Oleh : Bpk Roni S Sutrisno, ST, CLA ISO 27001, CLA 2000*
Bisa diceritakan sedikit latar belakang bapak menjadi konĀsultan IT padahal latar beĀlakang bapak adalah sarjana teknik elektronika?
Saya memang lulus sebagai Sarjana SI Teknik Elektronika ITB. Sebenarnya hal ini juga tidak terlalu jauh dari dunia IT. Selain itu, dunia komputer (cikal bakalnya dunia IT) sebenarnya tidak asing bagi saya. Ditahun 1995 saya mengerjakan Tugas Akhir membuat Chip Dekoder Viterbi (cikal-bakalnya CDMA sekarang) menggunakan komputer berbasis UNIX. Selain itu, bongkar pasang periferal komputer sudah menjadi hari-hari saya (waktu itu masih jamannya prosesor Intel DX4 dan Pentium 90).
Saat pertama, saya bekerja tahun 1997 di PT. Schlumberger (Oil and Gas Services ) saya menjadi Data Management Support Engineer yang juga ikut dalam tim pengembangan aplikasi data manajemen saat itu.
Selain terlibat di development, saya juga āmerangkapā sebagai system engineer untuk mesin-mesin berbasis UNIX saat itu. Keluar dari Schlumberger di tahun 1999 kemudian saya bergabung sebagai konsultan junior di dalam proyek implementasi IMS (Inventory Management System) di suatu kementerian di Malaysia. Di sini saya belajar menjadi konsultan, walaupun dalam tingkatan junior, sambil mulai merintis bisnis sendiri.
Berbekal pengalaman sebagai konsultan sistem manajemen ,tahun 2003. Pada tahun 2004 saya bekerja di PT.Motorola Indonesia sebagai Quality & Business Process Manager, di antaranya adalah menyusun dan mengimplementaikan TL 9000 baik di Indonesia maupun di negara-negara Asia lainnya. TL sendiri merupakan sistem manajemen untuk perusahaan telekomunikasi yang dikembangkan dari ISO 9001. Pengalaman selanjutnya di Proxsis Consultant adalah mengimplementasikan sistem manajemen mutu berbasis ISO 9001, sistem manajemen lingkungan berbasis ISO 14001 dan sistem manajemen keselamatan dan kesehatan berbasis OHSAS 18001 dari tahun 2006 hingga tahun 2009.
Sudah berapa lama bapak menĀjadi konsultan ISO 27001?
Pada tahun 2008, dengan berĀmodalkan pengalaman di dunia IT, komunikasi dan sistem manaĀjemen, saya mulai mengimpleĀmentasikan ISO 27001 (Sistem Manajemen Keamanan Informasi). Klien pertama saya di ISO 27001 adalah sebuah Perusahaan Jepang yang bergerak di bidang produksi Alumunium Profil, yang berlokaĀsi di Tangerang, Banten.
Berapa Organisasi yang sudah Bapak Tangani sampai dengan saat ini?
Hingga sekarang, sudah beĀlasan organisasi yang saya tangani dan lebih dari 5 organisasi yang saya tangani telah mendapatkan sertifikat ISO 27001 dari Badan SerĀtifikasi. Sebagai informasi, hingga saat ini saya telah menangani lebih dari 45 perusahaan dalam menerapkan ISO 9001, ISO 20000, ISO 14001 dan OHSAS 18001.
Untuk sertifikasi ISO 27001 mengapa sangat penting untuk perusahaan-perusahaan besar?
Tujuan dari ISO 27001 tiada lain adalah memproteksi informasi. Mengapa informasi menjadi seĀdemikian penting untuk dilindunĀgi? Hal ini karena saat ini adalah abad informasi, di mana hampir semua kegiatan yang ada di dunia dikendalikan melalui pemrosesan dan pertukaran informasi. Hampir 99,9% pembayaran transaksi beĀsar dilakukan melalui pemrosesan informasi.
Perencanaan produksi suatu pabrik besar pada hakekatĀnya adalah pemrosesan informasi dari data-data kapasitas mesin, stok material dan order pelangĀgan, dan lain-lain. Jadi dapat saya gambarkan pada tahun 1900-an awal, sebagian besar orang InĀdonesia masih bekerja mengĀgunakan otot (membajak sawah, menanam padi), saat ini sebagian besar orang Indonesia yang bekĀerja pada sektor formil tidak ada yang tidak menggunakan komputĀer yang terhubung ke dalam suatu jaringan komputer. Dengan kata lain, saat ini āinformasi adalah merupakan aset suatu organisasiā.
Akibat semakin terhubungnya antara manusia yang satu dengan manusia yang lain melalui berbĀagai macam perangkat, maka anĀcaman terhadap informasi yang menjadi aset tersebut.
Ancaman dapat datang dari ketiĀdaksengajaan (salah kirim e-mail, tertinggalnya cetakan yang berisi informasi rahasia pada printer yang digunakan secara bersama, dsb.) atau kesengajaan (pihak yang memang berniat mencuri inĀformasi). Masalahnya, ketika kita semakin terhubung satu sama lain, kebocoran informasi di suatu temĀpat dapat langsung tersebar luas ke seluruh antero dunia. Jadi risiko terhadap informasi saat ini menĀjadi sedemikian tinggi. Sementara itu, ada berapa banyak informasi yang kita olah dan kita simpan sampai saat ini.
Mungkin lebih dari satu milyar kata untuk orang yang bekerja selama 3 tahun, dan terus bertambah. Bagaimanakah caranya kita memproteksi sedemiĀkian banyaknya informasi yang kita kelola? Jawaban yang paling tepat adalah menggunakan āpenĀdekatan manajemenā.
Seperti kita ketahui āpendekatan manajemenā sudah mejadi ājurus ampuhā dalam mengelola berbagai aspek dari mulai jaman revolusi industri hingga sekarang. Sejak dari ratuĀsan tahun lalu, dengan teknologi seadanya āpendekatan manaĀjemenā dapat mengelola ratusan ribu pekerja pada suatu pabrik sehingga dihasilkan produk yang berkualitas. Pendekatan inilah yang menjadi dasar dari Sistem Manajemen Keamanan Informasi ISO 27001.
Tahapan-tahapan untuk sertifiĀkasi ISO 27001
A. Gap Analysis.
Tujuan dari kegiatan ini adalah kita ingin mengetahui sudah seĀjauh mana perusahaan tersebut menerapkan apa yang sudah apa yang belum, nah dari itu kita dpat mengetahui gapnya apa dan dimana, sehingga strategi perbaikan dapat dilakuĀkan dengan tepat
B. Kajian Risiko.
Tujuan dari kegiatan ini adalah kita ingin mengetahui risiko-risiko apa saja yang dapat mengancam aset-aset yang terkait dengan pemrosesan informasi serta meĀnentukan bagaimana mitigasi yang paling efektif yang dapat dilakukan guna melindungi aset-aset tersebut.
C. Penyusunan Dokumen.
Tujuan dari kegiatan ini adalah agar mitigasi risiko sebagai hasil dari kegiatan Kajian Risiko yang telah dilakukan pada tahapan sebelumnya dapat terdokumenĀtasi sehingga dapat diimplemenĀtasikan secara konsisten.
D. Implementasi.
Tujuan dari kegiatan ini adalah mengimplementasikan dokumen-dokumen yang telah disusun seĀbelumnya, sehingga seluruh gap yang telah teridentifikasi pada taĀhap awal dapat tertangani.
E. Internal Audit.
Tujuan dari tahapan ini adalah melakukan internal assessment sehingga dapat diketahui progres implementasi yang sudah dilakuĀkan serta menentukan tindakan perbaikan yang perlu dilakukan.
F. Persiapan Audit Sertifikasi.
Tujuan dari tahapan ini adalah melakukan persiapan secara menĀtal dan teknis untuk menghadapi audit sertifikasi.
G. Audit Sertifikasi.
Tujuan dari kegiatan ini adalah terujinya implementasi sistem manajemen keamanan informasi, baik efektifitasnya maupun kesĀesuaiannya terhadap persyaratan ISO 27001.
Total waktu secara keseluruhan sampai siap diaudit adalah 5 samĀpai 7 bulan.
Saat menangani klien kendala apa saja yang sering bapak temukan, yang hampir rata-rata ada disetiap perusahaan. Padahal mungkin hal itu dapat di-handle oleh perusahaan tersebut sehingga hal itu tidak menjadi bahan temuan?
a. Bagi saya ISO 27001 merupaĀkan salah satu sistem manajemen yg paling berat yang pernah saya implementasikan, dimana secara struktur ada ratusan kontrol yang harus diadopsi dan harus diimpleĀmentasikan.
b. Kita harus melakukan risk asĀsessment, namun risk assessment ini berdasarkan aset dan bukan berdasarkan proses bisnis.
MisalĀnya didalam perusahaan asetnya ada ratusan ribu aset maka bisa dibayangkan berapa banyak daftar risiko yang harus dibuat serta beĀrapa banyak mitigasi yang harus dilakukan. Rata-rata awareness dari sistem manajemen keamanan informasi ini yang masih relatif kurang. Tingkat pengetahuan dari staf-staf IT yang ada terkait denĀgan pengelolaan keamanan untuk perangkat IT dari mulai server, perangkat network, sistem basis data, dan aplikasi. Sehingga ada tiga hal tadi yaitu : Banyaknya control, Risiko berbasis asset, Awareness dan kompetensi
Yang itu memang dikombinasikan menjadi keunikan tersendiri yang mana kerumitannya diatas sistem manajemen lainnya.
Mungkin ada saran dari bapak untuk perusahaan yang saat ini ingin mendapatkan sertifikasi ISO 27001?
Tentunya harus ada komitmen bersama dari manajemen sampai staf yang mana keamanan inforĀmasi ini menjadi visi manajemen atas sampai yang rendah, dan itu harus memiliki kesadaran itu terlebih dahulu. Dimana itu bisa dikatakan sebagai modal dasar diĀmana tanpa itu akan menjadi beĀban. Contohnya, sebelumnya kita sangat bebas men-share inforĀmasi dengan flashdisk dan pada saat implementasi ISO 27001 ini penggunaaan flashdisk dikenĀdalikan, misalnya hanya melalui komputer-komputer tertentu saja.
Untuk pengiriman file-file rahasia via e-mail harus menggunakan password di mana password-nya diberikan melalui media lain, dan masih banyak lagi aturan-aturan yang diberlakukan yang seolah-olah āmembatasiā gerak kita. BuĀkan hanya untuk persiapan menuĀju sertifikasinya saja tetapi hal ini berlaku untuk diimplementasikan sesudah sertifikasi ini didapat.
Dengan kontrol ini sedikit banĀyak akan menyulitkan dan menĀgurangi fleksibilitas. Namun tanpa ada kesadaran untuk memproteksi informasi ini manfaatnya untuk kita semua. Hal ini bertujuan agar kita tidak ingin ada satu karyawan yang dituntut karena dia secara tidak sengaja membocorkan raĀhasia perusahaan tersebut. Begitu kesadaran itu sudah terasa menĀjadi kebutuhan maka akan kesĀananya sudah menjadi lancar. Kesadaran membawa semangat, semangat membawa komitmen. Jadi hal-hal yang bersifat teknis itu akan terasa mudah bila semua personil dari perusahaan tersebut sudah memiliki komitmen yang kuat.
Kalau ada perusahan yang hanya mengejar karena permintaan dari klien saja tanpa ada komitmen dari masing-masing personil. Itu akan sangat sangat terasa sulit. MungĀkin sampai sertifikasi bisa, tetapi mempertahankan sertifikasi itu di tiap tahunnya akan terasa berat.
Pernah tidak bapak merasa bosan dengan pekerjaan bapak saat ini?
Sampai saat ini saya sangat enjoy menjalani pekerjaan saya, karena setiap pekerjaan dalam proses ISO 27001 ini memiliki tantangan berbeda di tiap perusahaan.. KeĀmudian ISO 27001 ini sudah ada revisi yang terbarunya. Secara beban memang berat tapi tidak membuat saya jenuh. Saya menganggap ini menjadi suatu tantangan.
*Chairman Proxsis Strategic & ITĀ Group Ā