ISO 27001:2013 merupakan Sistem Manajemen Keamanan Informasi (SMKI) merupakan perlindungan informasi dari berbagai ancaman agar menjamin kelanjutan risiko proses bisnis, dan mengurangi bisnis.
Setiap perusahaan atau organisasi memiliki aset informasi, tentu akan selalu dijaga kerahasiaannya oleh pihak manajemen. Tujuannya supaya informasi tidak sampai dikelola oleh orang yang tidak berkepentingan dan pihak yang tidak bertanggung jawab.
Penerapan keamanan informasi harus dilaksanakan secara efektif. Diantaranya implementasi menjaga keamanan saat memberikan pesan elektronik.
Salah satu kontrol Annex A pada ISO/IEC 27001:2013 berbunyi:
A.13.2.3 Electronic messaging Control
Information involved in electronic messaging shall be appropriately protected.
Artinya, informasi yang terlibat dalam pesan elektronik harus dilindungi sebagaimana mestinya.
Kontrol itu bercerita bahwa jika ada aset informasi yang dipertukarkan secara elektronik, aset tersebut agar dilindungi sesuai dengan tingkat sensitivitas aset informasinya.
Selain itu, pernah juga ditemukan di sebuah kebijakan di suatu organisasi, yang maknanya kurang lebih seperti berikut:
“Aset informasi dengan klasifikasi rahasia (confidential) yang dikirim via email, maka aset informasi harus diberikan kata sandi (pasword)”.
Pada umumnya, jika personil ingin mengirimkan melalui email, maka akan dikirimkan dalam bentuk lampiran. Namun kenyataan di lapangan, memberikan password pada lampiran bukanlah hal yang sederhana.
Jika lampiran tersebut adalah berkas (file) dalam bentuk Microsoft Excel, maka berkas dapat diberikan pasword dengan empat langkah:
- Select File > Info.
- Select the Protect Workbook box and choose Encrypt with Password.
- Enter a password in the Password box, and then select OK.
- Confirm the password in the Reenter Password box, and then select OK.
Namun bagaimana dengan berkas lain?
Contohnya, Anda ingin membagikan berkas .png yang berisikan topologi jaringan sistem Anda kepada rekan kerja yang ada di kota lain. Atau desain ponsel untuk ditinjau oleh atasan Anda sebelum didaftarkan patennya ke pemerintah.
Mungkin Anda memerlukan alat lain seperti (misal) WinRar untuk melakukan kompresi dan memberikan password. Akibat keruwetan tersebut, sangat mungkin jika personil akhirnya memilih melampirkan apa adanya.
Dengan demikian, implementasi kebijakan tersebut boleh jadi kurang efektif.
Selanjutnya, pada klausul 7.1 ISO/IEC 27001:2013 berbunyi:
7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system.
Artinya, Organisasi harus menentukan dan menyediakan sumber daya yang diperlukan untuk penetapan, penerapan, pemeliharaan dan peningkatan berkelanjutan dari sistem manajemen keamanan informasi.
Baca juga:
- Ruang Lingkup Sertifikasi ISO 27001 Perbankan saat Gunakan Data Kependudukan
- Manajemen Konfigurasi ISO 20000-1:2018
Maka dalam situasi di atas, organisasi akan lebih baik jika dapat menambahkan sumber daya untuk meningkatkan efektivitas implementasi ketentuan tersebut.
Misalnya dengan menyediakan alat (tools) untuk memudahkan hal tersbut (terlampir). padsa ga,bar tersebut, jika personil cukup menekan ikon surat dengan tanda gembok untuk mengaktifkan Email Securepass (https://www.zoho.com/mail/help/confidential-email.html#securepass)
Kesimpulannya, implementasi keamanan informasi tidak cukup hanya dengan komitmen manajemen dan awareness dari personil saja. Sebab implementasi keamanan informasi dilakukan oleh manusia, maka tentu alat untuk memudahkan mereka pun perlu disediakan untuk menjaga agar implementasinya tetap efektif.