Minggu, 10 April 2011

Standar Regulasi dan Keamanan tidak Sinergis

Contoh nyata yang ajaib dan terjadi di negara Paman Sam adalah Federal Information Security Management memberi nilai A (2005) pada Environmental Protection Agency tapi memberi nilai F (2005) pada Department of Defense. Padahal sudah jadi pengetahuan umum bahwa sistem keamanan DoD menjadi salah satu barometer dunia. Hal ini bisa terjadi karena indikator yang digunakan FISMA untuk menentukan aman tidaknya sistem berbeda dengan yang digunakan DoD.

Perusahaan-perusahaan yang dengan efektif mampu menyelaraskan standar regulasi dan keamanan jaringan adalah perusahaan-perusahaan yang tidak melulu tunduk pada kesesuaian standar regulasi. Biasanya mereka melakukan lebih dari yang dipersyaratkan oleh standar karena hal itu lebih menjamin keamanan jaringan mereka. Perusahaan yang sedang mempersiapkan diri untuk menerapkan standar regulasi harus mematuhi 5 (lima) prinsip berikut agar keamanan jaringan mereka tidak kedodoran :

Gunakan security framework (ISO 17799, CORBIT dan sejenisnya..) untuk mendesain kebijakan keamanan jaringan jangan pakai standar regulasi. Kalau pakai standar regulasi frameworknya harus direvisi sesering perubahan regulasinya. Selain itu umumnya Standar regulasi mengacu pada aspke keamanan yang terlalu spesifik (melindungi data credit card, melindungi data karyawan... dst). Sekali jadi frameworknya kontrol-kontrol nya akan dengan mudah dipetakan ke standar regulasi bahkan untuk kebutuhan di masa yang akan datang.

Pisahkan anggaran untuk standar regulasi dan kontrol keamanan. Kebanyakan IT manager menyatukan biaya ini simply karena yang ngerjain (baca:yang betanggung jawab) ya dia dia juga. Tapi toalk ukur pembelanjaan kontrol keamanan bukan kesesuaian standar regulasi tapi kesesuaian dengan ancaman yang ada relatif terhadap tujuan organisasi.

Otomatisasi proses auditing dan pelaksanaan kebijakan. Yang audit juga senang karena sebagian pekerjaannya (baca:ngumpulin dan format data) sudah dihandle, buat yang diaudit juga beban kewajiban melaksanakan kebijakan jadi lebih enteng. Tetapi keuntungan terbesar adalah jajaran staf IT jadi lebih bisa fokus ke problem yang lebih real ketimbang hal-hal yang bersifat administratif. Untuk keperluan ini bisa digunakan produk-produk dari antara lain Skybox Security Inc, Consul Risk Management Inc., Intellitactics Inc., McAfee Inc. (Preventsys), Archer Technologies Inc. atau Brabeion Inc.

Manage perubahan kebijakan keamanan dan standar regulasi secara bersama-sama. Kebanyakan organisasi hanya fokus ke salah satu dalam satu periode karena dianggap dua isu berbeda. Padahal sinergi keduanya sering jadi penentu baik pada kualitas keamanan maupun pada standar regulasi karena merupakan satu kesatuan yang saling mendukung.

Ciptakan program penyuluhan dan training yg efektif ttg kebijakan yang ada. Terutama pada kebijakan kemanan, titik berat terlalu sering hanya fokus ke teknologi dan mengabaikan faktor manusia dan prosesnya. Standar regulasi dan kebijakan keamanan boleh jadi sudah 'menjinakan' proses organisasi tetapi manusia masih merupakan ancaman terbesar terhadap asset informasi perusahaan. Training setahun sekali sudah pasti upaya yang sia-sia karena penyuluhan dan training harus dilakukan secara kontinu dan dengan berbagai media untuk menghasilkan perubahan pada perilaku pengguna.

Banyak perusahaan terintimidasi besarnya waktu dan energi yang harus di keluarkan karena mereka mengganggap kebijakan keamanan jaringan dan standar regulai adalah dua proyek berbeda. Alhasil setiap pekerjaan seolah dikerjakan dua kali untuk dua sistem berbeda. Padahal seharusnya tidak demikian. Tetapi selama keamanan dan standar regulasi masih menjadi fokus perusahaan untuk meningkatkan kinerja dan produktifitas, perusahaan tidak punya pilihan lain selain menyelaraskan kebijakan keamanan dan standar regulasi.

Tidak ada komentar:

Posting Komentar