Geekly articles weekly

Strategi keamanan informasi: sudahkah Anda memutuskan cara untuk maju?

Halo Nama saya Anton Udovichenko, saya adalah kepala departemen audit Infosecurity. Berdasarkan pengalaman saya, saya menyiapkan instruksi tentang bagaimana mengembangkan strategi keamanan informasi di perusahaan.


Pengembangan strategi keamanan informasi (IS) untuk banyak perusahaan tampaknya menjadi tugas yang sulit, baik dari sudut pandang pengorganisasian proses pengembangan itu sendiri maupun implementasi praktis berikutnya dari strategi tersebut. Beberapa perusahaan mengatakan bahwa mereka dapat melakukannya tanpa perencanaan formal, tanpa membuang waktu dan energi dalam membuat rencana, membenarkan ini dengan perubahan cepat di pasar teknologi yang mencoret semua upaya mereka. Mengingat kehadiran tindakan yang efektif, pendekatan ini dapat mengarah pada beberapa keberhasilan, namun, itu tidak hanya tidak menjamin kesuksesan di masa depan, tetapi juga menempatkannya dalam keraguan serius. Perencanaan formal secara signifikan mengurangi risiko membuat keputusan yang salah dan berfungsi sebagai dasar untuk kontrol selanjutnya, dan juga membantu meningkatkan kesiapan untuk perubahan pasar.

Kebutuhan akan strategi keamanan informasi, sebagai suatu peraturan, muncul untuk perusahaan yang sudah merasa cukup percaya diri di pasar untuk membuat rencana untuk tahun-tahun mendatang, tetapi telah menghadapi tantangan berikut:

  • kurangnya korelasi antara tujuan strategis perusahaan dan arah pengembangan keamanan informasi;
  • tingkat keamanan informasi yang tidak memadai dari proses bisnis utama perusahaan;
  • pengembalian investasi yang rendah dalam pengembangan keamanan informasi.

Strategi pengembangan SI harus dipertimbangkan sebagai semacam peta yang mendefinisikan landmark di tanah dan mengarahkan ke tujuan. Hal ini memungkinkan Anda untuk membuat sasaran pencapaian dapat dikelola dengan menetapkan batasan dan prioritas untuk keputusan taktis bagi mereka yang bertanggung jawab atas pengembangan perusahaan dan / atau area individu. Perlu dicatat bahwa strategi keamanan informasi tidak boleh statis dan, karena faktor ketidakpastian menurun seiring waktu, strategi harus ditinjau dan, jika perlu, disesuaikan, menetapkan prioritas baru untuk keputusan taktis.

Untuk siapa strategi keamanan informasi menarik?


Beberapa orang secara keliru percaya bahwa strategi SI hanya dibutuhkan oleh mereka yang bertanggung jawab untuk memastikan SI. Bahkan, ada lebih banyak pengguna strategi IS dan setiap orang memiliki minat mereka sendiri, yang utama adalah:

Manajemen perusahaan:

  • memahami peran keamanan informasi dalam penerapan konsep umum pengembangan perusahaan;
  • memastikan koherensi dengan strategi pengembangan seluruh perusahaan;
  • memahami tujuan dan volume investasi dalam keamanan informasi;
  • distribusi investasi yang rasional;
  • alat untuk memantau pencapaian tujuan.

Layanan Teknologi Informasi:

  • memahami peran keamanan informasi dalam pengembangan perusahaan TI;
  • memahami persyaratan pada bagian IS untuk arsitektur TI target.

Layanan Keamanan Informasi:

  • adanya prinsip-prinsip yang seragam untuk pengembangan keamanan informasi;
  • pemahaman tentang arsitektur target perusahaan keamanan informasi;
  • ketersediaan rencana aksi terperinci (portofolio proyek);
  • pemahaman yang jelas tentang sumber daya yang dibutuhkan;
  • kepatuhan dengan undang-undang dan standar industri terkait keamanan informasi;
  • alat untuk memantau pencapaian tujuan IS.

Prosedur untuk mengembangkan strategi keamanan informasi


Sebelum Anda mempertimbangkan langkah-langkah utama pengembangan strategi, Anda perlu menentukan kriteria kualitas untuk strategi SI dan, dengan demikian, dengan tujuan mengembangkannya, ini adalah untuk mendapatkan jawaban penuh atas tiga pertanyaan:

  • Apa tujuan strategis untuk pengembangan keamanan informasi, bagaimana tujuan ini berkorelasi dengan tujuan strategis perusahaan?
  • Apa profil (status) masa depan perusahaan keamanan informasi?
  • Tindakan apa yang perlu diambil untuk mencapai tujuan strategis pengembangan keamanan informasi?

Tahap 1. Persiapan. Untuk memulainya, kita akan menentukan parameter dan urutan manajemen proyek.

Tugas utama yang harus diselesaikan:

  • membuat tim proyek dan menetapkan tujuan;
  • koordinasi struktur data yang dikumpulkan dan adaptasi templat;
  • koordinasi batas-batas proyek, struktur dan isi dokumen pelaporan;
  • koordinasi proses manajemen proyek
  • penentuan prosedur untuk memecahkan masalah yang muncul;
  • persiapan dan persetujuan rencana kerja.

Pada tahap ini, sebenarnya, Anda perlu meletakkan faktor-faktor kunci untuk sukses dan mencapai hasil yang diinginkan, yaitu:

  1. Keterlibatan manajemen dalam proyek: pengembangan dan implementasi strategi keamanan informasi harus, pertama-tama, didukung oleh manajemen perusahaan, yang harus bertanggung jawab untuk memantau kemajuan pekerjaan, mengalokasikan sumber daya yang diperlukan, serta untuk persetujuan selanjutnya dari strategi yang dikembangkan.
  2. Pembentukan tim proyek: komposisinya harus mencakup karyawan yang paling kompeten dan tetap tidak berubah sepanjang proyek. Unit organisasi berikut dibedakan dalam proyek:
    • Kurator proyek dari Kontraktor;
    • Kurator proyek dari pihak Pelanggan;
    • komite pengarah;
    • Manajer Proyek pada bagian Kontraktor;
    • kepala kelompok kerja di pihak Pelanggan;
    • Tim proyek kontraktor;
    • spesialis fungsional dari sisi pelanggan.

  3. Pernyataan tujuan, persyaratan, batasan yang jelas, serta kriteria untuk keberhasilan proyek, yang dengan tegas akan mengikuti arahan yang benar dan memenuhi harapan pelanggan.
  4. Pengembangan prosedur manajemen proyek: proses komunikasi dan pengambilan keputusan memastikan interkoneksi dan saling ketergantungan semua fungsi manajemen, sehingga mencapai integritas dan efektivitas proses manajemen. Prosedur harus menyediakan distribusi kekuasaan dan tanggung jawab, prosedur untuk interaksi peserta, prosedur untuk mengoordinasikan hasil antara dan akhir, prosedur untuk mengelola masalah dan membuat perubahan pada proyek.

Hasil dari tahap ini adalah:

  • piagam proyek, jadwal kerja, jadwal wawancara yang diperlukan;
  • struktur dokumen pelaporan dan template untuk pengumpulan data / dokumen pelaporan.

Tahap 2. Analisis kondisi keamanan informasi saat ini. Tujuan dari tahap ini adalah untuk mengumpulkan dan menganalisis urutan dan metode pemrosesan informasi dari sudut pandang keamanan informasi, keadaan keamanan keamanan informasi saat ini.

Pertanyaan kunci yang harus dijawab:

  • Apa peran keamanan informasi dalam perusahaan?
  • Persyaratan apa yang menjadi dasar untuk berfungsinya perusahaan keamanan informasi?
  • Bagaimana keadaan proses keamanan IS saat ini?
  • Alat perlindungan informasi apa yang digunakan, pro dan kontra mereka?
  • Apa persyaratan bisnis untuk menyediakan keamanan informasi?

Pembentukan peran keamanan informasi di perusahaan menetapkan konteks umum untuk mengembangkan strategi dan dilakukan di semua tingkatan: manajemen, kepala departemen, dan karyawan.

Informasi dikumpulkan di bidang-bidang berikut:

  • tingkat budaya keamanan informasi di perusahaan;
  • IS prioritas dalam kaitannya dengan proses bisnis;
  • dampak keamanan informasi pada proses bisnis perusahaan;
  • kesadaran manajemen tentang perlunya keamanan informasi;
  • tingkat keterlibatan dan kesadaran karyawan tentang masalah keamanan informasi.

Langkah selanjutnya adalah mengidentifikasi persyaratan yang harus diikuti oleh perusahaan atau yang secara sukarela diputuskan untuk dipusatkan. Persyaratan, pada dasarnya, adalah dasar untuk berfungsinya keamanan informasi, yang meliputi: undang-undang, standar industri, standar keamanan informasi nasional dan internasional, kebijakan sekelompok perusahaan, dll.

Langkah memeriksa dan menganalisis proses keamanan informasi adalah kunci, sebagian besar menentukan hasil keseluruhan proyek. Kompleksitasnya terletak pada kebutuhan untuk memperoleh informasi yang andal dan obyektif yang memadai untuk membentuk profil masa depan keamanan informasi, sebagai suatu peraturan, untuk waktu yang sangat terbatas. Tiga pendekatan konseptual dapat dibedakan: dasar, terperinci dan gabungan (ahli).

Pendekatan dasar

Pendekatan ini melibatkan analisis keadaan keamanan informasi untuk kepatuhan dengan beberapa tingkat keamanan dasar. Tingkat dasar adalah serangkaian standar tindakan perlindungan, sebagai suatu peraturan, karakteristik perusahaan yang beroperasi di bidang yang sama, untuk perlindungan semua atau sistem informasi individu. Serangkaian tindakan perlindungan tipikal dibentuk berdasarkan kebutuhan perusahaan untuk menggunakan beberapa langkah standar, misalnya, untuk mematuhi persyaratan hukum, serta untuk melindungi terhadap ancaman yang paling umum.

Pendekatan dasar memungkinkan Anda untuk mengelola jumlah sumber daya minimum selama analisis, dapat diimplementasikan bahkan dalam bentuk daftar periksa dengan pertanyaan mengenai ketersediaan langkah-langkah tertentu dan parameter untuk penerapannya. Kelemahan yang signifikan dari pendekatan ini adalah ketidakakuratan dan keterbatasan informasi yang dikumpulkan, karena tingkat dasar tidak selalu sesuai dengan kekritisan informasi yang diproses, kekhususan sistem informasi dan proses bisnisnya. Sistem yang terpisah dari suatu perusahaan dapat ditandai dengan berbagai tingkat sensitivitas, volume yang berbeda dan nilai informasi, penggunaan langkah-langkah perlindungan umum dalam kasus ini akan secara logis salah.

Pendekatan terperinci

Pendekatan terperinci melibatkan survei komprehensif proses pemrosesan informasi dan memastikan keamanan informasi perusahaan. Pendekatan semacam itu meliputi identifikasi dan penilaian aset informasi, penilaian risiko pelanggaran IS, penilaian kematangan proses IS, analisis statistik insiden, analisis ulasan publik, dan laporan regulator.

Hasil analisis rinci memungkinkan untuk membuat pilihan tindakan perlindungan yang beralasan ketika membentuk profil masa depan keamanan informasi, namun, penerapan pendekatan ini membutuhkan sejumlah besar uang, waktu, dan tenaga kerja terampil. Selain itu, ada beberapa kemungkinan usang dari hasil survei, karena pendekatan semacam itu mungkin memerlukan waktu yang cukup lama.

Pendekatan gabungan (ahli)

Penerapan masing-masing pendekatan yang dijelaskan di atas memiliki keterbatasan yang signifikan dan tidak selalu memungkinkan pengumpulan informasi yang cukup untuk waktu yang dapat diterima untuk secara wajar mengembangkan strategi keamanan informasi dan membentuk portofolio proyek. Oleh karena itu, dalam praktiknya, berbagai kombinasi pendekatan ini digunakan, termasuk metode analisis formal dan pengalaman praktis para spesialis. Sebagai aturan, pendekatan ini didasarkan pada analisis awal untuk penilaian risiko tingkat tinggi dari pelanggaran keamanan informasi, dengan mempertimbangkan kekritisan informasi (rahasia), arus informasi, dan pentingnya sistem informasi. Di masa depan, analisis rinci dilakukan untuk sistem informasi yang berisiko tinggi, bagi yang lain mungkin dibatasi oleh pendekatan dasar. Selain itu, analisis rinci dan deskripsi proses keamanan informasi utama dilakukan, serta penilaian alat dan metode yang digunakan untuk melindungi informasi, pro dan kontra mereka.

Pendekatan ini memungkinkan, dengan waktu dan upaya minimum untuk mengidentifikasi keadaan saat ini, untuk mendapatkan data yang diperlukan untuk membentuk profil keamanan informasi di masa depan. Hanya perlu dicatat bahwa objektivitas dan kualitas hasil survei dalam pendekatan ini akan ditentukan oleh kualitas metodologi survei dan pengalaman penggunaannya oleh spesialis.

Selain itu, perlu dikatakan bahwa pilihan metode survei dan tingkat keterlibatan karyawan akan ditentukan oleh pendekatan yang digunakan dan metodologi survei. Sebagai contoh, pendekatan dasar mungkin terbatas pada analisis dokumen internal dan kuesioner dengan sejumlah wawancara dengan karyawan kunci, sementara dua pendekatan lainnya melibatkan jumlah karyawan yang lebih besar dan berbagai alat yang lebih luas:

  • analisis dokumen internal;
  • bertanya;
  • wawancara;
  • inspeksi visual;
  • pemeriksaan menggunakan cara teknis khusus.

Pada akhir tahap ini, terlepas dari pendekatan yang dipilih, Anda harus mengharapkan:

  • pendapat ahli tentang tingkat perkembangan perusahaan keamanan informasi;
  • penilaian integral dari keadaan keamanan informasi saat ini;
  • Deskripsi persyaratan bisnis untuk keamanan informasi;
  • melaporkan dan mempresentasikan hasil panggung.

Tahap 3. Pengembangan profil target keamanan informasi. Pada tahap ini, tugas-tugas utama berikut diselesaikan:

  • memastikan hubungan antara tujuan strategis perusahaan dan arah pengembangan keamanan informasi;
  • perumusan prinsip-prinsip dasar strategi keamanan informasi;
  • penentuan profil masa depan perusahaan keamanan informasi.

Salah satu hambatan utama dalam mengembangkan strategi keamanan informasi dalam hal mengelola harapan yang dimiliki manajemen senior adalah kurangnya kondisi awal yang jelas, yaitu, strategi pengembangan perusahaan dengan deskripsi yang jelas tentang semua aspek dalam istilah yang dapat dimengerti. Dalam praktiknya, sebagai suatu peraturan, tidak ada strategi pengembangan untuk perusahaan seperti itu, atau tidak diformalkan dan, paling banter, dapat dirumuskan dengan kata-kata.

Masalah kurangnya strategi pengembangan untuk perusahaan diselesaikan dengan upaya bersama dari perwakilan bisnis, TI dan IS dalam mengembangkan visi bersama tentang tugas-tugas IS, dengan mempertimbangkan faktor-faktor berikut:

  • inisiatif apa yang direncanakan di seluruh perusahaan, termasuk perubahan organisasi, pengembangan pasar dan teknologi;
  • perubahan apa yang direncanakan dalam proses bisnis dan TI;
  • keputusan penting apa yang bergantung pada keandalan, integritas atau ketersediaan informasi, atau pada penerimaannya yang tepat waktu;
  • jenis informasi rahasia apa yang membutuhkan perlindungan;
  • konsekuensi apa yang mungkin terjadi bagi perusahaan setelah terjadinya insiden keamanan informasi;
  • perubahan apa dalam lingkungan eksternal yang bisa diharapkan, termasuk tindakan pesaing, perubahan undang-undang, dll.

Jawaban untuk pertanyaan-pertanyaan ini dapat membantu merumuskan tujuan menyediakan keamanan informasi di perusahaan. Pada gilirannya, harus diingat bahwa untuk setiap inisiatif atau tindakan yang diusulkan, hasil yang mungkin atau diinginkan, risiko pelaksanaannya, serta risiko jika penolakan untuk dilaksanakan, harus dievaluasi.

Prinsip-prinsip dasar strategi SI, pada kenyataannya, menentukan seperangkat aturan global yang harus diikuti ketika membangunnya, serta ketika memilih dan menerapkan solusi. Prinsip-prinsip tersebut dirumuskan tergantung pada tujuan strategis, proses perusahaan, peluang investasi, dll., Oleh karena itu mereka biasanya individu untuk perusahaan. Kami menyoroti beberapa prinsip universal:

  • IS integritas: solusi perangkat lunak dan perangkat keras yang berlaku, serta langkah-langkah organisasi, harus disepakati bersama dan memberikan tingkat keamanan yang ditentukan;
  • standardisasi dan unifikasi: variasi teknologi yang digunakan harus diminimalkan untuk mengurangi biaya mempertahankan keahlian dan keputusan, koordinasi dan integrasi mereka, perizinan dan pemeliharaan;
  • kemudahan penggunaan: metode dan cara yang digunakan untuk memastikan keamanan informasi tidak boleh mengarah pada peningkatan jumlah tindakan personil yang keliru, sementara prinsip ini tidak berarti kesederhanaan arsitektur atau penurunan fungsionalitas;
  • hak minimum: esensi dari prinsip ini adalah alokasi hak yang paling sedikit, yang seharusnya tidak mengarah pada pelanggaran terhadap pekerjaan pengguna;
  • efisiensi ekonomi: solusi yang diterapkan harus berusaha untuk mengurangi total biaya kepemilikan, meningkatkan rasio pengembalian investasi dan mengoptimalkan indikator lain untuk menilai efisiensi ekonomi investasi.

Pembentukan profil masa depan keamanan informasi adalah solusi untuk beberapa tugas yang saling bertentangan:

  • mematuhi persyaratan keamanan informasi (undang-undang, regulator, produsen, mitra, dll.);
  • meminimalkan risiko pelanggaran IS;
  • memastikan kepatuhan dengan tujuan bisnis, dengan mempertimbangkan perubahan yang diantisipasi dalam proses bisnis dan TI;
  • memberikan daya tarik investasi keamanan informasi.

Ada banyak standar, baik internasional (ISO, COBIT, NIST, dll.), Dan Rusia (STO BR, GOST, dll.), Yang dapat diadopsi ketika membentuk profil masa depan keamanan informasi. Namun, penting untuk diingat di sini bahwa tidak ada standar yang dapat diterapkan sepenuhnya untuk semua perusahaan. Oleh karena itu, Anda tidak boleh mengembangkan strategi hanya berdasarkan satu standar atau melakukan segala sesuatu di bawah salinan karbon. Dalam analisis akhir, semua komponen proses keamanan informasi harus secara organik sesuai dengan logika pengembangan bisnis: di satu sisi, jangan terlalu menahan pengembangan, dan di sisi lain, jaga risiko dalam batas yang ditentukan.

Masalah penting yang juga perlu dipertimbangkan sebagai bagian dari strategi SI adalah jumlah dan kualifikasi personel, yang diperlukan untuk memastikan terpenuhinya fungsi dasar. Setidaknya model kompetensi paling sederhana harus dikembangkan, yang, selain tanggung jawab pekerjaan, akan menentukan pengetahuan dan keterampilan organisasi dan industri yang dibutuhkan oleh staf. Ketika mengembangkan strategi keamanan informasi, lebih baik menawarkan hanya solusi yang akan membutuhkan kompetensi yang selanjutnya tersedia bagi perusahaan, atau setidaknya kompetensi yang dapat diperoleh dengan upaya minimal.

Masalah lain yang patut dipertimbangkan adalah outsourcing. Ini bisa menjadi alat yang baik yang mempercepat implementasi banyak fungsi keamanan informasi, serta memberikan dukungan operasionalnya. Ketika memutuskan outsourcing, perlu untuk memperhitungkan risiko yang relevan, karena penggunaan perusahaan pihak ketiga untuk menyediakan IS tidak selalu berarti mentransfer tanggung jawab kepada pelanggan dan regulator mereka, di samping itu, jika terjadi insiden, pelanggan sering tidak peduli siapa yang menyebabkan kegagalan. Dalam hal ini, fungsi manajemen dan kontrol keamanan informasi tidak boleh sepenuhnya diserahkan kepada pihak luar.

Hasil dari tahap ini adalah:

  • sasaran dan sasaran, prinsip pengembangan keamanan informasi;
  • deskripsi komposisi dan fungsionalitas sistem keamanan informasi target;
  • deskripsi proses manajemen keamanan informasi target;
  • melaporkan dan mempresentasikan hasil panggung.

Tahap 4. Pembentukan portofolio proyek keamanan informasi. Pada tahap akhir, masalah efisiensi investasi dalam pengembangan keamanan informasi diselesaikan. Untuk tujuan ini, portofolio proyek keamanan informasi sedang dibentuk, termasuk penilaian dan pemilihan proyek potensial, menetapkan prioritas mereka dan menetapkan kriteria untuk kelayakannya.

Ada sejumlah besar metode untuk mengevaluasi proyek-proyek potensial untuk dimasukkan dalam portofolio: ekonomi-matematika, ahli-analitis, grafik. Di antara mereka, metode analisis pakar, khususnya, metode kriteria bobot berganda, yang memungkinkan evaluasi berdasarkan kriteria kuantitatif dan kualitatif, memprioritaskan proyek dengan mempertimbangkan kekhususannya dan mudah digunakan, banyak digunakan dalam kaitannya dengan proyek IT / IS. Inti dari metode ini adalah untuk menetapkan bobot khusus untuk setiap kriteria, yang ditentukan relatif terhadap pentingnya untuk mencapai tujuan strategis. Seperangkat kriteria dan gravitas spesifiknya adalah individu untuk setiap perusahaan dan ditentukan oleh spesifisitas dan skala aktivitasnya. Dalam praktiknya, kelompok kriteria paling sering digunakan: kriteria keuangan, kriteria bisnis, kriteria risiko. Prosedur evaluasi menggunakan metode ini sederhana dan mencakup langkah-langkah berikut:

  • penentuan seperangkat kriteria dan gravitasi spesifik mereka;
  • evaluasi setiap proyek potensial sesuai dengan serangkaian kriteria yang diberikan;
  • perhitungan penilaian integral dari setiap proyek potensial;
  • pemeringkatan proyek potensial berdasarkan penilaian terintegrasi.

Langkah selanjutnya setelah mengevaluasi proyek adalah pembentukan satu set proyek optimal yang paling menjamin pencapaian tujuan strategis perusahaan, dengan mempertimbangkan batasan saat ini. Pada langkah ini, perbedaan yang signifikan antara indikator proyek diidentifikasi dan perataannya dengan mempertimbangkan interkoneksi mereka. Pedoman utama dalam menemukan solusi terbaik, sebagai suatu peraturan, adalah:

  • efek maksimum dari pelaksanaan proyek sesegera mungkin, dengan mempertimbangkan kendala keuangan;
  • efek dari implementasi urutan proyek yang saling berhubungan.

Pertanyaan terakhir yang perlu dijawab ketika mengembangkan strategi keamanan informasi adalah bagaimana, dalam proses implementasi selanjutnya, untuk mengetahui apakah kita bergerak ke arah yang benar dan seberapa jauh kita telah maju. Untuk menilai efektivitas implementasi strategi SI, serangkaian metrik diletakkan. Metrik harus konsisten dengan tujuan perusahaan, jadi ketika mengembangkan metrik, penting untuk terlebih dahulu menentukan manfaat bisnis aktual dari memberikan keamanan informasi, dan kemudian kriteria yang dapat digunakan untuk menilai pencapaian manfaat ini. Sebagai aturan, manajemen perusahaan sebagai metrik merasakan indikator dalam hal moneter atau tingkat pengaruh pada proses bisnis. Juga pilihan yang baik adalah dengan menggunakan model kematangan proses, ini memberikan penilaian visual tentang tingkat implementasi proses IS.

Hasil dari tahap ini adalah:

  • portofolio target proyek keamanan informasi;
  • "Roadmap" untuk pengembangan keamanan informasi;
  • ;
  • ;
  • .




, , .

.

ยซ ยป, , . , , โ€” , ยซยป. , , .

.

- โ€” , , () . , . , , .

.

, , , . , , .

.

, . , , .

, , . , .

Kesimpulan


, , . , , . , , โ€” .

Source: https://habr.com/ru/post/id441920/

More articles:


All Articles