Kendala – Kendala yang Muncul Ketika Menerapkan SMKI di Organisasi

iso-27001-certification-in-dubaiTidak terjaganya informasi dengan baik pada organisasi dapat menyebabkan timbulnya masalah terkait keamanan informasi seperti kebocoran informasi penting, pencurian data password pengguna, modifikasi data/perangkat lunak oleh pihak yang tidak berwenang, penyusupan ke system, dsb. Untuk menjamin keamanan terhadap aset TIK, organisasi perlu menerapkan suatu sistem manajemen keamanan informasi (SMKI) yang mengacu pada standar nasional atau internasional yang berlaku. Sehingga kualitas pengamanan yang diberikan tinggi serta mampu menanggulangi masalah yang terjadi.

ISO/IEC 27001:2013 merupakan standar yang cukup terkenal dan direkomendasikan sebagai acuan dalam penerapan sistem manajemen keamanan informasi (SMKI). ISO/IEC 27001:2013 menggunakan kerangka kerja berbasis risiko dalam melakukan identifikasi serta menerapkan pengendalian-pengendalian pada standar sebagai mitigasi terhadap risiko tersebut.

Namun untuk menerapkan system manajemen keamanan informasi tidaklah mudah. Banyak faktor-faktor yang menjadi kendala dalam penerapan SMKI pada organisasi atau perusahaan bahkan kendala tersebut dapat menyebabkan kegagalan dalam penerapan SMKI. Berikut adalah beberapa kendala yang sering muncul ketika suatu organisasi/perusahan akan menerapkan sistem manajemen keamanan informasi.

1. Kendala Manajerial
Dalam menerapkan SMKI pada organisasi atau perusahaan dibutuhkan suatu komitmen dari manajemen khususnya pada tim manajemen yang terlibat dalam ruang lingkup penerapan SMKI. Karena tujuan dari menerapkan SMKI adalah untuk menyusun sebuah sistem manajemen. Apabila tidak ada dukungan/komitmen dari manajemen terhadap penerapan SMKI, maka penerapan SMKI tersebut tidak akan berjalan sehingga akan mengakibatkan kegagalan dalam proses implementasi. Kurangnya komitmen dari manajemen merupakan faktor utama penyebab kegagalan implementasi SMKI.

Penyelesaian:
Hal ini dapat diatasi dengan membentuk sebuah kebijakan yang disahkan oleh manajemen terkait penerapan sistem manajemen keamanan informasi.

2. Kendala Sumber Daya Manusia
Salah satu kendala yang sering muncul ketika organisasi/perusahaan menerapkan SMKI adalah kurangnya SDM yang mendukung proses penerapan tersebut. Kendala SDM dapat berbagai macam misalnya:

  1. Kurangnya pemahaman serta kompetensi pegawai untuk mendukung penerapan SMKI
  2. Kurangnya jumlah personil yang dapat berakibat setiap personil harus melakukan beberapa pekerjaan secara bersamaan untuk menunjang penerapan SMKI.
  3. Tidak adanya sosialisasi terhadap penerapan SMKI sehingga kurangnya kesadaran personil terhadap implementasi yang dilakukan.
  4. Tidak adanya personil yang ahli dibidang keamanan informasi sehingga penerapan yang dilakukan tidak practical dan pengendalian yang ada sulit untuk diterapkan oleh organisasi.

SDM berperan penting dalam penerapan SMKI karena proses penilaian, mitigasi risiko serta pelaksanaan SMKI merupakan tugas dari personil yang terlibat di dalam ruang lingkup penerapan.

Penyelesaian:
Permasalahan yang terkait SDM perlu mendapat perhatian khusus dari manajemen. Maka dari itu, manajemen perlu mengadakan Awareness dan training terkait ISO/IEC 27001:2013 untuk meningkatkan pemahaman serta kompetensi pegawai dalam mendukung penerapan SMKI.

3. Kendala Budaya Organisasi
Budaya organisasi dapat menjadi penghambat dalam melakukan penerapan SMKI. Karena budaya yang telah tertanam pada kegiatan sehari-hari sulit untuk dirubah. Sehingga akan muncul resistensi/penolakan terhadap perubahan atau penambahan kegiatan-kegiatan baru seperti penerapan SMKI ini. Hal ini dapat menjadi potensi terhadap kegagalan penerapan SMKI.

Penyelesaian:
Pada beberapa organisasi, kendala diatas dapat diatasi dengan adanya dukungan dan komitmen dari manajemen puncak serta memasukan proses penerapan SMKI ke dalam sasaran penilaian kinerja (KPI) tim atau personil untuk mendukung terlaksananya penerapan tersebut.

4. Kendala Organisasi
Kendala organisasi merupakan hal yang cukup penting dalam penerapan SMKI. Kurangnya tingkat kematangan organisasi dalam mengelola proses bisnis/kegiatan dapat menjadi penghambat proses penerapan. Hal ini sering dihadapi oleh organisasi/perusahaan menengah ataupun yang masih baru karena belum secara jelas menetapkan tugas dan tanggung jawab pekerjaan (tupoksi).

Selain itu perubahan terhadap struktur organisasi dapat menjadi faktor penghambat penerapan SMKI khususnya ketika terjadi perubahan struktural pada saat proses implementasi telah berjalan.

Penyelesaian:
Apabila belum terdapat tupoksi yang jelas pada perusahaan, dapat dibuat tupoksi berdasarkan fungsi yang ada pada ISO/IEC 27001:2013. Selain itu, proses penerapan ISO/IEC 27001:2013 harus terdokumentasi secara lengkap agar permasalahan seperti perubahan struktur organisasi tidak akan mempengaruhi ataupun menghambat implementasi SMKI.

5. Kendala Teknikal
Kurangnya teknologi informasi dan komunikasi yang mendukung dapat menjadi faktor penghambat penerapan SMKI. Hal ini dapat terjadi akibat kurang akuratnya estimasi dan pengelolaan anggaran yang telah direncanakan untuk mendukung proses penerapan SMKI.

Penyelesaian:
Melakukan penganggaran kembali sesuai dengan kebutuhan perusahaan.

6. Kendala Perencanaan dari pihak eksternal
Pada beberapa organisasi sering terjadi pelaksanaan audit eksternal yang tidak sesuai dengan jadwal yang telah disepakati, sehingga mempengaruhi timeline project.

Penyelesaian:
Memastikan kembali kesiapan auditor eksternal jauh sebelum pelaksanaan audit eksternal (tidak dadakan).

Hal-hal diatas merupakan beberapa kendala yang sering dijumpai ketika melakukan penerapan Sistem Manajemen Keamanan Informasi (SMKI) di organisasi maupun perusahaan. Pada dasarnya, kendala tersebut dapat diatasi apabila terdapat komunikasi yang baik antara pihak manajemen dan personil yang terlibat dalam proses penerapan dan komitmen bersama untuk mencari solusi terhadap permasalahan yang muncul.

IT Governance Indonesia (ITGID) member of Proxsis menyediakan solusi pelatihan Information Security Management System Based On ISO 27001. Untuk melihat silabus pelatihan, dapat dilihat disini.

Penulis: Putih Ayu Perani, Consultant Proxsis IT