Jika kita terbiasa dalam pembentukan kebijakan terkait pengamanan informasi itu harus mengikuti pola S.M.A.R.T yang boleh di panjangin jadi
Specifics untuk
S,
Measureable untuk
M,
Achievable untuk
A,
Realistic untuk
R, dan
Time Based untuk
T.
Namun sebelum tahu banyak tentang SMART ada baiknya mengenal 5Ws.
- What, apa, prosedurnya sendiri itu prosedur apa?
- Who, siapa, siapa yang menjalankan prosedur?
- When, kapan, kapan suatu prosedure harus dijalankan?
- Where, dimana, dimana suatu prosedure harus dijalankan?
- Why, mengapa, mengapa suatu prosedure harus dijalankan?
Ya, 5Ws yang selalu diawali dengan 'Wh' sama dengan 5Ws dari dunia jurnalistik. Lalu, kenapa kita menggunakan ini untuk membangun suatu prosedure? Karena dengan mejawab pertanyaan-pertanyaan di atas maka kita akan bisa mendapat gambaran secara utuh tentang suatu prosedur, baik tentang prosedur apa yang akan dijalankan, siapa yang harus menjalankannya, kapan harus dijalankan, dimana harus dijalankan, dan yang pasti adalah mengapa suatu prosedur harus dijalankan.
Yang pasti dalam menilai SMART atau membentuk kebijakan secara SMART maka kira harus menggunakan kaidah jurnalistik di atas.
Kembali ke
SMART.
S, Specifics. Sespesifik apakah kebijakan tentang pengamanan informasi yang akan kita buat? Pada dasarnya suatu kebijakan pengamanan bisa dibuat sangat spesifik atau sangat umum bergantung pada kemampuan organisasi itu mengadaptasi perubahan dan tentunya bergantung pula pada kebijakan dari organisasi itu sendiri untuk melakukan review terhadap seluruh kebijakan yang berlaku di dalam organisasi itu sendiri.
Pada suatu organisasi, oleh karena sifatnya yang sangat fleksible untuk mengantisipasi ancaman-ancaman, sangat mungkin untuk membuat suatu policy sedetail mungkin. Dalam organisasi seperti ini, mungkin perubahan policy hanya membutuhkan waktu dalam hitungan hari. Bisa 3 hari, bisa 4 hari atau mungkin kurang dari itu. Namun, pada organisasi lain, yang karena ukurannya dan jenjang birokrasi, atau karena kebutuhan akan kepastian kebijakan; perubahan suatu kebijakan bisa membutuhkan waktu lebih lama dan siklus perubahannya bisa mencapai 1 tahun ata bergantung pada kebijakan dari oragnisasi itu sendiri. Pada organisasi ini, mungkin kebijakan pengamanan informasi tidak dibuat dengan sangat detail karena luasnya cakupan yang memang tidak bisa dihindari oleh karena sifat dan ukuran organisasi. Namun, kenyataan bahwa tidak pernah ada satu jawaban untuk menjawab semua pertanyaan, maka penting bagi organisasi untuk melakukan review untuk melakukan perubahan-perubahan yang dirasa perlu.
M, Measurable. Pernyataan-pernyataan di dalam membentuk suatu kebijakan pengamanan informasi harus bisa terukur dalam arti jelas dan tidak bersayap. Sebagai contoh point-point pengamanan informasi mengenai password berikut
- Tidak diperkenankan menggunakan singkatan-singkatan yang umum sebagai bagian dari password
- Tidak diperkenankan menggunakan kata-kata umum atau kebalikan dari kata-kata umum sebagai bagian dari password
- Tidak diperkenankan menggunakan nama orang atau nama tempat sebagai bagian dari password
- Tidak diperkenankan menggunakan seluruh atau sebagian dari login name (user name) sebagai bagian dari password
- Tidak diperkenankan menggunakan angka-angka yang mudah ditebak seperti tanggal lahir, nomor telepon, nomor NPWP dan nomor-nomor sejenis lainnya sebagai bagian dari password.
Perhatikan penggunaan kata-kata "tidak diperkenankan". Penggunaan kata-kata ini bisa masuk dalam katagori measurable. Di sini, user atau object dari kebijakan bisa menerima dengan jelas maksud dari kebijakan.
Bandingkan dengan contoh berikut:
- Pada kondisi dimana password dibutuhkan, setiap user harus mempunyai passwordnya sendiri yang hanya diketahui oleh yang bersangkutan. Masing-masing user bertanggung-jawab terhadap kerahasiaan dari passwordnya masing-masing dan untuk setiap penyalahgunaan passwordnya oleh pihak lain.
Pada contoh kedua ini, kebijakan tidak menyebutkan dengan jelas tentang bagaimana password yang rahasia dan tidak mudah ditebak tetapi menyerahkan tanggung-jawab kerahasiannya kepada user.
A, Achievable. Suatu kebijakan seharusnya bisa dijalankan. Sebagai contoh bisa dilihat pada frasa kebijakan berikut;
"Apabila suatu data dan sistem baru telah terpasang, maka personel dari application security bisa melakukan evaluasi dan menentukan metode, proses, kelengkapan, dan prosedur untuk meminimalkan resiko."
Frasa di atas kelihatan sangat ideal, sangat mudah bagi seorang
Application Security untuk menuliskan frasa seperti itu. Akan tetapi, pada kondisi yang sebenarnya, akan sangat sulit bagi seorang
Application Security untuk menentukan point-point kebijakan yang akan dituliskan agar memenuhi persayaratan spesifik dan measurable. Bila seorang
Application Security bisa dengan mudah menuliskan point kebijakannya, sangat boleh jadi itu akan menjadi tidak
achievable. Contoh di atas adalah point kebijakan yang tidak spesifik, measurable, dan acievable. Contoh di atas terlalu mengambang dan tidak spesifik, tidak secara jelas menyebutkan tindakan yang harus dilakukan oleh seorang
Application Security dan tentunya tidak akan achievable karena tolok ukurnya yang tidak jelas.
R, Realistic. Suatu kebijakan seharusnya mempunyai pandangan yang realistik terhadap setiap point yang diuraikan. Contoh berikut adalah contoh point yang kurang realistik.
"Seluruh karyawan yang memperoleh sambungan internet hanya boleh menggunakannya hanya untuk kepentingan bisnis perusahaan."
Frasa di atas kelihatannya memang indah, namun kurang realistik.
Kenapa tidak realistik? Karena user akan berpikir, bagaimana dengan karyawan yang bepergian dengan laptop perusahaan? Bisa jadi mereka mempunyai account facebook, dan menggunakan laptop perusahaan plus sambungan internetnya untuk ber-facebook-ria.
T, Time Based. Harus jelas waktunya, dan karena harus memperhatikan faktor achievable maka untuk mendukung kebijakan terkait
Time Based harus juga dilengkapi dengan prosedur. Perhatikan contoh berikut:
"Terminasi Account: Setiap supervisor dari karyawan yang mengundurkan diri harus melaporkan pengunduran diri karyawan bersangkutan kepada Security Admin sebelum atau pada hari pengunduran diri karyawan yang bersangkutan, sehingga semua account milik karyawan bisa di-inaktifkan dengan baik"
Paragraf kebijakan di atas bagus namun frasa "sebelum atau pada hari" atau "secepatnya" hanya akan bisa berjalan bila dilengkapi dengan prosedure yang bisa menjelaskan dengan pasti mengenai apa yang harus dilakukan oleh seorang supervisor terkait pengunduran diri staff-nya.