Menerapkan Security Culture dalam Bekerja
Mengedepankan budaya aman atau security culture di sebuah perusahaan memang tidak mudah. Pola bekerja seperti itu membutuhkan waktu yang tidak sedikit. Organisasi perusahaan pun tentu telah berusaha membentuk suatu program untuk membangun security culture. Pertanyaan terbesarnya adalah apakah security culture dapat diukur dengan metode khusus? Organisasi perlu mengetahui efektif atau tidaknya program yang telah mereka bangun.
Anggarajati Haribhawana, seorang information security manager di salah satu perusahaan multinasional menjelaskan bahwa security culture dapat diukur melalui survei. “Ada beberapa indikator untuk mengukur security culture di sebuah perusahaan,” kata Angga, sapaan akrabnya. Ia kemudian melanjutkan bahwa untuk mengukur security culture, organisasi perlu menyamakan persepsi tingkat budaya keamanan informasi di masyarakat.
Terkait dengan indikator pengukuran, Angga mengatakan setidaknya ada tiga yang biasanya dijadikan tolok ukur bila ingin mengukur security culture dari sisi pemerintahan. Tiga indikator itu adalah:
- Implementation. Penerapan keamanan informasi dalam pelayanan publik.
- Knowledge/awareness, yaitu pemahaman masyarakat terhadap keamanan informasi seperti apakah seluruh staf di lembaga pemerintahan telah waspada terhadap ancaman pencurian kata sandi internet banking pada koneksi WiFi.
- Teknologi, yaitu penggunaan perangkat standar keamanan TI seperti perlindungan enkripsi WPA2 ataupun CCTV publik yang tidak dapat diakses secara ilegal.
Sedangkan dari sisi perusahaan, Angga melihat bahwa ada lima indikator untuk mengukur security culture. Indikator tersebut adalah dukungan top management, security policy, security awareness, risk, compliance and assessment dan terakhir adalah audit secara periodik. “Laporan untuk mengetahui hasil dari security culture harus diketahui oleh top management,” imbuh Angga. Namun demikian, tidak semua top management tahu terhadap keamanan. “Khususnya seperti security critical patch,” kata Angga.
Adapun divisi yang mengukur tolak ukur security culture, Angga menjelaskan bahwa ini semua dapat berbeda di antara organisasi dengan yang lain. “Mengenai divisi, dalam financial industries biasanya assessment diserahkan pada pihak ketiga koordinasi melalui divisi Keamanan TI yang berkolaborasi dengan divisi Tata Kelola TI,” ujar Angga, “Di perusahaan multinasional, assessment untuk security culture dilakukan oleh tim Keamanan TI.”
Source : http://www.indosecuritysystem.com/