COBIT 5 berisi panduan yang sangat relevan untuk praktisi IT dan pemimpin organisasi mengenai pengaturan dan perlindungan data dan informasi. Untuk membuat penerapan Teknologi Informasi di dalam perusahaan dapat digunakan secara maksimal, maka dibutuhkan pemahaman yang tepat mengenai konsep dasar dari sistem yang berlaku, teknologi yang dimanfaatkan, aplikasi yang digunakan dan pengelolaan serta pengembangan sistem yang dilakukan pada perusahaan tersebut. Artikel ini akan membahas apa saja hal yang dapat diberikan oleh COBIT 5.
COBIT 5 benar dimulai dengan serangkaian rekomendasi bisnis yang menyeluruh. Misalnya, COBIT 5 menyarankan agar para pemimpin organisasi memasukkan kepatuhan terhadap hukum dan peraturan eksternal, pengelolaan risiko bisnis, dan kepatuhan terhadap kebijakan internal perusahaan dalam balanced scorecard (BSC) mereka. Metrik yang relevan antara lain:
- The use and application of risk assessments
- The cost of regulatory noncompliance
- The measurement of noncompliance incidents
- The percentage of stakeholders who understand policies
- The percentage of policies supported by effective standards and working practices
Tujuan organisasi mengarah pada serangkaian proses IT untuk mengelola kemananan informasi dan data. COBIT 5 menunjukkan bahwa elemen kunci dari risiko adalah kemanana informasi, proses infrastruktur dan aplikasi. Saat ini COBIT 5 mengandalkan indikator sebelumnya. Terlihat, misalnya, pada jumlah insiden keamanan yang telah menyebabkan kerugian finansial dan pada jumlah pelayanan IT tanpa persyaratan keamanan yang ketat. Ini sangat penting. Melihat pada saat memberikan, mengubah dan menghapus hak akses dan membandingkannya terhadap tingkat layanan yang disepakati. COBIT 5 juga melihat frekuensi keamanan atau penilaian risiko dibandingkan dengan standar dan kebijakan terbaru.
Rekomendasi COBIT untuk Proses Keamanan Perusahaan
COBIT 5 mendorong setiap perusahaan untuk menyesuaikan konten COBIT dengan prioritas dan keadaan perusahaan sendiri. Namun, di antara proses yang direkomendasikan COBIT 5 memiliki 3 hal yang sangat sesuai dengan sistem keamanan perusahaan dan terdapat metrik yang disarankan.
Pertama, sistem mempertimbangkan dan secara efektif menangani persyaratan keamanan informasi perusahaan. Ini tampak menyeluruh, dan langkah-langkah yang disarankan mencakup jumlah peran keamanan yang telah didefinisikan secara jelas dan jumlah insiden terkait dengan keamanan. Sebagian besar perusahaan ingin menambahkan tindakan lain ke dalam daftar sesuai dengan situasi mereka sendiri.
Kedua adalah rencana keamanan yang telah ditetapkan, diterima dan dikomunikasikan ke seluruh perusahaan. Disini COBIT 5 melihat tingkat kepuasan pemangku kepentingan dengan security plan, jumlah solusi keamanan yang menyimpang dari rencana yang disepakati dan jumlah solusi keamanan yang menyimpang dari infrastruktur keamanan perusahaan. Infrastruktur dengan jelas mengkompromikan poin risiko dengan 2 cara: dengan membuat celah keamanan dan memperpanjang waktu untuk memperbaiki masalah keamanan atau kepatuhan.
Ketiga, solusi keamanan informasi diterapkan di seluruh perusahaan. Disini metrik COBIT 5 melihat jumlah layanan dan solusi yang sesuai dengan rencana keamanan bersamaan dengan insiden keamanan yang disebabkan oleh ketidakpatuhan terhadap security plan. Ini semua adalah metrik yang baik untuk dilacak dan memberikan contoh ilustrasi yang berguna.
Chief Information Officers (CIO) bersikeras bahwa dengan fokus pada penerapan keamanan, COBIT membutuhkan tantangan utama dalam infrastruktur enterprise dan yang dibutuhkan adalah pendekatan ekosistem yang lebih holistik untuk melindungi data perusahaan. CIO mengatakan bahwa keamanan perlu beralih dari perimeter dan aplikasi sampai pada consumption dan protecting data agar lebih efektif, pada dasarnya, seluruh dunia adalah perimeter organisasi. Berbeda dengan “big iron days,” di mana semua data berada di tempat yang aman, CIO mengatakan bahwa perusahaan harus memiliki fokus dari sistem ke data.
Data Security by Design
Privacy by Design memberikan panduan yang tepat untuk semua orang yang terlibat dalam melindungi data mengikuti 6 prinsip dasar berikut ini:
- Proactive, not reactive; preventive, not remedial
- Privacy as the default setting
- Privacy embedded into design
- End-to-end security
- Visibility and transparency
- Respect for user privacy
Untuk penjelasan lebih lanjut mengenai enam prinsip dasar Privacy by Design akan dibahas pada artikel selanjutnya.