Jika kita terbiasa dalam pembentukan kebijakan terkait pengamanan informasi itu harus mengikuti pola S.M.A.R.T yang boleh di panjangin jadi Specifics untuk S, Measureable untuk M, Achievable untuk A, Realistic untuk R, dan Time Based untuk T.
Namun sebelum tahu banyak tentang SMART ada baiknya mengenal 5Ws.
- What, apa, prosedurnya sendiri itu prosedur apa?
- Who, siapa, siapa yang menjalankan prosedur?
- When, kapan, kapan suatu prosedure harus dijalankan?
- Where, dimana, dimana suatu prosedure harus dijalankan?
- Why, mengapa, mengapa suatu prosedure harus dijalankan?
Kembali ke SMART.
S, Specifics. Sespesifik apakah kebijakan tentang pengamanan informasi yang akan kita buat? Pada dasarnya suatu kebijakan pengamanan bisa dibuat sangat spesifik atau sangat umum bergantung pada kemampuan organisasi itu mengadaptasi perubahan dan tentunya bergantung pula pada kebijakan dari organisasi itu sendiri untuk melakukan review terhadap seluruh kebijakan yang berlaku di dalam organisasi itu sendiri.
Pada suatu organisasi, oleh karena sifatnya yang sangat fleksible untuk mengantisipasi ancaman-ancaman, sangat mungkin untuk membuat suatu policy sedetail mungkin. Dalam organisasi seperti ini, mungkin perubahan policy hanya membutuhkan waktu dalam hitungan hari. Bisa 3 hari, bisa 4 hari atau mungkin kurang dari itu. Namun, pada organisasi lain, yang karena ukurannya dan jenjang birokrasi, atau karena kebutuhan akan kepastian kebijakan; perubahan suatu kebijakan bisa membutuhkan waktu lebih lama dan siklus perubahannya bisa mencapai 1 tahun ata bergantung pada kebijakan dari oragnisasi itu sendiri. Pada organisasi ini, mungkin kebijakan pengamanan informasi tidak dibuat dengan sangat detail karena luasnya cakupan yang memang tidak bisa dihindari oleh karena sifat dan ukuran organisasi. Namun, kenyataan bahwa tidak pernah ada satu jawaban untuk menjawab semua pertanyaan, maka penting bagi organisasi untuk melakukan review untuk melakukan perubahan-perubahan yang dirasa perlu.
M, Measurable. Pernyataan-pernyataan di dalam membentuk suatu kebijakan pengamanan informasi harus bisa terukur dalam arti jelas dan tidak bersayap. Sebagai contoh point-point pengamanan informasi mengenai password berikut
- Tidak diperkenankan menggunakan singkatan-singkatan yang umum sebagai bagian dari password
- Tidak diperkenankan menggunakan kata-kata umum atau kebalikan dari kata-kata umum sebagai bagian dari password
- Tidak diperkenankan menggunakan nama orang atau nama tempat sebagai bagian dari password
- Tidak diperkenankan menggunakan seluruh atau sebagian dari login name (user name) sebagai bagian dari password
- Tidak diperkenankan menggunakan angka-angka yang mudah ditebak seperti tanggal lahir, nomor telepon, nomor NPWP dan nomor-nomor sejenis lainnya sebagai bagian dari password.
Bandingkan dengan contoh berikut:
- Pada kondisi dimana password dibutuhkan, setiap user harus mempunyai passwordnya sendiri yang hanya diketahui oleh yang bersangkutan. Masing-masing user bertanggung-jawab terhadap kerahasiaan dari passwordnya masing-masing dan untuk setiap penyalahgunaan passwordnya oleh pihak lain.
A, Achievable. Suatu kebijakan seharusnya bisa dijalankan. Sebagai contoh bisa dilihat pada frasa kebijakan berikut;
"Apabila suatu data dan sistem baru telah terpasang, maka personel dari application security bisa melakukan evaluasi dan menentukan metode, proses, kelengkapan, dan prosedur untuk meminimalkan resiko."
Frasa di atas kelihatan sangat ideal, sangat mudah bagi seorang Application Security untuk menuliskan frasa seperti itu. Akan tetapi, pada kondisi yang sebenarnya, akan sangat sulit bagi seorang Application Security untuk menentukan point-point kebijakan yang akan dituliskan agar memenuhi persayaratan spesifik dan measurable. Bila seorang Application Security bisa dengan mudah menuliskan point kebijakannya, sangat boleh jadi itu akan menjadi tidak achievable. Contoh di atas adalah point kebijakan yang tidak spesifik, measurable, dan acievable. Contoh di atas terlalu mengambang dan tidak spesifik, tidak secara jelas menyebutkan tindakan yang harus dilakukan oleh seorang Application Security dan tentunya tidak akan achievable karena tolok ukurnya yang tidak jelas.
R, Realistic. Suatu kebijakan seharusnya mempunyai pandangan yang realistik terhadap setiap point yang diuraikan. Contoh berikut adalah contoh point yang kurang realistik.
"Seluruh karyawan yang memperoleh sambungan internet hanya boleh menggunakannya hanya untuk kepentingan bisnis perusahaan."
Frasa di atas kelihatannya memang indah, namun kurang realistik. Kenapa tidak realistik? Karena user akan berpikir, bagaimana dengan karyawan yang bepergian dengan laptop perusahaan? Bisa jadi mereka mempunyai account facebook, dan menggunakan laptop perusahaan plus sambungan internetnya untuk ber-facebook-ria.
T, Time Based. Harus jelas waktunya, dan karena harus memperhatikan faktor achievable maka untuk mendukung kebijakan terkait Time Based harus juga dilengkapi dengan prosedur. Perhatikan contoh berikut:
"Terminasi Account: Setiap supervisor dari karyawan yang mengundurkan diri harus melaporkan pengunduran diri karyawan bersangkutan kepada Security Admin sebelum atau pada hari pengunduran diri karyawan yang bersangkutan, sehingga semua account milik karyawan bisa di-inaktifkan dengan baik"
Paragraf kebijakan di atas bagus namun frasa "sebelum atau pada hari" atau "secepatnya" hanya akan bisa berjalan bila dilengkapi dengan prosedure yang bisa menjelaskan dengan pasti mengenai apa yang harus dilakukan oleh seorang supervisor terkait pengunduran diri staff-nya.
