Mengutip dari laman Telkom University, virus ransomware adalah salah satu jenis virus yang menyerang perangkat dengan menggunakan sistem enkripsi file, sehingga file atau data menjadi tidak bisa dibaca oleh komputer atau laptop yang sedang digunakan. Virus ini dapat dihilangkan dengan mudah selama ada kode enkripsinya, namun korban perlu mengeluarkan uang tebusan untuk bisa mendapatkan kode enkripsi tersebut. Berikut 8 implementasi ISO 27001 untuk cegah virus ransomware.
Bahaya Serangan Ransomware dan Cara Mencegahnya
Virus ransomware ini terbilang sangat berbahaya bagi sistem informasi sebuah organisasi. Data yang telah terserang tidak terbaca lagi, sehingga akan menyebabkan kekacauan dalam sistem IT perusahaan. Apalagi untuk organisasi tertentu yang menyimpan data publik seperti perbankan atau instansi pemerintahan.
Berikut empat cara yang bisa dilakukan untuk mencegah serangan virus ransomware ini:
-
1. Hindari website tanpa HTTPS. Hypertext Transfer Protocol Secure (HTTPS) berfungsi sebagai alat keamanan saat bertukar informasi di Internet, dengan cara enkripsi data. Oleh karena itu, kehadiran HTTPS dapat menjamin keamanan kita.
2. Jangan klik tautan mencurigakan. Jangan sembarangan mengklik tautan karena malware advertising merupakan metode yang paling banyak digunakan oleh peretas akhir-akhir ini. Melalui tautan mencurigakan, tanpa sadar virus malware atau ransomware masuk ke perangkat kita.
3. Selalu backup data. Seperti yang sudah dijelaskan sebelumnya, virus ransomware ini mengenkripsi data dan mengancam akan menghapusnya jika korban tidak membayar uang tebusan. Itulah mengapa penting untuk selalu mencadangkan data secara rutin. Selama ada ruang cadangan dan data di perangkat terlindungi dari virus, ini bukan masalah besar.
4. Bagi organisasi, pastikan sistem informasi di perusahaan atau instansi sudah beroperasi sesuai dengan standar internasional, seperti Information Security Management System (ISMS) ISO 27001. Dengan sertifikasi ini perusahaan mempunyai jaminan bahwa sistem informasinya telah memenuhi standar dan aman dari berbagai virus, termasuk ransomware.
Tahapan Implementasi ISO 27001
Lalu bagaimana tahapan untuk implementasi ISO 27001 ini? Berikut adalah 9 tahap yang perlu dilakukan oleh perusahaan atau instansi untuk menerapkan ISMS ISO 27001:
-
1. Bentuk tim implementasi ISO 27001
Rencana implementasi harus dimulai dengan membentuk tim khusus terlebih dahulu. Pembentukan tim ini sekaligus bertujuan untuk menjawab pertanyaan seperti, “apa yang ingin dicapai oleh perusahaan? Berapa lama prosesnya? Apakah didukung oleh manajemen?”
2. Susun rencana implementasi ISO 27001
Tim implementasi yang sudah terbentuk tersebut kemudian harus menyusun garis besar yang lebih mendetail tentang tujuan, rencana, dan daftar risiko keamanan informasi organisasi.
3. Inisiasi ISMS
Selanjutnya adalah mengadopsi metode implementasi ISMS. Standar ini menyadari bahwa pendekatan proses untuk improvement berkelanjutan merupakan cara yang paling efektif untuk mengelola sistem informasi. ISMS memungkinkan organisasi menggunakan metode apapun yang mereka pilih, atau melanjutkan menggunakan model yang sudah ada. Tahap ini juga termasuk pengembangan seluruh dokumen.
4. Management framework
Proses untuk melakukan tahap ini tercantum dalam klausul 4 dan 5 ISO 27001. Bagian terpenting dari tahap ini adalah menentukan cakupan ISMS dalam organisasi, misalnya, bagian mana dari organisasi yang ingin dilindungi oleh ISMS. Menciptakan cakupan yang tepat adalah tahapan penting dalam kegiatan implementasi ISO 27001.
5. Pengendalian keamanan dasar
Keamanan dasar organisasi adalah tingkat aktivitas minimum yang diperlukan untuk menjalankan bisnis dengan aman. Anda harus menentukan keamanan dasar organisasi menggunakan informasi yang dikumpulkan selama penilaian risiko ISO 27001.
6. Manajemen risiko
Tahap ini bukanlah tentang mengelola risiko itu sendiri, namuni membangun cara-cara untuk bisa mencapai tugas tersebut. Anda harus mempertimbangkannya dan menentukan apakah akan:
-
a. Menangani risiko dengan menerapkan kontrol keamanan informasi yang ditetapkan dalam ISO 27001
b. Menghentikan risiko dengan menghindarinya sama sekali
c. Membagi risiko (misalnya dengan polis asuransi atau melalui perjanjian dengan pihak lain)
d. Menerima risiko (jika tidak menimbulkan ancaman yang signifikan)
7. Mengimplementasikan rencana penanganan risiko
Setelah rencana penanganan risiko sudah ditentukan, maka Anda bisa menerapkannya pada tahap ini. Untuk memastikan pengendalian ini efektif, Anda perlu memeriksa apakah staf dapat mengoperasikan kontrol tersebut, dan bahwa mereka menyadari kewajiban keamanan informasi mereka.
Anda juga perlu mengembangkan proses untuk menentukan, meninjau, dan memelihara kompetensi yang diperlukan untuk mencapai tujuan ISMS Anda. Hal ini mencakup melakukan analisis kebutuhan dan menentukan tingkat kompetensi yang diinginkan.
8. Measure, monitor and review
Untuk me-review kegiatan ini, Anda harus membandingkan antara hasil yang ada dengan tujuan yang sudah ditentukan di awal. Hal ini bisa diukur secara kuantitatif maupun kualitatif. Penilaian kuantitatif berguna untuk mengukur hal-hal yang melibatkan biaya finansial atau waktu, sedangkan penilaian kualitatif lebih cocok untuk tujuan yang sulit didefinisikan, misalnya kepuasan karyawan dengan proses baru.
9. Sertifikasi
Setelah ISMS diterapkan, organisasi harus mempertimbangkan untuk mendapatkan sertifikasi dari lembaga sertifikasi yang terakreditasi. Hal ini akan membuktikan kepada para pemangku kepentingan bahwa ISMS tersebut efektif dan organisasi memahami pentingnya keamanan informasi.
Proses sertifikasi akan melibatkan tinjauan dokumentasi sistem manajemen organisasi untuk memeriksa apakah kontrol yang tepat telah diterapkan. Lembaga sertifikasi juga akan melakukan audit lapangan untuk menguji prosedur dalam praktiknya.
Sumber Referensi:
1. Irwin, Luke. 2021. A 9-step guide to implementing ISO 27001. IT Governance European. https://www.itgovernance.eu/blog/en/a-9-step-guide-to-implementing-iso-27001 Diakses pada 10 Mei 2023
2. Parker, Graeme. 2017. 10 Key Steps to Implement ISO 27001. PECB. https://pecb.com/article/10-key-steps-to-implement-iso-27001 Diakses pada 10 Mei 2023
3. Meilinaeka. 2022. Simak Inilah Pengertian Ransomware dan Cara Mencegahnya. Pusat Teknologi Informasi Universitas Telkom (PuTI). Diakses pada 10 Mei 2023
Penulis: (S)
0 Comments