Kebocoran data dan serangan cyber merupakan dua ancaman termutakhir perusahaan yang perlu dihindari. Melakukan penilaian (assessment) keamanan IT perusahaan merupakan salah satu cara menghindari kedua ancaman tersebut. Sudahkah Anda melakukannya?
Langkah Melakukan Penilaian IT perusahaan
Mengidentifikasi dan mengkatalogisasi aset informasi perusahaan
Pastikan Anda memiliki daftar lengkap aset informasi dan penanggung jawab utamanya di semua departemen. Setelah itu, klasifikasi aset data berdasarkan tingkat sensitivitas dan kepentingan strategis aset bagi perusahaan. Lakukan dialog dengan administrator di semua departemen agar Anda mendapatkan informasi yang akurat dan lengkap. Setelah data diklasifikasikan, pusatkan perhatian pada data paling sensitif dan carilah cara paling efektif untuk menanganinya.
Mengidentifikasi ancaman
Ancaman terhadap keamanan informasi perusahaan bisa datang dalam berbagai bentuk. Karena itulah, Anda perlu membuat daftar semua ancaman unik yang dihadapi perusahaan Anda, seperti:
- Campur tangan manusia yang disengaja (misalnya: peretasan, phishing)
- Campur tangan manusia yang tidak disengaja (misalnya: karyawan tak sengaja mengunduh malware)
- Kegagalan sistem (misalnya: hardware usang, software tidak update)
- Di luar kendali manusia (misalnya: pemadaman listrik, bencana alam)
Mengidentifikasi kerentanan
Kerentanan dapat ditemukan melalui audit, pengujian penetrasi, analisis keamanan, alat pemindaian kerentanan otomatis, atau database kerentanan NIST. Identifikasi kerentanan juga perlu dilakukan terhadap kebijakan perusahaan dan kelalaian karyawan. Misalnya, karyawan menggunakan perangkat elektronik perusahaan di luar kantor.
Menganalisis pengendalian internal
Anda dapat menerapkan pengendalian teknis seperti komputer, enkripsi, atau alat untuk mendeteksi peretas atau penyusupan lainnya. Pengendalian juga bisa dilakukan secara non-teknis dengan menerapkan kebijakan keamanan.
Menentukan kemungkinan terjadinya insiden
Nilai dan golongkan risiko setiap kerentanan menjadi kategori tinggi, sedang, dan rendah. Tiga pilar penting yang perlu dikategorikan adalah aset, ancaman yang dihadapi aset, serta kontrol untuk mengatasi ancaman tersebut.
Menilai dampak yang ditimbulkan suatu ancaman
Langkah yang disebut analisis dampak ini harus diselesaikan untuk setiap kerentanan dan ancaman yang telah diidentifikasi, tidak peduli seberapa besar kemungkinan terjadinya.
Analisis dampak meliputi 3 hal yaitu:
- Misi sistem, termasuk proses yang dilaksanakan oleh sistem
- Tingkat kritis sistem, ditentukan oleh nilainya dan nilai datanya bagi perusahaan
- Sensitivitas sistem dan datanya
Pertimbangkan dampak kuantitatif dan kualitatif dari suatu kejadian untuk mendapatkan gambaran lengkap. Dengan memperhitungkan 3 faktor di atas, Anda dapat menentukan kategori ancaman – berdampak tinggi, sedang, atau rendah terhadap perusahaan Anda. Jika terjadi insiden, analisis dampak ini membantu Anda memprioritaskan risiko-risiko tersebut pada langkah berikutnya.
Memprioritaskan risiko terhadap keamanan informasi perusahaan
Petakan risiko yang mempunyai konsekuensi parah sebagai prioritas tinggi, dan risiko yang tidak mungkin terjadi serta memiliki konsekuensi kecil sebagai prioritas rendah.
Mendesain tindakan mitigasi
Berdasarkan prioritas yang sudah didata dan dirinci, Anda dapat membuat rencana untuk memitigasi risiko yang paling mendesak. Libatkan orang-orang yang akan bertanggung jawab untuk melaksanakan pengendalian tersebut agar dapat memitigasi atau menghilangkan risiko secara efektif.
Bekerjasamalah dengan manajemen senior dan IT agar pengendalian dan cara mengatasi risiko selaras dengan rencana penanganan risiko dan tujuan akhir perusahaan secara keseluruhan. Investasikanlah juga waktu dan biaya untuk melatih karyawan Anda tentang mitigasi IT ini.
Mendokumentasikan hasil assessment keamanan IT perusahaan
Setelah semua langkah di atas dilakukan, tulislah laporan yang mendokumentasikan seluruh hasil penilaian Anda. Laporan tersebut harus mendukung perubahan anggaran dan kebijakan yang direkomendasikan untuk meningkatkan keamanan IT perusahaan.
Keamanan IT perusahaan yang secara berkala dinilai meningkatkan keberhasilan program keamanan. Anda jadi bisa mengambil keputusan yang tepat untuk setiap insiden yang terjadi.
Hypernet siap memberikan bantuan jasa profesional yang memiliki keahlian mendalam dalam mengatasi masalah keamanan IT. Hubungi CS untuk informasi selengkapnya.
