MANAJEMEN-TI.COM — Struktur dan tata kelola dari setiap organisasi tentu bisa berbeda dan bervariasi sesuai dengan tipe dari organisasinya. Setiap organisasi punya misi bisnisnya masing-masing, ukuran, industri dan regulasi-regulasi yang mengaturnya sendiri-sendiri. Walaupun demikian, setiap organisasi sama-sama memiliki tugas dan tanggung jawab untuk melindungi aset dan operasional mereka, termasuk di dalamnya infrastruktur TI dan informasi yang dikelolanya.
Pada tingkat tertinggi, biasanya hal ini diistilahkan sebagai tata kelola, manajemen risiko, dan kepatuhan (Governance, Risk management, and Compliance atau disingkat dengan GRC). Beberapa entitas menerapkan ketiga area ini secara terpadu, sementara yang lainnya mungkin tidak menerapkannya melalui pendekatan yang komprehensif. Bagaimanapun implementasinya saat ini, setiap organisasi perlu memiliki sebuah rencana untuk mengelola ketiga elemen tersebut diatas.
Tata Kelola (Governance) merupakan tanggung jawab dewan direksi dan manajemen senior dari organisasi. Secara umum, tata kelola memiliki beberapa sasaran sebagai berikut:
- Memberikan arahan strategis
- Memastikan obyektif tercapai
- Memastikan apakah risiko telah dikelola secara benar
- Memverifikasi bahwa sumber daya organisasi digunakan secara bertanggung jawab.
Manajemen risiko (risk management) adalah koordinasi aktifitas-aktifitas yang mengarahkan dan mengendalikan sebuah organisasi dalam hal pengelolaan risiko. Manajemen risiko membutuhkan desain dan penerapan kontrol-kontrol internal untuk mengelola dan memitigasi risiko pada setiap bagian organisasi. Termasuk didalamnya risiko finansial, operasional, reputasi, investasi, fisik dan tentunya risiko cyber.
Kepatuhan (compliance) adalah inisiatif untuk menaati, dan kemampuan untuk menunjukkan ketaatan pada kebutuhan-kebutuhan yang diwajibkan sebagaimana ditentukan oleh hukum dan regulasi. Termasuk pula di dalamnya kebutuhan-kebutuhan yang bersifat sukarela akibat kewajiban kontraktual dan kebijakan-kebijakan internal lainnya.
(Baca juga: Beragam Pendekatan Implementasi GRC)
Keamanan cyber merupakan tanggung jawab dari seluruh bagian organisasi pada setiap tingkatannya. Pada tulisan ini kan dijelaskan secara garis besar peran-peran penting dalam organisasi terkait dengan keamanan cyber.
Dewan Direksi
Tata kelola keamanan cyber tidak hanya soal teknis, tapi juga membutuhkan arahan dan masukan-masukan yang bersifat strategis. Disinilah keterlibatan direksi dibutuhkan untuk mengarahkan, memantau dan mengambil kebijakan-kebijakan yang tepat dalam pengelolaan keamanan cyber organisasi. Mengingat peran vitalnya tersebut maka Direksi perlu mengerti aset-aset informasi penting yang dimiliki orgnaisasi berikut tingkat kritikalitasnya terhadap keberjalanan bisnis organisasi. Oleh karena itu Direksi perlu tahu garis besas profil risiko informasi organisasinya, kontrol-kontrol yang diterapkan padanya, bagaimana dampaknya terhadap bisnis jika terjadi sesuatu padanya dan bagaimana langkah-langkah penanganannya.
Direksi juga mesti menjadi teladan yang baik praktik pengelolaan informasi di organisasinya. Jangan sampai Direksi justru malah memberikan contoh yang buruk terkait kesadaran keamanan informasi tersebut. Aturan mengenai penjagaan keamanan informasi termasuk hukumannya jika terjadi pelanggaran juga harus didefinisikan, dikomunikasikan dan dipastikan penerapannya efektif mulai dari atas hingga ke tingkat terendah.
(Baca juga: Integrasi GRC di Era Integrasi Industri Finansial)
Manajemen Eksekutif
Tim manajemen eksekutif bertanggung jawab untuk memastikan bahwa fungsi-fungsi organisasi, sumber daya serta infrastruktur pendukung yang dibutuhkan tersedia dan dijalankan dengan tepat untuk memenuhi arahan-arahan dari direksi, tuntutan kepatuhan regulasi dan kebutuhan lainnya.
Manajemen Keamanan Informasi
Nama jabatan atau posisi untuk individu yang memantau keamanan informasi dan cyber berbeda-beda dari satu organisasi dengan organisasi yang lain. Salah satu nama yang sering digunakan antara lain adalah CISO (Chief Information Security Officer), CSO (Chief Security Officer), manajer keamanan informasi, dll. Begitupun juga tugas dan tanggung jawabnya bisa berbeda-beda pula antara satu organisasi dengan lainnya. Namun secara umum manajer keamanan cyber itu akan bertanggung jawab pada:
- Mengembangkan strategi keamanan
- Memantau keberjalanan program dan inisiatif keamanan
- Berkoordinasi dengan para pemilik proses bisnis untuk penyelarasan yang berkelanjutan
- Memastikan bahwa asesmen risiko dan dampaknya terhadap bisnis dilakukan
- Mengembangkan strategi mitigasi risiko
- Mendorong kepatuhan terhadap kebijakan dan regulasi
- Memantau utilisasi dan efektifitas sumber-sumber daya keamanan
- Mengembangkan dan menerapkan sistem pemantauan dan ukuran-ukurannya.
- Mengarahkan dan memantau aktifitas-aktifitas keamanan
- Mengelola insiden-insiden keamanan cyber dan penanganannya termsuk menganalisa pelajaran yang dapat diambil dari kejadian tersebut.
Praktisi Keamanan Cyber
Pada kebanyakan organisasi, keamanan cyber dikelola oleh sebuah tim yang terdiri dari para ahli di sejumlah bidang dan para praktisi keamanan cyber, termasuk di dalamnya arsitek keamanan, administrator, digital forensic, penanganan insiden, peneliti kerentanan, hingga spesialis keamanan jaringan. Bersama-sama mereka merancang, mengimplementasikan dan mengelola proses-proses, kontrol teknis dan merespon terhadap kejadian dan insiden-insiden yang terjadi.
Para praktisi ini bekerja di bawah arahan, kebijakan, pedoman, mandat dan peraturan yang dibuat oleh Direksi, manajemen eksekutif dan manajemen keamanan cyber. [mti/csx]
1 comment on "Tata Kelola Keamanan Cyber"