Ruang Lingkup Tugas Information Technology Security

Telah luas dikenal bahwa pada dasarnya ruang lingkup tugas Information Technology (IT) Security adalah di sekitar CIA (Confidentiality, Integrity dan Availability).

Segala sesuatu yang terkait dengan CIA tersebut relevant untuk dijadikan sebagai tugas dan tanggung jawab IT Security. Dapat dibayangkan betapa luasnya ruang lingkup tugas dan tanggung jawab IT Security.



Secara garis besar Confidentiality terutama terkait dengan physical security, logical security dan segregation of duty, Integrity terutama terkait dengan metodologi atau tahapan pengadaan dan pengembangan aplikasi, Availability terutama terkait dengan availability dari IT operations termasuk BCP, DRP dsb.

Penjelasan di atas merupakan salah satu pendapat atau pendekatan bagaimana cara melihat konsep CIA diterapkan. Meskipun pendekatan tersebut cukup bagus dan mudah dimengerti, tetapi ada pendekatan yang sudah lebih luas dikenal, yaitu yang berdasarkan pada konsep standard information security ISO 27000, dimana yang dimaksud dengan CIA adalah aspek CIA dari information.

Jika dilihat dari area yang ada di IT security, dapat mengacu pada konsep atau standard Information Security ISO 27000 atau lebih tepatnya ISO 27002, terdapat 11 area atau domain sebagai berikut:

1.Security policy.
2.Organization of information security.
3.Asset management.
4.Human resources security.
5.Physical and environmental security.
6.Communications and operations management.
7.Access control.
8.Information system acquisition, development, and maintenance.
9.Information security incident management.
10.Business continuity management.
11.Compliance

Timbul pertanyaan apa bedanya IT Security dengan Information Security?. Pembahasannya bisa panjang, tetapi secara singkat IT security adalah bagian dari Information Security, IT security mencakup kira-kira 50% dari total aspek yang ada di dalam Information Security.

Tetapi karena sisa aspek yang 50% lainnya yang ada pada Information Security selain aspek IT security, adalah merupakan aspek-aspek yang relatif mudah untuk dilakukan, seperti masalah dokumentasi dan sebagainya, sehingga dapat diambil kesimpulan bahwa work-load dari IT security mungkin mencakup sekitar 80%-90% dari total work-load yang ada dalam Information Security.

Sehingga dari penjelasan tersebut di atas dapat diambil kesimpulan bahwa IT security adalah kurang lebih sama dengan Information Security.

Jika seluruh ruang lingkup CIA yang ada pada 11 domain atau area Information Security tersebut sepenuhnya harus dikerjakan oleh unit IT Security tentu tidak akan tertangani dengan baik, lalu bagaimana jalan keluarnya?.

Seperti diketahui bahwa kewenangan dapat didelegasikan tetapi tanggung jawab tidak. Dengan menggunakan konsep inilah tugas dan tanggung jawab Information Security dapat diimplementasikan dengan efektif dan optimal.

Pada dasarnya jika memungkinkan seluruh tanggung jawab dan kewenangan IT Security berada di unit IT Security sendiri, tetapi pada prakteknya dengan luasnya cakupan CIA maka seluruh tanggung jawab dan kewenangan yang ada akan sulit jika seluruhnya berada di unit IT Security.

Seperti disebutkan di atas bahwa tanggung jawab tidak dapat didelegasikan, maka pilihan tinggal pada kewenangan apakah kewenangan akan didelegasikan atau tidak. Keputusan apakah akan mendelegasikan kewenangan IT Security ke unit lain berada di tangan kepala unit kerja IT Security.

Keputusan untuk mendelegasikan atau tidak mendelegasikan kewenangan adalah merupakan pilihan yang sama seperti keputusan untuk melakukan outsource atau tidak, jadi dalam hal ini tidak ada yang salah atau yang benar.

Keputusan pendelegasian wewenang pilihannya bisa menjadi ekstrim yaitu, melakukan pendelegasian seluruh wewenang atau kita sebut desentralisasi, atau sama sekali tidak dilakukan pendelegasian wewenang atau kita sebut sentralisasi. Tetapi tentu saja ada pilihan yang ditengah, yaitu sebagian sentralisasi dan sebagian desentralisasi.

Dengan menggunakan konsep sentralisasi dan desentralisasi wewenang tersebut maka tugas IT Security dapat diimplementasikan secara optimal. Seperti disebutkan bahwa pada implementasinya pendelegasian dapat dilakukan secara mixed, misalnya untuk confidentiality dilakukan secara sentralisasi dan untuk integrity dan availability dilakukan secara desentralisasi.

Tentu terdapat kekurangan dan kelebihan dari sentralisasi atau desentralisasi. Di dalam sentralisasi kelebihannya adalah tidak diperlukan control yang sangat ketat karena kendali sepenuhnya ada di unit kerja IT Security, kekurangannya adalah perlu dipekerjakan banyak orang, sedang di dalam desentralisasi kelebihannya adalah tidak perlu banyak mempekerjakan banyak orang dan kekurangannya adalah perlu diterapkan control yang sangat ketat.

Untuk tahap awal, implementasi yang paling mudah adalah secara desentralisasi, kemudian dengan berjalannya waktu dan secara bertahap dan secara selektif implemntasi dilakukan mengarah ke arah sentralisasi. Sebagai contoh, pada tahap awal implementasi dilakukan dengan memilih confidentiality dilakukan secara sentralisasi, sedangkan untuk integrity dan availability dilakukan secara desentralisasi, kemudian dengan berjalannya waktu secara bertahap dan selektif dilihat apakah di integrity dan availability terdapat area-area yang perlu dibuat sentralisasi.

Keputusan untuk melakukan sentralisasi dan desentralisasi bukan masalah benar-salah atau baik-buruk, tetapi itu adalah masalah pilihan, sama seperti dalam pengambilan keputusan untuk melakukan outsource atau tidak. Di dalam melakukan outsource artinya adalah kewenangannya yang didelegasikan tetapi tanggung jawabnya tidak. Kewenangan dapat didelegasikan tetapi tanggung jawab tidak.

Jika kita percaya bahwa melakukan outsource-pekerjaan adalah merupakan hal yang dapat dikerjakan atau dapat diterima, maka tidak ada alasan untuk mengatakan bahwa sentralisasi atau desentralisasi pada IT security adalah hal yang tidak dapat dikerjakan atau tidak dapat diterima.

Jadi di dalam implementasi IT Security juga berlaku prinsip bahwa kewenangan memastikan CIA dapat didelegasikan sebagian atau seluruhnya tetapi tanggung jawab sama sekali tidak dapat didelegasikan.

Silakan kunjungi IT Governance Online untuk melihat dan menyimak pembahasan yang lebih lengkap terkait Teknologi Informasi dan Komunikasi.

Baca Juga

Lebih Jauh Tentang Inherent Risk dan Residual Risk
Manfaat Sertifikasi ISO 27001
Inherent Risk dan Residual Risk
Hubungan yang unik antara security, risk dan compliance
Penentuan Inherent Risk
Key Risk Indicator vs Key Performance Indicator

Leave a Reply