Nahla Davies melihat titik buta antara kontrol keamanan informasi dan tata kelola integritas data yang sebenarnya.
Ada rasa percaya diri yang aneh yang muncul saat mendapatkan sertifikasi ISO 27001. Audit sudah selesai, sertifikat sudah ditempel di dinding, dan tiba-tiba semua orang di gedung bisa tidur lebih nyenyak di malam hari. Rasanya seperti Anda telah menangani pertanyaan keamanan untuk selamanya.
Namun ada hal yang tidak dibicarakan oleh siapa pun pada jamuan makan malam tersebut: sebagian besar risiko data yang benar-benar merugikan perusahaan pada tahun 2026 tidak ada hubungannya dengan apakah Anda lulus audit. Mereka lebih berantakan dari itu.
Mereka hidup dalam kekacauan sehari-hari tentang cara tim membuat, memindahkan, menyalin, dan melupakan data. Dan di sinilah tepatnya ISO 27001, dengan segala manfaatnya, mulai kehabisan jawaban.
Sertifikasi mencakup kerangka kerja, bukan kekacauannya
ISO 27001 benar-benar berguna. Mari kita singkirkan hal itu. Hal ini memberi organisasi pendekatan terstruktur terhadap manajemen keamanan informasi, dan memaksa kepemimpinan untuk benar-benar memikirkan risiko dengan cara yang sistematis. Bagi perusahaan yang sebelumnya tidak memiliki apa-apa, ini merupakan langkah maju yang besar.
Namun standar ini dirancang untuk menilai apakah Anda memiliki kebijakan, kontrol, dan proses yang tepat. Ini memeriksa apakah arsitekturnya ada. Apa yang tidak bisa dilakukan adalah mengikuti data Anda pada Selasa sore ketika seseorang di bagian pemasaran menyalin daftar klien ke Google Sheet pribadi untuk ‘memeriksa sesuatu dengan cepat’.
Di situlah letak kesenjangannya. Sertifikasi tersebut memberi tahu auditor bahwa Anda telah membangun tembok tersebut. Ia tidak memberi tahu siapa pun apa yang terjadi di dalam ruangan. Dan di sebagian besar organisasi, apa yang terjadi di dalam ruangan sangat kacau.
Pikirkan tentang bagaimana data sebenarnya berpindah melalui orang-orang di perusahaan modern. Ini dimulai dalam satu sistem, diekspor ke dalam spreadsheet, dikirim melalui email ke kolega, diunggah ke drive bersama, diduplikasi di tiga departemen, dan akhirnya dilupakan dalam folder yang belum pernah dibuka siapa pun sejak kuartal terakhir. Semua itu tidak melanggar kontrol ISO 27001 Anda. Semua itu menimbulkan risiko.
Standar ini menanyakan apakah Anda memiliki kebijakan inventaris aset dan klasifikasi data. Sebagian besar perusahaan bersertifikat melakukannya. Namun kenyataan menerapkan klasifikasi dalam skala besar, pada ribuan file dan lusinan alat, adalah masalah yang sama sekali berbeda. Ini seperti rencana evakuasi kebakaran yang ditempel di dinding sementara separuh pintu keluar ditutup dengan furnitur. Secara teknis sesuai, tetapi secara praktis berbahaya.
Tata kelola data adalah bagian yang dilewati semua orang
Ada alasan mengapa tata kelola data terus muncul dalam diskusi keamanan, meskipun kedengarannya sangat membosankan. Sebab, tata kelola adalah lapisan yang berada di antara kebijakan dan kenyataan. Ini adalah bagian yang menjawab pertanyaan seperti: siapa sebenarnya pemilik kumpulan data ini? Kapan terakhir kali ditinjau? Adakah yang tahu itu masih disimpan di tiga tempat?
ISO 27001 menyentuh beberapa di antaranya. Lampiran A memiliki kendali seputar klasifikasi informasi, manajemen akses, dan kepemilikan aset. Namun standar ini memperlakukan hal ini sebagai kotak yang harus diperiksa selama siklus audit. Dalam praktiknya, tata kelola data memerlukan perhatian aktif dan konstan. Ini operasional, bukan periodik.
Sebagian besar perusahaan yang mendapatkan sertifikasi membuat dokumentasinya, menetapkan peran mereka, dan melanjutkan. Enam bulan kemudian, lanskap data telah berubah total. Alat-alat baru diadopsi, tim direorganisasi, orang-orang keluar dan akses mereka tetap ada. Sertifikat tetap berlaku. Risikonya berlipat ganda.
Hal ini terutama berlaku pada data tidak terstruktur, yang merupakan sebagian besar data yang dimiliki sebagian besar organisasi. Email, dokumen, log obrolan, file bersama. ISO 27001 tidak memiliki jawaban yang bagus untuk volume dan ketidakpastian data tidak terstruktur. Ini mengasumsikan Anda dapat mengklasifikasikan dan mengendalikannya. Siapa pun yang pernah mencobanya tahu bahwa itu adalah hal yang paling optimis.
Hal yang benar-benar dibutuhkan selain sertifikasi adalah praktik tata kelola data yang hidup dan menarik. Sistem yang memetakan lokasi sebenarnya data sensitif berada (bukan hanya di tempat yang seharusnya), memantau pergerakannya, dan menandai ketika ada sesuatu yang melampaui batas yang dapat diterima. Itu bukan latihan audit. Ini adalah fungsi operasional yang berkelanjutan.
Kepatuhan menciptakan lantai, bukan langit-langit
Ada poin yang lebih luas di sini yang berlaku di luar ISO 27001. Kerangka kerja kepatuhan, berdasarkan sifatnya, menetapkan batasan minimum. Mereka mendefinisikan apa yang tampak seperti ‘dapat diterima’ pada titik waktu tertentu, bahkan dengan kasus-kasus sulit seperti penggunaan AI untuk pengujian perangkat lunak. Namun ancaman terus berkembang, teknologi berubah, dan cara orang bekerja terus berubah. Standar yang ditinjau setiap beberapa tahun tidak dapat mengimbangi kecepatan pergerakan lanskap data.
Hal ini sangat relevan karena alat AI sudah tertanam dalam alur kerja sehari-hari. Karyawan memasukkan data perusahaan ke dalam model bahasa yang besar, menggunakan asisten AI untuk meringkas dokumen internal, dan menghasilkan konten berdasarkan informasi kepemilikan. ISO 27001 tidak ditulis dengan mempertimbangkan kenyataan tersebut. Pembaruan tahun 2022 tentu saja membuat kemajuan, tetapi kecepatan adopsi AI telah melampaui apa yang dapat diatasi oleh standar mana pun.
Perusahaan yang menganggap sertifikasi sebagai tujuan akhirnya cenderung mengembangkan titik buta (blind spot) di bidang-bidang tersebut. Mereka patuh di atas kertas namun terekspos dalam praktik. Risiko data yang mereka hadapi tidak berasal dari serangan eksternal yang canggih (walaupun hal ini juga penting). Mereka datang dari dalam rumah, dari cara orang sehari-hari dan tidak menarik dalam berinteraksi dengan informasi.
Organisasi paling cerdas menggunakan ISO 27001 sebagai landasan dan kemudian membangunnya. Mereka berinvestasi pada alat penemuan data yang memetakan data bayangan. Mereka menerapkan pemantauan real-time untuk informasi sensitif. Mereka melatih karyawan tidak hanya mengenai kebijakan, namun juga tentang kebiasaan praktis yang menjaga agar data tidak berpindah ke tempat yang tidak seharusnya. Sertifikasi menjadi titik awal pembicaraan keamanan, bukan kesimpulan.
Pikiran terakhir
ISO 27001 layak mendapatkan reputasinya sebagai kerangka kerja yang serius dan kredibel. Mendapatkan sertifikasi membutuhkan upaya nyata, dan ini menandakan bahwa sebuah organisasi memperhatikan keamanan informasi dengan serius.
Namun terdapat kesenjangan yang semakin besar antara apa yang dibuktikan oleh sertifikat dan apa yang sebenarnya dibutuhkan oleh lingkungan data modern. Risiko terbesar saat ini berasal dari penyebaran data, duplikasi dan penyimpangan, serta entropi informasi yang tidak dikelola secara aktif oleh siapa pun.
Mengatasi hal tersebut membutuhkan lebih dari sekedar kerangka kerja. Dibutuhkan budaya tata kelola yang berkelanjutan, perangkat praktis, dan pandangan yang jujur terhadap kesenjangan antara bagaimana data seharusnya berperilaku dan bagaimana data sebenarnya berperilaku. Sertifikat membuka pintu. Apa yang Anda bangun di baliknya itulah yang sebenarnya penting.
Oleh Nahla Davies
Nahla Davies adalah pengembang perangkat lunak dan penulis teknologi. Sebelum mengabdikan pekerjaannya penuh waktu pada penulisan teknis, ia berhasil – di antara hal-hal menarik lainnya – menjadi programmer utama di organisasi experiential branding Inc 5.000, yang kliennya mencakup Samsung, Time Warner, Netflix, dan Sony.