Kebijakan mobile device – teleworking ISO 27001 adalah salah kebijakan yang wajib kita buat. untuk itu kita akan membahas bagaimana membuat kebijakan keamanan informasi terkait mobile device dan teleworking sesuai dengan bagian kedua dari pengendalian yang kita temui di annex 6 ISO 27001:2013. Yang perlu kita pahami bahwa kebijakan pada level pengendalian ini tidak ada aturan yang menjadi mandatori. Kebijakan kita buat dengan penyesuaian pada kondisi yang ada di perusahaan.
oh ya artikel kebijakan mobile device dan teleworking ISO 27001 ini adalah bagian dari artikel annex 5 ISO 27001:2013 yang berisi kewajiban membuat kebijakan keamanan informasi ISO 27001:2013. Artikel ini menjadi artikel pembuka tentang penjelasan 17 kebijakan yang wajib kita buat dalam persyaratan annex ISO 27001:2013
Kebijakan mobile device
Perangkat bergerak (mobile device) adalah istilah umum untuk semua jenis komputer yang dapat digenggam. Perangkat ini dirancang untuk mudah dibawa kemanapun (portabel) dan dapat digenggam dengan tangan. Beberapa jenis perangkat mobile seperti tablet, e-reader (alat baca buku elektronik), dan smartphone sudah sangat mampu mengerjakan tugas-tugas yang umumnya dikerjakan di laptop atau komputer desktop
Bagaimana membuat kebijakan mobile device yang menjadi bagian dari persyaratan kebijakan mobile device teleworking ISO 27001?
Sebagai contoh untuk perangkat bergerak / mobile device. Seberapa banyak perangkat berangkat yang anda miliki? seberapa banyak variasi perangkat yang kita miliki? Dan yang paling utama adalah seberapa besar risiko dari perangkat yang kita miliki. Sesuai dengan konteks kita harus memahami bahwa annex adalah metode pengendalian yang menjadi saran dalam meningkatkan keamanan informasi maka kita perlu melakukan beberapa hal terkait risiko keamanan informasi yang timbul.
Mari kita pahami bagaimana membuat kebijakan mobile device teleworking ISO 27001 secara satu per satu
Membuat Kebijakan mobile device
- Anda perlu mengidentifikasi perangkat bergerak apa saja yang karyawan bawa dan yang mana yang harus kita atur
Pada konteks ini bisa jadi smartphone tidak perlu anda atur, akan tetap ketika memasuki area tertentu (misal : area server) maka mungkin anda perlu mengatur kebijakan untuk smartphone saat di ruang server - Mengindentifikasi risiko yang muncul pada perangkat bergerak anda
misal; laptop / notebook, Setidaknya kita bisa mengindentifikasi risiko-risiko berikut
– kerusakan karena jatuh
– kehilangan / pencurian
– penyalinan data akibat akses orang yang tidak berwenang
– terkena virus hingga menyebabkan data hilang
– dan lainnya - Mengidentifikasi aturan main / kebijakan agar risiko yang tadi bisa kita turunkan
misal : penggunaan password, larangan memberi akses / meminjamkan akses ke laptop dll sesuai kebutuhan atas risiko yang anda identifikasi
Dengan cara tersebut anda bisa menentukan kebijakan terkait perangkat bergerak mobile device sesuai dengan pengendalian yang ada pada annex ISO 27001:2013. Ada beberapa hal yang dapat saya sarankan ketika membuat kebijakan
- Anda boleh memilih kebijakan yang sangat spesifik tapi saya selalu menyarankan anda membuat kebijakan secara umum. Bila anda ingin membuat yang spesifik, coba buat aturan mainnya dalam dokumen SOP anda
- Kita juga bisa membuat kebijakan dengan bahasa yang panjang namun tentunya akan menimbulkan intrepretasi yang beragam. Sehingga usahakan menggunakan kalimat yang lugas dan sederhana
- Semakin banyak anda membahas suatu hal di sebuah kebijakan akan semakin sulit dalam pembuktian dokumentasi dan implementasi. KISS, Keep It Simple Stupid
- bahkan kebijakan one liner alias cuma satu kalimat tidak akan menjadi masalah. Jadi buat yang sederhana aja selama bisa mengatasi risiko yang timbul dari perangkat bergerak yang anda miliki
Kebijakan mobile device teleworking ISO 27001 ini dapat anda jadikan dalam satu dokumen bersama dengan kebijakan wajib lainnya yang harus kita buat berdasarkan persyaratan dari annex ISO 27001:2013
Kebijakan teleworking
Teleworking adalah bekerja jarak jauh dan merupakan salah satu pilihan metode kerja yang melibatkan teknologi untuk menyelesaikan suatu pekerjaan dari jarak jauh. Kategori teleworking – work from home sendiri terdiri atas tiga jenis yaitu home-based working, mobile working dan satellite office
Dengan konteks tersebut maka perlu bagi kita untuk melakukan berbagai hal pengendalian keamanan informasi terkait dengan risiko yang muncul dalam pelaksanaan teleworking. Mari mengambil contoh pelaksanaan teleworking dengan metode home-based working yang sering kita sebut dengan work from home.
Kita bisa tahu apa yang terjadi atau setidaknya membayangkan apa yang terjadi pada aktivitas work from home. Secara umum akan sama dengan kondisi pada pekerjaan di kantor. bedanya adalah di lokasi dan teknologi yang kita gunakan. Oh ya di kantor kita bisa menerapkan annex 11 tentang keamanan fisik dan lingkungan akan tetapi bila bekerja di rumah ini sulit diterapkan. Sehingga kita bisa menganalis seperti berikut
- penggunaan laptop. Ini akan ada risiko karena data laptop bisa diakses oleh orang lain atau malah rusak krn digunakan bukan untuk bekerja
- korespondesi menggunakan email, bila anda di kantor maka ada kemungkinan email server di lokasi kantor dengan keamanan jaringan yang baik akan tetap bila anda di rumah maka terdapat kemungkinan penyadapan
- Proses meeting / rapat menggunakan aplikasi tertentu sehingga ada risiko keamanan informasi
- apalagi yah? sepertinya 3 contoh sudah cukup
Membuat kebijakan teleworking
kondisi 1 membuat kita harus menetapkan aturan atau kebijakan terkait penggunaan laptop. Coba lihat di atas bahwa kita punya kebijakan tentang penggunaan laptop. Berikutnya adalah kondisi 2 terkait email. Disini tentunya anda harus memastikan secure login dan secure data di server email dan kemudian membuat kebijakan tertentu untuk penggunaan email. Sedangkan pada proses meeting kita bisa memilih 1 aplikasi yang paling kita anggap aman sehingga dapat kita buat dalam sebuah kebijakan. Begitu juga dengan komunikasi – komunikasi yang biasa kita lakukan sehingga yang melaksanakan pertukaran data dan informasi
Dengan kondisi di atas maka setidaknya kita bisa membuat 2 point kebijakan untuk pelaksanaan teleworking ini yaitu
a. kebijakan tentang penggunaan email, contoh ; “semua karyawan harus menggunakan email perusahaan pada alamat url yang telah ditentukan serta memastikan terdapat ssl pada alamat url tsb”
b. kebijakan meeting online, contoh : “pelaksanaan meeting online dilakukan pada aplikasi yang ditentukan oleh perusahaan dengan memastikan kehadiran dan absensi peserta meeting
Sehingga kebijakan mobile device teleworking ISO 27001 yang kita buat akan sesuai dengan kondisi yang ada dalam perusahaan
Penutup
Metode untuk membuat kebijakan akan selalu sama dengan urutan berikut
- Pertama kita identifikasi dulu apa saja yang ada di sekitar kita
- lalu kita identifikasi risiko yang timbul dari apa yang kita miliki
- lalu membuat kebijakan sederhana untuk memastikan risiko yang teridentifikasi
- kemudian melakukan evaluasi terhadap kebijakan itu setiap periode tertentu agar tetap sesuai dengan risiko yang berjalan
Dengan demikian kebijakan mobile device teleworking ISO 27001 yang kita buat dapat segera kita implementasikan tanpa ada hambatan berarti
Silahkan baca2 lagi tentang ISO 27001:2013 di blog ini untuk mempelajari semuanya. Bila anda kesulitan silahkan menghubungi kami untuk bicara sesi konsultasi
disclaimer : tulisan ini adalah tulisan ulang dari https://tripconsultant.blogspot.com/2021/01/annex-6-iso-270012013-organisasi.html dengan beberapa penambahan seperlunya
Pingback: Kebijakan Keamanan Informasi - TRiP CONSULTANT