English

Perencanaan Keamanan Bisnis

IT (Teknologi Informasi) dan keamanan daring sangat penting untuk organisasi dalam semua skala. Pilihan lainnya adalah kemungkinan terjadinya interupsi bisnis, kepatuhan hukum yang buruk, dampak pada pendapatan, reputasi yang terganggu atau, risiko terburuk adalah kegagalan bisnis. Oleh karenanya, Anda harus melakukan pendekatan sistematis untuk keamanan, dan titik awalnya adalah mengumpulkan dan menerapkan rencana keamanan bisnis yang efektif.

Menulis dan menerapkan rencana bisnis tidak perlu dianggap sebagai tugas yang menakutkan. Rencana baik yang dimiliki hari ini lebih bagus daripada rencana sempurna yang dimiliki besok, dan rencana tersebut bisa selalu diperbarui dan diperbaiki di kemudian hari.

Siklus perencanaan

Terdapat lima langkah untuk membuat rencana keamanan yang baik:

  • Audit

Tinjau keterampilan dan pengetahuan Anda sendiri. Tentukan apakah Anda memerlukan bantuan pihak luar. Identifikasi aset dan informasi yang perlu dilindungi, termasuk perangkat keras, perangkat lunak, dokumentasi, dan data. Tinjau ancaman dan risiko. Buat daftar prioritas hal-hal yang perlu dilindungi.

  • Rencana

Tuliskan prosedur untuk mencegah, mendeteksi, dan merespons ancaman keamanan. Berikan kerangka kerja untuk menegakkan kepatuhan, termasuk kebijakan staf. Identifikasi siapa yang bertanggung jawab untuk menerapkan dan memantau rencana tersebut. Sepakati jadwal untuk penerapan.

  • Laksanakan

Komunikasikan dengan staf. Latih jika perlu. Laksanakan rencana tersebut.

  • Pantau

Riset ancaman baru saat Anda menyadarinya. Berlangganan buletin keamanan. Perbarui dan ubah rencana sejalan dengan terjadinya perubahan personel, perangkat keras dan perangkat lunak. Lakukan perawatan yang berkelanjutan seperti backup atau pembaruan tanda tangan virus.

  • Ulangi

Rencanakan tinjauan dan pembaruan lengkap enam hingga dua belas bulan setelah Anda menyelesaikan rencana pertama, atau ketika bisnis Anda mengalami perubahan signifikan.

Apa yang harus disertakan

Rencana keamanan yang efektif mencakup berbagai pertimbangan berikut. Untuk bisnis lebih kecil, beberapa pertimbangan mungkin tidak relevan atau sesuai:

  • Persetujuan dan komitmen manajemen.
  • Pihak eksternal (pelanggan, pemasok, mitra, pemangku kepentingan)
  • Tetapkan kebijakan keamanan informasi
  • Manajemen risiko informasi
  • Tanggung jawab atas aset informasi
  • Klasifikasi informasi (internal, domain publik, rahasia)
  • Pemeriksaan latar belakang karyawan baru
  • Perjanjian pelarangan pengungkapan informasi
  • Kesadaran dan pelatihan
  • Area yang dilindungi dan kontrol akses
  • Keamanan peralatan IT
  • Prosedur dan tanggung jawab operasional
  • Sistem IT baru dan peningkatan
  • Perlindungan dari malware
  • Back up
  • Perangkat milik karyawan sendiri
  • Pertukaran informasi (termasuk pihak ketiga)
  • Perdagangan melalui metode elektronik dan mobile
  • Pemantauan pengguna
  • Manajemen akses
  • Tanggung jawab pengguna (termasuk kontrak karyawan)
  • Bekerja jarak jauh dan mobile
  • Manajemen keamanan jaringan
  • Enkripsi jaringan
  • Pemrosesan yang tepat dalam aplikasi untuk memastikan integritas data
  • Keamanan dalam pengembangan dan dukungan
  • Manajemen kerentanan
  • Melaporkan masalah dan kelemahan
  • Manajemen insiden dan eskalasi
  • Aspek keamanan IT dari manajemen keberlangsungan bisnis
  • Kepatuhan dengan persyaratan hukum (termasuk Undang-Undang Perlindungan Data)
  • Kepatuhan dengan standar industri kartu pembayaran
  • Kepatuhan dengan persyaratan industri spesifik (seperti layanan finansial, kedokteran)

Jargon Buster

A Glossary of terms used in this article:

Virus signature (tanda tangan virus)

‘Sidik jari’ virus yang berisi karakteristik virus atau jenis virus. Perangkat lunak keamanan internet menggunakan basis data tanda tangan untuk mendeteksi virus.

Encrypted (terenkripsi / Enkripsi)

Proses mengkonversi data menjadi teks sandi (sejenis kode) untuk mencegah data tersebut dipahami oleh pihak yang tidak berwenang.