04 November 2010

S.M.A.R.T policy dan procedure

Jika kita terbiasa dalam pembentukan kebijakan terkait pengamanan informasi itu harus mengikuti pola S.M.A.R.T yang boleh di panjangin jadi Specifics untuk S, Measureable untuk M, Achievable untuk A, Realistic untuk R, dan Time Based untuk T.

Namun sebelum tahu banyak tentang SMART ada baiknya mengenal 5Ws.
  1. What, apa, prosedurnya sendiri itu prosedur apa?
  2. Who, siapa, siapa yang menjalankan prosedur?
  3. When, kapan, kapan suatu prosedure harus dijalankan?
  4. Where, dimana, dimana suatu prosedure harus dijalankan?
  5. Why, mengapa, mengapa suatu prosedure harus dijalankan?
Ya, 5Ws yang selalu diawali dengan 'Wh' sama dengan 5Ws dari dunia jurnalistik.  Lalu, kenapa kita menggunakan ini untuk membangun suatu prosedure? Karena dengan mejawab pertanyaan-pertanyaan di atas maka kita akan bisa mendapat gambaran secara utuh tentang suatu prosedur, baik tentang prosedur apa yang akan dijalankan, siapa yang harus menjalankannya, kapan harus dijalankan, dimana harus dijalankan, dan yang pasti adalah mengapa suatu prosedur harus dijalankan. Yang pasti dalam menilai SMART atau membentuk kebijakan secara SMART maka kira harus menggunakan kaidah jurnalistik di atas.

Kembali ke SMART.
S, Specifics. Sespesifik apakah kebijakan tentang pengamanan informasi yang akan kita buat? Pada dasarnya suatu kebijakan pengamanan  bisa dibuat sangat spesifik atau sangat umum bergantung pada kemampuan organisasi itu mengadaptasi perubahan dan tentunya bergantung pula pada kebijakan dari organisasi itu sendiri untuk melakukan review terhadap seluruh kebijakan yang berlaku di dalam organisasi itu sendiri.
Pada suatu organisasi, oleh karena sifatnya yang sangat fleksible untuk mengantisipasi ancaman-ancaman, sangat mungkin untuk membuat suatu policy sedetail mungkin. Dalam organisasi seperti ini, mungkin perubahan policy hanya membutuhkan waktu dalam hitungan hari.  Bisa 3 hari, bisa 4 hari atau mungkin kurang dari itu.  Namun, pada organisasi lain, yang karena ukurannya dan jenjang birokrasi, atau karena kebutuhan akan kepastian kebijakan; perubahan suatu kebijakan bisa membutuhkan waktu lebih lama dan siklus perubahannya bisa mencapai 1 tahun ata bergantung pada kebijakan dari oragnisasi itu sendiri. Pada organisasi ini, mungkin kebijakan pengamanan informasi  tidak dibuat dengan sangat detail karena luasnya cakupan yang memang tidak bisa dihindari oleh karena sifat dan ukuran organisasi. Namun, kenyataan bahwa tidak pernah ada satu jawaban untuk menjawab semua pertanyaan, maka penting bagi organisasi untuk melakukan review untuk melakukan perubahan-perubahan yang dirasa perlu.

M, Measurable. Pernyataan-pernyataan di dalam membentuk suatu kebijakan pengamanan informasi harus bisa terukur dalam arti jelas dan tidak bersayap. Sebagai contoh point-point pengamanan informasi mengenai password berikut
  • Tidak diperkenankan menggunakan singkatan-singkatan yang umum sebagai bagian dari password
  • Tidak diperkenankan menggunakan kata-kata umum atau kebalikan dari kata-kata umum sebagai bagian dari password
  • Tidak diperkenankan menggunakan nama orang atau nama tempat sebagai bagian dari password
  • Tidak diperkenankan menggunakan seluruh atau sebagian dari login name (user name) sebagai bagian dari password
  • Tidak diperkenankan menggunakan angka-angka yang mudah ditebak seperti tanggal lahir, nomor telepon, nomor NPWP dan nomor-nomor sejenis lainnya sebagai bagian dari password.
Perhatikan penggunaan kata-kata "tidak diperkenankan".  Penggunaan kata-kata ini bisa masuk dalam katagori measurable.  Di sini, user atau object dari kebijakan bisa menerima dengan jelas maksud dari kebijakan.

Bandingkan dengan contoh berikut:
  • Pada kondisi dimana password dibutuhkan, setiap user harus mempunyai passwordnya sendiri yang hanya diketahui oleh yang bersangkutan.  Masing-masing user bertanggung-jawab terhadap kerahasiaan dari passwordnya masing-masing dan untuk setiap penyalahgunaan passwordnya oleh pihak lain.
Pada contoh kedua ini, kebijakan tidak menyebutkan dengan jelas tentang bagaimana password yang rahasia dan tidak mudah ditebak tetapi menyerahkan tanggung-jawab kerahasiannya kepada user.

A, Achievable. Suatu kebijakan seharusnya bisa dijalankan. Sebagai contoh bisa dilihat pada frasa kebijakan berikut;

"Apabila suatu data dan sistem baru telah terpasang, maka personel dari application security bisa melakukan evaluasi dan menentukan metode, proses, kelengkapan, dan prosedur untuk meminimalkan resiko."

Frasa di atas kelihatan sangat ideal, sangat mudah bagi seorang Application Security untuk menuliskan frasa seperti itu. Akan tetapi, pada kondisi yang sebenarnya, akan sangat sulit bagi seorang Application Security untuk menentukan point-point kebijakan yang akan dituliskan agar memenuhi persayaratan spesifik dan measurable.  Bila seorang Application Security bisa dengan mudah menuliskan point kebijakannya, sangat boleh jadi itu akan menjadi tidak achievable.  Contoh di atas adalah point kebijakan yang tidak spesifik, measurable, dan acievable. Contoh di atas terlalu mengambang dan tidak spesifik, tidak secara jelas menyebutkan tindakan yang harus dilakukan oleh seorang Application Security dan tentunya tidak akan achievable karena tolok ukurnya yang tidak jelas.

R, Realistic.  Suatu kebijakan seharusnya mempunyai pandangan yang realistik terhadap setiap point yang diuraikan. Contoh berikut adalah contoh point yang kurang realistik.

"Seluruh karyawan yang memperoleh sambungan internet hanya boleh menggunakannya hanya untuk kepentingan bisnis perusahaan."

Frasa di atas kelihatannya memang indah, namun kurang realistik. Kenapa tidak realistik? Karena user akan berpikir, bagaimana dengan karyawan yang bepergian dengan laptop perusahaan? Bisa jadi mereka mempunyai account facebook, dan menggunakan laptop perusahaan plus sambungan internetnya untuk ber-facebook-ria.

T, Time Based.  Harus jelas waktunya, dan karena harus memperhatikan faktor achievable maka untuk mendukung kebijakan terkait Time Based harus juga dilengkapi dengan prosedur. Perhatikan contoh berikut:

"Terminasi Account: Setiap supervisor dari karyawan yang mengundurkan diri harus melaporkan pengunduran diri karyawan bersangkutan kepada Security Admin sebelum atau pada hari pengunduran diri karyawan yang bersangkutan, sehingga semua account milik karyawan bisa di-inaktifkan dengan baik"

Paragraf kebijakan di atas bagus namun frasa "sebelum atau pada hari" atau "secepatnya" hanya akan bisa berjalan bila dilengkapi dengan prosedure yang bisa menjelaskan dengan pasti mengenai apa yang harus dilakukan oleh seorang supervisor terkait pengunduran diri staff-nya.

0 comments:

    Alumni Fisika 1

    Agus Wuryantoro * Aminurohman * Atmaji Sukoco * Daniel Sadono * Djoko Triwidayanto * Djumono * Dwi "Sendrum" * Dwi Endri Setyowati * Eko Budi Prasetyo * Eko Sujatmiko * Eling Tumiarsih * Endang Mugiastuti * Endar Prastono * Fifi * Avanti Sulistyo Dewi * Halomon Purnomo Sitanggang * Haris Kurniawan * Hartoyo * Hikmah Nur Anggraeni * Imbuh Sulistyorini * Jarot Haryo Wibowo * Joko Sulistyo Tetuko * Joko Sutarno * Judi Elviana * Kasino * Kiswanto * Komariyah * Luthfi Bahyu Aji * Manisman * Mardiyono * Meini Arwati * Miko Hananto * Mukhamad Hasim Iswanto * Paiman * Pudjianto Eko Seno * Putut Wijonarko * Riyadi * Rudi Hartono (Alm) * Sigit Tri Wuryanto * Siti Rokhimah * Slamet Riyadi * Sugiri * Sugiyono * Susilo Wardoyo * Wihartoyo * Yohanes Sukmono

    Alumni Fisika 2

    Agung Budiyono * Agung Prabowo * Ambar Setyorini * Anwar * Mustajabul Mufid * Bambang Ari Prastono * Christina Melyana Rosita * Edi Kurniawan * Hartiningsih * Ie Ay Tjen * Imam Sudibyo * Marsidi * Munirudin * Puji Sri Diananingsih * Purwidiyanto * Ros Mariani * Rudi Aji Hermawan * Rudy Widyantara * Rusdi Pujianto * Sigit Pramudyana * Slamet * Slamet Rahardjo * Slamet Yudho Kusworo * Soenarso * Sri Setiyanti * Sugeng Riyadi * Sugiyanto * Suherman * Supriyanto * Supriyono Subegjo * Sutrisno * Tato Sri Hartono * Teguh Supriyanto * Tori Subiyanto * Tri Adi Wibowo * Tri Wahyudi * Tri Widiyarto Triyono * Umar Sahid * Uud Dharma Aji * Wahyu Indarto * Wasingah (Alm) * Wisnu Subiyanto * Wiwit Kurnanto * Yan Yan Garuyana * Yusda Indria Ambarwati * Yusuf Wibandoko

    Alumni Biologi 1

    Ana Satrianingsih * Antonius Rudi Sasongko * Arin Kurniawati * Arwiyani * Asti Hari Mulianingsih * Bagjowati Lestariningsih * Banu Hestiono * Budi Setyorini * Defrita Elijanti * Dian Saraswati * Djeni Edhi Wibowo * Dwiyanto Indrawan * Dyah Sri Sulistyani * Ekowati Puspitasari * Elisa Setiyawati * Endang Parjiatmi * Estiningtyas Dharmawasih * Hartono * Hedy Soeswandono * Hendrikus Awan Sudewo * Humaedi * Ibnu Wibowo * Indah Warni * Indaryati * Indrawati * Irianto * Isnaeni Widyawati * Karni Widiastuti * Khamid Rifai * Lina Septianingrum * Mohammad Fajar * Nurchayati Salamah * Pujianingsih * Purwanto * R.r. Nur Pawekas Widiastuti * Reni Nursanti * Rudi Sunarko * Sairin * Samirah * Saptono Susilo * Sri Hariyatiningsih * Sugiarti * Rinawati * Susi Harjanti * Tri Widiono

    Alumni Biologi 2

    Abu Darin * Ani Salamah * Bambang Edi Sumarno * Bambang * Setijawan * Dwi Haryanto (Karanganyar) * Edi Musriyanto * Edi Sutarto * Endang Dwi Astuti * Eri Nur Widiastuti * Hartiwi Indaryanti * Komarudin * Kusriyani * Liliek Hikam Himawan * Lilis Kurniawati *Martono (Tangerang) * Mastuti Kustianadjanti * Misman * Mujiono * Munirah * Novi Ratnawati Rahayu (Semarang) * Nur Chayati * Nurhayati Salamah * Prarianto * Respatiningsih * Setijono (Lampung) * Setiyadi (Bali) * Sri Haryani * Sri Purwanti Dewi * Sri Susmiyati * Sugito * Sulasmi * Sumartini * Supiarti * Supraptiningsih * Supriyadi * Suratmi * Suratmin * (Makasar) * Suratni * Sutji Nurhayati (Cilegon) * Tangguh Priatmoko Aji * Tanti Estiningsih * Teguh Setiawan * Tri Endar Suswatiningsih * Tuti Winarni * Wahyu Dwi Nugroho * Widi Hastina * Wing Wiharo (Solo) * Yunita Puspita Dewi

    Alumni Bahasa

    Ambar Pujiyatno * Anando Haryanto * Arief Prasetyo * Arlisman * Beti Rosmawati * Cahyo Pramono * Darwati * Dasuki Suprapto * "Didot" * Dwi Astuti * Edi Suprapto * Ellya * Nila Kusuma * Eni Kusrini * Ety Yuliastuti * Fajar Iva * Ganang Sutopo * Jusiphie Swasti Putra Utami * Kodriyanto * Kristanti Nurwidiyani * M. Romadi * Maria Theresia Ita * Wahyu Yuda Wasti * Muji Sumarti * Muridan * Ninik Ariyani * Nugro Ratnasari * Reny Citasary * Sakimun * Safyudin * Sri Subiyanti * Sulis Tiyowati * Supriyati * Swari Panca Utami * Teguh * Setiyono * Titi Purnawati * Triyanto * Tuti Sugiarti * Urip Danang Nugroho * Walgiyati * Warih Prabowo * Waris * Ronggowarsito * Wiwik Widiasih * Wury Udaningsih * Yatiningsih

    Alumni IPS 1

    Bambang Purwanto * Catherima Neni Suryandari * Christina * Indah Haryanti * Darsimin * Dedi Noerwahyudi * Djatining * Palupi * Djoko Tri Hantoro * Dumpyuk Eti Nurani * Edhi Sasono * Eko Heri Kiswanto * Eko Wahyudiono * Eli Susmieni * Erma Sulistianingsih * Fifti Miniasih * Fitri Rokhmah * Ignatius Edi Saptomo * Ignatius Sigit Kuncoro * Indra Lasmonowati * Kartika Rusmartini * Kasman * Margaretha Indarti Sukmawati * Maryati Is Purwanti * Moh. Basyarudin * Neni Budi Pratiwi * Nugroho Ediharjo * Nuniek Indriani * Purwanti * Risbudiyono * Sigit Priyadi * Slamet Widodo * Sri Kurniati Khofifah * Sri Suprapti * Sudjud Pambudi * Suharyati * Suharyatun * Susianto * Sutadi * Sutarto * Sutomo * Tien Herawati * Toto Tri Baryanto

    Alumni IPS 2

    Abdul Chodik Mukti * Aminah Zuhriyah * Amrih Wibowo * Ananto Handoyo * Anytri Juliawati * Arum Hapsariningtyas * Bambang Mulyono * Barkah Widiyati * Bibit Murti Rahayu * Catur Prasetyo * Dany Wibowo * Densy Fianti * Djuli Setijadi * Dwi Safarini * Dwi Suprihatiningsih * Joko Waluyo * Jony * Wijonarto * Maria Sri Sulastri * M Guntur Prahoro * Minarti * Mugi Rahayu * Muslimah * Restu Ariyani * Retno Wardani * Rina Susanti * Romelani * Roni Andarwantoro * Roslitasari * Rr. Tunjung Bayuwati * Rusmono * Santoso Ari * Nurhadi * Setiyowati * Slamet Riyadi * Sri Indah Wahjuni * Sri Sulastri * Stepanus Setyo Widiyanto * Siti Murfingah * Sugiarto * Supadmi * Suripto * Syaifulludin * Tresnani * Tri Budi Susetyo * Umi Fatimah Warisno * Widiyanti * Widodo

    Sekretariat

    * PondokJaya, Sektor 3A, BintaroJaya, Tangerang
    * Jl. Parkit Sektor2, BintaroJaya, Jakarta Selatan

    Email : DePOTTER90@Ymail.com

    Followers