Industri 4.0, digitalisasi, dan kecerdasan buatan: sulit membayangkan kehidupan kerja sehari-hari tanpa arus data digital. Tidak peduli seberapa kecil atau besar perusahaan Anda, di industri apa perusahaan itu berada, atau apakah perusahaan itu beroperasi secara internasional atau tidak, topik keamanan informasi menjadi perhatian semua orang. Oleh karena itu, usaha kecil dan menengah (UKM), khususnya, harus melihat revisi standar internasional untuk sistem manajemen keamanan informasi ISO 27001 mulai tahun 2022 sebagai sebuah peluang.
ISI
- Keamanan informasi untuk UKM
- Memulai dengan keamanan informasi: ISO 27001 untuk bisnis kecils
- Keamanan TI yang lebih baik untuk UKM berkat kontrol baru
- NIS2: Mengapa UKM perlu memperkuat keamanan dunia maya mereka
- Keamanan informasi untuk UKM - Kesimpulan
- Di tangan yang tepat dengan DQS
- Kiat membaca: Informasi terdokumentasi
Keamanan informasi untuk UKM
Waktu telah berubah - begitu juga dengan persyaratan keamanan dunia maya untuk UKM. Banyak UKM yang berkembang pesat dan sering kali menjadi pemimpin pasar di sektornya. Oleh karena itu, mereka memiliki kebutuhan yang tinggi untuk melindungi pengetahuan dan rahasia bisnis mereka yang biasanya unik - tetapi pada prinsipnya, semua data dan informasi mereka - dari akses yang tidak sah.
Namun, karena sumber daya yang terbatas, UKM jarang memiliki sarana yang diperlukan untuk keamanan informasi tanpa batas di tingkat perusahaan - bahkan jika mereka sadar akan risiko keamanan dalam gambaran keseluruhan teknologi informasi dan keamanan data. Kurangnya tenaga ahli di sektor TI dan biaya yang sangat besar untuk mengoperasikan Pusat Operasi Keamanan (SOC) mereka sendiri hanyalah dua dari sekian banyak masalah yang menghalangi UKM untuk mengoptimalkan keamanan siber mereka.
Hal ini menjadi semakin bermasalah karena UKM menghadapi serangan yang meningkat dari penjahat siber, tidak terkecuali karena situasi geopolitik yang tegang dan meningkatnya serangan rantai pasokan. Spektrumnya berkisar dari ransomware yang dikirim secara massal hingga serangan profesional yang ditargetkan terhadap perusahaan-perusahaan individual. Para penyerang juga semakin sering menggunakan layanan cloud sebagai vektor, yang sering digunakan oleh UKM karena alasan biaya dan efisiensi.
Sebuah survei yang dilakukan oleh perusahaan asuransi Jerman HDI Versicherungen pada tahun 2024 mengungkapkan bahwa 53% perusahaan kecil dan menengah telah menjadi target serangan siber. Namun, angka ini tidak mencerminkan keseluruhan serangan, tetapi hanya mendokumentasikan insiden yang diakui oleh perusahaan secara terbuka.
Sebuah perusahaan dianggap sebagai UKM (usaha kecil dan menengah) jika memiliki tidak lebih dari 249 karyawan dan menghasilkan omset tahunan tidak lebih dari 50 juta euro atau memiliki total neraca tidak lebih dari 43 juta euro. Ini adalah definisi dari Komisi Eropa pada tanggal 6 Mei 2003.
Kesan ini dikonfirmasi oleh "Studi UKM Gothaer 2024" dari Jerman, yang menyatakan bahwa kejahatan dunia maya merupakan risiko tertinggi bagi 48% UKM. Menurut studi tersebut, 37% perusahaan kecil juga memperkirakan risiko menjadi korban serangan siber akan semakin meningkat dalam dua belas bulan ke depan. Ini tidak termasuk risiko keamanan informasi yang sama sekali tidak berasal dari jaringan, tetapi bersifat internal, sebagian besar bersifat pribadi, dan memainkan peran penting dalam konteks keamanan informasi yang komprehensif.
ISO 27001 untuk bisnis kecil
Sebagai petugas keamanan informasi (ISO) dan petugas perlindungan data dari perusahaan kecil atau menengah, Anda hampir tidak punya pilihan saat ini: Anda harus memastikan keamanan data dan informasi sensitif. Ini bukan hanya tentang keamanan teknologi informasi. Langkah-langkah struktural, prosedur dan proses organisasi, serta persyaratan personil, juga harus dipertimbangkan. Faktor manusia juga memainkan peran sentral dalam keamanan informasi dan harus diperhitungkan.
Standar emas untuk keamanan informasi yang sistematis adalah standar internasional ISO/IEC 27001. Standar ini memberikan dasar pengujian dan panduan yang mapan untuk menerapkan sistem manajemen keamanan informasi (SMKI) - untuk perusahaan tanpa memandang struktur, orientasi, atau ukuran organisasinya. Lampiran A dari ISO/IEC 27001:2022 yang baru, yang dalam bentuknya yang telah diperbarui membahas semua aspek keamanan informasi - mulai dari tindakan organisasi hingga tindakan pribadi dan fisik hingga tindakan keamanan teknis- menawarkan pengenalan yang baik untuk perusahaan kecil.
ISO 27001:2022
44 user questions and expert answers
"Yang baru" untuk keamanan informasi: Rincian yang berguna tentang ISO 27001 yang direvisi dari para pengguna dan ahli standar:
- Apa saja yang ada di dalam kontrol yang baru?
- Apa yang perlu dipertimbangkan sehubungan dengan orientasi proses?
- Kapan sebaiknya kita beralih ke standar yang baru?
- ... dan masih banyak lagi
Keamanan TI yang lebih baik untuk UKM berkat kontrol baru
Sifat pragmatis dari Lampiran A sendiri membuat ISO 27001 menjadi pilihan yang baik untuk perusahaan kecil. Ini terdiri dari total 93 langkah keamanan informasi (kontrol), 11 di antaranya baru diperkenalkan pada pembaruan terakhir pada tahun 2022.
Kontrol baru ini terutama berfokus pada keamanan data dan struktur dalam domain digital dan dengan demikian menawarkan panduan berharga yang dapat meningkatkan keamanan informasi secara signifikan untuk UKM. Berikut ini adalah ikhtisar dari beberapa fitur baru dan bagaimana perusahaan kecil dapat mengambil manfaat darinya:
- 5.7 Intelijen ancaman, 8.16 Pemantauan aktivitas, 8.23 Penyaringan web
Kontrol-kontrol untuk deteksi, pencegahan, dan pengenalan serangan siber secara tepat waktu ini bisa jadi sangat penting bagi UKM dalam hal keamanan dan manajemen kelangsungan bisnis. Perusahaan kecil tidak hanya rentan terhadap kejahatan siber karena sumber daya mereka yang terbatas, tetapi juga dapat dengan cepat mencapai titik kebangkrutan umum jika terjadi ransomware.
- 5.23 Keamanan informasi untuk penggunaan layanan cloud
Karena UKM sering menggunakan layanan cloud eksternal, maka menerapkan proses yang sesuai untuk memperoleh, menggunakan, mengelola, dan keluar dari layanan cloud sangat relevan. Langkah ini juga mempertimbangkan tanggung jawab antara penyedia layanan cloud dan organisasi pengguna cloud untuk keamanan cloud yang sesuai.
- 5.30 Kesiapan TIK untuk kelangsungan bisnis
Kelangsungan bisnis juga penting bagi perusahaan kecil sebagai bagian dari rantai pasokan yang terkadang sangat terintegrasi dan untuk meminimalkan kerugian finansial. Kontrol "Kesiapan TIK untuk Kesinambungan Bisnis" membantu menciptakan struktur organisasi yang tepat jika terjadi insiden dan rencana kesinambungan TIK, termasuk prosedur respons dan pemulihan.
- 8.9 Manajemen konfigurasi
Kinerja tinggi dan operasi yang aman dari lanskap TI modern sangat bergantung pada konfigurasi yang tepat dari semua sistem, komponen, dan aplikasi yang terlibat. Hal yang baik untuk keamanan TI perusahaan kecil: Setelah dikonfigurasi, proses pemantauan dapat diimplementasikan secara otomatis untuk sebagian besar, sehingga hampir tidak menimbulkan biaya personel tambahan. Manajemen konfigurasi yang aman dalam teknologi informasi masuk ke dalam area tindakan teknologi atau teknis.
- 8.10 Penghapusan informasi, 8.11 Penyembunyian data, 8.12 Pencegahan kebocoran data
UKM sering kali menciptakan ceruk bagi diri mereka sendiri di pasar melalui keahlian mereka yang unik. Pengetahuan khusus ini merupakan kunci kesuksesan mereka dan karenanya patut dilindungi. Langkah-langkah teknis dalam keamanan informasi membantu perusahaan menghindari keluarnya data yang tidak diinginkan dan kehilangan data serta meminimalkan permukaan serangan bagi peretas dan spionase industri.
Kontrol dalam Lampiran A ISO 27001 sangat bermanfaat bagi UKM, terutama mengingat arahan NIS 2 yang akan datang untuk keamanan siber industri di UE.
NIS2: Mengapa UKM perlu memperkuat keamanan informasi mereka
Uni Eropa menerbitkan versi baru Petunjuk Keamanan Jaringan dan Informasi (NIS) pada akhir tahun 2022. NIS2 menempatkan persyaratan keamanan informasi baru pada perusahaan di sektor-sektor penting dan juga akan memengaruhi banyak UKM terkait perlindungan data dan struktur TI.
Menurut arahan NIS2, perusahaan dengan 50 karyawan atau lebih dan omset 10 juta euro dari sektor yang relevan harus memenuhi persyaratan. UKM adalah perusahaan dengan hingga 249 karyawan dan omset 50 juta euro, sehingga mereka terkena dampak langsung. Namun, penting untuk disadari bahwa perusahaan yang lebih kecil pun dapat terkena dampak tidak langsung dari NIS2 melalui rantai pasokan, misalnya sebagai pemasok ke perusahaan yang terkena dampak. Dalam implementasi khusus di Indonesia, yang akan mulai berlaku pada 17 Oktober 2024, batas-batas ini juga dapat digeser lebih jauh ke bawah.
UKM tidak memiliki banyak waktu tersisa untuk mempersiapkan diri menghadapi persyaratan baru ini. Kabar baiknya: dengan ISO 27001, perusahaan kecil bisa mengambil langkah besar ke arah yang benar, karena standar ini sudah mencakup sebagian besar (sekitar 95%) persyaratan NIS 2.
Keamanan informasi untuk UKM - Kesimpulan
Mengingat skenario ancaman saat ini, usaha kecil dan menengah (UKM), administrasi publik, dan otoritas lokal juga harus menerapkan sistem manajemen keamanan informasi sesuai dengan standar ISO 27001 yang diakui secara internasional dan mempertimbangkan sertifikasi. Keuntungan dari sistem manajemen yang efektif tidak hanya terletak pada katalog persyaratan yang komprehensif dan mendalam, tetapi juga - dan ini sangat menarik bagi UKM - pada Lampiran A yang secara eksplisit berorientasi pada praktik, yang mencantumkan 93 tindakan keamanan (kontrol) di empat bab dalam edisi baru tahun 2022.
Mengenai keamanan informasi untuk UKM, tidak hanya kebutuhan untuk menerapkan dan mengesahkan SMKI yang lengkap sesuai dengan ISO 27001 yang meningkat - lihat saja NIS-2 - tetapi persyaratan struktural juga telah berubah secara mendasar dalam beberapa kasus. Hal ini dikarenakan saat ini, banyak UKM yang telah memiliki sistem manajemen mutu bersertifikat sesuai dengan ISO 9001, yang berarti bahwa dasar-dasar untuk sistem manajemen terintegrasi bersama dengan ISO 27001 telah tersedia, sehingga dapat menghemat waktu, tenaga dan biaya. Oleh karena itu, ISO 27001 untuk perusahaan kecil dapat dijangkau.
Di tangan yang tepat dengan DQS
Audit sertifikasi kami memberi Anda kejelasan. Pandangan eksternal yang holistik dan netral terhadap orang, proses, sistem, dan hasil menunjukkan seberapa efektif sistem manajemen Anda dan bagaimana sistem tersebut diimplementasikan dan dikendalikan. Penting bagi kami agar Anda menganggap audit kami bukan sebagai pemeriksaan, tetapi sebagai pengayaan untuk sistem manajemen Anda.
Pendekatan kami selalu dimulai dari daftar periksa audit. Kami secara khusus menanyakan "mengapa" karena kami ingin memahami alasan mengapa Anda memilih cara implementasi tertentu. Kami fokus pada potensi perbaikan dan mendorong perubahan perspektif. Pendekatan menyeluruh ini memastikan Anda akan mengidentifikasi area yang dapat ditindaklanjuti untuk peningkatan berkelanjutan dalam sistem manajemen Anda.
Kiat membaca: Informasi terdokumentasi
Kecepatan penyebaran dan pemrosesan informasi merupakan tantangan utama dalam organisasi saat ini. Keragaman informasi membuat semakin sulit untuk mengidentifikasi informasi penting yang relevan bagi organisasi dan sistem manajemennya.
Pada saat yang sama, penggunaan sarana komunikasi modern untuk mengendalikan informasi terdokumentasi memunculkan aspek-aspek yang sama sekali baru. Oleh karena itu, ketersediaan, integritas, dan kerahasiaan menjadi semakin penting. Namun, seiring dengan meningkatnya tingkat ketersediaan, keamanan informasi akan menurun kecuali jika tindakan perlindungan yang tepat diambil.
Kepercayaan dan keahlian
Teks dan brosur kami ditulis secara eksklusif oleh para ahli standar kami atau auditor yang sudah lama bekerja. Jika Anda memiliki pertanyaan tentang konten teks atau layanan kami kepada penulis kami, silakan hubungi kami.
Buletin DQS
André Saeckel
Manajer produk di DQS untuk manajemen keamanan informasi. Sebagai pakar standar untuk bidang keamanan informasi dan katalog keamanan TI (infrastruktur kritis), André Säckel bertanggung jawab atas standar berikut dan standar khusus industri, antara lain: ISO 27001, ISIS12, ISO 20000-1, KRITIS dan TISAX ( keamanan informasi di industri otomotif). Ia juga anggota kelompok kerja ISO/IEC JTC 1/SC 27/WG 1 sebagai delegasi nasional Institut Jerman untuk Standardisasi DIN.