Framework Keamanan TI
Dalam manajemen TI ada banyak framework yang digunakan secara internasional. Standart atau framework ini dibuat biasanya merupakan hasil kolaborasi pakar atau expert di bidangnya masing-masing dan merupakan ekstraksi dari good practices atau best practices yang selama ini dimanfaatkan dalam bidang teknologi informasi. Dengan demikian, sebuah organisasi tidak perlu lagi melakukan trial and error untuk mendapatkan formulasi memadukan proses bisnis dan kegiatan TI yang terbaik.
Framework ini menjadi sangat penting untuk memastikan bahwa layanan TI bekerja sebagaimana mestinya sesuai dengan tujuan dan strategis bisnis, memiliki kualitas pelayanan yang efisien dan efektif, mengoptimalisasikan kualitas dan kuantitas layanan, memastikan bahwa budget yan di keluarkan efektif, menjamin tingkat keamanan yang dapat dipertanggungjawabkan, dsb. Secara umum standart dan framework digunakan untuk memastikan bahwa sumberdaya TI (termasuk SDM-nya) dikelola untuk memberikan pelayanan yang optimal, efisien, efektif, dan aman.
Penggunaan standar dalam manajemen TI mempunyai keuntungan-keuntungan sebagai berikut:
The Wheel Exists
Penggunaan standar yang sudah ada dan mature akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri framework dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas.
Structured
Standar-standar yang baik menyediakan suatu framework yang sangat terstruktur yang dapat dengan mudah difahami dan diikuti oleh manajemen.
Best Practices
Standar-standar tersebut telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi di seluruh dunia. Pengalaman yang direfleksikan dalam model-model pengelolaan yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu.
Knowledge Sharing
Dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups,website, majalah, buku, dan media informasi lainnya.
Auditable
Tanpa standar baku, akan sangat sulit bagi auditor, terutama auditor dari pihak ketiga, untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor mempunyai dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya.
Pada artikel ini juga dibahas secara singkat mengenai salah satu dari framework yang ada yakni ISO/IEC 27001.
ISO/IEC 27001
ISO 27001 ini merupakan sebuah standar yang dikeluarkan oleh International Organization for Standardization. ISO 27001 ini merupakan standar yang ditujukan dapat membantu perusahaan dalam melindungi keamanan aset perusahaan dan untuk melindungi Sistem Manajemen Keamanan Informasi (SMKI). ISO 27001 telah dirancang sedemikian rupa sehingga dapat disesuaikan dalam pengaplikasiannya pada organisasi kecil, menengah hingga organisasi besar di sektor apapun dalam rangka melindungi aset informasi penting organisasi tersebut . ISO 27001 memiliki 113 kontrol keamanan informasi, dan pada pelaksanaannya perusahaan dapat memilih kontrol mana yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal. Namun pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang harus dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi berbasis ISO 27001 umumnya mengandalkan jasa konsultan keamanan informasi.
Bagian kontrol ISO 27001 berisi satu set 114 kontrol keamanan atau perlindungan standar industri yang dikelompokkan ke dalam 14 bagian, yang diatur dalam kategori berikut:
Kebijakan keamanan informasi: Menentukan arah dan aturan manajemen untuk keamanan informasi sesuai dengan persyaratan bisnis dan undang-undang dan peraturan yang relevan.
Organisasi keamanan informasi: Mendefinisikan struktur organisasi untuk memulai dan mengontrol pelaksanaan keamanan informasi.
Keamanan sumber daya manusia: Memastikan bahwa karyawan dan kontraktor memahami tanggung jawab mereka dan cocok untuk peran yang mereka pertimbangkan; dan menyadari dan memenuhi tanggung jawab keamanan informasi mereka sebelum, selama, dan setelah bekerja.
Manajemen aset: Mengidentifikasi aset organisasi dan menentukan tanggung jawab perlindungan yang sesuai, seperti mencegah pengungkapan yang tidak sah, modifikasi, penghapusan, atau penghancuran informasi yang disimpan di media.
Kontrol akses: Memastikan pembatasan akses ke informasi dan fasilitas pemrosesan informasi, sehingga memastikan akses pengguna yang berwenang, dan untuk mencegah akses yang tidak sah ke sistem dan layanan.
Kriptografi: Memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian, dan integritas informasi.
Keamanan fisik dan lingkungan: Mencegah akses fisik yang tidak sah, kerusakan, dan gangguan terhadap informasi organisasi dan fasilitas pemrosesan informasi.
Keamanan operasi: Memastikan operasi fasilitas pemrosesan informasi yang benar dan aman.
Keamanan komunikasi: Memastikan perlindungan informasi dalam jaringan dan fasilitas pemrosesan informasi pendukungnya dan menjaga keamanan informasi yang ditransfer dalam suatu organisasi dan dengan entitas eksternal apa pun
Sistem akuisisi, pengembangan, dan pemeliharaan: Memastikan bahwa keamanan informasi merupakan bagian integral dari sistem informasi di seluruh siklus hidup. Ini juga mencakup persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik.
Hubungan pemasok: Memastikan perlindungan aset organisasi yang tersedia bagi pemasok.
Manajemen insiden keamanan informasi: Memastikan pendekatan yang konsisten dan efektif untuk pengelolaan insiden keamanan informasi, termasuk komunikasi tentang peristiwa dan kelemahan keamanan.
Aspek keamanan informasi dari manajemen kelangsungan bisnis: Menanamkan kesinambungan keamanan informasi dalam sistem Manajemen Kontinuitas Bisnis (BCM) organisasi.
Kepatuhan: Mencegah pelanggaran kewajiban hukum, undang-undang, peraturan atau kontrak yang terkait dengan keamanan informasi dan persyaratan keamanan apa pun, termasuk kepatuhan terhadap persyaratan hukum dan kontrak serta tinjauan keamanan informasi.
Referensi
PT Net Solution. 2020. Standart dan Framework dalam Manajemen TI. Diakses pada 10 Desember 2022, dari https://netsolution.co.id/standarit-dan-framework- dalam-manajemen-ti/
dosenIT.com. 2020. Framework Tata Kelola Teknologi Informasi: Jenis dan Pengertiannya. Diakses pada 10 Desember 2022, dari https://dosenit.com/kuliah-it/framework-tata-kelola-teknologi-informasi
Basyarahil Firzah A. 2017. EVALUASI MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI) BERDASARKAN ISO/IEC 27001:2013 PADA DIREKTORAT PENGEMBANGAN TEKNOLOGI DAN SISTEM INFORMASI (DPTSI) ITS SURABAYA. Institut Teknologi Sepuluh Nopember
itgi.id. 2021. ISO 27001 Adalah Ikon Standarisasi Manajemen Keamanan Informasi. Diakses pada 10 Desember 2022, dari https://itgid.org/iso-27001-adalah/
Fithrotuz Zuhroh - 5026211045