Sebagai Chief Information Officer (CIO) ALAMI, Arief Setiabudi mengawal penerapan Sistem Manajemen Keamanan Informasi atau SMKI Berbasis ISO 27001 di ALAMI.
Mendapatkan sertifikasi ISO 27001 adalah salah satu syarat yang diterapkan oleh Otoritas Jasa Keuangan (OJK) ketika ALAMI memulai proses mendapatkan tanda Berizin dari OJK, setelah sebelumnya mendapatkan status Terdaftar di OJK.
Namun, Arief menegaskan bahwa “ISO 27001 bukan hanya jadi kepentingan regulasi. Apabila diimplementasikan dengan benar, maka akan menjadi tools yang sangat efisien dalam menggapai kepentingan bisnis.”
Menurutnya, semua bisnis pasti harus menghadapi risiko-risiko terhadap keamanan data-datanya, dan selalu ada ancaman serangan yang bahkan juga dihadapi oleh perusahaan-perusahaan besar. Memitigasinya dengan baik menjadi mandat utama yang dihadapinya di posisi sebagai CIO ALAMI.
Peran Seorang Chief Information Officer
Pertama kali bergabung di ALAMI, Arief menempatkan posisi sebagai Chief Technology Officer (CTO), posisi yang bertanggungjawab untuk memastikan optimalisasi teknologi untuk kepentingan bisnis perusahaan. Setelah adanya perubahan strategi perusahaan, saat itu posisi CIO urgent untuk dimiliki dalam menjamin keamanan pada setiap proses–proses yang dilakukan oleh perusahaan.
Dalam menghadapi perubahan tugasnya, Arief kemudian mengerahkan seluruh kemampuannya untuk mengoordinasi proses penerapan SMKI Berbasis ISO 27001 ini di ALAMI, mulai dari melibatkan konsultan agar bisa lebih cepat, menjadi Ketua Divisi SMKI di ALAMI yang mendapatkan tugas khusus mengawal penerapan SMKI, melakukan sosialisasi dan training terhadap seluruh tim ALAMI, bekerja sama dengan seluruh divisi lainnya yang ada di ALAMI, dan terus belajar mengadaptasi prinsip SKMI untuk kepentingan bisnis ALAMI.
Sebelum mendapatkan sertifikasi ISO 27001, ALAMI juga telah menjalani proses penilaian untuk mendapatkan Sertifikat Indeks Keamanan Informasi (KAMI) dari Badan Siber dan Sandi Negara (BSSN) untuk memastikan kesiapan kerangka kerja keamanan informasi di ALAMI.
“Dalam keamanan informasi ternyata tidak hanya mencakup sistem, namun proses pun sangat menjadi peran penting dalam penanganannya. Itu yang saya rasakan selama menjalani perolehan sertifikasi ISO tersebut,” ujarnya.
Proses Penerapan SMKI Berbasis ISO 27001 di ALAMI
Secara sederhana, SMKI Berbasis ISO 27001 adalah framework (kerangka kerja) untuk memastikan keamanan data-data yang dimiliki perusahaan. Penerapan framework ini akan berbeda untuk setiap perusahaan, karena akan perlu disesuaikan dengan sistem dan proses operasional masing-masing bisnis.
Secara garis besar, prosesnya dibagi dalam empat tahap, yaitu Plan, Do, Check, dan Action.
Dalam perencanaannya, banyak hal yang harus disiapkan. Mulai dari menentukan scope dan kebijakan SMKI sampai melakukan penilaian risiko untuk setiap proses dan aset yang dimiliki perusahaan. Kemudian, setelah dilakukan prosedur manajemen risiko untuk masing-masing risiko yang terdaftar, prosedur kontrol dilakukan dengan dokumentasi dan perekaman semua prosesnya mulai dari apa sa
ISO 27001 adalah standar internasional yang menetapkan spesifikasi untuk sistem manajemen keamanan informasi atau Information Security Management System (ISMS).
Information Security Management System (ISMS) terdiri dari kebijakan, prosedur dan control lain yang melibatkan orang, proses dan teknologi.
Manajemen risiko merupakan landasan dari ISO/IEC ISMS untuk menentukan kontrol keamanan mana yang perlu diterapkan dan dipelihara.
Versi terakhir standar ISO 27001 diterbitkan September 2013, menggantikan versi 2005.
Dengan sertifikasi ISO 27001, perusahaan akan menggunakan standarisasi ini dalam mengelola dan mengendalikan serta menjaga risiko keamanan informasi perusahaan yang meliputi kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability).
Standar ISO 27001 ini dikembangkan untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan sistem manajemen keamanan informasi pada sebuah perusahaan.
Sertifikasi standar yang terakreditasi dan diakui secara global ini menjadi indikator bahwa ISMS perusahaan Anda sudah sesuai dengan praktik keamanan informasi terbaik yang sudah distandarisasi.
ja yang sudah dilakukan untuk menangani risiko, training awareness tentang keamanan informasi kepada semua staff, monitoring secara berkala, dan management review. Secara berkala, semua insiden yang terjadi dilaporkan, diperiksa dampaknya baik secara finansial maupun non-finansial, dan direncanakan langkah-langkah selanjutnya untuk meminimalisir kemungkinan terjadinya lagi.
Penjelasan Rinci Mengenai ISO 27001
ISO 27001 adalah standar internasional yang menetapkan spesifikasi untuk sistem manajemen keamanan informasi atau Information Security Management System (ISMS).
Information Security Management System (ISMS) terdiri dari kebijakan, prosedur dan control lain yang melibatkan orang, proses dan teknologi.
Manajemen risiko merupakan landasan dari ISO/IEC ISMS untuk menentukan kontrol keamanan mana yang perlu diterapkan dan dipelihara.
Versi terakhir standar ISO 27001 diterbitkan September 2013, menggantikan versi 2005.
Dengan sertifikasi ISO 27001, perusahaan akan menggunakan standarisasi ini dalam mengelola dan mengendalikan serta menjaga risiko keamanan informasi perusahaan yang meliputi kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability).
Standar ISO 27001 ini dikembangkan untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan sistem manajemen keamanan informasi pada sebuah perusahaan.
Sertifikasi standar yang terakreditasi dan diakui secara global ini menjadi indikator bahwa ISMS perusahaan Anda sudah sesuai dengan praktik keamanan informasi terbaik yang sudah distandarisasi.
3 Pilar Utama SMKI Berbasis ISO 27001
SMKI berbasis ISO 27001 mempunyai tiga pilar utama, yaitu Confidentiality, Integrity, dan Availability.
Confidentiality mencakup kerahasiaan data (menjaga akses data), integrity mencakup keabsahan data (data tidak bisa diubah dan terjaga kebenarannya), dan availability adalah tentang menjaga agar orang-orang bisa mengakses informasi yang diperlukan.
Serangan terhadap confidentiality misalnya penyalahgunaan data yang diperjualbelikan. Sementara pilar integrity akan roboh misalnya ketika data pasien COVID-19 bisa diubah dari sistem. Contoh serangan terhadap pilar availability misalnya adalah website yang terblokir karena diserang oleh hacker.
Setiap proses yang ada di ALAMI harus dilihat apa saja daftar risikonya yang terkait dengan ancaman dari ketiga pilar keamanan informasi ini. Risiko yang telah dirincikan kemudian perlu dinilai dampak negatifnya terhadap bisnis, apakah dalam kategori High, Medium, atau Low.
Selain itu, dinilai juga kemungkinan untuk terjadinya, apakah sangat memungkinkan atau jarang sekali akan terjadi. Setelah pendataan risiko, kemudian disiapkan tindakan-tindakan yang harus dilakukan untuk mencegahnya. Setelah dilakukan mitigasi risiko pun, sebagai CIO Arief harus tetap mengontrol dan memonitor. Misalnya, apakah ada risiko baru yang muncul, apakah ada kemungkinan baru, atau ada prosedur yang selama ini belum diterapkan dengan optimal.
Setahun sekali, otoritas terkait akan melakukan audit untuk memastikan bahwa sertifikasi yang dimiliki ALAMI masih valid dan bisa diperbarui. Namun, sebelum hal itu terjadi, Arief juga telah menyiapkan pelaksanaan Audit Internal untuk memastikan semua aspek keamanan informasi telah berjalan sesuai semestinya, bersama dengan anggota dari Divisi SMKI ALAMI dan dengan kerjasama dari semua anggota divisi-divisi lainnya.
Dimulai dari Basement, Komitmen Menghidupkan Nilai Syariah
Cerita Arief di ALAMI dimulai sekitar tahun 2015 ketika Dima Djani, CEO ALAMI, mengajaknya berdiskusi tentang pendirian start–up yang berkontribusi terhadap ekosistem finansial yang lebih sehat untuk Indonesia. Setelahnya, ketika Dima mengambil kuliah lagi di INSEAD dan merintis ALAMI, Arief sempat harus mengambil pekerjaan lain di Denpasar, Bali, kemudian baru bergabung lagi di ALAMI pada September 2018.
“Dari perbincangan di basement rumah salah satu co–founder terdahulu, kita semua sepakat ingin menghidupkan nilai-nilai syariah dalam keuangan. Waktu itu kita melihat masih banyak masalah keuangan yang dihadapi oleh banyak orang, dan kita ingin supaya semua orang bisa lebih bijak dalam mengatur keuangannya dan menggunakan instrumen keuangan. Niat saya bekerja disini kembali lagi ke nilai ALAMI yang dicetuskan pada diskusi di basement itu, yaitu memberikan platform agar masyarakat Indonesia bisa lebih bijak dalam mengatur keuangannya. Selain itu, kita juga sering mendengar bahwa bisnis yang komitmen menggunakan cara-cara syariah untuk permodalannya pun dilancarkan terus usahanya,” ujarnya menutup pembicaraan.
Daftar sekarang untuk menjadi pendana ALAMI dan nikmati kemudahan proses pembiayaan syariah yang lebih efisien, akurat dan transparan.
ALAMI juga telah meluncurkan ALAMI Android Mobile App. Klik link ini untuk install ALAMI Mobile App sekarang!