Jika percakapan konsultasi saya biasanya dimulai dengan “jadi, menurut Anda bisnis Anda aman?”, percakapan tersebut selalu diakhiri dengan respons “jadi, lalu apa yang dapat kami lakukan?”. Di sinilah saya benar-benar membingungkan mereka karena tidak langsung berbicara tentang solusi dan perangkat lunak, melainkan tentang praktik terbaik, pendidikan, dan kebijakan.
Kebijakan keamanan informasi formal sering kali dilihat sebagai satu-satunya wilayah perusahaan besar, namun hal ini tidak sepenuhnya benar. Setiap bisnis – sekecil apa pun – dapat memperoleh manfaat dari penerapan kebijakan tersebut. Manfaatnya jauh lebih dalam daripada sekedar memiliki dokumen formal: hal ini benar-benar berasal dari proses memikirkan arti keamanan data bagi bisnis Anda, dan membuat respons tertulis dan terstruktur terhadap hal tersebut kebutuhan. Proses memikirkan keamanan ini – dan maksud saya benar-benar memikirkannya, dari atas ke bawah – selalu membuka mata bagi tim yang terlibat.
Setiap bisnis – sekecil apa pun – dapat memperoleh manfaat dari penerapan kebijakan tersebut
Bahkan bagi bisnis-bisnis terkecil dalam skala UKM, yang seringkali hanya terdiri dari satu orang dan anjingnya, hal ini akan menjadi proses tim. Saya tidak pernah mempertimbangkan untuk melakukan pekerjaan pembuatan kebijakan sendirian. Hal ini mungkin tidak akan menambah opini Anda tentang cara kerja konsultan, namun kenyataannya adalah bahwa kecuali pembuatan kebijakan melibatkan mereka yang bekerja di sektor bisnis, hal ini sama sekali tidak ada gunanya. Alasan saya membuat pernyataan menyeluruh seperti itu dapat dijelaskan dengan baik dengan membuat Anda memahami apa sebenarnya yang dimaksud dengan kebijakan keamanan.
Kembalikan hal tersebut ke dasar-dasarnya, dan kebijakan keamanan informasi dapat didefinisikan sebagai komitmen untuk melindungi semua data yang dibuat dan digunakan oleh perusahaan. Mulailah menyempurnakan definisi sederhana ini, dan keinginan menyeluruh akan pertahanan data akan menjadi panduan Anda mengenai bagaimana tingkat perlindungan yang diperlukan dapat dicapai dan dipertahankan.
Menyerahkan hal ini kepada pihak ketiga – atau bahkan mendelegasikan tanggung jawab berdasarkan departemen – adalah bunuh diri keamanan: pimpinan IT Anda (dengan asumsi Anda memiliki kemewahan seperti itu) mungkin menghasilkan rancangan teknis, yang diberi jargon-vakum oleh bagian personalia, sebelum akhirnya dianggap sama sekali tidak bisa dipahami oleh pihak hukum. departemen. Kebijakan keamanan yang berkelanjutan dan efektif harus disusun dari awal, dengan masukan dari atas ke bawah.
Tergantung pada ukuran organisasi Anda, ini bisa berarti pemilik tunggal bertemu dengan pihak luar konsultan, atau dewan direksi bekerja dengan departemen TI, personalia, hukum, dan lantai pabrik. Poin utamanya adalah setiap orang harus terwakili, sehingga seluruh bisnis Anda diikutsertakan; dan sebagai hasilnya, seluruh risiko yang dapat diperkirakan terhadap data perusahaan dapat dimitigasi.
Kebijakan praktis
Salah satu permasalahan ketika berbicara mengenai kebijakan keamanan terletak pada kepastian bahwa The Powers That Be benar-benar memahami bahwa hal tersebut seharusnya – memang harus – sesuatu yang praktis dan berguna dalam sebuah bisnis tingkat. Hal ini terutama berlaku untuk usaha kecil, di mana keamanan informasi sering dianggap sebagai gangguan yang tidak nyaman dalam pekerjaan sehari-hari, dan bukan sebagai bagian integral dari proses bisnis. Kebijakan keamanan informasi – seperti kebijakan penggunaan yang dapat diterima atau bahkan kontrak kerja – tidak ada gunanya jika hanya ditandatangani dan diserahkan ke lemari arsip sampai terjadi pelanggaran.
Saya pernah mendengar konsultan keamanan TI berbicara tentang dokumen kebijakan sebagai “bagian yang hidup dan bernapas dari bisnis”. Sejujurnya, ini adalah langkah yang terlalu jauh bagi saya dan sebagian besar orang yang bekerja dengan saya. Saya lebih suka menganggapnya sebagai program keamanan informasi tertulis (WISP). Dengan kata lain, ini bukanlah sekumpulan file yang membosankan, melainkan kumpulan dokumen kebijakan, beserta langkah-langkah yang perlu diambil untuk menegakkan kebijakan yang ada di dalamnya.
Beberapa pemerintah negara bagian di AS bahkan telah memasukkan persyaratan WISP ini ke dalam undang-undang keamanan informasi mereka: Massachusetts, misalnya, mewajibkan setiap orang yang “memiliki atau melisensikan informasi pribadi” untuk “mengembangkan, menerapkan, dan memelihara sistem yang komprehensif program keamanan informasi yang ditulis dalam satu atau lebih bagian yang mudah diakses”, dan berisi bagian administratif, teknis, dan fisik perlindungan.
Saya mulai menggunakan definisi WISP ini sebagai titik awal ketika berbicara dengan sebuah bisnis tentang pembuatan kebijakan yang bermakna. Saya menempatkan frasa “bagian yang mudah diakses” di bagian depan dan tengah setiap pertemuan awal pembuatan kebijakan. Penting bagi setiap orang untuk memahami bahwa “mudah diakses” berarti dapat diakses oleh semua karyawan; hal ini berarti bahwa pelatihan dan kursus pendidikan yang sesuai tersedia bagi mereka semua.
