Menulis dan menerapkan rencana bisnis tidak perlu dianggap sebagai tugas yang menakutkan. Rencana baik yang dimiliki hari ini lebih bagus daripada rencana sempurna yang dimiliki besok, dan rencana tersebut bisa selalu diperbarui dan diperbaiki di kemudian hari.
Siklus perencanaan
Terdapat lima langkah untuk membuat rencana keamanan yang baik:
- Audit
Tinjau keterampilan dan pengetahuan Anda sendiri. Tentukan apakah Anda memerlukan bantuan pihak luar. Identifikasi aset dan informasi yang perlu dilindungi, termasuk perangkat keras, perangkat lunak, dokumentasi, dan data. Tinjau ancaman dan risiko. Buat daftar prioritas hal-hal yang perlu dilindungi.
- Rencana
Tuliskan prosedur untuk mencegah, mendeteksi, dan merespons ancaman keamanan. Berikan kerangka kerja untuk menegakkan kepatuhan, termasuk kebijakan staf. Identifikasi siapa yang bertanggung jawab untuk menerapkan dan memantau rencana tersebut. Sepakati jadwal untuk penerapan.
- Laksanakan
Komunikasikan dengan staf. Latih jika perlu. Laksanakan rencana tersebut.
- Pantau
Riset ancaman baru saat Anda menyadarinya. Berlangganan buletin keamanan. Perbarui dan ubah rencana sejalan dengan terjadinya perubahan personel, perangkat keras dan perangkat lunak. Lakukan perawatan yang berkelanjutan seperti backup atau pembaruan tanda tangan virus.
- Ulangi
Rencanakan tinjauan dan pembaruan lengkap enam hingga dua belas bulan setelah Anda menyelesaikan rencana pertama, atau ketika bisnis Anda mengalami perubahan signifikan.
Apa yang harus disertakan
Rencana keamanan yang efektif mencakup berbagai pertimbangan berikut. Untuk bisnis lebih kecil, beberapa pertimbangan mungkin tidak relevan atau sesuai:
- Persetujuan dan komitmen manajemen.
- Pihak eksternal (pelanggan, pemasok, mitra, pemangku kepentingan)
- Tetapkan kebijakan keamanan informasi
- Manajemen risiko informasi
- Tanggung jawab atas aset informasi
- Klasifikasi informasi (internal, domain publik, rahasia)
- Pemeriksaan latar belakang karyawan baru
- Perjanjian pelarangan pengungkapan informasi
- Kesadaran dan pelatihan
- Area yang dilindungi dan kontrol akses
- Keamanan peralatan IT
- Prosedur dan tanggung jawab operasional
- Sistem IT baru dan peningkatan
- Perlindungan dari malware
- Back up
- Perangkat milik karyawan sendiri
- Pertukaran informasi (termasuk pihak ketiga)
- Perdagangan melalui metode elektronik dan mobile
- Pemantauan pengguna
- Manajemen akses
- Tanggung jawab pengguna (termasuk kontrak karyawan)
- Bekerja jarak jauh dan mobile
- Manajemen keamanan jaringan
- Enkripsi jaringan
- Pemrosesan yang tepat dalam aplikasi untuk memastikan integritas data
- Keamanan dalam pengembangan dan dukungan
- Manajemen kerentanan
- Melaporkan masalah dan kelemahan
- Manajemen insiden dan eskalasi
- Aspek keamanan IT dari manajemen keberlangsungan bisnis
- Kepatuhan dengan persyaratan hukum (termasuk Undang-Undang Perlindungan Data)
- Kepatuhan dengan standar industri kartu pembayaran
- Kepatuhan dengan persyaratan industri spesifik (seperti layanan finansial, kedokteran)