Hari ini informasinya adalah salah satu aset paling berharga dari perusahaan mana pundan juga salah satu yang paling terbuka. Sebagian besar organisasi melindungi data mereka dengan tindakan terisolasi seperti antivirus, cadangan, atau kata sandi yang kurang lebih kuat.
Permasalahan muncul ketika upaya-upaya tersebut tidak sesuai dengan rencana bersama. Tidak ada yang tahu pasti apa yang mereka lindungi, siapa yang bertanggung jawab atas apa, atau bagaimana harus bersikap ketika terjadi kesalahan. Sistem manajemen keamanan informasi diciptakan khusus untuk mengatasi gangguan ini dan mengubah sekumpulan pengukuran yang jarang dengan cara yang terorganisir dan dapat diverifikasi untuk melindungi informasi.
Pada artikel ini kami menjelaskan apa itu ISMSuntuk apa, komponen apa yang membentuknya dan bagaimana cara kerjanya melalui siklus perbaikan berkelanjutan. Kami juga akan melihat siapa yang bertanggung jawab dalam perusahaan dan bagaimana hal ini sesuai dengan kerangka peraturan Italia, mulai dari ISO 27001 hingga NIS2.
Apa itu Sistem Manajemen Keamanan Informasi (ISMS)?
Sistem manajemen keamanan informasi, atau ISMS, adalah serangkaian kebijakan, proses, manusia dan teknologi yang diselenggarakan perusahaan untuk melindungi informasinya dengan cara yang sistematis. Tujuannya adalah agar keselamatan berhenti bergantung pada upaya sesekali dari satu orang dan menjadi bagian dari fungsi normal organisasi.
Semuanya berkisar pada sistem kata. Antivirus, beberapa cadangan, atau kata sandi yang kuat adalah praktik yang baik, namun keduanya tetap terisolasi. Yang mengubahnya menjadi ISMS adalah metode yang mengaturnya dan menghubungkannya satu sama lain. Metode ini selalu mengikuti logika yang sama. Pertama, sistem ini mengidentifikasi informasi mana yang perlu dilindungi, lalu menganalisis risiko apa saja yang dihadapi, lalu memutuskan kontrol mana yang akan diterapkan, dan terakhir, secara rutin memeriksa apakah semuanya tetap berfungsi.
Setiap ISMS dibangun berdasarkan tiga properti yang harus dipertahankan untuk data apa pun, yang dikenal sebagai triad keamanan informasi.
- Kerahasiaan: Hanya orang yang berwenang yang memiliki akses ke data apa pun.
- Integritas: informasi tersebut tidak diubah atau dihapus tanpa izin.
- Tersedianya: itu dapat diakses bila diperlukan.
Konsep SGSI terkait erat dengan ISO 27001, standar internasional yang mendefinisikan persyaratan untuk menerapkan dan memeliharanya. Lagi pula, ketika sebuah perusahaan mensertifikasi ISO 27001, yang diverifikasi oleh lembaga sertifikasi justru SGSI-nya. Meskipun demikian, ISMS dan standarnya tidak sama. Sebuah perusahaan dapat memiliki sistem manajemen yang berfungsi tanpa harus disertifikasi, dan sertifikasi hanya masuk akal jika ada SMKI yang nyata di baliknya.
Untuk apa ISMS?
Fungsi utama ISMS adalah mengelola risiko secara tertib. Alih-alih bereaksi terhadap masalah yang muncul, perusahaan justru mengantisipasinya, menghitung dampak masing-masing masalah, dan memutuskan terlebih dahulu bagaimana tindakan yang harus diambil. Ini adalah peralihan dari keamanan reaktif ke keamanan terkelola. Selain fungsi sentral ini, penerapan SMKI membawa manfaat nyata.
- Mengurangi kemungkinan dan dampak kecelakaan: Pengendalian preventif mengekang serangan dan prosedur respons mempersingkat waktu pemulihan.
- Menertibkan kepatuhan terhadap peraturan: sistem yang sama membantu merespons secara bersamaan terhadap ISO 27001, terhadap langkah-langkah PA minimum, terhadap NIS2 atau terhadap GDPR, yang memiliki sebagian besar persyaratan yang sama.
- Memperkuat kepercayaan pelanggan dan mitra: secara objektif menunjukkan bahwa perusahaan melindungi informasi yang dipercayakan kepadanya.
- Memperjelas tanggung jawab: setiap orang mengetahui informasi apa yang mereka kelola, bagaimana melindunginya dan siapa yang harus diberitahu jika terjadi kecelakaan.
- Membuat keputusan lebih mudah: dengan menginventarisasi aset dan menilai risiko, manajemen mengarahkan investasi pada sekuritas jika benar-benar diperlukan.
Komponen apa yang membentuk ISMS?
ISMS bukanlah produk yang Anda beli atau perangkat lunak yang Anda instal. DAN kombinasi elemen-elemen yang bekerja sama. Meskipun setiap organisasi menyesuaikan sistemnya dengan ukuran dan sektornya, semua SMKI memiliki komponen dasar yang sama.
1- Ruang lingkup sistem
Ruang lingkup mendefinisikan seberapa jauh jangkauan ISMSyaitu bagian mana dari perusahaan yang termasuk dalam sistem. Suatu organisasi dapat menerapkan ISMS ke seluruh perusahaan, ke satu unit bisnis, ke produk tertentu, atau ke lokasi tertentu. Membatasi ruang lingkup dengan baik adalah salah satu keputusan pertama yang harus diambil, dan salah satu yang paling penting.
2- Analisis dan pengobatan risiko
Terdiri darimengidentifikasi aset informasi perusahaanmempelajari ancaman dan kerentanan yang mereka hadapi dan menghitung tingkat risiko dengan menggabungkan probabilitas dan dampak. Dengan analisis ini, perusahaan memutuskan bagaimana menangani setiap risiko. Hal ini dapat dikurangi dengan menerapkan pengendalian, mentransfernya dengan mengambil asuransi, menerimanya jika berada dalam ambang batas yang dapat ditoleransi, atau menghindarinya dengan menghilangkan aktivitas yang menghasilkannya.
3- Kebijakan dan prosedur keamanan
Kebijakannya adalah aturan yang menetapkan bagaimana informasi dilindungi di perusahaan. Yang paling penting adalah kebijakan keamanan umum, yang disetujui oleh manajemen, yang menjadi landasan aturan lain yang lebih spesifik mengenai kata sandi, penggunaan perangkat, kontrol akses, atau manajemen pemasok. Prosedur tersebut membawa aturan-aturan ini ke tingkat praktis dan menjelaskan langkah demi langkah bagaimana setiap aktivitas dilakukan.
4- Pemeriksaan keamanan
Kontrolnya adalah langkah-langkah konkrit yang diterapkan perusahaan untuk mengurangi risikonya. Hal tersebut dapat bersifat teknis seperti enkripsi atau otentikasi dua faktor, organisasi seperti klasifikasi informasi, fisik seperti kontrol akses kantor, atau yang berhubungan dengan manusia seperti pelatihan.
5- Dokumentasi dan bukti
ISMS memerlukan dokumentasi agar dapat berfungsi, dan dokumentasi ini terdiri dari dua jenis. Di satu sisi ada dokumen yang menjadi dasar sistemseperti cakupan, kebijakan keamanan, analisis risiko, atau Pernyataan Penerapan. Di sisi lain ada bukti yang menunjukkan bahwa sistem tersebut benar-benar berfungsiseperti log akses, laporan audit, atau laporan insiden.
Bagaimana cara kerja ISMS?
ISMS tidak diterapkan sekali dan kemudian dilupakan. Ia bekerja sebagai siklus yang terus berulang untuk beradaptasi terhadap perubahan dalam bisnis dan munculnya ancaman baru. Siklus ini dikenal sebagai PDCAdari inisial bahasa Inggris Plan, Do, Check, Act, yaitu Plan, Do, Verify dan Act. Ini adalah model perbaikan berkelanjutan yang sama yang digunakan oleh standar manajemen lain seperti ISO 9001 untuk kualitas.
- Rencana: perusahaan menentukan ruang lingkup sistem, mengevaluasi risiko, dan memutuskan pengendalian mana yang akan diterapkan. Ini adalah tahap desain, dimana fondasi SMKI diletakkan.
- Tarif: apa yang direncanakan dilaksanakan. Pengendalian diaktifkan, kebijakan dibuat, alat teknis dikonfigurasikan dan staf dilatih.
- Memeriksa: perusahaan memeriksa apakah sistem berfungsi sebagaimana mestinya melalui audit internal, indikator, dan tinjauan manajemen. Di sinilah muncul penyimpangan dan kelemahan.
- Bertindak: kami memperbaiki apa yang tidak berfungsi dan melakukan perbaikan. Kesimpulan tersebut memicu perencanaan baru, dan siklus dimulai lagi.
Siapa yang bertanggung jawab atas ISMS di perusahaan?
Salah satu kesalahan paling umum adalah menganggap ISMS adalah urusan departemen TI. Keamanan informasi itu mempengaruhi seluruh organisasidan pengelolaannya melibatkan profil berbeda dengan tanggung jawab berbeda.
- Manajemen puncak: pada akhirnya bertanggung jawab atas SGSI. Menyetujui kebijakan keamanan, mengalokasikan anggaran dan sumber daya serta mendukung proyek. Tanpa komitmennya, sistem ini tidak akan bertahan, karena tidak ada orang di bawahnya yang mempunyai wewenang untuk mengambil tindakan terhadap departemen lain.
- Kepala Petugas Keamanan atau CISO: adalah orang yang sehari-hari mengkoordinasikan SGSI. Memimpin analisis risiko, mengawasi penerapan kontrol, dan melaporkan kepada manajemen. Di perusahaan kecil, peran ini mungkin jatuh ke tangan manajer TI atau dialihdayakan.
- Komite keselamatan: menyatukan perwakilan dari berbagai bidang seperti TI, hukum, sumber daya manusia, atau operasi. Tugasnya adalah membuat keputusan transversal dan memastikan bahwa keamanan diintegrasikan ke dalam semua proses, dan bukan hanya proses teknis.
- Para karyawan: mereka adalah bagian aktif dari sistem. Setiap orang yang menangani informasi mempunyai tanggung jawab untuk mengikuti kebijakan, melindungi data yang mereka akses, dan melaporkan segala sesuatu yang mencurigakan. Kebanyakan pelanggaran bermula dari gangguan manusia, sehingga peranannya sangatlah penting.
SGSI dan kepatuhan terhadap peraturan di Italia
ISMS tidak hidup terisolasi. Di Italia, berbagai peraturan mewajibkan atau merekomendasikan pengelolaan keamanan informasi secara terstruktur, dan sistem yang dirancang dengan baik memungkinkan Anda merespons lebih dari satu masalah dalam satu waktu. Berikut referensi utamanya.
- ISO 27001: itu adalah standar internasional yang menetapkan persyaratan untuk penerapan SMKI. Meskipun bersifat sukarela, standar ini telah ditetapkan sebagai standar de facto untuk menunjukkan bahwa sebuah perusahaan mengelola keamanannya dengan baik, dan banyak klien serta tender memerlukannya agar dapat bekerja sama. Anda dapat melihat cara kerja sertifikasi di panduan kami tentang ISO 27001.
- Langkah-langkah keamanan TIK minimum untuk PA: adalah aturan yang ditetapkan oleh AgID untuk keamanan informasi di Administrasi Publik Italia, dan juga berlaku untuk perusahaan swasta yang memberikan layanan kepada AgID. Mereka berbagi pabrik dengan ISO 27001, sehingga perusahaan yang sudah memiliki SGSI mempunyai keuntungan.
- NIS2: hal ini meningkatkan persyaratan keamanan siber untuk sektor-sektor esensial dan penting seperti energi, layanan kesehatan atau transportasi, dan memaksa mereka untuk mengelola risiko secara sistematis, yang diselesaikan secara alami oleh SMKI. Di Italia, hal ini dilaksanakan melalui Keputusan Legislatif 138/2024, yang mempercayakan ACN dengan peran otoritas nasional yang kompeten. Anda dapat mempelajari lebih lanjut di artikel kami di NIS2.
- GDPR: mengatur perlindungan data pribadi dan bergantung pada banyak tindakan yang sudah tercakup dalam SMKI. Di Italia penerapannya diawasi oleh Penjamin untuk perlindungan data pribadi.
Bagaimana TI Faktorial membantu Anda mengelola ISMS Anda?
Sepanjang artikel kita telah melihat bahwa SMKI didasarkan pada komponen seperti inventaris aset, kontrol teknis, dan bukti yang menunjukkan bahwa semuanya berfungsi. Justru ketiga bidang inilah yang paling sulit diperbarui secara manualdan hal-hal yang lebih banyak penyimpangannya muncul ketika audit dilakukan.
TI Faktorial mengotomatiskan bagian operasional ini dan menghubungkannya dengan sumber daya manusia, sehingga setiap komponen dapat menunjang aktivitas sehari-hari perusahaan.
- Pada inventaris aset: memelihara katalog perangkat, perangkat lunak, dan akses yang diperbarui, siap untuk diekspor ketika SMKI membutuhkannya.
- Tentang kontrol teknis: menerapkan enkripsi, kata sandi, dan kunci pada setiap perangkat, serta mengatur akses terhadap alat berdasarkan peran masing-masing orang, termasuk penutupan otomatis ketika seseorang keluar dari perusahaan.
- Buktinya: menghasilkan log kepatuhan dan laporan yang diperlukan audit, tanpa harus merekonstruksinya secara manual pada hari audit.
News
Berita Teknologi
Berita Olahraga
Sports news
sports
Motivation
football prediction
technology
Berita Technologi
Berita Terkini
Tempat Wisata
News Flash
Football
Gaming
Game News
Gamers
Jasa Artikel
Jasa Backlink
Agen234
Agen234
Agen234
Resep
Cek Ongkir Cargo
Download Film