Industri 4.0, digitalisasi, dan kecerdasan buatan: sulit membayangkan kehidupan kerja sehari-hari tanpa arus data digital. Tidak peduli seberapa kecil atau besar perusahaan Anda, di industri apa perusahaan itu berada, atau apakah perusahaan itu beroperasi secara internasional atau tidak, topik keamanan informasi menjadi perhatian semua orang. Oleh karena itu, usaha kecil dan menengah (UKM), khususnya, harus melihat revisi standar internasional untuk sistem manajemen keamanan informasiĀ ISO 27001Ā mulai tahun 2022 sebagai sebuah peluang.
ISI
- Keamanan informasi untuk UKM
- Memulai dengan keamanan informasi: ISO 27001 untuk bisnis kecils
- Keamanan TI yang lebih baik untuk UKM berkat kontrol baru
- NIS2: Mengapa UKM perlu memperkuat keamanan dunia maya mereka
- Keamanan informasi untuk UKM – Kesimpulan
- Di tangan yang tepat dengan DQS
- Kiat membaca: Informasi terdokumentasi
Keamanan informasi untuk UKM
Waktu telah berubah – begitu juga dengan persyaratan keamanan dunia maya untuk UKM. Banyak UKM yang berkembang pesat dan sering kali menjadi pemimpin pasar di sektornya. Oleh karena itu, mereka memiliki kebutuhan yang tinggi untuk melindungi pengetahuan dan rahasia bisnis mereka yang biasanya unik – tetapi pada prinsipnya, semua data dan informasi mereka – dari akses yang tidak sah.
Namun, karena sumber daya yang terbatas, UKM jarang memiliki sarana yang diperlukan untukĀ keamanan informasiĀ tanpa batas di tingkat perusahaan – bahkan jika mereka sadar akan risiko keamanan dalam gambaran keseluruhan teknologi informasi dan keamanan data. Kurangnya tenaga ahli di sektor TI dan biaya yang sangat besar untuk mengoperasikan Pusat Operasi Keamanan (SOC) mereka sendiri hanyalah dua dari sekian banyak masalah yang menghalangi UKM untuk mengoptimalkan keamanan siber mereka.
Hal ini menjadi semakin bermasalah karena UKM menghadapi serangan yang meningkat dari penjahat siber, tidak terkecuali karena situasi geopolitik yang tegang dan meningkatnya serangan rantai pasokan. Spektrumnya berkisar dari ransomware yang dikirim secara massal hingga serangan profesional yang ditargetkan terhadap perusahaan-perusahaan individual. Para penyerang juga semakin sering menggunakan layanan cloud sebagai vektor, yang sering digunakan oleh UKM karena alasan biaya dan efisiensi.
Sebuah survei yang dilakukan oleh perusahaan asuransi JermanĀ HDI VersicherungenĀ pada tahun 2024 mengungkapkan bahwa 53% perusahaan kecil dan menengah telah menjadi target serangan siber. Namun, angka ini tidak mencerminkan keseluruhan serangan, tetapi hanya mendokumentasikan insiden yang diakui oleh perusahaan secara terbuka.
Kesan ini dikonfirmasi oleh “Studi UKM Gothaer 2024” dari Jerman, yang menyatakan bahwa kejahatan dunia maya merupakan risiko tertinggi bagi 48% UKM. Menurut studi tersebut, 37% perusahaan kecil juga memperkirakan risiko menjadi korban serangan siber akan semakin meningkat dalam dua belas bulan ke depan. Ini tidak termasuk risiko keamanan informasi yang sama sekali tidak berasal dari jaringan, tetapi bersifat internal, sebagian besar bersifat pribadi, dan memainkan peran penting dalam konteks keamanan informasi yang komprehensif.
ISO 27001 untuk bisnis kecil
Sebagai petugas keamanan informasi (ISO) dan petugas perlindungan data dari perusahaan kecil atau menengah, Anda hampir tidak punya pilihan saat ini: Anda harus memastikan keamanan data dan informasi sensitif. Ini bukan hanya tentang keamanan teknologi informasi. Langkah-langkah struktural, prosedur dan proses organisasi, serta persyaratan personil, juga harus dipertimbangkan. Faktor manusia juga memainkan peran sentral dalam keamanan informasi dan harus diperhitungkan.
Standar emas untuk keamanan informasi yang sistematis adalah standar internasionalĀ ISO/IEC 27001. Standar ini memberikan dasar pengujian dan panduan yang mapan untuk menerapkan sistem manajemen keamanan informasi (SMKI) – untuk perusahaan tanpa memandang struktur, orientasi, atau ukuran organisasinya. Lampiran A dariĀ ISO/IEC 27001:2022 yang baru, yang dalam bentuknya yang telah diperbarui membahas semua aspek keamanan informasi – mulai dari tindakan organisasi hingga tindakan pribadi dan fisik hinggaĀ tindakan keamanan teknis– menawarkan pengenalan yang baik untuk perusahaan kecil.
"Sebuah perusahaan dianggap sebagai UKM (usaha kecil dan menengah) jika memiliki tidak lebih dari 249 karyawan dan menghasilkan omset tahunan tidak lebih dari 50 juta euro atau memiliki total neraca tidak lebih dari 43 juta euro. Ini adalah definisi dari Komisi Eropa pada tanggal 6 Mei 2003."
Keamanan TI yang lebih baik untuk UKM berkat kontrol baru
Sifat pragmatis dari Lampiran A sendiri membuat ISO 27001 menjadi pilihan yang baik untuk perusahaan kecil. Ini terdiri dari total 93 langkah keamanan informasi (kontrol), 11 di antaranya baru diperkenalkan pada pembaruan terakhir pada tahun 2022.
Kontrol baru ini terutama berfokus pada keamanan data dan struktur dalam domain digital dan dengan demikian menawarkan panduan berharga yang dapat meningkatkan keamanan informasi secara signifikan untuk UKM. Berikut ini adalah ikhtisar dari beberapa fitur baru dan bagaimana perusahaan kecil dapat mengambil manfaat darinya:
- 5.7 Intelijen ancaman, 8.16 Pemantauan aktivitas, 8.23 Penyaringan web
Kontrol-kontrol untukĀ deteksi, pencegahan, dan pengenalan serangan siber secara tepat waktu ini bisa jadi sangat penting bagi UKM dalam hal keamanan danĀ manajemen kelangsungan bisnis. Perusahaan kecil tidak hanya rentan terhadap kejahatan siber karena sumber daya mereka yang terbatas, tetapi juga dapat dengan cepat mencapai titik kebangkrutan umum jika terjadi ransomware.
- 5.23 Keamanan informasi untuk penggunaan layanan cloud
Karena UKM sering menggunakan layanan cloud eksternal, maka menerapkan proses yang sesuai untuk memperoleh, menggunakan, mengelola, dan keluar dari layanan cloud sangat relevan. Langkah ini juga mempertimbangkan tanggung jawab antara penyedia layanan cloud dan organisasi pengguna cloud untukĀ keamanan cloudĀ yang sesuai.
- 5.30 Kesiapan TIK untuk kelangsungan bisnis
Kelangsungan bisnis juga penting bagi perusahaan kecil sebagai bagian dari rantai pasokan yang terkadang sangat terintegrasi dan untuk meminimalkan kerugian finansial. Kontrol “Kesiapan TIK untuk Kesinambungan Bisnis” membantu menciptakan struktur organisasi yang tepat jika terjadi insiden dan rencana kesinambungan TIK, termasuk prosedur respons dan pemulihan.
- 8.9 Manajemen konfigurasi
Kinerja tinggi dan operasi yang aman dari lanskap TI modern sangat bergantung pada konfigurasi yang tepat dari semua sistem, komponen, dan aplikasi yang terlibat. Hal yang baik untuk keamanan TI perusahaan kecil: Setelah dikonfigurasi, proses pemantauan dapat diimplementasikan secara otomatis untuk sebagian besar, sehingga hampir tidak menimbulkan biaya personel tambahan.Ā Manajemen konfigurasiĀ yang aman dalam teknologi informasi masuk ke dalam area tindakan teknologi atau teknis.
- 8.10 Penghapusan informasi, 8.11 Penyembunyian data, 8.12 Pencegahan kebocoran data
UKM sering kali menciptakan ceruk bagi diri mereka sendiri di pasar melalui keahlian mereka yang unik. Pengetahuan khusus ini merupakan kunci kesuksesan mereka dan karenanya patut dilindungi.Ā Langkah-langkah teknis dalam keamanan informasiĀ membantu perusahaan menghindari keluarnya data yang tidak diinginkan dan kehilangan data serta meminimalkan permukaan serangan bagi peretas dan spionase industri.
Kontrol dalam Lampiran A ISO 27001 sangat bermanfaat bagi UKM, terutama mengingat arahan NIS 2 yang akan datang untuk keamanan siber industri di UE.
NIS2: Mengapa UKM perlu memperkuat keamanan informasi mereka
Uni Eropa menerbitkan versi baru Petunjuk Keamanan Jaringan dan Informasi (NIS) pada akhir tahun 2022. NIS2 menempatkan persyaratan keamanan informasi baru pada perusahaan di sektor-sektor penting dan juga akan memengaruhi banyak UKM terkait perlindungan data dan struktur TI.
Menurut arahan NIS2, perusahaan dengan 50 karyawan atau lebih dan omset 10 juta euro dari sektor yang relevan harus memenuhi persyaratan. UKM adalah perusahaan dengan hingga 249 karyawan dan omset 50 juta euro, sehingga mereka terkena dampak langsung. Namun, penting untuk disadari bahwa perusahaan yang lebih kecil pun dapat terkena dampak tidak langsung dari NIS2 melalui rantai pasokan, misalnya sebagai pemasok ke perusahaan yang terkena dampak. Dalam implementasi khusus di Indonesia, yang akan mulai berlaku pada 17 Oktober 2024, batas-batas ini juga dapat digeser lebih jauh ke bawah.
UKM tidak memiliki banyak waktu tersisa untuk mempersiapkan diri menghadapi persyaratan baru ini. Kabar baiknya: dengan ISO 27001, perusahaan kecil bisa mengambil langkah besar ke arah yang benar, karena standar ini sudah mencakup sebagian besar (sekitar 95%) persyaratan NIS 2.
Keamanan informasi untuk UKM – Kesimpulan
Mengingat skenario ancaman saat ini, usaha kecil dan menengah (UKM), administrasi publik, dan otoritas lokal juga harus menerapkan sistem manajemen keamanan informasi sesuai dengan standarĀ ISO 27001Ā yang diakui secara internasional dan mempertimbangkanĀ sertifikasi. Keuntungan dariĀ sistem manajemenĀ yang efektif tidak hanya terletak pada katalog persyaratan yang komprehensif dan mendalam, tetapi juga – dan ini sangat menarik bagi UKM – pada Lampiran A yang secara eksplisit berorientasi pada praktik, yang mencantumkan 93 tindakan keamanan (kontrol) di empat bab dalam edisi baru tahun 2022.
What do you think?
The successful financing close is an acknowledgment of the project’s potential to positively impact the environment and contribute to a sustainable future. The support of investors and stakeholders is a resounding endorsement of the company’s vision and dedication to creating a better future for generations to come.