Month: July 2021

Seperti yang sudah teman-teman tahu, dan pernah kita bahas di artikel sebelumnya mengenai ISO 27001, ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen keamanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS) yang memiliki keuntungan untuk dapat melindungi dan memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada perusahaan kita.

Beberapa perusahaan di Alterra sudah berkali-kali mengikuti training ISO 27001 dan sudah memiliki standar manajemen keamanan informasi sesuai dengan ISO 27001. Tapi, usaha untuk melindungi dan memelihara kerahasiaan dan keamanan informasi tidak hanya sampai situ saja, setelah perusahaan melakukan audit sertifikasi ISO 27001, tahap selanjutnya perusahaan juga harus melakukan pengecekan secara berkala terhadap sistem maupun dokumen yang sudah lolos sertifikasi setiap tahunnya selama 3 tahun kedepan. 

Untuk apa sih gunanya?

Guna surveillance adalah untuk mengetahui apakah sistem manajemen perusahaan benar-benar berfungsi dalam operasi sehari-hari, atau tidak. Ini akan fokus pada hal-hal yang tidak diperiksa saat audit sertifikasi: misalnya, apakah semua insiden dicatat, apakah semua pengukuran sudah dilakukan, apakah semua tindakan korektif dan pencegahan dicatat dan diterapkan dengan benar, apakah manajemen puncak atau direktur perusahaan benar-benar mendukung dan peduli tentang sistem, dan lain sebagainya.

Surveillance juga akan fokus pada masalah yang diidentifikasi sebagai kelemahan dalam audit sertifikasi atau surveillance sebelumnya – ketidaksesuaian kecil, serta area di mana auditor telah melakukan beberapa pengamatan.

Intinya adalah, selama surveillance, auditor sertifikasi akan memperhatikan dokumen audit sebelumnya dan juga lebih memperhatikan bagaimana proses utama dilakukan, bagaimana diukur, dan bagaimana ditingkatkan – dengan kata lain, apakah Anda sistem benar-benar bekerja.

Jadi, itu kira-kira penjelasan singkat mengenai surveillance. Dengan adanya pengecekan secara berkala ini, diharapkan perusahaan dan karyawan dapat konsisten dalam menjaga kerahasiaan dan keamanan  informasi.

Terima kasih!

 

Andaikan kamu adalah seorang agen CIA dan memiliki banyak informasi rahasia. Lalu, pada suatu misi kamu mesti menyampaikan informasi rahasia itu kepada seorang agen lainnya. Kira-kira apa yang akan kamu lakukan terhadap informasi itu? Apakah kamu bisa memastikan informasi tersebut bisa tersampaikan dengan aman?

Kedua pertanyaan itu akan coba saya jawab dengan sederhana di artikel ini. Informasi tidak bisa diragukan lagi ialah salah satu kekuatan utama sebuah Perusahaan dalam menjalankan bisnisnya, termasuk informasi berbasis data. Laiknya sepotong nyawa bagi Perusahaan digital di mana informasi data-data tersebut diolah, entah kelak menjadi bahan dari produk yang diluncurkan atau bahan untuk menjalankan aktivitas kerja.

Nah, seperti analogi di permulaan artikel ini, ketika sebuah Perusahan memiliki sebuah informasi, kita harus tahu klasifikasinya terlebih dahulu. Apakah rahasia atau bukan? Oh, iya, informasi ini pun bentuknya beragam, ya. Bisa berupa data, dokumen, dan lainnya. Kembali lagi soal klasifikasi, jika ternyata informasi yang kamu miliki ialah rahasia, nih berikut ada hal-hal yang bisa kamu lakukan untuk memastikannya aman dan terjaga:

 1. Berikan label “Rahasia” pada informasi tersebut

Hal terakhir yang kamu inginkan adalah membiarkan sebuah informasi rahasia tercecer begitu saja tanpa terklasifikasi. Seperti analogi di awal artikel, bayangin kalau kamu tetiba tersandung dan dokumen rahasia yang sedang kamu peluk terjatuh, lalu selembar dokumen itu tertiup angin dan berhenti di tempat yang kamu tidak sadari?

Bayangin dokumen itu tiba-tiba dibaca oleh seseorang lainnya karena tidak ada label “Rahasia” di dalamnya. Itulah mengapa pelabelan itu penting. Keberadaan label membuat klasifikasi dokumen kian jelas dan memiliki hukum yang jelas bagi siapa pun yang membocorkannya. 

Selain itu pelabelan juga akan membantumu untuk mengorganisasi dan mengelola informasi-informasi yang dimiliki. Jadi, kamu akan dengan mudah mengetahui treatment-treatment yang mesti dilakukan ketika menyimpan ataupun berbagi informasinya.

Cara labelnya bagaimana? Kamu bisa tuliskan kata “Rahasia” di dalam dokumen, baik di header, di bagian footer, di lembar pertama, dan di mana pun. Yang penting bisa dibaca dengan jelas, hehe. 

 2. Berikan akses informasimu hanya kepada orang-orang yang terkait saja

Belakangan ini, kamu mungkin dihebohkan dengan berita bahwa data-data yang dikelola oleh sebuah layanan asuransi kesehatan milik pemerintah yang berhasil diretas oleh seorang hacker dan datanya dijual di darkweb. Kira-kira, kenapa sebuah sistem bisa ditembus, ya?

Salah satu jawaban yang mungkin bisa tersedia ialah adanya “jalan masuk” atau akses ke dalam sistem tesebut, entah bagaimana caranya. Nah, akses ke dalam sebuah informasi inilah yang menjadi sangat penting untuk dijaga agar informasi tersebut tidak diketahui oleh pihak-pihak yang tidak seharusnya. Sebagai pemilik informasi kita harus bisa menjaga keamanan setiap informasi, terutama informasi rahasia Perusahaan. 

Di Alterra, kamu sudah menggunakan aplikasi-aplikasi Google, salah satunya aplikasi penyimpanan informasi, yaitu Google Drive. Di sana sudah ada fitur di mana pemilik informasi bisa mengatur sesiapa saja yang bisa diundang untuk membaca informasi tersebut. Terdapat beberapa jenis akses dengan berbagai macam fungsi, contohnya: Editor, Commenter, dan Viewer. 

Selain itu, jangan cuman memperhatikan informasi yang disimpan di dalam internet saja, ya! Kamu juga mesti memastikan informasi-informasi yang tersimpan di perangkatmu seperti laptop, PC, ataupun ponsel, juga terjaga keamanannya. Pastikan kamu menginstal  antivirus untuk mencegah adanya penetrasi atau akses yang tidak seharusnya masuk ke dalam perangkatmu

 3. Simpan di tempat yang aman, jangan tercecer

Satu-satunya hal bodoh yang ingin kamu hindari ialah membiarkan informasi rahasiamu tercecer dan diketahui oleh pihak-pihak yang tidak seharusnya. Bagaimana jika dia menyalahgunakan informasi itu? Dan kamu menjadi pihak yang tertuduh?
Kita tahu, akhirnya akan buruk untukmu. So, hal yang bisa kamu lakukan untuk menjaga keamanan informasi rahasia tersebut adalah menyimpannya di tempat yang sesuai. Perhatikan, deh, informasimu itu bentuknya apa? Jika dokumen, pastikan untuk hardcopy tersimpan di dalam sebuah lemari khusus yang kuncinya cuman kamu dan orang-orang terlibat miliki. Jika softcopy, kamu bisa menggunakan platform seperti Google Drive dan mengatur aksesnya seperti yang dijelaskan pada poin 2 di atas. 

Jika itu merupakan data digital seperti data-data code pengembangan aplikasi, kamu bisa simpan di code repository dan mengatur akses ke dalam repository tersebut. 

 4. Buatlah kebijakan dan prosedur yang jelas untuk mengatur perputaran informasi rahasia kamu

Lagi-lagi bicara soal analogi CIA, sebagai pemilik informasi rahasia, ketika kamu harus berbagi informasi rahasia tentu harus punya prosedural dan peraturan tertentu dalam menyampaikannya, bukan? Nggak semerta-merta bisa menggunakan ponsel pribadimu lalu menghubungi agen lainnya, tanpa memastikan apakah aplikasi berbagi pesanmu terenkripsi atau tidak, atau ponsel yang digunakan apakah boleh milik pribadi atau khusus disediakan?

Ya, semua itu pasti ada peraturan dan prosedur yang mesti dijabarkan dengan jelas. Tujuannya apa? Supaya kamu bisa memastikan informasi itu aman tersampaikan dan tidak disalahgunakan oleh pihak penerima. Adanya kebijakan dan prosedur juga bisa menjadi petunjuk yang jelas, ketika terjadi sesuatu terhadap informasi rahasia itu, perihal hal apa saja yang mesti dilakukan.

Nah, tadi itu 4 hal yang bisa kamu lakukan terhadap informasi rahasia kamu. Tujuannya jelas, agar kamu bisa mengetahui bagaimana cara pengelolaannya sederhana dan mendasar. Harapannya, artikel ini bisa membantu kamu untuk lebih aware lagi dalam implementasi keamanan informasi di Perusahaan ini. Thank you!

Hai, Alterrans, apa kabar?

Masih berbicara tentang informasi rahasia, cuma di artikel kali ini saya ingin berbagi tip bagaimana mengelola akses perihal salah satu bentuk informasi, yaitu dokumen. Biasanya banyak informasi-informasi yang kemudian diolah dan disimpan dalam bentuk dokumen agar mudah dalam mengaksesnya jika sewaktu-waktu dibutuhkan. Nah, satu hal yang harus diperhatikan ketika kita menyimpan informasi, terutama bersifat rahasia, dalam bentuk dokumen adalah akses. 

Di artikel sebelumnya, saya sudah membahas jika akses merupakan salah satu “pintu masuk” yang paling penting dan rentan. Satu celah terbuka untuk mereka yang tidak berkepentingan dan selanjutnya, voila! Informasi bocor dan itu akan sangat mempengaruhi keberlangsungan bisnis Perusahaan. Kamu enggak ingin hal itu terjadi, kan?

Nah, hal pertama yang perlu kamu perhatikan adalah dokumen rahasiamu ini bentuknya fisik (hardcopy) atau digital (softcopy)? Masing-masing dari bentuk tersebut tentu memiliki manajemen akses yang berbeda. Kalau sudah bisa mendefinisikannya, yuk simak tip berikut ini:

 1. Dokumen Fisik (Hardcopy)

Jika kamu menyimpan dokumen rahasia dalam bentuk fisik, kamu harus memahami bahwa dokumen tersebut tidak boleh dibiarkan tergeletak begitu saja di atas meja atau di tempat umum lainnya. Itu adalah kesalahan paling besar. Pastikan, kamu memiliki sebuah ruang atau tempat yang aman untuk menyimpannya. 

Maksudnya aman bagaimana? Pastikan ruang atau tempat itu memiliki kunci di mana hanya bisa diakses bagi pemilik kunci saja. Bebas saja, entah mau di lemari, rak, drawer, ataupun lainnya, asalkan benda itu bisa dikunci.

Setelah itu, aturlah siapa saja yang berhak memegang kunci itu? Karena walaupun seseorang memiliki akses terhadap suatu dokumen, bukan berarti dia bisa mengambil dokumen tersebut seenaknya. Seseorang yang boleh untuk mengambil atau mengembalikan dokumen rahasia dari sebuah ruang atau tempat penyimpanan hanya pemilik dokumen saja. 

Kalau kamu ternyata adalah hanya pihak lain yang mendapat akses, maka kamu harus meminta izin kepada pemilik dokumen untuk meminjamkan dokumen tersebut kepadamu.

 2. Dokumen Digital (Softcopy)

Jika kamu menyimpannya dalam bentuk digital (softcopy), ini nih yang membutuhkan perhatian khusus. Kalau bentuk fisik, kamu bisa gembok ruangan dan gembok ruang penyimpanannya untuk mencegah akses orang-orang tidak berkepentingan. Di dunia daring, berkas berbentuk digital membutuhkan pertahanan yang berlapis. 

Terkait media penyimpanan dokumen rahasia, pastikan kamu menggunakan media yang memiliki keamanan informasi yang andal. Tahunya dari mana? Ya, kamu bisa lihat apakah media penyimpanan itu memiliki konfigurasi manajemen akses atau tidak. 

Di Alterra, saat ini kita menggunakan Google Drive di mana di dalamnya kamu bisa melakukan manajemen akses untuk setiap dokumen yang disimpan di dalamnya. Fyi saja, ada tiga jenis akses di dalam Google Drive: Viewer, Commenter, dan Editor. Terkait akses dokumen rahasia, untuk bisa memberikan akses sesuai dengan jenisnya, kamu harus bisa mendefinisikan user yang akan diundang ke dokumen tersebut. Apakah dia berhak untuk mengubah isi dokumen? Apakah dia hanya boleh memberi komentar? Atau bahkan cuman boleh baca saja?

Dari sana, kamu bisa kasih jenis akses yang tepat. Jika dia memang berkepentingan untuk mengubah isi dokumen rahasiamu, berikan akses Editor. Jika dia berkepentingan untuk memberikan insight tetapi tidak boleh mengubah, berikan akses Commenter atau Viewer. Tujuan pendefinisian akses ini jelas, supaya kalau terjadi sesuatu pada dokumen rahasiamu, kamu tahu siapa nih yang bertanggung jawab? Bayangin, semua orang punya akses Editor terhadap dokumen rahasiamu, dia bisa saja kan tiba-tiba mengubah isi dokumen rahasiamu, mengubah ownership-nya, lalu kabur? Bahaya, kan?

Akses adalah “Pintu Masuk” empuk bagi siapa pun yang memiliki niat jahat, so menjaga keamanan informasi merupakan satu hal yang bisa dilakukan untuk mencegahnya. 

Oke Alterrans, itu saja tip yang mau dibagi di artikel ini, semoga setelah membaca ini, kalian bisa lebih mengetahui lagi perihal bagaimana melakukan manajemen akses terhadap dokumen rahasia. Thanks!

Hallo Alterrans !

Kami dari tim Document Control, Pada kesempatan kali ini kami akan mencoba mengingatkan kalian kembali mengenai peran penting penanganan insiden bagi sebuah perusahaan. Sebelum kita bahas lebih jauh, Alterrans harus tahu terlebih dahulu, apa sih yang dimaksud dengan insiden.

Seperti yang teman-teman ketahui, bahwa setiap aktivitas bisnis pasti tidak akan terlepas dari yang namanya insiden. Mengapa demikian? Karena di dalam setiap aktivitas bisnis terdapat risiko yang mungkin terjadi, risiko yang terjadi dan menyebabkan dampak kerugian bagi perusahaan itulah yang biasa disebut dengan insiden. 

Lalu, bagaimana dengan Alterra?

Di Alterra sendiri, insiden didefinisikan sebagai suatu kejadian yang menyebabkan kerugian bagi perusahaan yang mana kerugian itu dapat berdampak kepada satu atau lebih dari ke-empat kategori insiden seperti gambar di bawah ini:

Berdasarkan gambar di atas, diketahui bahwa ada 4 kategori dampak dalam insiden, yaitu Financial Loss, Legal/Compliance, Reputational Impact, Operational Impact. Dari 4 kategori tersebut, kita selanjutnya akan tahu bagaimana cara menentukan mana yang termasuk insiden atau bukan. Nah, apa sih, pentingnya penanganan sebuah insiden?

Berikut adalah 3 Poin penting mengapa kita harus menangani insiden yang terjadi

1. Untuk Mencegah insiden Serupa Terjadi di Kemudian Hari

Penanganan insiden harus dilakukan guna mencegah kejadian serupa terulang kembali. Dengan kata lain, sebuah insiden dapat dijadikan “lesson learned”. 

Yang namanya kesalahan kerja, kalau kita enggak dikasih tahu apa salahnya, mungkin kesalahan itu berpotensi untuk terus terjadi berulang kali. Nah, penanganan insiden ini dilakukan dengan tujuan supaya kesalahan kerja yang terkategorikan insiden tersebut bisa diidentifikasi dan dijadikan bahan pembelajaran agar kedepannya insiden yang sama tidak terjadi lagi.
Kamu enggak akan mau jatuh di lubang yang sama, kan? Penanganan atas insiden bisa membantu kamu untuk menghindari itu.

2. Meminimalisir Dampak Kerugian yang Diterima

Setiap insiden yang terjadi perlu ditangani dengan cepat dan tepat, hal ini dilakukan untuk memastikan dampak yang timbul dari suatu insiden dapat diminimalisir.

Misalkan kamu seorang admin yang bekerja untuk mengelola sebuah rekening bank yang menyimpan uang hasil penjualan. Suatu waktu, rekening itu berhasil diretas dan kemudian dilaporkan kamu kehilangan uang puluhan juta. Kira-kira apa, yang kamu lakukan? Apakah kamu berpura-pura tidak tahu? Apakah kamu langsung memblokir akun yang diretas?
Nah, adanya penanganan insiden ini adalah bertujuan untuk meminimalisir dampak kerugian yang kamu terima. Misalkan, kamu bisa langsung segera menutup rekening tersebut, ya, kan? Karena bisa saja jika kamu tidak segera memblokir rekening tersebut, uang yang hilang akan terus bertambah, atau mungkin dampak dari peretasan itu melebar ke banyak hal. 

3. Memastikan Bahwa Tindakan Perbaikan atau Corrective Action yang Dilakukan Sudah Sesuai (Membantu Dalam Mengidentifikasikan Tindak Perbaikan yang Dapat dilakukan)

Dalam penanganan insiden, salah satu aspek penting yang perlu diperhatikan adalah mengenai implementasi atas corrective action.

Dari pertanyaan pada analogi di poin nomor 2, hal itu dapat menjadi jembatan bagi kita untuk akhirnya mencari jawaban dari sebuah insiden yang terjadi. Adanya penanganan insiden dapat membantu kita mulai dari mengidentifikasi dan menganalisa permasalahan hingga kemudian ditemukan kira-kira langkah perbaikan apa saja yang dapat dilakukan agar insiden itu akhirnya tertangani. 

Dalam penanganan insiden, ada dua jenis tindakan perbaikan, yaitu:

• • • Quick Fix                     : Perbaikan cepat untuk meminimalisir dampak yang diterima
    • Future Improvement    : Perbaikan berkesinambungan untuk memastikan hal serupa tidak terjadi lagi di kemudian hari

Dengan demikian, tim pengelola insiden harus memastikan bahwa corrective action telah benar-benar dilakukan. 

Cukup sekian informasi yang kami berikan mengenai insiden ya, Harapannya, teman-teman bisa lebih mengenal insiden lebih jauh lagi sehingga kedepannya bisa lebih aware lagi ketika terjadinya sebuah insiden. 

Semoga bermanfaat ya Alterrans !