Migrasi ke cloud bukan lagi sekadar tren, melainkan kebutuhan bisnis. Namun, memindahkan data ke “langit” bukan berarti tanggung jawab keamanan Anda hilang begitu saja. Dengan rilisnya standar ISO/IEC 27001:2022, ada penekanan khusus pada bagaimana organisasi harus mengelola risiko keamanan informasi di lingkungan layanan awan.
1. Memahami Perubahan Utama ISO 27001:2022
Pada versi 2022, ISO melakukan penyegaran struktur kontrol dari Lampiran A (Annex A). Salah satu perubahan yang paling krusial adalah pengenalan kontrol A.5.23: Information Security for Use of Cloud Services.
Kontrol ini menuntut organisasi untuk tidak hanya “percaya” pada penyedia cloud (seperti AWS, Azure, atau Google Cloud), tetapi memiliki proses yang terdefinisi dalam mengelola seluruh siklus hidup penggunaan layanan tersebut.
2. Langkah Strategis Penerapan Kontrol Cloud
A. Kebijakan Penggunaan Layanan Cloud (Cloud Usage Policy)
Anda tidak bisa mengamankan apa yang tidak Anda atur. Organisasi harus menetapkan aturan main:
- Kriteria Pemilihan: Apa standar keamanan minimum bagi vendor cloud? (Misal: Harus punya sertifikasi ISO 27001 atau SOC2).
- Jenis Data: Data mana yang boleh diletakkan di public cloud dan mana yang harus tetap di on-premise.
- Persetujuan: Siapa yang berwenang membeli atau berlangganan layanan SaaS baru? Ini untuk menghindari Shadow IT.
B. Model Tanggung Jawab Bersama (Shared Responsibility Model)
Ini adalah titik di mana banyak perusahaan terjebak. Anda harus mendokumentasikan dengan jelas siapa bertanggung jawab atas apa.
- Penyedia Cloud: Bertanggung jawab atas keamanan infrastruktur fisik, listrik, dan hypervisor.
- Anda (Pengguna): Bertanggung jawab atas enkripsi data, manajemen akses pengguna (IAM), dan konfigurasi firewall.
C. Pengelolaan Hubungan dengan Pemasok
Dalam ISO 27001:2022, hubungan dengan vendor cloud dianggap sebagai hubungan pemasok yang berisiko tinggi.
- Perjanjian Tingkat Layanan (SLA): Pastikan ada klausul tentang bagaimana data dikembalikan jika kontrak berakhir.
- Pemberitahuan Insiden: Pastikan vendor wajib melaporkan kepada Anda jika mereka mengalami kebocoran data yang berdampak pada akun Anda.
D. Manajemen Konfigurasi dan Keamanan Teknis
Banyak kebocoran data di cloud terjadi karena salah konfigurasi (misal: bucket penyimpanan yang terbuka untuk publik).
- 8.15 Logging: Pastikan semua aktivitas di panel kontrol cloud dicatat dan dipantau.
- 8.24 Information Deletion: Pastikan data yang sudah tidak digunakan benar-benar dihapus secara aman dari infrastruktur vendor.
3. Mengapa Ini Penting?
Menerapkan ISO 27001:2022 untuk layanan cloud bukan sekadar demi selembar sertifikat. Ini tentang membangun kepercayaan dengan pelanggan. Di dunia digital, kepercayaan adalah mata uang yang paling berharga. Dengan kontrol yang ketat, Anda meminimalkan risiko denda regulasi (seperti UU PDP di Indonesia) dan melindungi reputasi bisnis Anda.
Kesimpulan
Keamanan cloud adalah perjalanan, bukan tujuan akhir. Dengan mengikuti panduan ISO 27001:2022, Anda beralih dari pola pikir “semoga aman” menjadi “terukur dan aman”. Mulailah dengan menilai risiko, tentukan tanggung jawab, dan pantau secara konsisten.
