Manajemen Keamanan Informasi
Manajemen Keamanan Informasi
Dengan adanya framework (kerangka kerja) cybersecurity dalam
menyusun sistem
manajemen keamanan informasi (information
security management sytem) dapat memudahkan semua pihak khususnya
mereka yang bertanggungjawab dalam bisnis untuk dapat memahami dan saling
berkomunikasi tentang keamanan TI.
Permasalahan framework security dalam sistem
manajemen keamanan informasi pada umumnya adalah informasinya
yang dikemas dalam bentuk dokumen PDF yang panjang dan membosankan. Seringkali
malah menyebabkan kebingungan. Oleh karena itu, untuk membuat kerangka kerja
keamanan siber lebih mudah dipahami, kita pisahkan menjadi tiga kategori: control
framework (kerangka kerja kendali), program framework (kerangka
kerja program), dan risk framework (kerangka kerja risiko).
Kategori Framework Sistem Manajemen Keamanan
Informasi :
Berikut ini adalah 3 kategori framework cybersecurity yang
dapat digunakan sebagai acuan dalam menyusun sistem manajemen keamanan
informasi di organisasi Anda :
A. Control Framework
Sistem Manajemen Keamanan Informasi
Framework dalam kategori ini contohnya adalah NIST
800-53 dan CIS Control (CSC). Saat seorang profesional
cybersecurity memasuki lingkungan baru dimana ia bertugas membangun dan
mengelola Tim IT Security, mereka berhadapan dengan kondisi organisasi yang
biasanya relatif belum matang dari perspektif TI dan keamanan TI. Umumnya
langkah pertama yang diambil adalah melakukan penentuan basic set of controls untuk di
implementasikan. Profesional cybersecurity menggunakan control framework untuk
melakukan hal-hal sebagai berikut :
- Identifikasi kumpulan kontrol yang menjadi
baseline.
- Asessmen kondisi yang terkait dengan kapabilitas
teknis.
- Prioritasi implementasi dari kontrol.
- Mengembangkan roadmap awal untuk Tim Keamanan TI.
NIST SP 800-53 adalah
katalog kontrol yang komprehensif yang terkait dengan kontrol keamanan dan
privasi, dimana kontrol dapat dimplementasikan berdasarkan prioritas atau
kontrol keamanan baseline (low impact, moderate impact, atau high impact).
Sedangkan CIS Control telah menerbitkan 20 kontrol keamanan yang paling banyak
digunakan, dimana kontrol tsb diterapkan di banyak instansi pemerintahan di
Amerika Serikat.
B. Program Framework
Sistem Manajemen Keamanan Informasi
Framework dalam kategori ini misalnya adalah ISO 27001 dan
NIST Cybersecurity Framework. Profesional cybersecurity menggunakan program
framework untuk melakukan hal-hal sebagai berikut :
- Asessmen
kondisi keseluruhan program keamanan
- Membangun
program keamanan yang komprehensif
- Mengukur
maturitas (level kematangan) dan memperbandingkannya dengan standar
industri sejenis
- Menyederhanakan
komunikasi dengan para pemimpin bisnis
Seri standarisasi ISO27001 adalah seri ISO untuk standar
Sistem Manajemen Keamanan Informasi yang fokus pada pembangunan program
keamanan, termasuk di dalamnya konteks organisasi, kepemimpinan, perencanana,
support, dokumentasi, operasi, penilaian kinerja, dan peningkatan
berkelanjutan. Sedangkan NIST Cybersecurity Framework membantuk dalam
identifikasi, perlindungan, deteksi, respon, dan pemulihan. Terdiri dari 3
bagian, yaitu : core, implementation tiers, dan profil — dan
mendefinisikan bahasa yang sama dalam menangani risiko. Ini membantu organisasi
menjawab pertanyaan : apa yang kita lakukan sekarang? mau kemana? bagaimana caranya?
dan kapan?, kira-kira demikian.
C. Risk Framework
Contoh framework ini adalah NIST 800-39, 800-37, 800-30, ISO
27005, dan FAIR. Risk framework memungkinkan profesional cybersecurity untuk
memastikan bahwa mereka telah mengelola program keamanan dengan cara yang
bermanfaat bagi stakeholder organisasi dan membantu menentukan bagaimana cara
memprioritaskan aktivitas keamanan. Profesional cybersecurity menggunakan risk
framework untuk melakukan hal-hal sebagai berikut :
- Menentukan
langkah proses kunci untuk melakukan asessmen dan mengelola risiko
- Strukturisasi
program manajemen risiko
- Identifikasi,
pengukuran, dan kuantifikasi risiko
- Prioritasi
aktivitas keamanan
NIST Security memiliki risk framework yang cukup dikenal
yaitu : NIST SP 800-39 (defines the overall risk management process), NIST SP
800-37 (the risk management framework for federal information systems), and
NIST SP 800-30 (risk assessment progress). Kemudian ISO 27005 mendefinisikan
pendekatan sistematis untuk mengelola risiko untuk organisasi, sementara FAIR
adalah standar internasional yang disupport oleh dua organisasi.
Memulai Sistem Manajemen Keamanan Informasi
Bisnis dapat mengambil langkah-langkah berikut untuk mulai
mencari tahu kerangka kerja keamanan yang tepat untuk sistem manajemen keamanan
informasinya, antara lain dengan cara sebagai berikut:
- Segera: Identifikasi framework
cybersecurity yang cocok untuk digunakan di organisasi.
- Dalam
tiga bulan:
Implementasikan ISMS dan evaluasi dalam tiga bulan bagaimana kerangka
kerja itu dapat memberikan kekuatan dari sisi pengamanan dan kinerja
TI kemudian petakan satu sama lain untuk memenuhi tujuan kepatuhan
dan regulasi.
- Dalam enam bulan: Perbarui rencana program keamanan Anda untuk
memanfaatkan masing-masing dari tiga kategori framework tsb, dan
sosialisasikan rencana tersebut dengan para pemimpin teknis, operasional,
dan eksekutif.
Kita dapat mematangkan program keamanan TI dengan memilih satu atau lebih kerangka kerja dari setiap kategori untuk bekerja sama untuk meningkatkan keadaan keseluruhan aktivitas keamanan TI dalam organisasi.
0 Response to "Manajemen Keamanan Informasi"
Post a Comment