YOUR First ACTION as Information Security Manager

Anggap saja Anda baru diangkat menjadi Manajer Keamanan Informasi atau sebagai kepala IT yang juga bertanggung jawab terhadap keamanan informasi. Kira kira hal apa yang perlu Anda lakukan?

Selain tentu saja Anda juga harus mendasari semua yang Anda lakukan berdasarkan rujukan tata kelola keamanan informasi tertentu, jika Anda baru mendapatkan mandat untuk mengelola keamanan informasi, berikut ini adalah beberapa langkah pertama yang mungkin bisa Anda lakukan:

1. Risk Management Strategy: Anda akan mengecek apakah sudah pernah dilakukan evaluasi resiko? Evaluasi risiko terhadap lingkungan dan sistem informasi dilakukan  untuk mengidentifikasi ancaman potensial, kerentanan, serta dampak yang mungkin terjadi jika terjadi pelanggaran keamanan informasi. Jika sudah ada, maka sangat penting untuk melihat tracking action plan dari setiap resiko resiko yang ditemukan. Jika belum pernah dilakukan, maka Anda akan membuat satu agenda evaluasi resiko yang melibatkan semua pihak (bisnis, operation, support)
2. Program Keamanan: berdasarkan evaluasi resiko, maka Amda akan menyusun “quick win” program keamanan informasi. Hal hal yang secara strategis bila dilakukan akan langsung berpengaruh pada “hackability score” dan menurunkan score resiko ke tingkat yang bisa diterima.

Beberapa program keamanan yang mungkin Anda susun berdasarkan evaluasi resiko yang telah Anda lakukan di atas antara lainsbb:

1. Kebijakan dan Prosedur: Anda juga perlu mempelajari kebijakan dan prosedur yang ada, Apakah prosedur dan kebijakan yang ada telah mencakup aspek aspek keamanan informasi dengan merujuk pada standard framework keamanan informasi yang anda pilih. Apakah secara operasional kebijakan dan prosedur tersebut sudah dijalankan. Review kebijakan dan prosedur mungkin bisa makan waktu, dan ini bisa dilakukan secara paralel dengan kegiatan lain. 
2. Kesadaran dan Pelatihan: Bisa jadi saat Anda melakukan evaluasi resiko, Anda juga akan melihat ada resiko yang cukup besar dari faktor user. Sehingga Anda akan perlu menyelenggarakan program kesadaran keamanan informasi untuk meningkatkan pemahaman dan kesadaran user dan tim terkait tentang ancaman keamanan, langkah-langkah pengamanan yang diperlukan, serta praktik terbaik dalam menjaga keamanan informasi.
3. Pengendalian Akses: Ada banyak hal yang terkait pengendalian akses. Beberapa membutuhkan waktu dan biaya untuk implementasinya. Tugas pertama Anda adalah menggulirkan program review terhadap pengendalian hak akses. Anda akan terkaget kaget ketika review dilakukan pertama kali. Misal review terhadap user, bisa saja Anda menemukan karyawan yang resign masih ada di system. Atau Anda akan menemukan terlalu banyak administrator. Atau Anda menemukan user access matrix yang tidak pernah di review. Termasuk dalam kegiatan ini Anda juga harus mereview penerapan kebijakan password yang kuat, penggunaan mekanisme pengenkripsi, dan manajemen hak akses. Jika misal ogranisasi Anda menggunakan Office 365, maka penerapan Multi factor Authentication merupakan quick win yang sangat mudah Anda lakukan.
4. Scanning Vulnerability + Patching & Hardening: Anda juga harus memastikan Anda punya visibility yang jelas terhadap celah keamanan di lingkungan organisasi Anda, baik celah keamanan secara external maupun internal. Bisa saja Anda akan menemukan celah keamanan pada asset external dan intrnal Anda yang berupa missing patch, atau kurang hardening atau mungkin sesuatu yang di expose tapi seharusnya tidak. Pastikan kegiatan scanning, patching dan hardening ini sebagai kegiatan rutin dari organisai keamanan Anda. Target Anda adalah tidak ada celah keamanan dengan tingkat kebahayaan (severity level) medium, high dan critical yang terbuka, terutama pada asset publik.
5. Incident Response & Crisis Readiness: Anda harus cek banyak hal di sini, mulai dari prosedur komunikasi dan eskalasi jika terjadi insiden. Apakah Ada team yang bisa dihubungi jika terjadi insiden? Apakah sudah ada rencana tindakan darurat yang jelas dalam menghadapi insiden keamanan informasi seperti serangan malware, kebocoran data, atau serangan siber lainnya? Apakah Anda punya backup? Apakah backup ditest restore secara menyeluruh?
6. Arsitektur Teknologi: Mungkin saja perusahaan Anda sudah punya firewall, sudah ada waf dll. Tapi Apakah ada maintannce? Firmware sudah versi kapan?  Apakah semua switch network Anda sama versinya? dll.  Secara prinsip tugas Anda adalah memastikan secara arsitektur aman. Jangan gunakan banyak versi dan banyak brand. Misal jika menggunakan linux server, pastikan semuanya satu brand, brand misal ubuntu semua. Begitu pun dengan perangkat lain. Ini akan memudahkan untuk managementnya.
7. Monitoring,  Pengawasan dan Audit:  Monitoring anomaly ini sangat penting. Jadi jika Anda belum memiliki SOC yang melakukan monitoring 24/7, maka ini tugas Anda untuk memastikan adanya proses monitoring terhadap anomaly. 

Out of Scope Information Security Manager

Sebagai manajer keamanan informasi, tugas utama Anda adalah melindungi informasi dan sistem penting dari ancaman dan risiko yang mungkin timbul. Dalam menjalankan tugas ini, Anda harus memiliki pemahaman yang solid tentang keamanan informasi dan teknologi terkait, serta mampu mengelola dan mengimplementasikan kebijakan keamanan yang sesuai.

Bergantung dari kebutuhan dan struktur organisasi masing-masing, ada juga beberapa tugas yang mungkin tidak menjadi tanggung jawab langsung seorang manajer keamanan informasi (dalam kondisi ideal). 

Pada organisasi yang besar dan matang, berikut adalah beberapa contoh tugas yang bukan menjadi tugas seorang manajer keamanan informasi antara lain:

1. Menentukan kebijakan umum perusahaan: Meskipun Anda bertanggung jawab untuk mengimplementasikan kebijakan keamanan informasi, menentukan kebijakan umum perusahaan adalah tugas manajemen tingkat atas.
2. Pengembangan perangkat lunak atau infrastruktur TI: Biasanya tugas pengembangan perangkat lunak atau infrastruktur TI ditangani oleh tim pengembang atau ahli TI terpisah. Namun, sebagai manajer keamanan informasi, Anda harus memberikan masukan keamanan yang diperlukan selama pengembangan.
3. Hardening & Patching: Ini seharusnya dilakukan oleh team khusus infrastruktur (server and network)
4. Mengelola asset IT: Mampu mengidentifikasi asset apa saja dan tingkat kekritisannya memang sangat penting dalam keamanan inforamsi. Tapi mengelola asset seharusnya dilakukan oleh team lain, misal IT operation.
5. Penanganan insiden keamanan: Manajer keamanan informasi dapat berperan dalam koordinasi dan pengawasan penanganan insiden keamanan, tetapi penanganan insiden langsung biasanya ditangani oleh tim keamanan jaringan atau keamanan TI khusus.
6. Desain arsitektur sistem penuh: Meskipun Anda mungkin terlibat dalam memberikan masukan keamanan selama desain arsitektur sistem, tugas desain arsitektur sistem secara keseluruhan umumnya ditangani oleh arsitek sistem atau tim pengembang yang membawa keahlian teknis yang lebih mendalam.
7. Pelatihan dan pengembangan staf: Sementara penting untuk memastikan bahwa staf Anda memiliki pemahaman yang memadai tentang keamanan informasi, pelatihan dan pengembangan staf secara langsung sering ditangani oleh tim sumber daya manusia (HR atau HC) atau pelatihan dan pengembangan profesional terpisah.

Ingatlah bahwa tugas yang diuraikan di atas dapat bervariasi tergantung pada kebutuhan dan struktur organisasi masing-masing, tetapi ini memberikan gambaran umum tentang apa yang dapat diharapkan dari seorang manajer keamanan informasi. 

SERTIFIKASI PENGELOLA KEAMANAN INFORMASI

Jika Anda memiliki waktu dan biaya, ada baiknya Anda juga membekali diri dengan ilmu dan sertifikasi yang cukup untuk menjalankan fungsi manajer keamanan informasi.

Saya sangat menganjurkan Anda untuk mengambil kursus atau membaca buku buku CISM dari ISACA.