ISO/IEC 27001:2022 NEW VERSION

Standar Sistem Manajemen Keamanan Informasi ISO/IEC 27001 sudah mengalami perubahan dimana versi terbaru ISO/IEC 27001:2022 telah resmi dipublikasikan pada tanggal 25 Oktober 2022 sebagai hasil dari proses voting oleh Join Technical Committee (JTC) yang telah selesai pada tanggal 22 September 2022. Seluruh organisasi yang telah atau akan mengimplementasikan Sistem Manajemen Keamanan Informasi berdasarkan ISO/IEC 27001 telah dapat mengadopsi standar ISO/IEC 27001:2022 tersebut, dimana ISO/IEC 27001:2013 masih dapat dilakukan audit sertifikasi (Initial sertifikasi maupun resertifikasi) selambat-lambatnya sampai dengan 25 Oktober 2023; dimana setelah itu seluruh audit initial sertifikasi/ resertifikasi harus menggunakan ISO/IEC 27001:2022. Sedangkan untuk proses surveillance audit ISO/IEC 27001:2013 masih dapat dilakukan sampai selambat-lambatnya 24 Oktober 2025.

Perubahan Standar ISO/IEC 27001 di tahun 2022 ini sejalan dengan perkembangan praktik bisnis yang semakin digital, seperti penggunaan Remote Working, Bring Your Own Device, dan peningkatan ketergantungan pada Cloud Services.

Secara umum, rincian perubahan yang akan diterapkan pada ISO/IEC 27001:2022 ini  meliputi:

 

  1. Perubahan jumlah total Kontrol Annex, dari 114 menjadi 93, dengan rincian:
  • 24 Kontrol gabungan
  • 23 Kontrol berubah penamaannya
  • 35 Kontrol berubah penomorannya
  • 11 Kontrol tambahan/ baru yang meliputi:
  • Threat Intelligence
  • Keamanan Informasi Cloud Services
  • ICT (Information and Communications Technology) untuk Kesinambungan Bisnis
  • Pemantauan Keamanan Fisik
  • Kegiatan Pemantauan
  • Web Filtering
  • Data Masking
  • Secure Coding
  • Manajemen konfigurasi
  • Penghapusan Informasi
  • Pencegahan Kebocoran Data

2. Restrukturisasi Domain kontrol Annex menjadi 4 Domain utama:

  • Manusia (8 Kontrol): Kontrol yang Menyangkut individu, seperti Kerja Jarak Jauh (Teleworking), Filtering, dan Perjanjian Kerahasiaan.
  • Organisasi (37 Kontrol): Kontrol yang menyangkut Organisasi, seperti Kebijakan Keamanan Informasi, Pengembalian Aset, dan Keamanan Informasi untuk Penggunaan Layanan Cloud.
  • Teknologi (34 Kontrol): Kontrol yang menyangkut teknologi, seperti Otentikasi, Penghapusan Informasi, Pencegahan Kebocoran Data, atau Pengembangan Sistem.
  • Fisik (physical) (14 Kontrol): Kontrol yang menyangkut obyek fisik, seperti Media Penyimpanan, Pemeliharaan Peralatan, Pemantauan Keamanan Fisik, Pengamanan Ruangan Kantor.

3. Terdapat lima jenis atribut atas Kontrol untuk membuatnya lebih mudah untuk dikategorikan, Yang terdiri atas:

  • Tipe Kontrol (Pencegahan, Detektif, Dorektif)
  • Aspek Keamanan Informasi (Kerahasiaan, Integritas, Ketersediaan)
  • Konsep Pengamanan Siber (Identify, Protect, Detect, Respond, Recover)
  • Operasional (Tata Kelola, Manajemen Aset, Manajemen Risiko, dll.)
  • Domain keamanan (Tata Kelola, perlindungan, keberlangsungan Bisnis)

Secara umum, tidak ada perbedaan yang signifikan antara standar ISO/IEC 27001:2022 dengan versi ISO/IEC 27001:2013, hanya saja akan terdapat perubahan pada Security Controls yang ada sehingga pembaharuan Statement of Applicability (SOA) yang telah diterapkan menjadi prioritas yang harus dilakukan.

Transisi ke ISO/IEC 27001:2022 dapat anda lakukan sejak saat ini dengan batas waktu paling lambat di tanggal 25 Oktober 2025 atau 3 tahun sejak standar ISO/IEC 27001:2022 dikeluarkan, dengan penjelasan milestones sebagai berikut:

Meskipun akan ada proses transisi yang ditimbulkan ketika standar ISO/IEC 27001:2022 Diterbitkan, Anda tidak perlu khawatir tentang proses tersebut. Selama persiapan transisi ke ISO/IEC 27001:2022 tersebut, Robere & Associates siap membantu organisasi Anda untuk mendampingi dalam proses transisi tersebut.

Robere & Associates siap mendukung Anda sejak standar ISO/IEC 27001 :2022 diterbitkan. Kami akan terus memberikan informasi kepada Anda tentang kemajuannya dan memberikan detail lebih lanjut tentang proses transisi yang harus anda lakukan berikutnya.

Best Practice System Security Hardening

ISO/IEC 27001:2013 merupakan standar internasional yang berisi persyaratan dan spesifikasi untuk penerapan sistem manajemen keamanan informasi, dalam Annex 12.6.1 mengenai Management of technical vulnerabilities dan Annex 14.2.8 mengenai System security testing yang mempersyaratkan bagaimana sebuah sistem atau aplikasi harus dilakukan pengamanan dan salah satu bentuk pengamanan yang dapat dilakukan oleh organisasi yaitu dengan melakukan system hardening untuk melindungi sistem atau aplikasi dari serangan peretas.

Dalam dunia IT biasanya kita sering mendengar istilah “security hardening”, terutama ketika sebuah sistem atau aplikasi akan di-deploy atau naik ke production. Apa sebenarnya security atau system hardening?

System hardening pada dasarnya adalah sekumpulan tools, teknik, atau best practices untuk mengurangi kerentanan (risiko diretas) suatu teknologi baik dalam bidang aplikasi, sistem, infrastruktur, firmware, dan bidang lainnya. Tujuan dari hardening adalah mengurangi risiko keamanan dengan menurunkan atau menghilangkan potensi vektor serangan (dikenal dengan istilah attack vector) dan lanskap serangan pada sistem (dikenal dengan istilah attack surface). Dengan menghilangkan hal-hal yang berpotensi menjadi pintu masuk serangan maka penyerang ataupun malware berupa virus / worm memiliki lebih sedikit peluang untuk mendapatkan kesempatan berhasil masuk kedalam ekosistem IT.

System hardening menuntut pendekatan metodis untuk mengaudit, mengidentifikasi, menutup, dan mengendalikan kerentanan keamanan yang berpotensi dapat merusak ekosistem IT sebuah organisasi. Secara sederhana ada 5 jenis aktivitas hardening, diantaranya:

  • Application hardening
  • Operating system hardening
  • Server hardening
  • Database hardening
  • Network hardening

Meskipun prinsip-prinsip system hardening bersifat universal, namun tools ataupun teknik yang digunakan bervariasi, tergantung pada jenis system hardening yang akan dilakukan. System hardening sebaiknya dilakukan secara berkala dan berkesinambungan sepanjang lifecycle teknologi, mulai dari instalasi awal pada production system / live system, hingga saat teknologi tersebut berjalan. Beberapa standar industri seperti Payment Card Industry Data Security Standard (PCI DSS) yang umumnya digunakan pada industri finansial ataupun Health Insurance Portability and Accountability Act (HIPAA) yang umum digunakan dalam industri kesehatan seperti sistem informasi untuk melindungi data pasien, menpersyaratkan pemberlakukan system hardening sehingga aktivitas tersebut wajib diketahui oleh para pengembang .

Dalam melakukan proses system hardening, beberapa pihak dapat mengembangkan metode otomasi proses hardening untuk mempermudah dan mempercepat proses. . Organisasi dapat memilih metode hardening sesuai dengan aplikasi atau sistem yang dimiliki organisasi.

Apakah hardening dapat melindungi sehingga 100% aman dari serangan peretas? Jawabannya adalah tidak, dan sebenarnya tidak ada pihak yang dapat menjamin bahwa sebuah sistem 100% aman.

Sebagaimana dibahas di awal tulisan bahwa hardening akan membuat tingkat risiko dari serangan menurun, artinya sistem yang di-hardening akan mempersulit penyerang dalam melakukan aksinya atau bisa juga sistem yang di-hardening akan membuat kategori penyerang berkurang, jika awalnya setiap penyerang dengan kemampuan ‘biasa saja’ dapat masuk kedalam sistem maka apabila sistem telah di-hardening, hanya penyerang-penyerang dengan kemampuan ‘menengah keatas’ saja yang mampu masuk kedalam sistem, sehingga yang dimiliki organisasi akan lebih aman.

 

IT GRC Team
Robere & Associates (Indonesia)

Peninjauan Log Aktivitas, Perlukah?

Pada era digitalisi atau industri 4.0 saat ini, hampir seluruh aktivitas perusahaan telah dilakukan otomasi dengan penggunaan aplikasi maupun sistem perangkat IT. Kondisi ini memiliki dampak positif dan negatif tersendiri. Dampak positif yang ditimbulkan dengan pengembangan sistem yang sangat cepat ini, membantu perusahaan dalam memastikan kecepatan dan ketepatan dalam suatu aktivitas dan salah satu bentuk efisiensi yang dapat dilakukan. Pengembangan sistem saat ini menjadi salah satu strategi perusahaan untuk bertahan di masa digital saat ini, namun selain dampak positif yang diberikan hal ini juga memberikan dampak negatif yaitu semakin tingginya kejahatan siber atau dapat dikatakan bahwa tingkat keamanan informasi yang belum optimal. Pada periode Januari hingga Agustus 2019 Polri mencatat 3.429 kasus tindak pidana siber.

Kejahatan siber tidak selalu dilakukan dari pihak yang tidak kita kenal, sering kali keamanan informasi perusahaan terancam akibat pegawainya sendiri. Saat ini untuk mengurangi dampak buruk dari kejahatan siber, Kementrian Komunikasi dan Informatika RI menghimbau seluruh penyelenggara sistem elektronik untuk dapat mengimplementasikan ISO/IEC 27001 yang tertuang dalam PERMEN KOMINFO Nomor 4 tahun 2016 mengenai Sistem Manajemen Keamanan Informasi.

Salah satu cara mencegah kejahatan siber dan insiden lainnya menurut ISO/IEC 27001 adalah dengan melakukan pemantauan pada log aktivitas sistem yang tertuang dalam annex 12.4. Log adalah catatan mengenai seluruh aktivitas yang dilakukan seperti akses, insiden, perubahan, dll. Pemantauan log ini dilakukan untuk membantu perusahaan dalam menganalisis tren atau mendeteksi kemungkinan kegiatan kejahatan siber sebelum terjadi insiden yang lebih besar. Pemantauan log dapat dilaksanakan dengan periode tertentu sesuai kebutuhan dari perusahaan, misal setiap 1 (satu) bulan sekali atau setiap 3 (tiga) bulan sekali dengan melakukan pemantauan pada seluruh aktivitas yang dilakukan terhadap sistem operasi. Hal ini dapat membantu perusahaan misalkan apabila terjadi percobaan gagal untuk mengakses sistem perusahaan atau dalam log firewall terdeteksi user yang tidak dikenali mencoba mengakses ke dalam sistem, dengan ini perusahaan dapat mengidentifikasi lebih dini upaya – upaya serangan eskternal yang dilakukan.

Beberapa hal yang dapat dilakukan Organisasi untuk memastikan pemantuan dapat dijalankan dan meminimalisir risiko ini, diantaranya:

  1. Menetapkan waktu dan tata cara untuk melakukan pemantauan pada log aktivitas.
  2. Pastikan keamanan log dari kerusakan atau perubahan yang tidak sesuai kewenangan, log dapat berupa:
    • User ID/User Access Operational System.
    • Waktu Log On & Log Off, user pada sistem operasi.
    • Kegagalan dan keberhasilan dalam percobaan akses ke sistem, data dan aplikasi.
    • Perubahan dalam konfigurasi sistem.
    • Pengguanaan utilitas sistem operasi.
  3. Aktivitas pada system proteksi, seperti firewall, antivirus, dll.
  4. Tetapkan pegawai atau fungsi yang akan melakukan pemantauan pada log aktivitas.
  5. Tetapkan fungsi untuk melalukan investigasi, apabila terjadi aktivitas yang tidak sesuai kewenangan.
  6. Melakukan pengaturan kebijakan pada alat peringatan keamanan informasi, seperti log in gagal, perubahan akun, dll.
  7. Simpan dokumentasi log setidaknya selama 1 tahun, dengan ketersediaan 3 bulan (sesuai dengan Persyaratan PCI DSS)
  8. Melakukan pemantauan berkala pada proses pengumpulan log, untuk memastikan proses ini telah berjalan dengan tepat.

Dengan ini Organisasi telah satu langkah dalam melakukan pengamanan informasi dengan memastikan kerahasiaan (confidentiality), keakuratan (integrity) dan ketersediaan (availability) informasi dan alat pemrosesan informasi.

IT GRC Team
Robere & Associates (Indonesia)

Pentingnya Keamanan Password

Perkembangan teknologi dan komunikasi di dunia akan semakin berkembang kedepannya, termasuk penggunaan perangkat digital dalam kegiatan sehari-hari yang mengharuskan setiap orang untuk terus mengakses ke salah satu akun digitalnya. Menurut riset yang dilakukan oleh Mastercard, setiap orang memiliki rata-rata sepuluh akun yang digunakan pada perangkat dan aplikasi yang berbeda, dan setiap harinya akses ke akun digital mengharuskan pengguna memasukkan password sekitar delapan kali. 

Penggunaan password adalah salah satu cara untuk menerapkan tindakan keamanan dalam dunia teknologi informasi atau dunia komputer secara umum.  Menurut riset yang dilakukan oleh Mastercard umumnya dalam pengelolaan password diketahui sebanyak 25% pemilik akun menggunakan tanggal lahir mereka sebagai password, sementara 18% responden lainnya menggunakan nama peliharaan dan 13% nama keluarga sebagai password dan sebanyak 84% responden mengaku mengganti password hanya beberapa kali, sementara hanya 16% yang mengaku selalu ingat password mereka. Kebiasaan menggunakan password yang tidak “secure” atau mudah ditebak sebaiknya mulai dikurangi karena memiliki risiko diretas oleh hacker. Akibatnya, data-data pribadi pengguna bisa digunakan untuk melakukan tindak kejahatan seperti penipuan secara daring1. 

Tindak kejahatan pada website besar seringkali diretas dan terjadi kebocoran data pelanggannya sehingga informasi seperti no hp, alamat email, dll dapat diakses dengan mudah oleh publik. Salah satu data milik perusahaan teknologi asal Indonesia yang di-retas bergerak di bidang finansial (fintech), Kreditplus diduga bocor dan dijual bebas di internet pada Agustus 2020 lalu. Kebocoran data pengguna KreditPlus dipaparkan dalam laporan dari firma keamanan siber asal Amerika Serikat, Cyble. Berdasarkan laporan tersebut, data pribadi milik sekitar 890.000 nasabah Kreditplus diduga bocor. Data ratusan ribu pengguna tersebut konon dijual di forum terbuka yang biasanya digunakan sebagai kanal untuk pertukaran database hasil peretasan, Raidforums. Adapun database ini menghimpun sejumlah data pribadi pengguna yang terbilang cukup sensitif, di antaranya seperti nama, alamat e-mail, kata sandi (password), alamat rumah, nomor telepon, data pekerjaan dan perusahaan, serta data kartu keluarga (KK)2. Selain itu bocornya keamanan password juga terjadi pada saat menggunakan jaringan public.

Kebocoran data tersebut seringkali diluar kendali pengguna dan merupakan tanggung jawab pemilik website / bisnis. Pengguna dapat berusaha melindungi sejak dini dengan memiliki kesadaran tinggi terhadap keamanan password.

Pentingnya menatakelolakan password masih merupakan salah satu pertahanan terbaik terhadap peretas baik itu laptop/komputer atau juga akun online, sebagian besar situs web telah mengharuskan pengguna untuk menggunakan kompleksitas password. Misalnya, password harus memiliki panjang tertentu dan berisi campuran jenis karakter tertentu. Seperti halnya ISO/IEC 27001:2013 Annex 9.4.3 Password Management System yang mempersyaratkan bagaimana menatakelolakan password yang baik seperti halnya :

  • Tidak menulisakan password atau disimpan dalam media online apapun dalam bentuk plain text yang tidak ter-enkripsi.
  • Tidak menuliskan/menyampaikan password melalui komunikasi e-mail, chatting, atau media komunikasi elektronik lainnya.
  • Tidak membicarakan password di depan orang lain.
  • Tidak menuliskan petunjuk (hint) pada password seperti nama keluarga, dll.
  • Tidak menyebarluaskan password kepada kuisioner atau formulir keamanan.
  • Jangan menggunakan “Remember Password” fitur atau aplikasi (misal: web browsers).
  • Melakukan perubah password sementara (default password) setelah digunakan pertama kali.
  • Panjang minimal karakter password pada sistem dan perangkat yang digunakan adalah 8 (delapan).
  • Menggunakan kombinasi huruf dan angka, sedapat mungkin menggunakan spesial karakter (seperti: !$%#*) kecuali apabila sistem atau aplikasi tidak memungkinkan.
  • Menghindari pengisian password secara otomatis (auto complete).
  • Menghindari penggunaan password yang sama antara keperluan kerja dan pribadi.
  • Menghindari penggunaan login otomatis.

Meskipun tidak ada cara yang paling tepat dan kuat untuk mengamankannya, namun hal-hal seperti penggunaan password yang sederhana, singkat, dan mudah ditebak dapat membuat sistem keamanan menjadi lebih mudah untuk diretas. Oleh karena itu, sangat penting untuk melakukan tata kelola password yang baik seperti mengganti password secara berkala dan bila memungkinkan menggunakan fitur MFA (Multi Factor Authentication) seperti melaui sms, otp, telephone dan lainnya.

Syifa Aulia Sari
IT GRC Consultant
Robere & Associates (Indonesia)

Menjaga Keberlangsungan Bisnis

Situasi pandemi Coronavirus atau Covid-19 yang berlangsung sejak tahun 2020 telah memberikan dampak yang besar bagi berbagai sektor industri. Dalam situasi yang tidak memungkinkan untuk para pekerja menjalankan aktivitasnya secara normal, ada kemungkinan bisnis akan mengalami kegagalan dalam menjalankan fungsi bisnis utamanya. Seperti yang diketahui, banyak perusahaan yang terpaksa menghentikan sebagian atau seluruh proses operasionalnya dikarenakan kekurangan sumber daya atau akibat terganggunya rantai pasokan. Untuk tetap dapat menjaga kelangsungan dan memastikan kontinuitas dari fungsi bisnis utamanya, perusahaan perlu merencanakan langkah-langkah dalam upaya mengantisipasi dampak buruk dari wabah pandemi coronavirus. Hal ini dapat dilakukan dengan menyusun Business Continuity Plan. 

Business Continuity Plan (BCP) menurut ISO 22301 didefinisikan sebagai informasi terdokumentasi yang memandu organisasi untuk menanggapi gangguan dan melanjutkan, memulihkan serta mengembalikan proses operasionalnya sesuai dengan fungsi utamanya. Tujuan utama dari penyusunan Business Continuity Plan di tengah situasi pandemi ini adalah agar perusahaan dapat menjaga kelangsungan proses bisnis perusahaan tanpa membahayakan kesehatan dan keselamatan seluruh tenaga kerjanya. Berikut beberapa langkah penting dalam penyusunan Business Continuity Plan untuk pandemi:

  1.  
  1. Membentuk Tim Pandemi Di tengah kondisi yang mengkhawatirkan, menjadi sangat penting untuk terlebih dahulu mengetahui personil yang akan betanggung jawab dalam melakukan kontrol atas perusahaan. Manajemen disarankan untuk membentuk Tim Pandemi yang diketuai oleh Direktur dan beranggotakan para Manajer. Tugas utama dari Tim Pandemi adalah:
      • Mengidentifikasi aspek krusial perusahaan
      • Menyusun kebijakan darurat pandemi
      • Berkoordinasi dengan seluruh pemangku kepentingan
    Tim Pandemi harus mampu menunjukkan sikap optimis dan tenang dalam menghadapi situasi genting. Dengan senantiasa memberikan dukungan kepada seluruh pekerja, maka pekerja akan tetap dapat mempertahankan kinerjanya tanpa diiringi perasaan takut atau khawatir.

  2. Mengidentifikasi Aspek Kritikal Aspek kritikal perusahaan perlu diidentifikasi untuk menjaga kelangsungan bisnis perusahaan dan memastikan ketersediaan sumber daya yang dibutuhkan, seperti diantaranya:
      • Departemen/fungsi utama berikut dengan key person yang aktivitasnya tidak dapat dihentikan, seperti fungsi customer service dan operasional pada Bank.
      • Infrastruktur atau aset penting perusahaan yang harus dijaga seperti server atau data center dan posisi keuangan perusahaan.
      • Kebutuhan perusahaan seperti Alat Pelindung Diri yang relevan bagi pekerjanya juga perlu dilakukan, seperti menyediakan masker atau sarung tangan untuk pekerjanya agar tetap dapat menjaga keselamatan dan kesehatan para pekerjanya.
    Dengan mempertimbangkan tingkat prioritas, serta risiko dan dampaknya apabila terjadi gangguan terhadap aspek-aspek tersebut, Tim Pandemi akan dapat menyusun rencana yang tepat untuk memastikan keamanan dan ketersediaan dari aspek-aspek tersebut serta menjaga fungsinya dengan baik dan sesuai.

  3. Menyusun Kebijakan Darurat Kebijakan darurat perlu ditetapkan, salah satunya adalah dengan membatasi atau menghentikan kontak antar karyawan maupun kontak dengan pihak eksternal. Beberapa hal yang dapat dilakukan:
      • Work from Home
      • Shift working dengan membagi jam kerja menjadi 2 shift atau dengan membagi jumlah pekerja per hari terutama untuk usaha dengan layanan penting.
      • Pembatasan kegiatan perjalanan seperti perjalanan dinas atau perjalanan pribadi lainnya.
    Penyusunan kebijakan darurat juga perlu mempertimbangkan ketentuan pemerintah setempat, seperti arahan terkait masa tanggap darurat.

  4. Menetapkan jalur komunikasi Sangat penting bagi seluruh pihak berkepentingan baik pihak internal maupun eksternal untuk mengetahui perubahan-perubahan yang terjadi pada perusahaan seperti perubahan sistem kerja. Komunikasi menjadi kunci utama untuk menjaga kelangsungan proses operasional perusahaan walau terjadi perubahan. Koordinasi dengan pihak-pihak lain yang memiliki peran penting dalam situasi pandemi seperti tenaga medis atau aparat setempat juga diperlukan apabila sewaktu-waktu terjadi peristiwa yang tidak diinginkan. Dalam proses perencanaan penyampaian informasi, perlu mempertimbangkan bentuk komunikasi yang efektif dan media komunikasi yang sesuai untuk memastikan informasi dapat tersampaikan dengan baik.

  5. Percobaan implementasi dan evaluasi Business Continuity Plan Setelah perencanaan dilakukan, percobaan implementasi wajib dilakukan untuk memastikan seluruh rencana yang disusun dapat mengatasi berbagai macam situasi dan kondisi yang sedang berlangsung atau dapat terjadi. Proses percobaan ini memberikan kesempatan bagi perusahaan untuk mengidentifikasi kekurangan dari rencana yang telah disusun dan melakukan perbaikan atas rencana tersebut. Evaluasi kemudian dilakukan untuk memastikan seluruh perencanaan yang disusun telah efektif dalam mempertahankan kelangsungan fungsi bisnis perusahaan.

  6. Pemulihan fungsi bisnis Rencana pemulihan fungsi bisnis perlu disusun untuk memastikan perusahaan dapat kembali beroperasi secara normal segera setelah ketika pandemi ini berakhir. Salah satu langkah untuk dapat memastikan pemulihan fungsi bisnis adalah dengan menjaga hubungan dengan pelanggan, pemasok atau pihak terkait lainnya. Di samping itu, perusahaan juga perlu mengidentifikasi pemasok alternatif apabila pemasok utama tidak lagi mampu memenuhi kebutuhan perusahaan serta melakukan penjagaan dan pemulihan terhadap aset perusahaan termasuk data dan dokumen.

Walau besar harapan untuk wabah ini akan segera berakhir, bersiap untuk menghadapi hal terburuk sangatlah penting. Dengan adanya Business Continuity Plan, perusahaan akan mampu mempertahankan fungsi bisnisnya serta meminimalisir kerugian materiil maupun imateriil yang diakibatkan oleh wabah pandemi coronavirus.

Sudahkah perusahaan anda menyusun Business Continuity Plan?

Muhammad Arief Nurhidayat
Business Development Manager
Robere & Associates (Indonesia)

Sistem Manajemen Keamanan Informasi

Bisnis dan teknologi merupakan dua hal yang dapat dikatakan hampir tidak terpisahkan di zaman transformasi digital seperti saat ini. Perkembangan teknologi yang begitu cepat seakan menjadi daya tarik untuk para pelaku bisnis dalam mengembangkan setiap lini usaha yang dimilikinya. Tanpa adanya Teknologi Informasi, organisasi tidak dapat berjalan dengan efektif dan efisien, karena informasi yang dihasilkan dari suatu sistem informasi menjadi faktor yang sangat penting dalam membuat kebijakan dan keputusan yang tepat. Bahasan tentang teknologi informasi tidak dapat dipisahkan dengan internet, dimana internet berperan sebagai perantara atau alat untuk mendapatkan informasi dengan mudah. Internet sangat berperan sebagai penghapus batasan ruang dan waktu, sehingga memungkinkan tersebarnya informasi tanpa jeda, jarak dan waktu sudah bukan menjadi kendala utama pada era ini.  

Internet pertamakali diperkenalkan oleh World Wide Web pada 30 tahun lalu, pengguna internet diseluruh dunia memiliki angka yang sangat mengagumkan. Survei lembaga We Are Social (2018) menyatakan bahwa 55 persen dari penduduk dunia merupakan pengguna internet aktif. Jika populasi dunia sebesar 7.655 milyar, maka lebih dari 4.176 milyar jiwa merupakan pengguna internet. Hal tersebut menjadi tanda bahwa internet memiliki peran yang sangat besar dalam kehidupan.

Di Indonesia, berdasarkan hasil survey Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) pada akhir 2017, sebanyak 54.68 persen dari penduduk Indonesia merupakan pengguna internet aktif. Jika total populasi penduduk Indonesia 262 juta jiwa, maka setidaknya 143.26 juta jiwa merupakan pengguna internet aktif. Jumlah tersebut terus mengalami peningkatan dari tahun-tahun sebelumnya, yang mana pada tahun 2015 pengguna internet mencapai 110.2 juta orang, 2016 mencapai 132.7 juta orang seperti yang terlihat pada Gambar 1.1.

Gambar 1.1: Penetrasi pengguna internet Indonesia 2017 (Data APJII: 2017)

 

Data tersebut menunjukkan adanya ketergantungan masyarakat, badan usaha, dan seluruh pemangku kebutuhan untuk mengakses data dan informasi dimanapun dan kapanpun menjadi sangat tinggi. Hal tersebut tentunya untuk mendapatkan informasi dalam menunjang peningkatan efektivitas dan efisiensi perusahaan serta membantu dalam mencapai tujuan perusahaan. Disisi lain, seiring berkembangnya teknologi dan informasi ancaman terhadap pengelolaan informasi juga semakin meningkat. Angka pertumbuhan Internet Users di atas sangat disayangkan sekali karena tidak diimbangi dengan kesadaran akan keamanan internet. Sehingga sangat rawan terjadi ancaman malware melalui kelemahan yang ada.

Tahun 2017 dimana dikenal dengan era Internet of Thing (IoT), ancaman keamanan sistem informasi sempat digegerkan dengan serangan Malware Ransomeware yang dikenal dengan Wannacry. Dalam rentang waktu Januari sampai dengan Desember 2018, insiden keamanan informasi yang paling sering terjadi yaitu Web Defacement, disusul dengan Malware, Spam, IP Brute Force, Phishing dan lain-lain (BSSN- ISSN 2655-8467 Volume 1 Tahun 2018). Berdasarkan Security Report Badan Siber dan Sandi Negara (BSSN) pada tahun 2018 terdapat serangan Cyber di Indonesia sebanyak 513.863 yang sebagian besar berupa aktivitas Malware dengan jumlah 12.895.554 insiden.

Kenyataan tersebut perlu dilihat guna melihat urgensi untuk meningkatkan keamanan informasi. Proses pekerjaan dengan jaringan internet tentunya sangat rentan terkena serangan malware oleh pihak yang tidak diinginkan, untuk menjaga informasi perusahaan, maka risiko tersebut perlu dikendalikan dan diminimalisir. 

Kontrol terhadap malware dan perlindungan terhadap malware perlu dilakukan oleh perusahaan. Untuk mencegah insiden malware dalam sebuah perusahaan. dapat di lakukan dengan tidak membuka spam email dari sumber/pengirim yang tidak jelas. Email yang dicurigai dapat merusak komputer karena mengandung virus, malware atau sejenisnya akan masuk ke folder tersebut. Apabila dalam email yang dibuka terdapat lampiran file (attachments) sebaiknya tidak perlu diunduh atau jika tidak dikenal pengirimnya sebaiknya lakukan pemblokiran terhadap email tersebut.

Sesuai dengan ketentuan pada ISO/IEC 27001:2013 bahwa perusahaan harus menjaga keamanan informasi dari berbagai macam ancaman yang mungkin terjadi salah satunya dapat dilakukan dengan memasang antivirus pada perangkat komputer, hal ini selaras dengan implementasi annex 12.2.1 mengenai perlindungan terhadap malware. Apabila suatu perusahaan memakai sistem jaringan nirkabel, maka pastikan perusahaan memiliki teknisi yang mampu mengamankan jaringan sesuai dengan persyaratan annex 13.1.1 mengenai kemaanan jaringan. Perusahaan juga harus memastikan selalu mengunci router dan juga mengenkripsi seluruh informasi sesuai dengan annex 10.1.1 mengenai kontrol enkripsi. Bila perlu, selalu beri pasword dalam seluruh jaringan data komputer dan hidden seluruh system sesuai dengan annex 9.4.3 mengenai penggunaan password. 

Secara keseluruhan perusahaan harus menjaga keamanan informasi dari berbagai macam ancaman yang mungkin terjadi. Untuk menjaga keamanan inforrmasi dapat dilakukan dengan memasang antivirus pada perangkat komputer, kemudian mengamankan jaringan. Apabila suatu perusahaan memakai sistem jaringan nirkabel, maka pastikan perusahaan memiliki teknisi yang mampu mengamankan jaringan. perusahaan juga harus memastikan selalu mengunci router dan juga mengenkripsi seluruh informasi. Bila perlu, selalu beri pasword dalam seluruh jaringan data komputer dan hidden seluruh sistem. Dengan menyembunyikan data, maka setidaknya hal tersebut dapat mencegah kejahatan dalam perusahaan yang mungkin terjadi. 

Bentuk – bentuk pengendalian yang dapat dilakukan untuk meminimalisasi risiko dan ancaman dari luar maupun dari dalam salah satunya dengan penerapan Sistem Manajemen Keamanan Informasi (SMKI) mengacu pada ISO/IEC 27001:2013. SMKI menurut ISO/IEC 27001:2013 dimaknai sebagai bagian dari sistem manajemen keseluruhan, berdasarkan pendekatan risiko bisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan dan memelihara keamanan informasi serta memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan. 

Dengan menerapkan ISO/IEC 27001:2013, perusahaan dapat melindungi dan memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan. ISO/IEC 27001:2013 memberikan sebuah keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa perusahaan telah mempunyai sistem manajemen keamanan informasi yang baik sesuai standar internasional. Jika suatu perusahaan sudah menerapkan Sistem Manajemen Keamanan Informasi (SMKI), perusahaan akan mampu mengendalikan aset informasi dari adanya ancaman dan serangan, secara tidak langsung juga memberikan jaminan terhadap kelangsungan bisnis perusahaan.

Syifa Aulia Sari
IT GRC Consultant
Robere & Associates (Indonesia)

Hubungan RACI Matrix dengan Sistem Manajemen Risiko

Implementasi Manajemen Risiko erat kaitannya dengan proses komunikasi dan konsultasi. Dimana, proses tersebut merupakan salah satu faktor yang mendukung kelancaran proses manajemen risiko dari tahap ke tahap. Serta tidak dapat dipungkiri proses komunikasi dan konsultasi dengan beberapa Stakeholder dapat mempengaruhi beberapa keputusan yang ditetapkan, baik dalam penerapan kerangka kerja atau proses manajemen risiko, sehingga apabila proses komunikasi dan konsultasi tidak dapat berjalan lancar maka dapat memunculkan risiko baru.

Membahas terkait kesalahan komunikasi dalam implementasi manajemen risiko, kita dapat mengacu kepada salah satu kasus besar yang terjadi pada tahun 2001 yaitu Kasus Kebangkrutan Enron, dimana perusahaan tersebut tidak dapat memberikan informasi yang sesuai dengan realitanya, sehingga tim manajemen risiko Enron tidak dapat mengidentifikasi risiko apa yang akan dihadapi. Penyampaian data yang akurat dan aktual dari suatu perusahaan sangat berguna untuk mengidentifikasi risiko apa yang akan dihadapi, tanpa adanya informasi tersebut sebuah perusahaan hanya dapat memprediksi risiko dari hystorical data yang belum tentu akurat hasilnya.

Berkaitan dengan penjabaran diatas, pada artikel kali ini akan membahas salah satu metode yang dapat digunakan untuk menyusun dan mengidentifikasi dengan jelas bagaimana alur yang baik dalam menjalankan proses komunikasi dan konsultasi yang baik dalam mengimplementasikan Sistem Manajemen Risiko yaitu RACI Matriks. Metode ini membantu perusahaan untuk mengidentifikasi pihak – pihak yang terkait dengan proses komunikasi dan konsultasi Sistem Manajemen Risiko yang pada umumnya terbagi menjadi 4, yaitu Responsibility (R), Accountable (A), Consulted (C), Informed (I). Sebagai panduan menyusun RACI Matriks, terdapat beberapa tahapan yang dapat dilakukan yaitu

  1. Identifikasi pihak yang berkepentingan dengan Sistem Manajemen Risiko
    Sebelum menyusun RACI Matriks, perlu ditentukan siapa saja pihak yang berkepentingan terkait dengan Sistem Manajemen Risiko. Contohnya seperti :

    • Dewan Komisaris
    • Direksi
    • Manager Departemen / Kepala Divisi
    • Staff Departemen/ Risk Owner
    • Stakeholder Eksternal (Customer, Pemegang Saham, Pemerintah, Risk Consultant,dll)
  2. Identifikasi tahapan yang akan dilaksanakan di Sistem Manajemen Risiko
    Setelah menentukan pihak yang berkepentingan, maka perlu diidentifikasi tahapan apa saja yang akan dilakukan saat mengimplementasikan Sistem Manajemen Risiko. Contohnya seperti :

    • Penetapan Lingkup, Konteks, dan Kriteria
    • Identifikasi Risiko
    • Analisa Risiko
    • Evakuasi Risiko
    • Pengendalian Risiko
    • Pemantauan dan Kaji Ulang Risiko
    • Pencatatan dan Pelaporan Risiko

    Sebagai saran untuk peningkatan, semakin detail keterangan pada setiap tahapan di Sistem Manajemen Risiko, maka akan semakin jelas peran dari pihak berkepentingan yang menjalankan tahapan tersebut.

  3. Menyusun RACI Matriks
    RACI Matriks disusun berdasarkan peran dari pihak berkepentingan terhadap tahapan yang dilakukan dalam menjalankan Sistem Manajemen Risiko. Hal tersebut seperti yang telah disebutkan diatas yaitu terbagi menjadi :

    • Responsible (R), yaitu pihak yang bertugas melaksanakan tahapan tertentu dari serangkaian proses di Sistem Manajemen Risiko. Contohnya seperti Staff Departemen/Risk Owner.
    • Accountable (A), yaitu pihak yang bertanggung jawab terhadap hasil akhir dari suatu tahapan yang terkait dengan proses Sistem Manajemen Risiko serta pengambil keputusan terhadap suatu permasalahan yang terjadi. Contohnya seperti pimpinan di masing – masing Unit Kerja/ Departemen/Divisi (Manager Departemen/Kepala Divisi).
    • Consulted (C), yaitu pihak yang memiliki keahlian terkait Sistem Manajemen Risiko. Contohnya seperti Departemen Manajemen Risiko (ERM Departement), Risk Analyst, Risk Consultant.
    • Informed (I), yaitu pihak yang menerima informasi terkait hasil implementasi dari tahapan – tahapan Sistem Manajemen Risiko. Contohnya seperti Dewan Komisaris, Direksi Perusahaan, dan Stakeholder Eksternal.

    Salah satu contoh bentuk RACI Matriks dapat dilihat pada tabel di bawah berikut ini: Table 1.1: RACI Matriks

  4. Keterangan tambahan pada RACI MatriksApabila RACI Matriks telah disusun, maka dapat ditambahkan beberapa keterangan seperti :
    • Jenis informasi yang disampaikan sebagai bentuk output dari masing – masing tahapan di Sistem Manajemen Risiko. Contohnya seperti Laporan Identifikasi Risiko, Laporan Evaluasi Sistem Manajemen Risiko, dll
    • Metode penyampaian hasil tahapan di Sistem Manajemen Risiko. Contohnya seperti Monthly Meeting, Yearly Meeting, Management Review Meeting, Email, Surat,dll.
    • Frekuensi penyampaian hasil tahapan Sistem Manajemen Risiko. Contohnya seperti perBulan, perSemester, perTahun, setiap 3 bulan, dll.

Pada dasarnya RACI Matriks adalah salah satu metode yang bertujuan untuk lebih meningkatkan keefektifan Sistem Manajemen Risiko yang diimplementasikan oleh organisasi. Dimana, harapannya apabila sebuah organisasi atau perusahaan telah menyusun RACI Matriks yang baik maka :

  • Tidak terdapat tumpang tindih tugas dan tanggung jawab dalam mengimplementasikan Sistem Manajemen Risiko
  • Pengambilan keputusan dan penyelesaian masalah menjadi lebih singkat
  • Distribusi informasi internal dan eksternal menjadi lebih jelas
  • Transparansi terhadap informasi dalam menjalankan Sistem Manajemen 

Hilman Badhi Adikara
Non-IT GRC Consultant
Robere & Associates (Indonesia)

 

Survey Kepuasan Pelanggan

Kepuasan pelanggan merupakan salah satu aspek yang sangat penting bagi sebuah perusahaan dalam menjalankan sebuah usaha. Tidak bisa dipungkiri bahwa pelanggan selaku pengguna produk atau jasa dari perusahaan memang memiliki peranan sangat penting terkait dengan keberlangsungan operasional perusahaan. Survey kepuasan pelanggan yang dilakukan oleh perusahaan merupakan salah satu bentuk komitmen perusahaan dalam mengutamakan kepuasan pelanggan. Tujuan utama dilakukannya survey kepuasan pelanggan ini adalah untuk menentukan tindakan yang harus diambil oleh perusahaan untuk dapat terus memenuhi harapan pelanggan, memperoleh dan mempertahankan loyalitas pelanggan, serta memenangkan persaingan dengan para kompetitor.

Melalui survey kepuasan pelanggan, perusahaan dapat memperoleh beberapa informasi seperti :

  1. Kualitas produk dan jasa
    Perusahaan dapat memperoleh informasi apakah produk atau jasa yang mereka sediakan telah mampu memberikan kepuasan bagi pelanggan atau sejauh mana tingkat kepuasan pelanggan telah dicapai.

  2. Kebutuhan perbaikan kualitas
    Terkait dengan tingkat kepuasan pelanggan yang telah dicapai, survey kepuasan pelanggan dapat dijadikan sebagai bahan evaluasi bagi perusahaan untuk melakukan perbaikan atau peningkatan dari produk dan layanan yang disediakan oleh perusahaan.
  3. Perilaku pelanggan
    Perilaku pelanggan juga dapat dianalisis melalui pelaksanaan survey kepuasan pelanggan ini, yang kemudian bisa dijadikan sebagai acuan dalam menentukan strategi pemasaran produk dan jasa dari perusahaan.
  4. Daya saing perusahaan
    Survey kepuasan pelanggan juga dapat memberikan gambaran mengenai perbandingan produk dan jasa dari suatu perusahaan dengan produk dan jasa dari kompetitornya, termasuk pangsa pasar kompetitor.

Survey kepuasan pelanggan perlu dilakukan dan dianalisa secara berkala. Terdapat cukup banyak alternatif yang dapat dilakukan oleh suatu perusahaan untuk dapat melakukan survey kepuasan pelanggan, yaitu :

  1. Pengajuan form survey kepada pelanggan
    Salah satu cara pelaksanaan survey yang paling mudah dilakukan adalah dengan pengajuan form survey kepada pelanggan. Form survey ini dapat disampaikan kepada pelanggan secara tertulis atau melalui media elektronik.
  2. Customer Business Meeting
    Perusahaan dapat mengadakan pertemuan dengan para pelanggannya untuk menerima masukan dan feedback secara langsung dari pengguna produk dan jasa mereka, sekaligus menjadi media untuk diskusi dengan para pelanggan terkait dengan solusi bagi pelanggan yang bisa diberikan oleh perusahaan.
  3. Lost Customer Analysis
    Lost Customer Analysis perlu dilakukan oleh perusahaan penyedia produk dan jasa dengan menghubungi pelanggan yang berhenti melakukan pembelian, untuk mengetahui hal yang menjadi alasan pelanggan tersebut berhenti melakukan pembelian di perusahaan atau alasan pelanggan beralih kepada kompetitor.

Pengukuran tingkat kepuasan pelanggan merupakan salah satu persyaratan dari implementasi sistem manajemen mutu, salah satunya dapat dilakukan dengan pelaksanaan survey. Dengan dilakukannya survey kepuasan pelanggan ini, perusahaan dapat mengetahui seberapa mampu perusahaan mencapai kepuasan pelanggan melalui produk atau jasa yang disediakan. Keluhan pelanggan akibat kekurangan yang ditemui pada produk atau jasa yang disediakan juga akan dapat diidentifikasi oleh perusahaan. Dengan demikian, perusahaan dapat menentukan tindak lanjut yang harus dilakukan untuk dapat memperbaiki kekurangan pada produk atau jasa, memenuhi harapan pelanggan, dan pada akhirnya kepuasan pelanggan tercapai.