsi pelaporan pelanggaran secara anonim. Dalam hal anonimitas, terdapat 2 opsi sebagai berikut:

  • Anonimitas Total, dimana identitas pelapor sepenuhnya disembunyikan dan tidak terdapat informasi yang dapat menghubungkan antara laporan dengan pelapor nya.
  • Anonimitas Terbatas, dimana identitas pelapor hanya dapat diketahui oleh pihak yang berwenang dalam hal ini pengelola WBS dan/atau tim penyelidik yang ditugaskan untuk menindaklanjuti laporan.

2. Penilaian terhadap Pelaporan

Organisasi perlu memastikan bahwa proses penilaian, triase, dan manajemen laporan pengaduan perilaku yang menyimpang bebas dari keberpihakan dan/atau benturan kepentingan. Organisasi juga direkomendasikan dapat mengurutkan prioritas laporan penyimpangan berdasarkan pertimbangan risiko yang merugikan bagi organisasi dan/atau pihak relevan lainnya.

Sebagai contoh, untuk mempermudah penilaian, pengelola WBS dapat melakukan penilaian dengan dengan memastikan beberapa aspek sebagai berikut:

  • Verifikasi keabsahan laporan;
  • Melakukan evaluasi terhadap risiko sejauh mana pelanggaran terkait dampak merugikan perusahaan dari segi finansial, reputasi, hukum, dan operasional;
  • Melakukan pengkategorian atas laporan yang masuk berdasarkan tingkat urgensinya;
  • Apabila diperlukan, organisasi dapat melakukan konsultasi terkait hukum dan peraturan yang berlaku untuk memastikan tindakan yang akan diambil sudah sesuai ketentuan yang berlaku dengan pihak yang dianggap berkompeten baik secara internal maupun eksternal.

3. Penanganan Pelanggaran

Organisasi perlu memastikan adanya mekanisme penyelidikan yang adil dan obyektif. Mekanisme penyelidikan sebaiknya dilakukan tanpa bias dan terlapor sebaiknya diberikan hak untuk merespon terhadap laporan terkait.

4. Perlindungan Pelapor, Terlapor, dan Investigator

Standar ini menekankan pentingnya melindungi Pelapor, Terlapor, dan Investigator dari segala bentuk pembalasan atau diskriminasi sebagai akibat dari pelaporan. Hal ini bertujuan untuk menciptakan lingkungan yang mendukung integritas dan keberanian dalam melaporkan pelanggaran.

5. Penyelesaian Kasus Pengaduan

Kasus pelaporan dapat dinyatakan selesai apabila tidak ada lagi tindakan yang dianggap perlu dalam merespon laporan, ketika pencarian fakta menentukan tidak ada lagi investigasi yang diperlukan, ketika laporan terkait dirujuk ke proses lain yang harus ditangani, atau akhir dari proses investigasi yang dapat membuktikan perilaku yang menyimpang benar terjadi atau tidak.

ISO 37002:2021 dapat menjadi fondasi untuk menciptakan organisasi yang berintegritas, di mana pelaporan pelanggaran dapat terjadi tanpa takut pembalasan, dan di mana setiap laporan ditangani secara adil dan transparan. Dengan demikian, implementasi ISO 37002:2021 bukan hanya tentang memenuhi standar, tetapi juga tentang membangun kepercayaan, melindungi pelapor, dan mengukuhkan reputasi organisasi sebagai entitas yang berkomitmen pada nilai-nilai etika dan keberlanjutan.

Bermitra dengan Kepatuhan: Kunci untuk Mencapai Bisnis Berkelanjutan Melalui ISO 37301

ISO 37301

 

Ditulis Oleh, Farrah Alizah Larasati, Lead Consultant GRC – Robere & Associates (Indonesia)

Kepatuhan merupakan salah satu aspek kritikal yang harus dipenuhi perusahaan dalam menjalankan proses bisnisnya. Setiap Perusahaan, dalam bidang apapun, akan memiliki ketentuan regulasi maupun persyaratan dari pihak berkepentingan yang wajib untuk dipenuhi. Apabila Perusahaan tidak menaati ketentuan ataupun persyaratan yang berlaku, maka berpotensi menimbulkan kerugian reputasi, keuangan hingga dikenakanya sanksi hukum atau pidana bagi Perusahaan.

Sebagai contoh kasus yang terjadi pada salah satu BPR atau Bank Perekonomian Rakyat pada tahun 2023 yang tidak mematuhi ketentuan terkait dengan pengelolaan kredit, dengan menyalurkan kredit fiktif, sehingga menyebabkan izin usaha atas BPR dicabut oleh OJK.

Pentingnya untuk mematuhi setiap ketentuan ataupun persyaratan, mendorong Perusahaan untuk memiliki suatu sistem manajemen yang secara sistematis untuk mengidentifikasi, mengevaluasi, dan memastikan kepatuhan. Dalam hal ini, Standar internasional ISO 37301:2021 tentang Sistem Manajemen Kepatuhan merupakan salah satu best practice yang dapat digunakan oleh Perusahaan dalam sebagai panduan untuk mengelola kepatuhan.

Apa itu ISO 37301:2021?

ISO 37301:2021 Sistem Manajemen Kepatuhan adalah standar internasional yang menetapkan bagaimana perusahaan dapat mengelola dan mematuhi peraturan dengan baik. Standar ini memberikan panduan yang jelas tentang bagaimana perusahaan dapat mengembangkan, menerapkan, memelihara, dan secara berkesinambungan meningkatkan sistem manajemen kepatuhan.

Aspek Kritikal Dalam Implementasi ISO 37301:2021

Aspek kritikal yang perlu dipenuhi oleh Perusahaan dalam mengimplementasikan ISO 37301:2021 Sistem Manajemen Kepatuhan adalah sebagai berikut:

1. Komitmen terhadap kepatuhan

Komitmen terhadap implementasi Sistem Manajemen Kepatuhan sangat penting dalam Perusahaan, khususnya komitmen dari Dewan Pengarah dan Manajemen Puncak. Komitmen dari Dewan Pengarah dan Manajemen Puncak diantaranya diwujudkan dengan menetapkan Kebijakan Kepatuhan, memastikan bahwa mengimplementasikan Sistem Manajemen Kepatuhan telah tercapai, serta memastikan tersedianya Sumber Daya yang dibutuhkan dalam mengimplementasikan Sistem Manajemen Kepatuhan pada Perusahaan.

2. Penetapan Fungsi Kepatuhan

Dalam implementasi ISO 37301, Perusahaan perlu menetapkan Fungsi Kepatuhan, yang memiliki tugas dan tanggung jawab untuk memfasilitasi untuk mengidentifikasi kewajiban kepatuhan, melakukan analisis dan evaluasi terkait kinerja Sistem Manajemen Kepatuhan untuk mengidentifikasi kebutuhan tindakan perbaikan, menetapkan mekanisme terkait pelaporan kepatuhan, melakukan pemantauan dan melaporkan hasil implementasi Sistem Manajemen Kepatuhan kepada Manajemen Puncak. Pada umumnya Fungsi Kepatuhan ditugaskan kepada Unit Kerja yang membawahi bidang Kepatuhan pada Perusahaan.

3. Kesadaran

Perusahaan wajib memastikan bahwa seluruh pegawai perlu diberikan pemahaman terkait implementasi Sistem Manajemen Kepatuhan, diantaranya dengan memberikan pelatihan yang berhubungan dengan Sistem Manajemen Kepatuhan serta sosialisasi terkait Kebijakan Kepatuhan.

4. Penetapan Kewajiban Kepatuhan

Kewajiban kepatuhan adalah regulasi dan ketentuan yang harus dipatuhi oleh Perusahaan sesuai dengan proses bisnis yang dijalankan, baik dari peraturan eksternal maupun internal. Dalam implementasi ISO 37301, Perusahaan perlu mengidentifikasi kewajiban kepatuhan, melakukan analisis dan dampak dari setiap peraturan, serta melakukan evaluasi untuk memastikan seluruh peraturan telah dijalankan. Kewajiban kepatuhan dapat dibedakan menjadi 2 yaitu mandatory obligation dan voluntary obligation. Mandatory obligation adalah ketentuan yang wajib dipatuhi seperti contoh ketentuan regulator, ketentuan pemerintah maupun ketentuan dari pelanggan, sedangkan voluntary obligation adalah ketentuan yang bersifat sukarela, dimana hal ini tidak diwajibkan, namun Perusahaan berkomitmen untuk memenuhi ketentuan tersebut, seperti contoh adalah standar ISO 37301.

5. Indikator Kepatuhan

Perusahaan dapat menetapkan indikator kepatuhan untuk menilai tingkat kepatuhan Perusahaan, dimana pada ISO 37301, indikator kepatuhan terbagi menjadi prediktif indikator dan reaktif indikator. Prediktif indikator diantaranya risiko ketidakpatuhan diukur sebagai potensi tercapai atau tidak tercapainya target, serta trend atas ketidakpatuhan. Contoh dari reaktif indikator adalah jumlah ketidakpatuhan yang terjadi, waktu yang dibutuhkan untuk menindaklanjuti ketidakpatuhan dan tindakan perbaikan.

Perusahaan yang mengimplementasikan Sistem Manajemen Kepatuhan berdasarkan ISO 37301 tidak hanya memastikan kepatuhan terhadap ketentuan yang berlaku, tetapi juga meminimalkan risiko, meningkatkan efisiensi operasional, serta membangun reputasi yang baik, sehingga Perusahaan dapat terus berkembang dan memastikan keberlanjutan Perusahaan.


Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Governance, Risk, and Compliance, Robere & Associates siap membantu. Gabung sekarang!

Contact Us

Penerapan Asset Criticality Ranking pada Pengelolaan Aset

Dalam menjalankan proses bisnisnya, Perusahaan perlu didukung oleh aset yang berkualitas dan dapat mendukung kinerja Perusahaan dalam mencapai tujuan dan sasaran yang telah ditetapkan. Oleh sebab itu, Perusahaan pasti akan mengelola aset yang dimiliki, baik dari proses perencanaan kebutuhan aset, inventarisasi aset, pengoperasian aset, pemeliharaan aset, penilaian aset hingga penghapusan aset atau yang biasa disebut dengan life cycle asset.

Pengelolaan Aset
Siklus Pengelolaan Aset

 

Manfaat Penerapan Sistem Manajemen Aset

Melihat rangkaian proses yang panjang dalam pengelolaan aset tersebut, Perusahaan dapat menggunakan Sistem Manajemen Aset sebagai kerangka dasar untuk bisa memantau setiap proses pada pengelolaan aset. Disamping itu, banyak kegunaan dalam penerapan Sistem Manajemen Aset bagi Perusahaan, diantaranya:

  1. Mendukung Perusahaan dalam pengambilan keputusan yang tepat, khususnya dalam menyusun rencana strategis manajemen aset;
  2. Meningkatkan kinerja Perusahaan dengan alokasi aset yang efektif;
  3. Meninjau nilai aset secara aktual termasuk dalam penyusutan nilai aset untuk menghindari penurunan kinerja Perusahaan;
  4. Mempermudah perencanaan anggaran untuk mengelola aset;
  5. Mengoptimalkan manajemen risiko terkait aset, khususnya dalam penentuan tingkat kritikalisasi aset.

Salah satu acuan yang dapat digunakan untuk menerapkan Sistem Manajemen Aset adalah standar ISO 55001. Pada standar ISO 55001 salah satu yang menarik adalah bagaimana Perusahaan dapat menetapkan prioritas kegiatan yang akan dilakukan untuk mencapai sasaran yang telah ditetapkan oleh Perusahaan dalam pengelolaan aset. Penetapan prioritas kegiatan ini dapat dilakukan dengan penentuan tingkat kritikal aset atau biasa dikenal dengan Asset Criticality Ranking.

Apa Itu Asset Criticality Ranking?

Pengertian dari Asset Criticality Ranking sendiri adalah suatu metode yang digunakan untuk dapat mengidentifikasi aset yang dapat diprioritaskan untuk dilakukan pemeliharaan dan perlindungan. Pelaksanaan Asset Criticality Ranking dapat dilakukan oleh Perusahaan dengan mempertimbangkan beberapa hal, diantaranya:

  1. Jenis aset yang dikelola, baik aset fisik maupun non fisik;
  2. Penetapan kriteria konsekuensi (consequences) yang dapat terjadi pada aset;
  3. Penetapan kriteria keandalan (reliability) dari tingkat kemungkinan terjadinya konsekuensi pada aset;
  4. Penetapan kriteria deteksi (detectability) sebagai bentuk prediksi terhadap potensi kerusakan pada aset; dan
  5. Penetapan matriks tingkat kritikal aset.

Perusahaan kemudian dapat melakukan penilaian dengan menetapkan nilai pada kriteria konsekuensi, keandalan, dan deteksi. Semakin tinggi hasil dari penilaian Asset Criticality Ranking makan akan mempengaruhi terhadap penanganan aset tersebut, khususnya  prioritas untuk dilakukan pemantauan yang lebih ketat, jadwal pemeliharaan yang relatif lebih singkat untuk memastikan kinerja aset tetap optimal.

Menetapkan Asset Criticality Ranking

Berikut salah satu contoh kriteria yang dapat digunakan untuk menganalisa setiap aset yang selanjutnya akan ditentukan tingkat kritikalnya:

KriteriaLevel
1234
Dampak Kegagalan Operasional (A)Tidak berdampak terhadap proses operasional secara langsungBerdampak terhadap proses operasional pada area DepartemenBerdampak terhadap proses operasional pada area Divisi/Satuan KerjaBerdampak terhadap proses operasional Perusahaan
Utilisasi (B)Aset digunakan sebanyak <50% dalam waktu 1 tahunAset digunakan sebanyak 50% dalam waktu 1 tahunAset digunakan sebanyak 75% dalam waktu 1 tahunAset digunakan secara terus menerus
Downtime/ Repair Time (C)Lebih dari 60 menit31 - 60 menit16 - 30 menit0 - 15 menit
Kemungkinan Kegagalan Operasional (D)Jarang terjadi (0 - 1 kali dalam 1 tahun)Mungkin Terjadi (2 - 3 kali dalam 1 tahun)Sering Terjadi (4 -6 kali dalam 1 tahun)Sangat Sering Terjadi (>7 kali dalam 1 tahun)

Setelah dilakukan analisa aset terhadap setiap kriteria, maka perlu dilakukan penjumlahan atas setiap kriteria (A+B+C+D). Hasil penjumlahan yang didapatkan kemudian perlu disesuaikan dengan tingkat kritikal dibawah ini.

Tingkat KritikalNilaiTindakan
Low1 – 81.Preventive Maintenance dilakukan minimal 1 tahun sekali
2.Monitoring aset dilakukan secara bulanan
3.Tidak harus disediakan proses bypass/back up apabila terjadi kegagalan
4.Tidak harus disediakan alert system
Medium9 – 111.Preventive Maintenance dilakukan minimal 6 bulan sekali
2.Monitoring aset dilakukan secara mingguan
3.Harus tersedia proses bypass/back up apabila terjadi kegagalan operasional
4.Harus tersedia alert system
High12 – 161.Preventive Maintenance dilakukan minimal 4 bulan sekali
2.Monitoring aset dilakukan secara harian
3.Harus tersedia proses by pass/back up apabila terjadi kegagalan operasional
4.Harus tersedia alert system

Contoh:

Perusahaan memiliki aset dalam bentuk server dan kendaraan operasional yang selanjutnya Perusahaan akan menilai tingkat kritikalnya dalam bentuk tabel sebagai berikut:

Nama AsetServerKendaraan Operasional
Dampak Kegagalan Operasional (A)(4) Berdampak terhadap proses operasional Perusahaan(1) Tidak berdampak terhadap proses operasional secara langsung
Utilisasi (B)(4) Aset digunakan secara terus menerus(1) Aset digunakan sebanyak <50% dalam waktu 1 tahun
Downtime/ Repair Time (C)(4) 0 - 15 menit(1) Lebih dari 60 menit
Kemungkinan Kegagalan Operasional (D)(1) Jarang terjadi (0 - 1 kali dalam 1 tahun)(2) Mungkin Terjadi (2 - 3 kali dalam 1 tahun)
Nilai Tingkat Kritikal4 + 4 + 4 + 1 = 131 + 1 + 1 + 2 = 5
Tingkat KritikalHighLow

Berdasarkan tabel diatas dapat dilihat tingkat kritikal dari server lebih tinggi dibandingkan dengan kendaraan operasional, sehingga perlu perlakukan yang lebih intens terhadap server dibandingkan dengan kendaraan operasional, baik dari segi perawatan yang jangka waktunya lebih pendek, monitoring yang dilakukan secara berkelanjutan, mempersiapkan mekanisme back up plan apabila server down, hingga menyediakan bentuk pemberitahuan apabila terdapat gangguan pada server.

Hasil penilaian Asset Criticality Ranking dapat bermanfaat bagi Perusahaan untuk mencegah kerusakan aset yang akan berdampak secara langsung terhadap proses bisnis Perusahaan. Selain itu, hasil penilaian Asset Criticality Ranking dapat juga digunakan oleh Perusahaan sebagai dasar dalam hal penetapan siklus aset.

Seberapa Pentingkah Pengelolaan Service Level Agreement (SLA) Dalam Menyediakan Suatu Layanan

Ditulis Oleh, Hilman Badhi Adikara, Team Leader GRC – Robere & Associates (Indonesia)

Pada zaman modern ini, Layanan Teknologi Informasi sudah menjadi kebutuhan yang mendasar bagi sebagian besar masyarakat di Indonesia. Perkembangan Digitalisasi dan pengaruh Globalisasi membuat masyarakat tidak bisa lepas dari kebutuhan atas layanan Teknologi Informasi. Atas dasar kebutuhan inilah, maka banyak perusahaan yang berlomba-lomba untuk menyediakan layanan yang dapat memberikan kualitas terbaik, serta memberikan kepuasan bagi para pelanggannya.

Apa Itu Service Level Agreement (SLA)

Untuk menyediakan layanan, tentu saja diperlukan beberapa aspek yang harus di dikelola dengan baik, salah satu aspek tersebut adalah Perjanjian Tingkat Layanan atau lebih dikenal dengan sebutan SLA / Service Level Agreement. Secara sederhana, SLA itu sendiri adalah perjanjian yang berisi kesanggupan jaminan kinerja yang dipenuhi oleh penyedia layanan untuk memenuhi kebutuhan dan harapan pelanggan. SLA umumnya mencakup berbagai parameter kinerja seperti ketersediaan layanan, waktu respons, waktu pemulihan, keamanan informasi, dan parameter lainnya yang relevan dengan layanan yang disediakan.

Manfaat Service Level Agreement (SLA)

Dengan adanya SLA layanan, baik penyedia layanan maupun pelanggan memiliki pemahaman yang jelas tentang apa yang diharapkan dari layanan yang diberikan, serta tanggung jawab dan implikasi untuk masing-masing pihak jika terjadi pelanggaran terhadap kesepakatan tersebut. SLA  layanan juga dapat membantu menciptakan transparansi, meningkatkan kepercayaan antara penyedia layanan dan pelanggan, dan menyediakan kerangka kerja untuk penyedia layanan dalam melakukan evaluasi kinerja layanan secara berkala. oleh karena itu pengelolaan SLA dari sisi penyedia layanan menjadi sangat penting, dimana dengan pengelolaan SLA yang baik akan dapat membantu organisasi penyedia layanan untuk dapat memberikan layanan yang dapat memenuhi atau bahkan melampaui ekspektasi pelanggan.

Service Level Agreement (SLA) dalam ISO/IEC 20000-1:2018

Dalam ISO/IEC 20000-1:2018, yaitu standar Internasional untuk Sistem Manajemen layanan, SLA itu sendiri merupakan aspek yang diatur dalam salah satu klausul (klausul 8.3.3) untuk pemenuhan kesesuaian standar ISO/IEC 20000-1:2018 untuk implementasi maupun sertifikasi Sistem Manajemen Layanan. Oleh karena itu standar  ISO/IEC 20000-1 :2018 ini dapat digunakan sebagai panduan dalam implementasi maupun sertifikasi Sistem Manajemen layanan, termasuk pengelolaan SLA Layanan.

Pengelolaan Service Level Agreement Sebagai Bagian Dari ISO/IEC 20000-1:2018

Beberapa Aspek pengelolaan terkait SLA yang diatur dalam standar ISO/IEC 2000-1:2018 adalah :

  1. Penyusunan SLA yang jelas dan terukur antara penyedia layanan dan pelanggan. SLA harus mencakup parameter kinerja layanan yang ditetapkan, seperti ketersediaan, waktu respons, dan waktu pemulihan, serta harus konsisten dengan kebutuhan bisnis dan persyaratan pelanggan.
  2. Pemantauan dan Pengukuran Kinerja secara berkala sesuai dengan SLA yang disepakati. aspek Ini mencakup pengumpulan data kinerja layanan, analisis hasil, dan pelaporan kepada pelanggan.
  3. Manajemen Insiden dalam memenuhi dan meningkatkan pemenuhan SLA. Ketika terjadi pelanggaran SLA atau masalah dalam penyediaan layanan, penyedia layanan harus dapat merespons dengan cepat dan mengambil tindakan yang diperlukan.
  4. Komitmen Terhadap Peningkatan Berkelanjutan (continual improvement) dalam pengelolaan layanan. Penyedia layanan diharapkan untuk secara terus-menerus mengevaluasi dan meningkatkan proses, sistem, dan kinerja layanan mereka untuk memastikan pemenuhan SLA yang konsisten dan memenuhi atau bahkan melampaui ekspektasi pelanggan.

Dari beberapa penjelasan diatas, dapat dilihat bahwa ISO/IEC 20000-1:2018 memiliki peranan penting sebagai panduan bagi organisasi untuk membantu mengelola layanan yang disediakan termasuk pengelolaan SLA di dalamnya. Oleh karena itu, dengan implementasi dan sertifikasi ISO/IEC 2000-1:2018 ini, selain dapat meningkatkan pengelolaan SLA menjadi lebih baik, harapannya juga akan sekaligus meningkatkan pengelolaan layanan secara menyeluruh yang nantinya akan memberikan dampak peningkatan kualitas dan nilai jual layanan itu sendiri.

CQI-IRCA Approves Robere & Associates for ISMS ISO/IEC 27001:2022 Lead Auditor Course

Standar ISO/IEC 27001:2022 diterbitkan pada 25 Oktober 2022, merupakan tonggak penting dalam pengelolaan keamanan informasi. Keberadaannya menjadi kunci utama bagi organisasi dalam memastikan keamanan data dan informasi penting mereka. Mulai 27 April 2023, Robere & Associates telah menerima pengakuan dan persetujuan dari CQI-IRCA, dan secara resmi memiliki otoritas untuk menyelenggarakan Lead Auditor Course ISMS ISO/IEC 27001:2022.

Pelatihan ini bertujuan untuk memberi peserta pengetahuan dan keterampilan yang diperlukan untuk melakukan audit sistem manajemen keamanan informasi yang efektif, yang memungkinkan mereka untuk menemukan kemungkinan masalah dan membuat saran strategis untuk perbaikan. Peserta pelatihan akan dipandu melalui prinsip-prinsip audit, metodologi, dan praktik terbaik dengan fokus pada standar ISO/IEC 27001:2022 terbaru.

Melalui pelatihan ini, Robere & Associates berkontribusi signifikan dalam mempersiapkan generasi baru auditor keamanan informasi yang tidak hanya kompeten dalam teori tetapi juga mahir dalam aplikasi praktis. Pelatihan ini memainkan peran vital dalam memperkuat infrastruktur keamanan informasi perusahaan dan meningkatkan ketahanan mereka terhadap ancaman siber, sekaligus memenuhi permintaan pasar akan profesional keamanan informasi yang berkualitas.

Update ISO/IEC 27001:2022, Persiapan Transisi dan Pentingnya Adopsi Standar Baru

1. Jadwal Update ISO/IEC 27001:2022

Standar Sistem Manajemen Keamanan Informasi ISO/IEC 27001 sudah mengalami perubahan dimana versi terbaru ISO/IEC 27001:2022 telah resmi dipublikasikan pada tanggal 25 Oktober 2022 sebagai hasil dari proses voting oleh Join Technical Committee (JTC) yang telah selesai pada tanggal 22 September 2022. Seluruh organisasi yang telah atau akan mengimplementasikan Sistem Manajemen Keamanan Informasi berdasarkan ISO/IEC 27001 telah dapat mengadopsi standar ISO/IEC 27001:2022 tersebut, dimana ISO/IEC 27001:2013 masih dapat dilakukan audit sertifikasi (Initial sertifikasi maupun resertifikasi) selambat-lambatnya sampai dengan 25 Oktober 2023; setelah itu seluruh audit initial sertifikasi/ resertifikasi harus menggunakan ISO/IEC 27001:2022. Sedangkan untuk proses surveillance audit ISO/IEC 27001:2013 masih dapat dilakukan sampai selambat-lambatnya 24 Oktober 2025.

2. Apa Saja Perubahan ISO 27001 di Versi Terbaru

Perubahan Standar ISO/IEC 27001 di tahun 2022 ini sejalan dengan perkembangan praktik bisnis yang semakin digital, seperti penggunaan Remote Working, Bring Your Own Device, dan peningkatan ketergantungan pada Cloud Services.

Secara umum, rincian perubahan yang akan diterapkan pada ISO/IEC 27001:2022 ini  meliputi:

Revisi Utama dari ISO/IEC 27001:2022

1. Perubahan jumlah total Kontrol Annex, dari 114 menjadi 93, dengan rincian:

  • 24 Kontrol gabungan
  • 23 Kontrol berubah penamaannya
  • 35 Kontrol berubah penomorannya
  • 11 Kontrol tambahan/ baru yang meliputi:
  • Threat Intelligence
  • Keamanan Informasi Cloud Services
  • ICT (Information and Communications Technology) untuk Kesinambungan Bisnis
  • Pemantauan Keamanan Fisik
  • Kegiatan Pemantauan
  • Web Filtering
  • Data Masking
  • Secure Coding
  • Manajemen konfigurasi
  • Penghapusan Informasi
  • Pencegahan Kebocoran Data

2. Restrukturisasi Domain kontrol Annex menjadi 4 Domain utama:

  • Manusia (8 Kontrol): Kontrol yang Menyangkut individu, seperti Kerja Jarak Jauh (Teleworking), Filtering, dan Perjanjian Kerahasiaan.
  • Organisasi (37 Kontrol): Kontrol yang menyangkut Organisasi, seperti Kebijakan Keamanan Informasi, Pengembalian Aset, dan Keamanan Informasi untuk Penggunaan Layanan Cloud.
  • Teknologi (34 Kontrol): Kontrol yang menyangkut teknologi, seperti Otentikasi, Penghapusan Informasi, Pencegahan Kebocoran Data, atau Pengembangan Sistem.
  • Fisik (physical) (14 Kontrol): Kontrol yang menyangkut obyek fisik, seperti Media Penyimpanan, Pemeliharaan Peralatan, Pemantauan Keamanan Fisik, Pengamanan Ruangan Kantor.

3. Terdapat lima jenis atribut atas Kontrol untuk membuatnya lebih mudah untuk dikategorikan, Yang terdiri atas:

  • Tipe Kontrol (Pencegahan, Detektif, Dorektif)
  • Aspek Keamanan Informasi (Kerahasiaan, Integritas, Ketersediaan)
  • Konsep Pengamanan Siber (Identify, Protect, Detect, Respond, Recover)
  • Operasional (Tata Kelola, Manajemen Aset, Manajemen Risiko, dll.)
  • Domain keamanan (Tata Kelola, perlindungan, keberlangsungan Bisnis)

Secara umum, tidak ada perbedaan yang signifikan antara standar ISO/IEC 27001:2022 dengan versi ISO/IEC 27001:2013, hanya saja akan terdapat perubahan pada Security Controls yang ada sehingga pembaharuan Statement of Applicability (SOA) yang telah diterapkan menjadi prioritas yang harus dilakukan.

3. Kunci Dari Transisi ke ISO/IEC 27001:2022

Transisi ke ISO/IEC 27001:2022 dapat anda lakukan sejak saat ini dengan batas waktu paling lambat di tanggal 25 Oktober 2025 atau 3 tahun sejak standar ISO/IEC 27001:2022 dikeluarkan, dengan penjelasan milestones sebagai berikut:

Timeline transisi ISO/IEC 27001:2013 ke ISO/IEC 27001:2022

Meskipun akan ada proses transisi yang ditimbulkan ketika standar ISO/IEC 27001:2022 Diterbitkan, Anda tidak perlu khawatir tentang proses tersebut. Selama persiapan transisi ke ISO/IEC 27001:2022 tersebut, Robere & Associates siap membantu organisasi Anda untuk mendampingi dalam proses transisi tersebut.

Robere & Associates siap mendukung Anda sejak standar ISO/IEC 27001 :2022 diterbitkan. Kami akan terus memberikan informasi kepada Anda tentang kemajuannya dan memberikan detail lebih lanjut tentang proses transisi yang harus anda lakukan berikutnya.


Diskusikan dengan Kami!

Bagi anda yang ingin berdiskusi lebih lanjut dan menggali informasi terkini tentang Governance, Risk, and Compliance, Robere & Associates siap membantu. Gabung sekarang!

Contact Us

Best Practice System Security Hardening

ISO/IEC 27001:2013 merupakan standar internasional yang berisi persyaratan dan spesifikasi untuk penerapan sistem manajemen keamanan informasi, dalam Annex 12.6.1 mengenai Management of technical vulnerabilities dan Annex 14.2.8 mengenai System security testing yang mempersyaratkan bagaimana sebuah sistem atau aplikasi harus dilakukan pengamanan dan salah satu bentuk pengamanan yang dapat dilakukan oleh organisasi yaitu dengan melakukan system hardening untuk melindungi sistem atau aplikasi dari serangan peretas.

Dalam dunia IT biasanya kita sering mendengar istilah “security hardening”, terutama ketika sebuah sistem atau aplikasi akan di-deploy atau naik ke production. Apa sebenarnya security atau system hardening?

System hardening pada dasarnya adalah sekumpulan tools, teknik, atau best practices untuk mengurangi kerentanan (risiko diretas) suatu teknologi baik dalam bidang aplikasi, sistem, infrastruktur, firmware, dan bidang lainnya. Tujuan dari hardening adalah mengurangi risiko keamanan dengan menurunkan atau menghilangkan potensi vektor serangan (dikenal dengan istilah attack vector) dan lanskap serangan pada sistem (dikenal dengan istilah attack surface). Dengan menghilangkan hal-hal yang berpotensi menjadi pintu masuk serangan maka penyerang ataupun malware berupa virus / worm memiliki lebih sedikit peluang untuk mendapatkan kesempatan berhasil masuk kedalam ekosistem IT.

System hardening menuntut pendekatan metodis untuk mengaudit, mengidentifikasi, menutup, dan mengendalikan kerentanan keamanan yang berpotensi dapat merusak ekosistem IT sebuah organisasi. Secara sederhana ada 5 jenis aktivitas hardening, diantaranya:

  • Application hardening
  • Operating system hardening
  • Server hardening
  • Database hardening
  • Network hardening

Meskipun prinsip-prinsip system hardening bersifat universal, namun tools ataupun teknik yang digunakan bervariasi, tergantung pada jenis system hardening yang akan dilakukan. System hardening sebaiknya dilakukan secara berkala dan berkesinambungan sepanjang lifecycle teknologi, mulai dari instalasi awal pada production system / live system, hingga saat teknologi tersebut berjalan. Beberapa standar industri seperti Payment Card Industry Data Security Standard (PCI DSS) yang umumnya digunakan pada industri finansial ataupun Health Insurance Portability and Accountability Act (HIPAA) yang umum digunakan dalam industri kesehatan seperti sistem informasi untuk melindungi data pasien, menpersyaratkan pemberlakukan system hardening sehingga aktivitas tersebut wajib diketahui oleh para pengembang .

Dalam melakukan proses system hardening, beberapa pihak dapat mengembangkan metode otomasi proses hardening untuk mempermudah dan mempercepat proses. . Organisasi dapat memilih metode hardening sesuai dengan aplikasi atau sistem yang dimiliki organisasi.

Apakah hardening dapat melindungi sehingga 100% aman dari serangan peretas? Jawabannya adalah tidak, dan sebenarnya tidak ada pihak yang dapat menjamin bahwa sebuah sistem 100% aman.

Sebagaimana dibahas di awal tulisan bahwa hardening akan membuat tingkat risiko dari serangan menurun, artinya sistem yang di-hardening akan mempersulit penyerang dalam melakukan aksinya atau bisa juga sistem yang di-hardening akan membuat kategori penyerang berkurang, jika awalnya setiap penyerang dengan kemampuan ‘biasa saja’ dapat masuk kedalam sistem maka apabila sistem telah di-hardening, hanya penyerang-penyerang dengan kemampuan ‘menengah keatas’ saja yang mampu masuk kedalam sistem, sehingga yang dimiliki organisasi akan lebih aman.

 

IT GRC Team
Robere & Associates (Indonesia)

Peninjauan Log Aktivitas, Perlukah?

Pada era digitalisi atau industri 4.0 saat ini, hampir seluruh aktivitas perusahaan telah dilakukan otomasi dengan penggunaan aplikasi maupun sistem perangkat IT. Kondisi ini memiliki dampak positif dan negatif tersendiri. Dampak positif yang ditimbulkan dengan pengembangan sistem yang sangat cepat ini, membantu perusahaan dalam memastikan kecepatan dan ketepatan dalam suatu aktivitas dan salah satu bentuk efisiensi yang dapat dilakukan. Pengembangan sistem saat ini menjadi salah satu strategi perusahaan untuk bertahan di masa digital saat ini, namun selain dampak positif yang diberikan hal ini juga memberikan dampak negatif yaitu semakin tingginya kejahatan siber atau dapat dikatakan bahwa tingkat keamanan informasi yang belum optimal. Pada periode Januari hingga Agustus 2019 Polri mencatat 3.429 kasus tindak pidana siber.

Kejahatan siber tidak selalu dilakukan dari pihak yang tidak kita kenal, sering kali keamanan informasi perusahaan terancam akibat pegawainya sendiri. Saat ini untuk mengurangi dampak buruk dari kejahatan siber, Kementrian Komunikasi dan Informatika RI menghimbau seluruh penyelenggara sistem elektronik untuk dapat mengimplementasikan ISO/IEC 27001 yang tertuang dalam PERMEN KOMINFO Nomor 4 tahun 2016 mengenai Sistem Manajemen Keamanan Informasi.

Salah satu cara mencegah kejahatan siber dan insiden lainnya menurut ISO/IEC 27001 adalah dengan melakukan pemantauan pada log aktivitas sistem yang tertuang dalam annex 12.4. Log adalah catatan mengenai seluruh aktivitas yang dilakukan seperti akses, insiden, perubahan, dll. Pemantauan log ini dilakukan untuk membantu perusahaan dalam menganalisis tren atau mendeteksi kemungkinan kegiatan kejahatan siber sebelum terjadi insiden yang lebih besar. Pemantauan log dapat dilaksanakan dengan periode tertentu sesuai kebutuhan dari perusahaan, misal setiap 1 (satu) bulan sekali atau setiap 3 (tiga) bulan sekali dengan melakukan pemantauan pada seluruh aktivitas yang dilakukan terhadap sistem operasi. Hal ini dapat membantu perusahaan misalkan apabila terjadi percobaan gagal untuk mengakses sistem perusahaan atau dalam log firewall terdeteksi user yang tidak dikenali mencoba mengakses ke dalam sistem, dengan ini perusahaan dapat mengidentifikasi lebih dini upaya – upaya serangan eskternal yang dilakukan.

Beberapa hal yang dapat dilakukan Organisasi untuk memastikan pemantuan dapat dijalankan dan meminimalisir risiko ini, diantaranya:

  1. Menetapkan waktu dan tata cara untuk melakukan pemantauan pada log aktivitas.
  2. Pastikan keamanan log dari kerusakan atau perubahan yang tidak sesuai kewenangan, log dapat berupa:
    • User ID/User Access Operational System.
    • Waktu Log On & Log Off, user pada sistem operasi.
    • Kegagalan dan keberhasilan dalam percobaan akses ke sistem, data dan aplikasi.
    • Perubahan dalam konfigurasi sistem.
    • Pengguanaan utilitas sistem operasi.
  3. Aktivitas pada system proteksi, seperti firewall, antivirus, dll.
  4. Tetapkan pegawai atau fungsi yang akan melakukan pemantauan pada log aktivitas.
  5. Tetapkan fungsi untuk melalukan investigasi, apabila terjadi aktivitas yang tidak sesuai kewenangan.
  6. Melakukan pengaturan kebijakan pada alat peringatan keamanan informasi, seperti log in gagal, perubahan akun, dll.
  7. Simpan dokumentasi log setidaknya selama 1 tahun, dengan ketersediaan 3 bulan (sesuai dengan Persyaratan PCI DSS)
  8. Melakukan pemantauan berkala pada proses pengumpulan log, untuk memastikan proses ini telah berjalan dengan tepat.

Dengan ini Organisasi telah satu langkah dalam melakukan pengamanan informasi dengan memastikan kerahasiaan (confidentiality), keakuratan (integrity) dan ketersediaan (availability) informasi dan alat pemrosesan informasi.

IT GRC Team
Robere & Associates (Indonesia)

Consult with us