Membangun Governance dalam Perspektif Keamanan Informasi: Panduan Berdasarkan ISO/IEC 27002:2022

Konsep Operational Capabilities yang terkandung dalam ISO/IEC 27002:2022 menjadi pedoman bagi organisasi untuk membangun governance untuk meningkatkan keamanan informasi. Konsep ini terdiri dari beberapa aspek yang saling berkaitan, yang membentuk satu framework untuk kemanan informasi yang optimal.

Saat ini, organisasi menghadapi tantangan besar dalam menjaga keamanan informasi, termasuk dari kebocoran data, serangan siber, dan ketidakpatuhan. Ancaman keamanan informasi tidak hanya datang dari luar organisasi, seperti serangan malware atau phishing, tetapi juga dari dalam, seperti kesalahan manusia atau kurangnya kesadaran akan pentingnya keamanan data. Oleh karena itu, governance keamanan informasi menjadi fondasi utama bagi organisasi untuk memastikan perlindungan terhadap aset informasi yang dimiliki.

ISO/IEC 27002:2022 [1] menyediakan pedoman bagi organisasi dalam membangun tata kelola keamanan informasi yang efektif. Salah satu pendekatan utama adalah konsep Operational Capabilities yang mengacu pada kemampuan organisasi untuk mengelola dan mengendalian keamanan informasi secara efektif. Konsep ini dapat menjadi panduan berharga dalam melengkapi kecukupan governance keamanan informasi yang efektif dan berkelanjutan. Dalam penerapannya, Operational Capabilities mencakup berbagai aspek penting yang harus dipertimbangkan oleh organisasi untuk memastikan keamanan informasi.

Governance

Governance mencakup kebijakan, tugas dan tanggung jawab, serta pengelolaan risiko yang berkelanjutan. Organisasi harus memiliki kebijakan yang jelas terkait keamanan informasi, yang mencakup tujuan, ruang lingkup, dan tanggung jawab semua pihak dalam menjaga keamanan data. Selain itu, penting untuk menetapkan peran dan tanggung jawab yang tepat serta memastikan adanya pemisahan tugas untuk mengurangi risiko konflik kepentingan.

Governance juga mencakup perencanaan manajemen insiden, yang melibatkan prosedur untuk mendeteksi, merespons, dan memulihkan diri dari insiden keamanan. Keterlibatan dengan otoritas dan pemangku kepentingan terkait juga menjadi bagian penting dari governance untuk menjaga kesiapan organisasi dalam menghadapi ancaman keamanan.

Asset Management

Pengelolaan aset informasi menjadi krusial untuk memastikan bahwa seluruh informasi dan perangkat yang digunakan dalam organisasi tercatat dengan baik serta dilindungi sesuai dengan tingkat kepentingannya. Inventarisasi aset adalah langkah pertama yang harus dilakukan, di mana organisasi mengidentifikasi semua aset informasi, termasuk data, perangkat keras, dan perangkat lunak.

Setelah inventarisasi, organisasi harus memastikan bahwa aset tersebut dilindungi dengan baik. Misalnya, pengembalian aset setelah pemutusan hubungan kerja harus dilakukan secara tertib untuk menghindari kebocoran data. Selain itu, perlindungan terhadap informasi sensitif, seperti data pribadi atau rahasia dagang, harus menjadi prioritas. Organisasi juga perlu memiliki prosedur untuk pembuangan aset yang aman, seperti penghancuran dokumen fisik atau penghapusan data secara permanen dari perangkat elektronik.

Information Protection

Perlindungan informasi mencakup klasifikasi informasi, ketentuan transfer data, dan perlindungan terhadap pencurian atau kebocoran informasi. Salah satu tantangan terbesar bagi organisasi adalah memastikan bahwa informasi pribadi dan rahasia tidak jatuh ke tangan yang salah. Untuk itu, penerapan teknologi enkripsi, penyembunyian data, serta ketentuan non-repudation sangat diperlukan.

Selain itu, organisasi harus memiliki prosedur penanganan insiden kebocoran data yang jelas. Dengan begitu, organisasi dapat segera mengambil langkah untuk meminimalkan dampak ketika terjadi kebocoran, seperti memblokir akses yang tidak sah, memulihkan data yang hilang, dan melaporkan insiden kepada pihak berwenang.

Human Resource Security

Keamanan sumber daya manusia dalam organisasi berkaitan dengan penyaringan karyawan sebelum mereka direkrut, kesadaran akan keamanan informasi, serta pengelolaan hubungan kerja yang baik. Setiap karyawan harus mendapatkan pelatihan mengenai keamanan informasi agar mereka memahami tanggung jawab mereka dalam menjaga data perusahaan.

Selain itu, setelah karyawan berhenti bekerja, akses mereka ke sistem perusahaan harus segera dicabut untuk menghindari potensi risiko keamanan. Misalnya, jika seorang karyawan yang memiliki akses ke data sensitif mengundurkan diri, organisasi harus memastikan bahwa semua akun dan hak akses mereka dinonaktifkan.

Physical Security

Keamanan fisik berfokus pada perlindungan aset dan fasilitas dari ancaman fisik yang dapat membahayakan informasi organisasi. Ini mencakup pengamanan kantor, pemantauan CCTV, serta prosedur akses fisik yang ketat. Organisasi harus memastikan bahwa hanya individu yang berwenang yang dapat mengakses fasilitas penting, seperti ruang server atau ruang arsip.

Selain itu, organisasi harus menerapkan ketentuan clean desk, di mana karyawan diharuskan membersihkan meja mereka dari dokumen atau perangkat yang mengandung informasi sensitif sebelum meninggalkan kantor. Hal ini dapat mengurangi risiko pencurian data yang ditinggalkan di meja kerja.

System and Network Security

Keamanan sistem dan jaringan bertujuan untuk melindungi infrastruktur TI organisasi dari serangan siber. Ini mencakup penerapan firewall, segmentasi jaringan, dan perlindungan terhadap serangan malware. Dengan meningkatnya ancaman dunia maya, organisasi harus terus memperbarui sistem keamanan dan menerapkan pemantauan jaringan secara real-time untuk mendeteksi anomali yang mencurigakan.

Selain itu, organisasi harus memastikan bahwa semua perangkat yang terhubung ke jaringan, seperti komputer dan perangkat IoT, dilindungi dengan perangkat lunak keamanan yang terbaru. Hal ini dapat membantu mencegah serangan siber yang memanfaatkan kerentanan pada perangkat yang tidak terlindungi.

Application Security

Keamanan aplikasi mencakup seluruh siklus hidup pengembangan perangkat lunak, mulai dari perancangan hingga implementasi dan pemeliharaan. Penerapan secure coding, pengujian keamanan aplikasi sebelum peluncuran, serta pemisahan lingkungan pengembangan dan produksi menjadi aspek penting dalam menjaga keamanan aplikasi.

Organisasi juga harus menghindari penggunaan perangkat lunak dari sumber yang tidak tepercaya, karena hal ini dapat meningkatkan risiko eksploitasi. Selain itu, penting untuk memastikan bahwa semua aplikasi yang digunakan dalam organisasi diperbarui secara berkala untuk menghindari kerentanan yang dapat dieksploitasi oleh pihak yang tidak bertanggung jawab.

Secure Configuration

Konfigurasi yang aman memastikan bahwa sistem dan aplikasi yang digunakan dalam organisasi telah diatur sesuai dengan kebijakan keamanan terbaik. Ini mencakup pengelolaan konfigurasi perangkat lunak dan perangkat keras, pembatasan penggunaan akun dengan hak istimewa, serta penerapan prinsip least privilege.

Organisasi juga perlu memastikan bahwa sistem diperbarui secara berkala untuk menghindari kerentanan yang dapat dieksploitasi oleh pihak yang tidak bertanggung jawab. Misalnya, patch keamanan harus segera diterapkan setelah dirilis oleh vendor untuk menutup celah keamanan yang diketahui.

Identity and Access Management

Pengelolaan identitas dan akses bertujuan untuk memastikan bahwa informasi tertentu hanya dapat diakses oleh individu yang berwenang. Penerapan otentikasi multifaktor, manajemen hak akses yang ketat, serta pemantauan akses secara berkala sangat diperlukan untuk mengurangi risiko akses yang tidak sah.

Dengan meningkatnya ancaman keamanan, organisasi harus terus memperbarui kebijakan untuk memastikan bahwa sistem akses mereka tetap aman. Misalnya, organisasi dapat menerapkan kebijakan yang mengharuskan karyawan untuk mengganti kata sandi mereka secara berkala dan menggunakan kata sandi yang kuat.

Threat and Vulnerability Management

Manajemen ancaman dan kerentanan mencakup pemantauan ancaman secara proaktif dan pengelolaan kerentanan teknis dalam sistem organisasi. Organisasi perlu melakukan uji penetrasi dan audit keamanan secara rutin untuk mengidentifikasi serta menutup celah keamanan sebelum dapat dieksploitasi oleh pihak yang tidak bertanggung jawab.

Selain itu, organisasi harus memantau ancaman keamanan yang muncul, seperti serangan siber baru atau kerentanan yang baru ditemukan. Dengan demikian, organisasi dapat mengambil langkah-langkah pencegahan yang diperlukan untuk melindungi sistem.

Continuity

Keamanan informasi selama gangguan operasional sangat penting untuk memastikan kelangsungan bisnis. Organisasi harus memiliki rencana pemulihan bencana yang mencakup pencadangan data secara berkala, pemulihan sistem yang cepat, serta strategi redundansi untuk memastikan bahwa layanan tetap berjalan meskipun terjadi insiden keamanan.

Supplier Relationships Security

Keamanan hubungan dengan pemasok mencakup evaluasi terhadap vendor dan penyedia layanan yang memiliki akses ke sistem atau data organisasi. Organisasi harus memastikan bahwa pemasok mereka juga menerapkan standar keamanan yang tinggi untuk mencegah kebocoran data atau penyalahgunaan informasi.

Legal and Compliance

Kepatuhan terhadap peraturan dan hukum yang berlaku menjadi salah satu aspek penting dalam keamanan informasi. Organisasi harus memahami persyaratan hukum terkait perlindungan data pribadi, hak kekayaan intelektual, serta regulasi industri yang berlaku. Dengan adanya kepatuhan ini, organisasi dapat mengurangi risiko hukum yang mungkin timbul akibat pelanggaran keamanan.

Information Security Event Management

Manajemen kejadian keamanan informasi bertujuan untuk memastikan bahwa setiap insiden keamanan dapat ditangani dengan cepat dan efektif. Ini mencakup pelaporan kejadian, investigasi, serta langkah-langkah pemulihan yang harus diambil. Organisasi juga harus memiliki sistem pencatatan yang baik untuk membantu dalam analisis insiden dan perbaikan di masa mendatang.

Information Security Assurance

Terakhir, pemantauan dan evaluasi berkala terhadap kebijakan serta sistem keamanan informasi harus diterapkan. Dengan adanya tinjauan independen dan audit rutin, organisasi dapat memastikan relevansi dan efektivitas langkah-langkah keamanan dalam menghadapi ancaman yang terus berkembang.

Ekosistem Pengendalian Terintegrasi untuk Perlindungan Informasi yang Menyeluruh

Setiap aspek Operational Capabilities ini membentuk ekosistem pengendalian yang saling mendukung untuk menjamin perlindungan menyeluruh terhadap aset informasi. Dengan mengintegrasikan pendekatan ini ke dalam proses bisnis sehari-hari, organisasi tidak hanya dapat meningkatkan ketahanan terhadap ancaman siber dan risiko internal tetapi juga mampu memenuhi kewajiban kepatuhan. Selain itu, implementasi yang konsisten dan berkelanjutan akan memperkuat kepercayaan para pemangku kepentingan serta menjaga keberlangsungan operasional organisasi dalam jangka panjang.

Setiap aspek Operational Capabilities ini membentuk ekosistem pengendalian yang saling mendukung untuk menjamin perlindungan menyeluruh terhadap aset informasi. Dengan mengintegrasikan pendekatan ini ke dalam proses bisnis sehari-hari, organisasi tidak hanya dapat meningkatkan ketahanan terhadap ancaman siber dan risiko internal tetapi juga mampu memenuhi kewajiban kepatuhan.

Referensi:

[1] ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls.

This article was published in our quarterly newsletter Valoka Volume 5, 2025.