information security governance

Manajemen-ti.com — Kalau orang ditanya apakah keamanan informasi dalam sebuah organisasi itu penting atau tidak, maka saya yakin sebagian besar orang akan menjawab: tentu saja penting! Tapi pada kenyataannya tata kelola keamanan informasi atau Information Security Governance (ISG) seringkali tidak masuk prioritas yang diperhatikan di banyak organisasi. Sumber daya yang dialokasikan untuk ini pun seringkali hanya ala kadarnya.

Bahkan beberapa waktu yang lalu saya bertemu dengan seseorang yang baru ditunjuk menjadi manajer security teknologi di sebuah perusahaan nasional. Bagian itu merupakan bagian yang baru dibentuk, dan hebatnya lagi manajer itu belum punya anak buah. Padahal salah satu bisnis perusahaan tersebut adalah bisnis pembayaran online, yang tentunya peran keamanan akan berada pada posisi yang vital. Kondisi seperti ini bukan sekali dua kali saya temukan di beberapa perusahaan di negeri ini. Bahkan sebenarnya kondisi ini merupakan kondisi umum yang terjadi dimana-mana, bukan hanya di Indonesia. ISG menurut beberapa penelitian masih belum menjadi prioritas sehingga sumber daya yang dialokasikan pun menjadi sangat terbatas.

Sebenarnya apa sih tujuan dari penerapan ISG ini? Jika disimpulkan dari beragam framework yang ada, tujuan ISG ini sebenarnya adalah untuk melakukan evaluasi, pengarahan, dan monitor keamanan informasi untuk: (1) memastikan kebutuhan bisnis dapat terpenuhi; (2) memperkuat tingkat kepastian informasi; (3) memastikan bahwa setiap risiko informasi memiliki pemilik/penanggung-jawabnya; (4) mengurangi risiko ketidak-patuhan; (5) mengurangi risiko litigasi; dan (6) menjaga kerahasiaan, integritas dan ketersediaan informasi secara berkesinambungan.

Memang setiap organisasi seringkali berbeda-beda dalam hal urgensi dan risiko terkait keamanan informasinya. Ed Gelbstein pernah melakukan penelitian terkait mengapa ISG ini tidak berhasil diterapkan dengan baik pada banyak organisasi. Dia menyebutkan ada 8 penyebab kegagalan (failure drivers) dari ISG yang walaupun penelitian yang dia lakukan itu kalau dilihat dari sample statistik yang digunakan belum baik (sebagaimana beliau akui juga), tapi menurut saya sangat valid menggambarkan sebab-sebab utama kegagalan ISG tersebut.

(Baca juga: KPK dan Keamanan Informasi)

Penyebab pertama adalah ketidak jelasan lingkup tanggung-jawab terkait keamanan informasi. Seringkali para eksekutif dan manajer berasumsi bahwa keamanan informasi adalah sepenuhnya tanggung-jawab departemen TI atau pihak manapun yang bertanggung-jawab sebagai penyedia layanan IT. Ketidak jelasan ini sebenarnya juga terjadi pada area-area lain dalam pengelolaan IT, dimana ketidak jelasan lingkup tanggung-jawab dari setiap pihak, menyebabkan banyak fungsi tidak berjalan dengan baik.

Penyebab kedua adalah kurangnya ketertarikan pihak eksekutif dan manajemen senior terhadap permasalahan keamanan informasi ini. Memang waktu mereka itu sangat terbatas dan bernilai tinggi, sehingga mereka hanya mau mendengarkan topik-topik yang memang benar-benar urgen. Biasanya IT dan kemananan informasi ini tidak masuk dalam kategori ini, kecuali kalau ada sebuah tragedi luar biasa yang terjadi. Itupun biasanya respon mereka hanyalah sampai pada “bereskan!”.

Penyebab ketiga adalah kurang jelasnya tingkat risiko yang dapat diterima oleh organisasi (risk appetite). Pernyataan risk appetite yang hanya bersifat umum tanpa mengalokasikan sumber daya yang memadai untuk mengelolanya seringkali tidak membantu. Tantangannya disini adalah bagaimana menekan biaya di satu sisi, dan di sisi lain terdapat tuntutan untuk mengalokasikan sumber daya untuk memitigasi risiko yang mungkin terjadi. Biasanya faktor biaya ini akan berpengaruh pada tingkat risk appetite organisasi. Sialnya, kalau ada sesuatu insiden terjadi yang dampaknya melebihi dari risk appetite, kesalahan biasanya ditimpakan pada orang-orang diluar yang memerintahkan penekanan biaya.

Penyebab keempat adalah mentalitas sektoral (silo). Seringkali setiap orang, setiap bagian hanya sibuk dan memerhatikan aktifitas-aktifitas yang menjadi tanggung-jawabnya saja, tanpa mengambil pusing apa yang dilakukan di bagian lainnya. Ketika sesuatu insiden terjadi, maka mereka ini akan menjawab “itu bukan tanggung-jawab saya”, atau “itu tidak ada dalam job desc saya”, dan sejenisnya.

Penyebab kelima adalah kebijakan keamanan yang tidak efektif. Secara sederhana kebijakan keamanan informasi itu adalah sekumpulan aturan yang menyatakan mana yang harus dilakukan dan mana yang tidak boleh dilakukan. Seringkali kebijakan-kebijakan tersebut tidak berjalan efektif, bisa karena substansinya yang tidak tepat, kurang lengkap, atau bisa juga karena kurang sosialisasi sehingga kurang dipahami oleh semua pihak yang terkait.

Penyebab keenam adalah terjadi “revolusi” pada lingkungan pengguna. Ya, karena lingkungan pengguna terus berkembang, apa yang digunakan oleh para pengguna juga berubah, maka sedikit banyak ia akan berdampak pula pada keamanan informasi dan ISG. Tidak sulit bagi kita untuk melihat fenomena ini di sekeliling kita seperti ketika kita melihat begitu booming-nya penggunaan smartphone dan tablet, perkembangan komputasi awan (cloud computing), dll.

Penyebab ketujuh adalah kecepatan inovasi. Kreatifitas dan inovasi dalam segala hal termasuk teknologi saat ini sudah menjadi gaya hidup saat ini (Generation Y). Celakanya lagi, budaya kreatifitas ini juga berlaku bagi para aktor “penjahat” keamanan informasi dengan berbagai motivasinya. Sementara organisasi seringkali kewalahan untuk mengimbanginya dengan aturan dan kebijakan yang mengelolanya.

Penyebab kedelapan adalah ketidak tepatan dalam pemberian nilai pada informasi. Ketidakmampuan organisasi untuk memberikan nilai yang pas pada setiap informasi seringkali menyesatkan langkah-langkah yang diperlukan dalam menanganinya. Misalnya bagaima mengukur nilai dari integritas sebuah data, seberapa besar biaya yang diakibatkan oleh adanya kebocoran informasi tertentu, dst.

Itulah delapan penyebab utama kegagalan penerapan ISG menurut hasil penelitian yang dilakukan oleh Ed Gelbstein. Alhasil, ketika tata kelola keamanan informasi ini lemah atau bahkan absen, maka keamanan informasi akan bergantung pada usaha yang dilakukan oleh individu-individu tertentu saja. Dalam kondisi seperti ini, tentunya organisasi tidak siap untuk melindungi dirinya sendiri dari berbagai ancaman. Bagaimana dengan organisasi Anda? [manajemen-ti/picture credit:meshekal]

Tentang Penulis:

Umar Alhabsyi, MT, CISA, CRISC.

Merupakan konsultan senior IT Management, pendiri sekaligus direktur iValueIT Consulting (PT IVIT Konsulindo).
twitter: @umaralhabsyi.