Kategori: Berita

Transformasi digital tidak lagi sekadar tren, melainkan kebutuhan utama bagi organisasi yang ingin tetap relevan dan kompetitif. Di tengah persaingan layanan digital yang semakin ketat, kualitas software menjadi faktor krusial yang menentukan kepercayaan pengguna dan keberhasilan bisnis.

Salah satu standar internasional yang kini mulai mendapat perhatian adalah ISO/IEC 25001, sebuah framework yang berfokus pada perencanaan dan pengelolaan kualitas perangkat lunak secara sistematis. Standar ini membantu organisasi memastikan bahwa software yang dikembangkan tidak hanya berfungsi, tetapi juga memiliki kualitas yang terukur dan berkelanjutan.

Baru-baru ini, Bank Rakyat Indonesia menjadi sorotan setelah menjadi bank pertama di Indonesia yang meraih sertifikasi terkait keluarga standar ISO/IEC 25000. Pencapaian ini tidak lepas dari peran Robere & Associates (Indonesia) yang turut mendampingi proses implementasi dan sertifikasi, memastikan bahwa standar kualitas software diterapkan secara efektif dan sesuai dengan best practice internasional.

Langkah ini menjadi sinyal kuat bahwa industri perbankan mulai mengadopsi pendekatan yang lebih matang dalam mengelola kualitas sistem digital mereka.

Untuk melihat bagaimana implementasi ini dilakukan secara nyata, Anda bisa membaca selengkapnya di sini:
👉 https://www.metrotvnews.com/read/NxGCPnm4-bri-jadi-bank-pertama-di-indonesia-bersertifikasi-iso-iec-25000

---

Apa Itu ISO/IEC 25001?

ISO/IEC 25001 adalah bagian dari seri ISO/IEC 25000 (SQuaRE – Software Quality Requirements and Evaluation) yang berfokus pada perencanaan dan manajemen kualitas software.

Standar ini memberikan panduan bagi organisasi untuk:

• Menentukan tujuan kualitas software secara jelas
• Menyusun rencana evaluasi kualitas
• Mengelola proses pengukuran kualitas secara konsisten
• Mengintegrasikan kualitas ke dalam siklus pengembangan sistem

Dengan pendekatan ini, kualitas tidak lagi menjadi tahap akhir, tetapi bagian yang terintegrasi sejak awal proses.

Mengapa ISO/IEC 25001 Penting?

Dalam banyak kasus, organisasi terlalu fokus pada kecepatan pengembangan tanpa memastikan kualitas yang konsisten. Dampaknya bisa berupa:

• Sistem yang sering mengalami gangguan
• Pengalaman pengguna yang kurang optimal
• Biaya perbaikan yang terus meningkat
• Risiko operasional yang lebih tinggi

ISO/IEC 25001 membantu mengubah pendekatan tersebut dengan menempatkan kualitas sebagai prioritas strategis.

Manfaat utamanya meliputi:

• Kualitas software yang terukur dan konsisten
• Efisiensi dalam pengembangan dan maintenance
• Peningkatan kepercayaan pengguna
• Keselarasan dengan standar global

Relevansi ISO/IEC 25001 di Industri Perbankan

Industri perbankan saat ini sangat bergantung pada teknologi digital—mulai dari mobile banking hingga integrasi sistem berbasis API. Dalam konteks ini, kualitas software menjadi sangat kritikal.

Penerapan ISO/IEC 25001 membantu:

• Menjaga stabilitas sistem yang kompleks
• Memastikan layanan tetap andal dan aman
• Mendukung kebutuhan compliance dan governance
• Meningkatkan pengalaman nasabah secara menyeluruh

Apa yang dilakukan oleh Bank Rakyat Indonesia menunjukkan bahwa kualitas software kini mulai menjadi diferensiasi strategis, bukan sekadar aspek teknis.

Penutup: Menuju Kualitas Digital yang Lebih Terukur

Di era digital yang semakin kompetitif, organisasi tidak cukup hanya berinovasi—mereka juga perlu memastikan bahwa setiap inovasi memiliki kualitas yang dapat diandalkan.

ISO/IEC 25001 memberikan kerangka kerja yang membantu organisasi bergerak ke arah tersebut. Dengan pendekatan yang tepat dan pendampingan yang berpengalaman, implementasi standar ini dapat menjadi langkah strategis untuk meningkatkan daya saing sekaligus membangun kepercayaan jangka panjang.

Jika melihat tren saat ini, adopsi standar kualitas software seperti ini bukan lagi pertanyaan “perlu atau tidak”, tetapi “kapan mulai”.

Hubungi kami untuk informasi lebih lanjut

Pada Juli 2025, publik dikejutkan oleh penyebaran data medis selebgram Dara Arafah oleh seorang karyawan pihak ketiga dari salah satu asuransi bernama Nadia Venika. Peristiwa ini bukan sekadar viral di media sosial, tetapi mencerminkan lemahnya kesadaran etika, lemahnya pengawasan internal, serta ketidaksiapan banyak organisasi dalam menerapkan tata kelola data pribadi yang sesuai dengan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Fakta Kasus: Kronologi, Bukti, dan Respon

Nadia Venika adalah salah satu karyawan di Gl***l Ex**l, pihak ketiga yang menangani klaim nasabah untuk perusahaan asuransi besar. Melalui status WhatsApp pribadi, ia mengunggah dokumen berisi data sensitif milik Dara Arafah, mencakup:

• Nama lengkap,
• Foto KTP,
• Ringkasan medis,
• Komentar sarkastik.

Unggahan ini kemudian tersebar luas setelah Dara Arafah mempublikasikannya di Instagram dan menyatakan kemarahan serta rencananya untuk membawa kasus ini ke ranah hukum.

Gl***l Ex**l merespons cepat dengan menyatakan bahwa Nadia telah diberhentikan, dan tindakan tersebut tidak mencerminkan nilai-nilai perusahaan. Namun, pertanyaan yang lebih besar mengemuka:

Apakah hanya satu orang yang bersalah, atau ada celah sistemik yang perlu dibenahi?

Dimensi Hukum: Dua Undang-Undang yang Relevan

Tindakan yang dilakukan oleh pelaku berpotensi melanggar dua regulasi utama di Indonesia:

1. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi

• Pasal 65 Ayat (2) menyatakan bahwa subjek data berhak atas ganti rugi atas setiap pelanggaran data pribadi.
• Pelaku dapat dikenai sanksi pidana dan/atau administratif jika terbukti menyebarkan data pribadi tanpa dasar hukum yang sah.

2. Undang-Undang Nomor 17 Tahun 2023 tentang Kesehatan

• Pasal 17 menegaskan bahwa informasi kesehatan pasien bersifat rahasia, dan hanya dapat diakses oleh pihak yang berwenang.
• Dalam konteks ini, penyebaran diagnosa medis tanpa izin merupakan pelanggaran langsung terhadap hak pasien.

Kedua regulasi ini menjadi landasan penting bagi korban untuk menuntut haknya, sekaligus menjadi referensi bagi organisasi dalam menyusun kebijakan internal terkait perlindungan data dan kerahasiaan informasi.

Analisis Risiko: Celah dalam Sistem Tata Kelola Informasi

Apa yang bisa dipelajari dari kasus ini? Dari perspektif tata kelola risiko, insiden ini menunjukkan bahwa:

• Kegagalan kontrol internal: Tidak semua pegawai memahami batas akses data dan etika penggunaannya. Ini mencerminkan minimnya pelatihan atau kontrol atas staf.
• Ketiadaan proteksi teknis dan prosedural: Tidak ada mekanisme yang mencegah tangkapan layer/ screenshot terhadap data sensitif, atau notifikasi saat data diakses tidak sesuai prosedur.
• Kurangnya pengawasan terhadap pihak ketiga: Organisasi seringkali luput dalam melakukan due diligence terhadap vendor, terutama dalam aspek data handling dan kepatuhan terhadap regulasi lokal.

Kasus ini juga mengindikasikan kegagalan dalam menerapkan prinsip Least Privilege dan Privacy by Design dalam sistem informasi organisasi.

Rekomendasi Strategis Data Pribadi bagi Organisasi

Agar kejadian serupa tidak terulang, organisasi terutama di sektor kesehatan dan keuangan perlu meninjau kembali pendekatan mereka terhadap keamanan dan kerahasiaan data. Beberapa langkah strategis yang dapat diambil:

1. Penerapan Sistem Manajemen Keamanan Informasi (ISO/IEC 27001:2022)

• Menetapkan kebijakan akses data, audit trail, dan kontrol berbasis peran (role-based access control).
• Melibatkan Top Management dalam evaluasi risiko pelanggaran data.

2. Penerapan Sistem Manajemen Informasi Privasi (ISO/IEC 27701)

• Memastikan perlindungan hak subjek data, termasuk transparansi, koreksi, dan penghapusan data.
• Membangun privacy information management system framework yang terintegrasi dengan kebijakan IT dan legal.

3. Pelatihan dan Edukasi Berkala

• Edukasi karyawan dan mitra alih daya tentang etika pengelolaan data, risiko hukum, dan konsekuensi reputasional.
• Uji pemahaman melalui simulasi pelanggaran data (data breach tabletop exercise).

4. Evaluasi Ulang Kontrak dengan Pihak Ketiga

• Revisi klausul Non-Disclosure Agreement (NDA) dan Service Level Agreement (SLA) untuk memasukkan ketentuan khusus terkait pelindungan data pribadi dan data medis.
• Terapkan sistem audit vendor secara periodik.

Kesimpulan: Saatnya Meningkatkan Maturity Organisasi terhadap Privasi

Kasus ini bukan hanya pelanggaran personal, tetapi juga organizational wake-up call bagi semua entitas yang mengelola data sensitif. Di era digital saat ini, kepercayaan nasabah dan reputasi perusahaan sangat bergantung pada bagaimana sebuah organisasi mengelola data dan menjaga privasi pengguna.

Kejadian ini seharusnya mendorong organisasi untuk tidak hanya compliant terhadap regulasi, tetapi juga membangun budaya etis dalam pengelolaan data. Sebab, tata kelola yang baik tidak hanya diukur dari prosedur yang tertulis, tetapi dari konsistensi nilai yang diterapkan dalam praktik sehari-hari.

---

Robere & Associates (Indonesia) siap mendampingi organisasi Anda dalam menerapkan tata kelola data pribadi, melalui pelatihan, audit sistem informasi dan privasi, serta implementasi standar ISO 27001 dan ISO 27701. Hubungi kami melalui Contact Robere untuk konsultasi awal atau informasi lebih lanjut.

Ditulis Oleh, Maulana Iqbal Ruswandi, Lead Consultant IT GRC – Robere & Associates (Indonesia)

Dewasa ini, ESG (Environmental, Social, and Governance) telah menjadi aspek penting yang perlu diperhatikan oleh organisasi dalam menjalankan bisnisnya. Ketiga aspek ini sering digunakan untuk mengukur dampak dan keberlanjutan usaha suatu organisasi.

Pentingnya ESG dalam Dunia Bisnis

Aspek ESG mempengaruhi berbagai aspek operasional organisasi, persepsi publik, serta nilai jual organisasi. Berikut penjabaran dari aspek-aspek ESG:

1. Environmental (Lingkungan): Mengukur dampak kegiatan organisasi terhadap lingkungan, termasuk pengelolaan limbah, penggunaan sumber daya, pelestarian lingkungan, serta kebijakan terkait perubahan iklim.
2. Social (Sosial): Menilai interaksi perusahaan dengan karyawan, pemasok, pelanggan, dan otoritas. Fokus pada pemenuhan harapan dan kebutuhan, kondisi kerja, kesehatan dan keselamatan, serta hubungan dengan kelompok minat khusus.
3. Governance (Tata Kelola): Merujuk pada kepemimpinan, audit, kontrol internal, dan pemenuhan hak shareholders. Penting untuk memastikan kehandalan dalam pengelolaan perusahaan, mengurangi risiko penurunan kinerja dan reputasi.

Pengelolaan Keamanan Informasi dan ESG

Untuk mendukung aspek-aspek ESG, organisasi perlu meningkatkan pengelolaan keamanan informasi dalam operasional bisnis. Salah satu standar internasional yang dapat diacu adalah ISO/IEC 27001:2022, yang berfokus pada menjaga ketersediaan, kerahasiaan, dan integritas informasi serta fasilitas pengolahan informasi.

Meskipun fokus utamanya pada keamanan informasi, penerapan ISO/IEC 27001:2022 dapat memberikan dampak positif terhadap aspek-aspek ESG:

1. Pengaruh terhadap Lingkungan (Environmental):
   • Pada pasal 4.1, standar ISO/IEC 27001:2022 mengharuskan organisasi untuk mengidentifikasi isu internal dan eksternal dengan mempertimbangkan aspek perubahan iklim dan lingkungan.
   • Contohnya adalah penggunaan metode paperless dalam pengelolaan dokumen, yang tidak hanya mengurangi risiko kerusakan dan pencurian dokumen tetapi juga ramah lingkungan.
2. Pengaruh Sosial (Social):
   • Standar ini dapat meningkatkan perlindungan data pribadi dan hak kekayaan intelektual (HAKI), yang merupakan inti dari tanggung jawab sosial.
   • Pengelolaan dan perlindungan data yang efektif menunjukkan komitmen terhadap privasi dan keamanan, membangun kepercayaan pelanggan.
3. Tata Kelola (Governance):
   • ISO/IEC 27001:2022 menetapkan kerangka kerja untuk penerapan sistem manajemen keamanan informasi yang mencakup perencanaan, pelaksanaan, pemeriksaan, dan tindak lanjut.
   • Hal ini membantu organisasi menerapkan tata kelola terkait keamanan informasi yang baik.

Kesimpulan

Penerapan ISO/IEC 27001:2022 dalam pengelolaan keamanan informasi memberikan dampak positif signifikan terhadap aspek ESG dalam organisasi. Implementasi ini tidak hanya meningkatkan kualitas dan nilai tambah organisasi tetapi juga memastikan operasional yang lebih berkelanjutan dan bertanggung jawab.

---

Diskusikan dengan Kami!

Ditulis Oleh, Marketing Communication – Robere & Associates (Indonesia)

Simulasi bencana dan keberlangsungan bisnis yang diadakan oleh PT Bank Rakyat Indonesia (Persero) Tbk di Kantor Pusat Gedung BRI menegaskan komitmen mereka terhadap keamanan dan keberlanjutan operasional, mengingat sektor perbankan memiliki dampak kritis terhadap stabilitas perekonomian di Indonesia.

Melalui latihan simulasi ini, Bank BRI memperkuat kesiapan mereka dalam menghadapi potensi bencana dan menjaga kelangsungan bisnis dengan strategi pemulihan yang efektif. Tindakan proaktif ini mencerminkan peran penting sektor keuangan dalam mendukung stabilitas ekonomi nasional dan memastikan perlindungan terhadap aset dan kepentingan nasabah di tengah tantangan yang mungkin timbul.

Baca artikel di bawah ini untuk informasi lebih lanjut

Menjaga Keberlangsungan Bisnis, Bank BRI Rutin Gelar Simulasi Gempa bagi Pekerja

Standar ISO/IEC 27001:2022 diterbitkan pada 25 Oktober 2022, merupakan tonggak penting dalam pengelolaan keamanan informasi. Keberadaannya menjadi kunci utama bagi organisasi dalam memastikan keamanan data dan informasi penting mereka. Mulai 27 April 2023, Robere & Associates telah menerima pengakuan dan persetujuan dari CQI-IRCA, dan secara resmi memiliki otoritas untuk menyelenggarakan Lead Auditor Course ISMS ISO/IEC 27001:2022.

Pelatihan ini bertujuan untuk memberi peserta pengetahuan dan keterampilan yang diperlukan untuk melakukan audit sistem manajemen keamanan informasi yang efektif, yang memungkinkan mereka untuk menemukan kemungkinan masalah dan membuat saran strategis untuk perbaikan. Peserta pelatihan akan dipandu melalui prinsip-prinsip audit, metodologi, dan praktik terbaik dengan fokus pada standar ISO/IEC 27001:2022 terbaru.

Melalui pelatihan ini, Robere & Associates berkontribusi signifikan dalam mempersiapkan generasi baru auditor keamanan informasi yang tidak hanya kompeten dalam teori tetapi juga mahir dalam aplikasi praktis. Pelatihan ini memainkan peran vital dalam memperkuat infrastruktur keamanan informasi perusahaan dan meningkatkan ketahanan mereka terhadap ancaman siber, sekaligus memenuhi permintaan pasar akan profesional keamanan informasi yang berkualitas.