Dalam era yang serba digital, penerapan kerangka kerja (framework) keamanan informasi seperti ISO 27001 baik secara menyeluruh maupun parsial, merupakan salah satu hal yang perlu direncanakan dengan sebaik mungkin dalam rangka mempertahankan keberlangsungan Perusahaan. Ketika perencanaannya dilakukan dengan serampangan, maka akan mengakibatkan perjalanan penerapan ISO 27001 tersendat-sendat atau bahkan hingga mangkrak. Padahal jika diterapkan dengan baik, kerangka kerja ini sangat bermanfat dan menjadikan salah satu keunggulan Perusahaan dalam berkompetisi dengan Perusahaan lainnya.
Dalam perencanaan penerapan ISO 27001, langkah awal yang perlu dipersiapkan adalah menentukan ruang lingkup penerapan ISO 27001. Mengapa hal ini menjadi penting? Karena penentuan ruang lingkup akan menentukan seberapa besar effort yang dibutuhkan agar penerapan framework ini dapat terimplementasi dengan baik. Semakin luas ruang lingkup, maka semakin besar effort yang dibutuhkan dan sebaliknya.
Lantas bagaimana caranya menentukan ruang lingkup? Didalam dokumen resmi ISO 27001 pun tidak dituliskan secara spesifik bagaimana caranya. Dus, tidak banyak referensi yang ditemukan berdasarkan hasil pencarian search engine. Untuk menjawab hal tersebut, berdasarkan pengalaman hingga sampai saat ini dalam menjalani proses audit ISO 27001, ada beberapa hal yang dapat digunakan sebagai panduan dalam menentukan ruang lingkup.
Faktor Bisnis Proses / Layanan.
Dalam hal ini berarti menentukan bisnis proses / layanan yang akan turut serta dalam penerapan ISO 27001. Gunakan manajemen risiko sebagai panduannya. Bila bisnis proses / layanan memiliki risiko yang tinggi jika terjadi gangguan dan berdampak terhadap keberlangsungan operasional Perusahaan, maka bisnis proses / layanan tersebut dapat dipertimbangkan masuk dalam ruang lingkup. Semakin luas bisnis proses / layanan yang masuk dalam ruang lingkup, maka dapat berdampak terhadap semakin lamanya periode pelaksanaan implementasi apalagi jika dalam penerapannya, akan mengubah bisnis proses dengan menerapkan ISO 27001 didalamnya.
Alokasi Budget.
Dalam pelaksanaannya, ISO 27001 terdapat beberapa kontrol keamanan informasi yang memerlukan solusi investasi perangkat teknologi informasi, seperti penerapan Threat Intellegence, peningkatan pengetahuan keamanan informasi kepada pihak-pihak yang terlibat, manajemen identitas pengguna, penerapan pembatasan akses fisik, perlindungan terhadap malware, pencegahan kebocoran data, dan lain-lain. Pada kontrol-kontrol ini erat kaitannya dengan lisensi dan penyediaan infrastruktur, dimana besar kecilnya tergantung dari seberapa luas ruang lingkup. Yang perlu dijadikan catatan, penggunaan tools lisensi open source tidak sepenuhnya free of charge, karena terdapat biaya infrastruktur yang perlu diperhitungkan. Bahkan jika dibandingkan biaya lisensi komersil tidak selalu lebih mahal dari lisensi open source, jika memperhitungkan biaya installasi, support dan maintenance didalamnya. Penentuan pemilihan lisensi open source / komersil disesuaikan dengan kemampuan kas Perusahaan.
Jumlah Stakeholders Yang Terlibat.
Pada hal ini, sedikit banyaknya pihak yang terlibat sangat tergantung kepada seberapa luasnya bisnis proses / layanan yang masuk dalam ruang lingkup. Dengan semakin banyaknya pihak yang terlibat, tentunya ada beberapa hal yang perlu diperhatikan antara lain aktifitas pelatihan keamanan informasi kepada pihak-pihak yang terlibat, aktifitas onboarding jika terjadi penggantian personil, proses mendapatkan dukungan implementasi dari pihak-pihak yang terlibat, dan lain sebagainya. Hal tersebut bisa menjadi salah satu poin yang membutuhkan timeline yang panjang dan melalui proses yang melelahkan, apalagi jika terdapat penggantian personil dalam kurun waktu yang singkat. Salah satu penyebabnya karena dengan adanya implementasi ISO 27001 maka dapat mengubah bisnis proses didalam tim pihak yang terlibat sehingga dapat mengakibatkan terjadinya hambatan dalam implementasi ISO 27001.
Pemenuhan Syarat Dari Regulator.
Untuk industri yang diatur oleh regulator, misalnya, yang mempersyaratkan ISO 27001 sebagai salah satu prasyarat yang harus dipenuhi, maka Perusahaan wajib untuk menerapkan ISO 27001 dengan catatan perlu melakukan proses diskusi lebih lanjut dengan pihak regulator perihal ruang lingkup bisnis proses / layanan yang perlu tersertifikasi ISO 27001. Tujuannya agar sedini mungkin ruang lingkup tersebut sudah diketahui dan disetujui oleh regulator, sehingga hal ini dapat menjadi justifikasi ke internal Perusahaan agar mau / tidak mau untuk turut mendukung implementasi ISO 27001.
Paradigma Keamanan Informasi Di Perusahaan.
Paradigma, atau bisa dikatakan mindset, perihal keamanan informasi didalam Perusahaan pun perlu diperhatikan terutama mindset yang dimiliki oleh jajaran puncak Perusahaan. Mengubah paradigma tentu bukanlah sebuah pekerjaan yang mudah dan cepat. Perlu tindakan dan perhatian yang sangat besar. Keterkaitan paradigma berpengaruh besar terhadap dukungan yang akan didapatkan dari jajaran puncak Perusahaan. Keamanan informasi tidak akan berjalan dengan baik, jika jajaran puncak Perusahaan tidak mendukung secara penuh dan terlibat aktif didalamnya, karena paradigma keamanan informasi hakikinya adalah paradigma yang harusnya dimiliki oleh seluruh karyawan Perusahaan bukan saja hanya milik tim keamanan informasi.
Tidak ada cara yang mudah dalam menentukan ruang lingkup. Namun yang perlu disadari adalah mulailah dari ruang lingkup yang kecil (start from small) kemudian diperluas dan disesuaikan dengan kebutuhan Perusahaan. Untuk membangun budaya keamanan informasi di Perusahaan bukan hal yang mudah. Tidak mudah, namun tidak mungkin tidak diterapkan bukan?