Di dunia data kita yang terkomodifikasi, standar keamanan siber harus setinggi langit dan setajam silet. Sebagian besar perusahaan, bahkan jika tidak segera terkait dengan teknologi, pada akhirnya akan mengalami kebutuhan untuk mempersiapkan diri dari dalam.

Lebih dari satu dekade yang lalu, Organisasi Standar Internasional mengadopsi spesifikasi yang disebut ISO 27001. Jadi apa sebenarnya itu? Apa yang dapat dikatakan audit ISO 27001 kepada kita tentang intrik dalam organisasi? Dan bagaimana Anda memutuskan apakah perusahaan Anda harus diaudit?

Apa itu Sistem Manajemen Keamanan Informasi (ISMS)?

Sistem Manajemen Keamanan Informasi (ISMS) adalah garis pertahanan utama organisasi terhadap pelanggaran data dan jenis ancaman siber lainnya dari luar.

SMKI yang efektif memastikan bahwa informasi yang dilindungi tetap rahasia dan aman, setia pada sumbernya, dan dapat diakses oleh orang-orang yang memiliki izin untuk bekerja dengannya.

Kesalahan umum adalah menganggap bahwa jumlah ISMS tidak lebih dari firewall atau sarana perlindungan teknis lainnya. Sebaliknya, SMKI yang terintegrasi penuh hadir dalam budaya perusahaan dan di setiap karyawan, insinyur atau lainnya. Ini jauh melampaui departemen TI.

instagram viewer

Lebih dari sekedar kebijakan dan prosedur resmi, ruang lingkup sistem ini juga mencakup kemampuan tim untuk mengelola dan menyempurnakan sistem. Eksekusi dan cara protokol benar-benar diterapkan adalah yang terpenting.

Ini melibatkan mengambil pendekatan jangka panjang untuk manajemen risiko dan mitigasi. Prinsipal perusahaan harus sangat akrab dengan risiko apa pun yang terkait dengan industri tempat mereka bekerja secara khusus. Berbekal wawasan ini, mereka akan mampu membangun tembok di sekitar diri mereka sendiri.

Apa itu ISO 27001, Tepatnya?

Pada tahun 2005, Organisasi Internasional untuk Standardisasi (ISO) dan International Electrotechnical Commission (IEC) mengubah BS 7799, standar manajemen keamanan yang pertama kali ditetapkan oleh Grup BSI 10 tahun sebelumnya.

Sekarang secara resmi dikenal sebagai ISO/IEC 27001:2005, ISO 27001 adalah standar kepatuhan internasional yang diberikan kepada perusahaan yang patut dicontoh dalam manajemen keamanan informasi.

Pada dasarnya, ini adalah kumpulan standar yang ketat yang dapat ditentang oleh sistem manajemen keamanan informasi perusahaan. Kerangka kerja ini memungkinkan auditor untuk kemudian mengevaluasi keuletan sistem secara keseluruhan. Perusahaan dapat memilih untuk melakukan audit ketika mereka ingin meyakinkan pelanggan dan klien mereka bahwa data mereka aman di dalam dinding mereka.

Termasuk dalam kumpulan ketentuan ini adalah: spesifikasi mengenai kebijakan keamanan, aset klasifikasi, keamanan lingkungan, manajemen jaringan, pemeliharaan sistem, dan kelangsungan bisnis perencanaan.

ISO memadatkan semua aspek ini dari piagam BSI asli, menyaringnya ke dalam versi yang kita kenal sekarang.

Menggali Kebijakan

Apa sebenarnya yang sedang dievaluasi ketika sebuah perusahaan menjalani audit ISO 27001?

Tujuan standar ini adalah untuk memformalkan kebijakan informasi yang efektif dan aman secara internasional. Ini mendorong sikap proaktif, yang berusaha menghindari masalah sebelum itu terjadi.

ISO menekankan tiga aspek penting dari SMKI yang aman:

1. Analisis konstan dan pengakuan risiko: ini mencakup risiko saat ini dan risiko yang mungkin muncul di masa depan.

2. Sistem yang kuat dan aman: ini termasuk sistem sebagaimana adanya dalam pengertian teknis, serta kontrol keamanan apa pun yang digunakan organisasi untuk melindungi diri dari risiko yang disebutkan di atas. Ini akan terlihat sangat berbeda, tergantung pada perusahaan dan industrinya.

3. Tim pemimpin yang setia: ini adalah orang-orang yang benar-benar menempatkan kontrol untuk bekerja membela organisasi. Sistem ini hanya seefektif mereka yang bekerja di pucuk pimpinan.

Menganalisis ketiga faktor pendukung utama ini membantu auditor memberikan gambaran yang lebih lengkap tentang kemampuan perusahaan tertentu untuk beroperasi dengan aman. Keberlanjutan lebih disukai daripada SMKI yang hanya mengandalkan kekuatan teknis yang kasar.

Terkait: Bagaimana Mencegah Karyawan Mencuri Data Perusahaan Saat Mereka Keluar

Ada elemen penting manusia yang harus ada. Cara orang-orang di dalam perusahaan melakukan kontrol atas data mereka dan SMKI mereka dipegang di atas segalanya. Kontrol inilah yang sebenarnya menjaga keamanan data.

Apa Lampiran A dari ISO 27001?

Contoh spesifik dari "kontrol" bergantung pada industri. Lampiran A dari ISO 27001 menawarkan kepada perusahaan 114 sarana kontrol yang diakui secara resmi atas keamanan operasi mereka.

Kontrol ini termasuk dalam salah satu dari empat belas klasifikasi:

A.5—Kebijakan Informasi dan Keamanan: kebijakan dan prosedur yang dilembagakan yang diikuti oleh perusahaan.

A.6—Organisasi Keamanan Informasi: penugasan tanggung jawab dalam organisasi terkait dengan kerangka SMKI dan implementasinya. Termasuk di sini, anehnya, juga kebijakan yang mengatur kerja jarak jauh dan penggunaan perangkat di dalam perusahaan.

A.7—Keamanan Sumber Daya Manusia: menyangkut onboarding, offboarding, dan perubahan peran karyawan dalam organisasi. Standar penyaringan dan praktik terbaik dalam pendidikan dan pelatihan juga diuraikan di sini.

A.8—Manajemen aset: melibatkan data yang sedang ditangani. Aset harus diinventarisasi, dipelihara, dan dijaga kerahasiaannya, bahkan lintas departemen dalam beberapa kasus. Kepemilikan setiap aset harus ditetapkan dengan jelas; klausul ini merekomendasikan agar perusahaan menyusun "Kebijakan Penggunaan yang Dapat Diterima" khusus untuk lini bisnis mereka.

A.9—Kontrol akses: siapa yang diizinkan untuk menangani data Anda, dan bagaimana Anda akan membatasi akses hanya untuk karyawan yang berwenang? Ini dapat mencakup pengaturan izin bersyarat dalam pengertian teknis atau akses ke bangunan terkunci di kampus perusahaan Anda.

A.10—Kriptografi: terutama berkaitan dengan enkripsi dan cara lain untuk melindungi data dalam perjalanan. Tindakan pencegahan ini harus dikelola secara aktif; ISO mencegah organisasi untuk mempertimbangkan enkripsi sebagai solusi satu ukuran untuk semua untuk semua tantangan bernuansa mendalam yang terkait dengan keamanan data.

A.11—Keamanan Fisik dan Lingkungan: menilai keamanan fisik di mana pun data sensitif berada, baik di gedung kantor yang sebenarnya atau di ruangan kecil ber-AC yang penuh dengan server.

A.12—Keamanan Operasi: apa aturan keamanan internal Anda dalam hal pengoperasian perusahaan Anda? Dokumentasi yang menjelaskan prosedur ini harus dipelihara dan sering direvisi untuk memenuhi kebutuhan bisnis baru yang muncul.

Manajemen perubahan, manajemen kapasitas, dan pemisahan departemen yang berbeda semuanya termasuk dalam judul ini.

A.13—Manajemen Keamanan Jaringan: jaringan yang menghubungkan setiap sistem dalam perusahaan Anda harus kedap udara dan dijaga dengan hati-hati.

Solusi catch-all seperti firewall menjadi lebih efektif bila dilengkapi dengan hal-hal seperti pos pemeriksaan verifikasi yang sering, kebijakan transfer yang diformalkan, atau dengan melarang penggunaan jaringan publik saat menangani data perusahaan Anda, misalnya.

A.14—Akuisisi, Pengembangan, dan Pemeliharaan Sistem: jika perusahaan Anda belum memiliki SMKI, klausul ini menjelaskan apa yang dibawa oleh sistem yang ideal. Ini membantu Anda memastikan bahwa cakupan SMKI mencakup setiap aspek siklus hidup produksi Anda.

Kebijakan internal pengembangan aman memberi insinyur Anda konteks yang mereka butuhkan untuk membangun produk yang sesuai sejak hari pekerjaan mereka dimulai.

A.15—Kebijakan Keamanan Pemasok: saat melakukan bisnis dengan pemasok pihak ketiga di luar perusahaan Anda, tindakan pencegahan apa yang diambil untuk mencegah kebocoran atau pelanggaran data yang dibagikan dengan mereka?

A.16—Manajemen Insiden Keamanan Informasi: ketika terjadi kesalahan, perusahaan Anda kemungkinan menyediakan beberapa kerangka kerja tentang bagaimana masalah tersebut harus dilaporkan, ditangani, dan dicegah di masa mendatang.

ISO mencari sistem pembalasan yang memungkinkan figur otoritas dalam perusahaan untuk bertindak cepat dan dengan prasangka besar setelah ancaman terdeteksi.

A.17—Aspek Keamanan Informasi Manajemen Kontinuitas Bisnis: jika terjadi bencana atau insiden tidak terduga lainnya yang mengganggu operasi Anda tanpa dapat ditarik kembali, sebuah rencana harus ada untuk menjaga kesejahteraan perusahaan dan datanya sampai bisnis dilanjutkan seperti normal.

Idenya adalah bahwa sebuah organisasi membutuhkan beberapa cara untuk menjaga kelangsungan keamanan melalui saat-saat seperti ini.

A.18—Pemenuhan: akhirnya, kita sampai pada kontrak perjanjian yang sebenarnya yang harus diikuti oleh perusahaan untuk memenuhi persyaratan sertifikasi ISO 27001. Kewajiban Anda diletakkan di depan Anda. Yang tersisa untuk Anda lakukan adalah menandatangani di garis putus-putus.

ISO tidak lagi mengharuskan perusahaan yang patuh hanya menggunakan kontrol yang sesuai dengan kategori yang tercantum di atas. Daftar ini adalah tempat yang bagus untuk memulai jika Anda baru mulai meletakkan dasar SMKI perusahaan Anda.

Terkait: Cara Meningkatkan Perhatian Anda Dengan Praktik Keamanan yang Baik

Haruskah Perusahaan Saya Diaudit?

Itu tergantung. Jika Anda adalah pemula yang sangat kecil yang bekerja di bidang yang tidak sensitif atau berisiko tinggi, Anda mungkin dapat menunda sampai rencana masa depan Anda lebih pasti.

Kemudian, seiring pertumbuhan tim Anda, Anda dapat menemukan diri Anda dalam salah satu kategori berikut:

  • Anda mungkin bekerja dengan klien penting yang meminta perusahaan Anda untuk dinilai untuk memastikan bahwa mereka akan aman bersama Anda.
  • Anda mungkin ingin beralih ke IPO di masa mendatang.
  • Anda telah menjadi korban pelanggaran dan perlu memikirkan kembali cara Anda mengelola dan melindungi data perusahaan Anda.

Peramalan untuk masa depan mungkin tidak selalu mudah. Bahkan jika Anda tidak melihat diri Anda dalam salah satu skenario di atas, tidak ada salahnya untuk proaktif dan mulai memasukkan beberapa praktik yang direkomendasikan ISO ke dalam rezim Anda.

Kekuatan Ada Di Tangan Anda

Mempersiapkan SMKI Anda untuk audit semudah melakukan uji tuntas, bahkan saat Anda bekerja hari ini. Dokumentasi harus selalu dipelihara dan diarsipkan, memberi Anda bukti bahwa Anda perlu mendukung klaim kompetensi Anda.

Ini seperti di sekolah menengah: Anda mengerjakan pekerjaan rumah, dan Anda mendapat nilai. Pelanggan aman dan sehat, dan bos Anda sangat senang dengan Anda. Ini adalah kebiasaan sederhana untuk dipelajari dan dipertahankan. Anda akan berterima kasih pada diri sendiri nanti ketika pria dengan clipboard akhirnya datang menelepon.

Surel
4 Tren Keamanan Siber Teratas yang Harus Diwaspadai pada Tahun 2021 dan Setelahnya

Berikut adalah serangan siber yang perlu Anda waspadai pada tahun 2021, dan bagaimana Anda dapat menghindari menjadi korbannya.

Baca Selanjutnya

Topik-topik yang berkaitan
  • Keamanan
  • Keamanan komputer
  • Keamanan data
Tentang Penulis
Emma Garofalo (31 Artikel Diterbitkan)

Emma Garofalo adalah seorang penulis yang saat ini tinggal di Pittsburgh, Pennsylvania. Ketika tidak bekerja keras di mejanya karena menginginkan hari esok yang lebih baik, dia biasanya dapat ditemukan di belakang kamera atau di dapur.

More From Emma Garofalo

Berlangganan newsletter kami

Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!

Satu langkah lagi…!

Harap konfirmasi alamat email Anda di email yang baru saja kami kirimkan.

.