Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Keamanan siber terus berkembang. Organisasi harus membangun program manajemen risiko informasi dan keamanan (information risk management and security/IRMS) yang efektif dan dapat dipertahankan. Bisnis kini menghadapi peraturan yang lebih ketat dan audit eksternal. Agar organisasi bisa bertahan dalam tinjauan, bahkan setelah insiden keamanan, ada lima langkah utama yang perlu diperhatikan:

  1. Selaraskan dengan Profil Risiko Organisasi
    Buat profil risiko informasi yang jelas. Dokumentasikan risiko yang dapat diterima dan yang tidak, sesuai dengan kemampuan bisnis dalam mengambil risiko. Program IRMS yang baik menunjukkan kemajuan menuju tujuan keamanan dan memiliki rencana perbaikan yang jelas.
  2. Manfaatkan Analisis Ancaman dan Kerentanannya
    Lakukan penilaian rutin terhadap ancaman dan kerentanannya. Pastikan kontrol yang diterapkan mengatasi risiko yang paling mungkin terjadi. Analisis berbasis data akan mendukung keputusan keamanan dan mempermudah pertahanan saat diaudit.
  3. Patuh pada Standar Industri dan Regulasi
    Bandingkan kontrol keamanan Anda dengan standar yang diakui seperti ISO 2700x, NIST, atau pedoman industri seperti PCI DSS. Dengan mengikuti standar ini, Anda menunjukkan pendekatan yang matang dan dapat dipertahankan dalam mengelola risiko informasi.
  4. Tetap Terinformasi tentang Peraturan dan Tindakan Hukum
    Ikuti perkembangan hukum dan peraturan terkait keamanan informasi. Mengetahui keputusan badan seperti FTC dan SEC akan memberi panduan tentang harapan terkini dalam praktik keamanan, sehingga Anda lebih siap menghadapinya.
  5. Uji dan Tingkatkan Keamanan Secara Rutin
    Gunakan alat untuk menguji efektivitas kontrol keamanan secara berkala. Simulasikan serangan dan evaluasi respons untuk memastikan pertahanan Anda tetap kuat seiring berkembangnya ancaman.

Kesimpulannya, untuk membangun program keamanan informasi yang dapat dipertahankan, penting untuk tidak hanya memenuhi standar industri. Perlu juga dilakukan upaya berkelanjutan dalam melindungi data dan sistem. Penilaian rutin, kepatuhan terhadap pedoman, dan perbaikan terus-menerus akan membantu organisasi Anda menghadapi audit dan peraturan dengan percaya diri.

Artikel ini telah diterbitkan oleh ISACA, dengan judul A More Active Approach to Investment Risk Management. Artikel selengkapnya dapat dibaca di sini.